Kategoria: Inne

Indywidualne Porady Prawne specjalistów

Masz problem z prawem handlowym? Opisz swój problem i zadaj pytania.
(zadanie pytania do niczego nie zobowiązuje)

Główne obowiązki sprzedawcy internetowego w zakresie RODO

Marcin Sądej • Opublikowane: 2019-05-24

Od 2 lat prowadzą działalność gospodarczą, nie jestem na VAT-owcem. Dodatkowo jestem zatrudniony w pewnej firmie, więc płacę mniejsze składki. Moja działalność to sprzedaż na Allegro koszulek znakowanych, zegarów frezowanych, podkładek na stół itp. Obecnie zakładam sklep internetowy i w związku z tym potrzebuję informacji dotyczących RODO. Jakie podstawowe czynności muszę wykonać w zakresie ochrony danych osobowych, aby móc sprzedawać w swoim sklepie internetowym? Jakie zgłoszenia i do jakiego urzędu tu obowiązują? Wiem, że kiedyś trzeba było zgłaszać dane do GIODO, a jak jest teraz?

Marcin Sądej

»Wybrane opinie klientów

Rezygnuję , że swojego adwokata , który ma wąski zakres swoich usług , tutaj mam kompleksową pomoc w zakresie prawa . Zdecydowanie polecam!!!
Marcin, 46 lat
Rzeczowo i na temat. Polecam. Skożystam w przyszlosci.
Marek
Terminowo prosto merytorycznie czuję że to odpowiedź na MOJE pytanie a nie \"gotowiec\"
Małgorzata, 56 lat, Menedżer
Dziękuje za udzieloną opinię. Moje wątpliwości zostały rozwiane. Szybkie odpowiedzi są olbrzymią zaletą Państwa Serwisu.
Mariusz, 57 lat, mgr inż.
Odpowiedź szybka i konkretna. Prawo nasze jest zawile napisane. Potrzebowałam potwierdzenia, że prawidłowo je odczytałam. Z czystym sumieniem poleciłabym ten sposób uzyskania informacji. Szybki, bez czekania na termin wizyty.
Teresa, emeryt - księgowa, 67 lat

Obowiązek dokonania zgłoszenia i rejestracji zbioru danych osobowych do GIODO istniał do maja 2018 r. W związku z wejściem w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO – obowiązek ten został zniesiony.

Interesuje Cię ten temat i chcesz wiedzieć więcej? kliknij tutaj >>

Interesuje Cię ten temat i chcesz wiedzieć więcej? kliknij tutaj >>

Obecnie podmiot prowadzący sklep internetowy musi dostosować swoją politykę ochrony danych osobowych do wymogów rozporządzenia RODO. Wskazać należy, że rozporządzenie nie określa żadnego oficjalnego wzoru takiej polityki, a jedynie przedstawia ogólne zasady, którymi należy się kierować.

RODO stosuje się do przetwarzania danych osobowych. Przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie danych,
  • przechowywanie danych,
  • usuwanie danych,
  • opracowywanie danych,
  • udostępnianie danych.

W rezultacie sklep internetowy zdecydowanie powinien mieć opracowaną politykę RODO. RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z nią można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przetwarzanie danych powinno więc zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych.

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych. W przypadku przedsiębiorców typowymi podstawami przetwarzania danych zwykłych są:

a) zgoda osoby, której dane dotyczą,

b) przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,

d) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

W przypadku sklepu internetowego znajdzie zastosowanie pkt b). W rezultacie nie musi Pan uzyskiwać każdorazowej pisemnej zgody osoby zamawiające na przetwarzanie jej danych osobowych, ponieważ wysyłka towaru na wskazany adres jest konieczna do wykonania umowy (zamówienia w sklepie).

Jeżeli podstawą przetwarzania danych jest wykonywanie umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. W przypadku przedsiębiorców ten okres czasu co do zasady wynosi nie dłużej niż 3 lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych.

RODO nie nakazuje stosowania żadnych konkretnych środków zabezpieczenia danych. RODO wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu tego celu, tj. zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Tak jak wskazywałem, obecnie nie ma już obowiązku zgłaszania baz danych do GIODO, jednak RODO nakazuje w pewnych przypadkach prowadzenie rejestru czynności przetwarzania danych. Obowiązek prowadzenia rejestru występuje zawsze, gdy:

a) przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą,

b) przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących,

c) przetwarzanie nie ma charakteru sporadycznego.

Administrator danych odnotowuje w rejestrze:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz IOD,

b) cele przetwarzania,

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego,

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych

Kolejnym obowiązkiem, o którym należy pamiętać w zakresie RODO, jest zawarcie umów o przekazaniu przetwarzania danych osobowych z innymi firmami, z którym sklep współpracuje (np. firmy kurierskie, bramki płatnicze). Takie umowy należy zawrzeć z wszystkimi firmami, którym udostępniane są dane klientów.

W praktyce dostosowanie e-sklepu pod RODO polega na:

Opracowaniu regulaminu sklepu i polityki prywatności zgodnie z RODO. Rozporządzenie wskazuje, że administrator danych osobowych zobowiązany jest podać następujące informacje:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  9. informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  10. informacje o prawie wniesienia skargi do organu nadzorczego;
  11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

Opracowaniu polityki bezpieczeństwa, która obejmuje:

  1. Identyfikacja procesów przetwarzania danych osobowych (w skrócie, jakie dane i w jakich celach przetwarzamy)
  2. Weryfikacja podstawowych parametrów procesów przetwarzania danych (określamy podstawy przetwarzania, zakres oraz treść obowiązków z tym związanych)
  3. Wdrożenie podejścia opartego na ryzyku (określamy poziom ryzyka związanego z przetwarzaniem danych)
  4. Przeprowadzenie procedury oceny skutków dla ochrony danych (nie zawsze jest to obowiązkowe, ale zalecamy jej przeprowadzenie)
  5. Powierzenie przetwarzania danych (ustalamy komu przekazujemy dane i podpisujemy z tymi podmiotami umowy dot. powierzenia)
  6. Nowe prawa osób, których dane dotyczą (zapewniamy możliwość korzystania z nowych praw – np. prawa do bycia zapomnianym)
  7. Incydenty bezpieczeństwa (wdrażamy zasady zgłaszania naruszeń)

Prowadzenie rejestru przetwarzania danych.

Zawarcie z innymi firmami współpracującymi umowy o powierzeniu przetwarzania danych osobowych.

 

Podsumowując, obecnie nie ma już obowiązku dokonywania zgłoszenia baz danych do GIODO. Według aktualnego stanu prawnego administrator danych osobowych samodzielnie gromadzi i przetwarza takie dane zgodnie z przepisami RODO. Jak rozumiem, wszelkie obowiązki podatkowe i składkowe są Panu znane, ponieważ już Pan prowadzi działalność gospodarczą, dlatego też nie poruszałem tego tematu.

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj >>

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj >>


Indywidualne Porady Prawne specjalistów

Masz problem z prawem handlowym? Opisz swój problem i zadaj pytania.
(zadanie pytania do niczego nie zobowiązuje)
wizytówka Zadaj pytanie »
{* .script("js/zaczekaj.js") *}