„Czy trzeba zgłaszać sklep internetowy do GIODO?”. Do 31 grudnia 2014 r. odpowiedź była oczywista… TAK, TRZEBA. 1 stycznia 2015 r. zaczęły obowiązywać nowe przepisy dotyczące ochrony danych osobowych, a wraz z nimi możliwość uniknięcia rejestracji zbioru danych osobowych Klientów sklepu internetowego.
Co zatem trzeba zrobić, aby nie musieć rejestrować takiego zbioru? Już wyjaśniam.
Powołanie ABIego zwalnia z obowiązku rejestracji zbiorów
1 stycznia 2015 r. weszła w życie Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662). Zmieniła ona między innymi przepisy dotyczące ochrony danych osobowych.
Do tej pory Ustawa o ochronie danych osobowych (UODO) wspominała tylko jednym zdaniem o Administratorze bezpieczeństwa informacji (ABI).
Po nowelizacji to się zmieniło. Teraz przepisy o wiele dokładniej opisują kto może pełnić funkcję ABI i jakie są wobec niego wymagania. Określa także obowiązki ABIego.
Coś, co najbardziej cieszy przedsiębiorców to fakt, że powołując ABIego nie muszą rejestrować większości zbiorów danych osobowych. Podkreślam jedna WIĘKSZOŚCI, a nie WSZYSTKICH. Niektóre zbiory będą podlegały rejestracji, mimo powołania ABIego. O tym wspomnę dalej.
Pamiętaj również, że istnieją różne podstawy do zwolnienia z obowiązku rejestracji niezwiązane z powoływaniem Administratora bezpieczeństwa informacji. Znajdziesz je w artykule 43 Ustawy o ochronie danych osobowych.
Kiedy trzeba rejestrować zbiór mimo powołania ABIego?
W większości przypadków powołanie ABIego jest równoznaczne ze zwolnieniem z rejestracji zbiorów. Jest jednak jedno zastrzeżenie. UODO wyróżnia pewną kategorię danych „…ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.”. Są to tak zwane dane „wrażliwe” lub „sensytywne”. Mało prawdopodobne, abyś przetwarzał tego typu dane. Nie znaczy to jednak, że niemożliwe, dlatego wspominam o tym fakcie.
Trzeba, czy nie trzeba rejestrować zbiór danych osobowych w GIODO?
Czy masz mętlik w głowie i nadal nie wiesz, kiedy rejestrować zbiór, a kiedy nie? Masz prawo do wątpliwości, bo tę kwestię czasem trudno ogarnąć.
Czasem jednak jeden obraz powie więcej niż, tysiące słów. Dlatego przygotowałem schemat, który pomoże Ci podjąć właściwą decyzję.
Jeśli mimo to będziesz miał wątpliwości, napisz komentarz.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.