(61) ZAPYTAJ PRAWNIKA SZYBKI KONTAKT

Transkrypt

1 Ą Ą Ą str. 1

2 Wstęp Szanowny Sprzedawco, Jeśli prowadzisz sklep internetowy lub planujesz jego otwarcie, z pewnością trafiłeś już na informacje dotyczące Generalnego Inspektora Ochrony Danych Osobowych w skrócie GIODO. W dalszej części tego poradnika omówimy po krótce najważniejsze informacje związane z danymi osobowymi w sklepie internetowym, w tym jakie wymogi prawne wiążą się z ich przetwarzaniem w sklepie internetowym i kogo one dotyczą. Niniejszy poradnik ma być tylko wstępem do poznania zagadnień prawnych związanych z prowadzeniem sklepu internetowego. Warto na swojej drodze mieć doświadczonego partnera. Tutaj nasi prawnicy są do Twojej dyspozycji i zachęcamy do kontaktu oraz korzystania z naszych usług. Pozdrawiamy i życzymy owocnej lektury, Zespół osobowedane.pl OsoboweDane.pl Nasza firma od ponad 4 lat pomaga firmom i sklepom internetowym w kwestiach ochrony danych osobowych i prawnych. Mamy ogromne doświadczenie i możemy pochwalić się bogatą bazą referencji. Zgłosiliśmy setki firm do GIODO i jesteśmy na bieżąco w kwestiach prawnych związanych z ochroną danych osobowych. Do naszych klientów podchodzimy bardzo rzetelnie i profesjonalnie. Cenimy profesjonalizm również pod stronie klienta, z którym blisko współpracujemy przy tworzeniu wymaganych dokumentów i rejestracji w GIODO. str. 2

3 Spis treści Zgłoszenie bazy danych do GIODO czy zawsze jest konieczne?... 4 Zacznijmy jednak od początku czym właściwie są dane osobowe... 5 Zbiór danych osobowych co to takiego... 6 Zbieram dane osobowe i co dalej?... 8 Zgłoszenie baz danych osobowych czy powołanie ABIego?... 9 Podstawowa dokumentacja Sankcje i kary za niespełnienie obowiązków Art.53. [Niezgłoszenie zbioru danych do rejestracji] Art.54. [Niepoinformowanie o prawach osoby, której dane są przetwarzane] Podsumowanie GIODO krok po kroku Profesjonalne wsparcie przy tworzeniu dokumentacji ochrony danych osobowych Najczęściej zadawane pytania Kiedy należy dokonać rejestracji zbiorów danych osobowych? Przed czy po zaczęciu przetwarzania danych Mam już sklep, ale nie zgłoszono przetwarzanych danych do GIODO czy grożą mi konsekwencje? Na czym polega zwolnienie z obowiązku rejestracji i jak z niego skorzystać? Czy musze podpisywać umowę z kurierem? Dostawcą hostingu? Jakie dokumenty muszę przygotować w celu rejestracji? Jakie dokumenty muszą być udostępnione na stronie? Czy muszę aktualizować zgłoszenie? Co to są dane wrażliwe? Czy muszę wprowadzać jakieś specjalne zabezpieczenia? W jaki sposób niszczyć dane? Czy GIODO może skontrolować sprzedawcę? str. 3

4 1 Zgłoszenie bazy danych do GIODO czy zawsze jest konieczne? Prowadząc sklep internetowy z pewnością przetwarzasz lub będziesz przetwarzać dane osobowe swoich klientów chociażby w celu realizacji zamówienia. Oznacza to, że stajesz się w tym momencie administratorem danych osobowych swoich klientów i jesteś zobowiązany do spełnienia wymogów ochrony takich danych i dokonania zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych (na podstawie art. 40 Ustawy o ochronie danych osobowych). Co prawda istnieje kilka przesłanek pozwalających na ominięcie tego obowiązku (o czym przeczytasz w dalszej części poradnika), jednak realizacja zamówienia w sklepie zawsze będzie wiązać się z przetwarzaniem danych i koniecznością dokonania rejestracji. Zważywszy na fakt, iż dane, które otrzymuje sklep od swoich klientów są niezbędne chociażby do wysyłki towaru (jak imię, nazwisko czy adres, dzięki którym z łatwością można ich zidentyfikować) mają niewątpliwie charakter danych osobowych, to przesądza to o obowiązku zgłoszenia zbioru danych osobowych związanych z działalnością sklepu do rejestru zbiorów prowadzonego przez GIODO. str. 4

5 2 Czym właściwie są dane osobowe? Zgodnie z Ustawą o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to, że za dane osobowe będziemy uznawać nie tylko imię i nazwisko, ale wszelkie informacje które wskażą nam tożsamość konkretnej osoby (jeśli nie wymaga to nadmiernych kosztów, czasu i działań). Czy zgodnie z przytoczoną powyżej definicją adres uznawany będzie za dane osobowe? Przyjęta praktyka każe uznawać adresy za dane osobowe, kiedy zawierają one w swojej treści imię oraz nazwisko, np: adam.mickiewicz@gmail.com W niektórych wypadkach identyfikacja konkretnej osoby będzie możliwa również przez inne dane w adresie: adam.m.wieszcz@men.gov.pl Określenie stanowiska, imienia i inicjału nazwiska razem z podaniem konkretnego urzędu w domenie pozwala nam na określenie z dużą pewnością o jaką osobę chodzi, np. przez użycie wyszukiwarki internetowej taki adres będzie więc uznany za daną osobową. Jeśli jednak będziemy mieli do czynienia z adresem: Julek1809@o2.pl - który nie wskazuje na żadną konkretną osobę, nie zostanie on uznany za daną osobową. Należy jednak pamiętać, że jeżeli jednocześnie posiadamy także inne dane tej osoby i możemy ją w takim wypadku zidentyfikować za ich pomocą, to także taki adres może stanowić dane osobowe. str. 5

6 3 Zbiór danych osobowych co to takiego Wiemy już czym są dane osobowe pora więc przejść do definicji zbioru danych osobowych, czyli każdego posiadającego strukturę zestawu danych o charakterze osobowym, dostępnego według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (art. 7 pkt 1 ustawy). W sklepie internetowym najważniejszym kryterium wyodrębniania zbiorów danych osobowych będzie cel ich przetwarzania. Z całą pewnością każdy sklep internetowy będzie przetwarzał przynajmniej 1 zbiór danych osobowych będą to klienci e-sklepu, którzy muszą udostępnić swoje dane osobowe w celu dostarczenia przesyłki. Inne przykładowe zbiory danych osobowych, jakie mogą pojawić się w sklepie internetowym, to np.: Odbiorcy newslettera (najczęściej w postaci adresów mailowych) Pracownicy (baza umów cywilnoprawnych) Uczestniczy konkursu Statystyki i marketing W artykule 43 Ustawy o Ochronie Danych Osobowych wymienionych jest 15 podstaw do zwolnienia zbiorów danych osobowych z rejestracji. Chodzi tutaj między innymi o zbiory które: przetwarzane są wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowe. przetwarzane są w związku z zatrudnieniem pracowników przez ADO, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczących osób zrzeszonych (np. dla stowarzyszeń) lub uczących się (np. przy praktykach zawodowych). przetwarzane są w zakresie drobnych bieżących spraw życia codziennego str. 6

7 Co ważne zgłoszeniu w GIODO nie będzie podlegał np. zbiór danych Pracownicy, ale już Klienci sklepu z całą pewnością, ponieważ realizacja zamówienia w sklepie internetowym wykracza poza wystawienia rachunku lub faktury i drobne sprawy życia codziennego. str. 7

8 4 Zbieram dane osobowe i co dalej? Skoro ustaliliśmy już, że prowadząc sklep internetowy przetwarzasz przynajmniej 1 zbiór danych (Klienci sklepu), przejdziemy teraz do konkretów czyli jakie wymogi musisz spełnić wobec urzędu? Na początek musisz zapoznać się z definicją ADO czyli Administratorem Danych Osobowych, za którego uznany może być organ, jednostka organizacyjna, podmiot lub osoba, które decydującą o celach i środkach przetwarzania danych osobowych. Administratorem danych mogą być zarówno podmioty publiczne, np. organy państwowe, jak również podmioty prywatne, np. osoby fizyczne, inne osoby prawne (np. kapitałowe spółki prawa handlowego, stowarzyszenia, spółdzielnie, fundacje). Najważniejsze co musisz wiedzieć o ADO to: 1. Z ADO mamy do czynienia zawsze, kiedy przetwarzane są dane. 2. W przypadku działalności jednoosobowych za ADO uznany zostaje właściciel firmy. 3. W przypadku spółek prawa handlowego, jako ADO wyznacza się całą spółkę, a nie tylko np. prezesa zarządu spółki. str. 8

9 5 Zgłoszenie baz danych osobowych czy powołanie ABIego? Każda firma, która w ramach swojej działalności przetwarza dane osobowe, a więc również sklep internetowy, ma obowiązek spełnić wymogi Ustawy o ochronie danych osobowych między innymi w zakresie zgłoszenia baz danych do GIODO lub powołania Administratora Bezpieczeństwa Informacji. Kim jest ABI? ABI to kolejny tajemniczy skrót związany z ochroną danych osobowych. Oznacza on Administratora Bezpieczeństwa Informacji, który może zostać powołany przez ADO, a do jego podstawowych zadań należy przejęcie części obowiązków Administratora Danych. Powołanie ABIego zwalania z obowiązku rejestracji baz danych w GIODO (wystarczy zgłosić sam fakt powołania ABIego). Jeśli ABI nie zostanie powołany, ADO powinien zgłosić do urzędu przetwarzane zbiory baz danych (zgodnie z art. 40 ustawy o ochronie danych osobowych), np. przez wypełnienie wniosku na stronie egiodo.giodo.gov.pl. W takim zgłoszeniu należy uwzględnić: oznaczenie administratora danych między innymi przez podanie siedziby lub adresu zamieszkania, numeru REGON (jeśli został nadany), cel przetwarzania danych, opis kategorii osób, których dane są przetwarzane, zakres przetwarzania danych osobowych, sposób zbierania i przetwarzania danych, opis środków służących zabezpieczeniu danych, spełnienie wymogów nakładanych przez pozostałe przepisy ustawy, str. 9

10 Ważne! Zgłoszenie przetwarzanych zbiorów danych osobowych dotyczy całej firmy, a nie tylko sklepu internetowego. Oznacza to, że jeśli prowadzimy kilka sklepów i przetwarzamy w nich dane w ten sam sposób i przy wykorzystaniu tych samych narzędzi, to musimy przygotować tylko jedno zgłoszenie. str. 10

11 6 Podstawowa dokumentacja Oprócz samego zgłoszenia, o którym mowa powyżej, należy opracować dwa podstawowe dokumenty, w których opiszemy m.in. wszystkie procedury, zabezpieczenia oraz istniejące zbiory danych wraz z zakresem, w jakim je przetwarzamy. Mowa tutaj o poniższych dokumentach: 1. Polityka bezpieczeństwa - jest to zbiór wewnętrznych reguł związanych z przetwarzaniem danych osobowych obowiązujących u danego administratora danych osobowych, wraz z informacją o rodzaju zbiorów i przetwarzanych w nich danych, stosowanych zabezpieczeniach czy podmiotach, którym dane mogą być powierzane i udostępniane. 2. Instrukcja zarządzania systemem informatycznym - jest to dokument w którym odniesiemy się bezpośrednio do systemów służących do przetwarzania danych, tworzenia kopii zapasowych, nadawania dostępów i innych informacji, związanych z informatyczną stroną przetwarzania danych. Z opisanymi w Polityce i Instrukcji procedurami należy zapoznać pracowników i dodatkowo podpisać z nimi Upoważnienie do przetwarzania danych, oświadczenie o zapoznaniu się z obowiązującymi w firmie procedurami i wpisać taką informację do Ewidencji osób upoważnionych do przetwarzania danych. str. 11

12 7 Sankcje i kary za niespełnienie obowiązków Przestrzeganie przepisów ustawy o ochronie danych osobowych jest coraz bardziej restrykcyjnie egzekwowane a właścicielom sklepów internetowych, którzy nie zdecydowali się na wdrożenie dokumentacji przetwarzania danych osobowych grozi odpowiedzialność karna z tytułu: Art.53. [Niezgłoszenie zbioru danych do rejestracji] Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art.54. [Niepoinformowanie o prawach osoby, której dane są przetwarzane] Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. To, czy wymogi zostały spełnione sprawdzić może zarówno Państwowa Inspekcja Pracy i samo GIODO. str. 12

13 8 Podsumowanie GIODO krok po kroku Przejdźmy więc do podsumowania co należy zrobić, aby spełnić wymogi związane z przetwarzaniem danych w sklepie internetowym? 1. Na początku ustalamy, kto jest Administratorem Danych Osobowych w naszej firmie: w przypadku działalności jednoosobowych właściciel firmy, w przypadku spółek prawa handlowego sama spółka. 2. Kiedy wiemy już, kto odpowiada za dane pora ustalić jakie zbiory danych osobowych przetwarzamy w ramach wykonywanej działalności. Mogą to być np.: Klienci Odbiorcy newslettera Pracownicy Dostawcy Marketing (odbiorcy treści marketingowych) Uczestnicy konkursu Przy każdym zbiorze warto zastanowić się, czy występują przesłanki do jego zwolnienia z obowiązku rejestracji (zgodnie z art. 43 Ustawy o ochronie danych osobowych). 3. Następnie przechodzimy do przygotowania i wdrożenia procedur przetwarzania danych. zgodnie z Ustawą o ochronie danych i rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 4. Następnie tworzymy Politykę bezpieczeństwa i instrukcję zarządzania system informatycznym w których opisujemy opracowanie procedury, podpisujemy również str. 13

14 umowy powierzenia danych osobowych (z firmami, którym powierzamy dane naszych klientów np. z hostingodawcą, biurem księgowym, kurierami itp.). Z dokumentacją należy zapoznać pracowników i podpisać z nimi upoważnienie do przetwarzania danych i wprowadzić taką informację do Ewidencji osób upoważnionych do przetwarzania danych Na tym etapie określamy również, czy zamierzamy zgłosić bazy danych czy powołać ABIego. 5. Kolejny krok związany jest w poprzednim wyborem jeśli powołaliśmy ABIego, należy zgłosić ten fakt w GIODO (w ciągu 30 dni). Warto pamiętać, że ABI zobowiązany jest do prowadzenia rejestru zbiorów danych osobowych. 6. Jeśli jednak nie powołaliśmy ABIego, to pozostaje nam przygotować zgłoszenia zbiorów danych osobowych. Możemy to zrobić przy pomocy formularza na stronie GIODOnależy przy tym pamiętać, że zgłoszenie przygotowujemy dla każdego zbioru, który nie podlega zwolnieniu z rejestracji na podstawie Art. 43. Ustawy o ochronie danych. 7. Po przesłaniu do urzędu wniosków zgłoszeniowych lub informacji o powołaniu ABIego, wdrożeniu wszystkich procedur, podpisania umów powierzenia, upoważnienia do przetwarzania danych i uzupełnieniu ewidencji osób upoważnionych pozostaje nam jedynie czekać na akceptację ze strony urzędu i nadanie numeru rejestracyjnego. str. 14

15 9 Profesjonalne wsparcie przy tworzeniu dokumentacji ochrony danych osobowych Jeśli powyższy opis wydaje Ci się przytłaczający i nie masz pewności czy przebrniesz przez zawiłości przepisów ochronnych danych osobowych, a mimo to chcesz zabezpieczyć swoją firmę i uniknąć konsekwencji związanych z niedopełnieniem obowiązków, możesz skorzystać z profesjonalnej pomocy. Na rynku najczęściej dostępne są dwa rodzaje usług w tym zakresie: 1. Wzory dokumentacji (polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym ), które należy uzupełnić samodzielnie niezbędnymi informacjami i przygotować wniosek do GIODO. To rozwiązanie sprawdza się w sytuacji, kiedy chcesz ograniczyć koszty i możesz poświęcić kilka lub kilkanaście godzin na uzupełnienie dokumentacji. Takie wzory możemy znaleźć w Internecie już za 50 zł, jednak ich prawidłowość nie jest zwykle potwierdzona koszt wzorów, w przypadku których możemy być bardziej pewni jakości, to ok zł. 2. Pomoc specjalisty, który na podstawie wywiadu przeprowadzonego w Twojej firmie zaproponuje najlepsze rozwiązania systemowe i procedury, po czym opracuje niezbędną dokumentację i wnioski zgłoszeniowe. W takim wypadku całość prac wykonywana jest przez profesjonalistę, co znacznie przyśpiesza cały proces i daje pewność co do prawidłowości przygotowanych dokumentów. Zakres cen w przypadku takiej usługi zależy od wielu czynników m. in. w ilu miejscach dane są przetwarzane w ramach działalności, jakie systemy informatyczne zostają wykorzystane do ich przetwarzania, czy wykonywane są kopie zapasowe itp. Profesjonalne usługi w tym zakresie rozpoczynają się od zł netto za mniejsze, jednoosobowe działalności, aż po kilka kilkanaście tysięcy w przypadku największych podmiotów. str. 15

16 10 Najczęściej zadawane pytania 1. Kiedy należy dokonać rejestracji zbiorów danych osobowych? Przed czy po zaczęciu przetwarzania danych Zgodnie z Art. 46 ust. 1 Ustawy o ochronie danych osobowych Administrator danych może rozpocząć przetwarzanie danych w zbiorze po zgłoszeniu tego zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), chyba że powołany został ABI ten fakt należy zgłosić w urzędzie w ciągu 30 dni. Warto przy tym pamiętać, że obecnie rozpatrywanie wniosków przez urząd może trwać nawet kilka miesięcy, dlatego warto pomyśleć o zgłoszeniu jeszcze przed uruchomieniem sklepu. 2. Mam już sklep, ale nie zgłoszono przetwarzanych danych do GIODO czy grożą mi konsekwencje? Jeśli prowadzisz już sklep, ale nie dokonałeś zgłoszenia i obawiasz się, że zrobienie tego po fakcie może wiązać się z konsekwencjami możemy Cię uspokoić GIODO nie nakłada kar, jeśli zgłaszane bazy danych są już przetwarzane. Najważniejsze to spełnić wymogi ochrony danych osobowych. 3. Na czym polega zwolnienie z obowiązku rejestracji i jak z niego skorzystać? Jak zaznaczyliśmy wcześniej istnieje kilka przesłanek pozwalających na uniknięcie obowiązku zgłaszania baz danych osobowych. Chodzi tutaj o dane, które np.: są przetwarzane są w związku z zatrudnieniem pracowników u Administratora Danych świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczących osób u niego zrzeszonych lub uczących się str. 16

17 są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Pamiętaj jednak, że sklep internetowy przetwarza dane w szerszym zakresie, więc ta przesłanka nie znajdzie zastosowania. Gdyby jednak klient dokonał zakupu w sklepie stacjonarnym i poprosił o imienną fakturę, to takie dane nie będą podlegać zgłoszeniu. są przetwarzane w zakresie drobnych bieżących spraw życia codziennego w sklepie internetowym do takiej sytuacji raczej nie dochodzi. Ta przesłanka znajdzie jednak zastosowanie jeśli oprócz sklepu prowadzimy również inne, stacjonarne działalności. Przykładowo, właściciel pralni, który przyjmuje płaszcz, wraz z imieniem i nazwiskiem klienta nie musi zgłaszać takiego zbioru do GIODO. W przypadku danych przetwarzanych w powyższych celach nie ma obowiązku zgłoszenia, należy jednak stosować odpowiednie procedury i zabezpieczenia, tak jak w wypadku pozostałych zbiorów. 4. Czy musze podpisywać umowę z kurierem? Dostawcą hostingu? Umowa powierzenia danych osobowych powinna zostać zawarta z każdym podmiotem, któremu dane zostają powierzone. Oznacza to, że praktycznie w każdym wypadku dokument należy podpisać z hostingodawcą (który na swoich serwerach przechowuje dane naszych klientów, zapewnia im odpowiedni poziom ochrony i wykonuje kopie zapasowe). W przypadku zlecenia dostarczenia towaru firmie kurierskiej również dochodzi do powierzenia, więc zawarcie umowy jest konieczne. Warto tutaj pamiętać o kilku kwestiach: Umowy powierzenia nie musimy podpisywać z Pocztą Polską, która jest operatorem ustawowo wyznaczonym, przez co jesteśmy zwolnienie z obowiązku. W przypadku brokerów (pośredników) kurierskich należy najpierw ustalić, czy dane zostają powierzone konkretnemu kurierowi, czy też samemu serwisowi. Następnie z odpowiednim podmiotem należy podpisać umowę powierzenia. str. 17

18 Większość firm posiada własne wzory umowy powierzenia danych osobowych wystarczy poprosić o jej przesłanie i podpisać gotowy wzór zwykle przyśpiesza to znacznie całą procedurę. Oprócz hostingodawcy i firm kurierskich umowę powierzenia danych osobowych należy zwykle zawrzeć również z: Biurem księgowym. Dostawcą oprogramowania, o ile znajduje się ono na jego serwerach (np. przy narzędziach do wysyłki newslettera czy CRM). Firmami świadczącymi usługi marketingowe, którym przekazujemy dane klientów. Operatorami płatności internetowych. 5. Jakie dokumenty muszę przygotować w celu rejestracji? Zgodnie z obowiązującymi przepisami Administrator danych powinien posiadać swojej firmie następujące dokumenty: Politykę bezpieczeństwa Instrukcję zarządzania systemem informatycznym Podpisane przez pracowników upoważnienie do przetwarzania danych Podpisane przez pracowników oświadczenie o zapoznaniu się z procedurami przetwarzania danych obowiązującymi w firmie Rejestr osób upoważnionych do przetwarzania danych Wnioski zgłoszeniowe baz danych osobowych lub zgłoszenie powołania ABIego. Jeśli powołany został ABI, to dodatkowo jest on zobowiązany do prowadzenie rejestru przetwarzanych zbiorów danych str. 18

19 6. Jakie dokumenty muszą być udostępnione na stronie? Zarówno Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym jak i pozostałe dokumenty stanowią dokumentację wewnętrzną, a co za tym idzie nie trzeba umieszczać jej na stronie lub przekazywać klientom. Na stronie sklepu powinna znaleźć się jednak Polityka prywatności, czyli dokument w którym informujemy użytkowników jakie dane mogą być od nich zbierane, w jakim celu i kto jest ich administratorem. Polityka prywatności powinna zawierać również informację na temat zapisywanych plików cookies (tzw. polityka cookies lub polityka ciasteczek). 7. Czy muszę aktualizować zgłoszenie? Zarówno dokumentację, jak i samo zgłoszenie należy zaktualizować, jeśli dojdzie do poszerzenia zakresu przetwarzanych danych, dodany zostanie nowy zbiór, zmieni się administrator danych lub zmienią się zasady przetwarzania danych. Uwaga jeśli planujesz przetwarzanie zbioru w przyszłości (np. przez uruchomienie newslettera), to taki zbiór możesz zgłosić wcześniej dlatego warto zastanowić się jakie dane możemy przetwarzać w przyszłości, tak aby uwzględnić je zawczasu. 8. Co to są dane wrażliwe? Dane wrażliwe (dane sensytywne) to szczególny rodzaj danych, których przetwarzanie odbywa się na szczególnych zasadach. Do takich danych zaliczymy: informacje na temat pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej o stanie zdrowia i kodzie genetycznym, nałogach lub życiu seksualnym str. 19

20 dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jeśli przetwarzasz jakiekolwiek z wymienionych powyżej danych, to musisz przygotować się na szczególne rygory i bezwzględnie zgłosić takie zbiory przez rozpoczęciem ich przetwarzania. 9. Czy muszę wprowadzać jakieś specjalne zabezpieczenia? Zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. danym przetwarzanym przy pomocy systemów informatycznych w sieci Internet należy zapewnić wysoki poziom bezpieczeństwa. Wprowadzenie zabezpieczeń w dużej mierze polega na stosowaniu odpowiednich procedur dotyczących nadawania uprawnień do przetwarzania danych i samego przetwarzania danych. Wszystkie te procedury powinny być opisane w Polityce bezpieczeństwa i Instrukcji zarządzania. 10. W jaki sposób niszczyć dane? Dane w formie papierowej należy niszczyć przy wykorzystaniu niszczarki do dokumentów (najlepiej z certyfikatem dotyczącym poziomu zniszczenia). Dane przetwarzane w systemie informatycznym powinny być niszczone w sposób trwały, uniemożliwiający ich odtworzenie. Należy pamiętać, że jeśli zlecamy usunięcie danych firmie zewnętrznej (np. przez systemowe i fizyczne uszkodzenie nośnika danych), to należy podpisać z taką firmą umowę powierzenia danych osobowych. 11. Czy GIODO może skontrolować sprzedawcę? Tak. Oprócz kontroli samego GIODO (która powinna być zapowiedziana wcześniej) o dokumentację przetwarzania danych może zapytać również urzędnik Państwowej Inspekcji Pracy. str. 20

21 Potrzebujesz pomocy prawnika? Skontaktuj się z nami! kontakt@osobowedane.pl (61) str. 21