Tak naprawdę,  proces rejestracji zbioru danych osobowych jest prosty, bowiem wystarczy wypełnić i wysłać do GIODO (  zgodny ze wzorem wniosek. Obligatoryjnie należy w nim oznaczyć administratora danych osobowych, cel przetwarzania danych, sposób ich zbierania i udostępniania oraz opis środków technicznych i organizacyjnych związanych z prowadzonym zbiorem.

Wniosek można wypełnić za pomocą kreatora na stronach GIODO, złożyć online podpisany podpisem elektronicznym lub po złożeniu online wydrukować i dosłać do GIODO podpisany papierowy.

Sam wniosek nie jest skomplikowany i można go wypełnić w kilkanaście minut. Jego złożenie jest, a może raczej powinno być ostatnim krokiem w tym procesie. Niestety, konieczne jest przygotowanie jeszcze kilku dokumentów, za których brak, w razie kontroli, możemy otrzymać karę.. Chodzi o:

  •          Politykę bezpieczeństwa informacji
  •          Instrukcję zarządzania systemem informatycznym

To właśnie z tymi dokumentami większość firm ma największy kłopot. Czego dokładnie dotyczą? Otóż, opisujemy w nich procesy i procedury jakie firma i jej pracownicy stosuje w związku z tworzeniem zbioru i jego przechowywaniem, czyli:  wskazujemy co i komu wolno, czego nie wolno, jak i kto może mieć dostęp do danych, a także jak są one chronione.. Można je napisać we własnym zakresie lub zlecić ich stworzenie wyspecjalizowanej firmie. Dokumentów tych nie załączamy do wniosku, gdyż wystarczy samo potwierdzenie ich istnienia.

Oczywiście, nie podlega wątpliwości, że musimy w naszej firmie realnie wdrożyć środki techniczne i organizacyjne opisywane w tych dokumentach.

Obowiązkowo należy także wyznaczyć Administratora Bezpieczeństwa Informacji (ABI).  Je to osoba, która odpowiada za bezpieczeństwo informacji, szkoli pracowników i kontroluje przestrzeganie procedur. Funkcję tą może pełnić sam administrator danych (w małej firmie zwykle tak jest), ale można tez taką osobę zatrudnić lub wynająć. Ważne jest to, że ABI może być wyłącznie osoba fizyczna (nigdy firma!). 

Z tego względu że dane zbierane są  za zgodą osób, których dotyczą, musimy dopełnić obowiązków informacyjnych wobec nich, czyli:

  1. umieścić na stronie sklepu pełne dane administratora,
  2. cel przetwarzania danych
  3. klauzulę mówiącą o tym że każdy ma wgląd w swoje dane, które może także usunąć lub skorygować, a także,  ze podane są dobrowolnie.

Wszystkie te informacje można zawrzeć w regulaminie sklepu lub w Polityce Prywatności (ten drugi dokument nie jest wymagany prawnie). Nie zwalnia nas to jednak z uzyskania wprost wyrażonej zgody osoby rejestrującej się w sklepie na przetwarzanie danych.

Wróćmy do samego wniosku, warto bowiem dokładnie przeanalizować jego strukturę., Składa się on z kilku części. W pierwszej określamy, czy jest to nowy wniosek, czy aktualizacja lub też wniosek dotyczący danych wrażliwych (ustawa definiuje cześć danych osobowych jako wrażliwe i ogranicza możliwości ich zbierania, ale nie dotyczy to zdecydowanej większości przypadków). W kolejnej części określamy Administratora (nasza firmę) oraz przesłankę na podstawie której będziemy zbierać dane.

W części C określamy kolejno: cel przetwarzania danych (np. realizacja zamówień),  osoby których dane zamierzamy zbierać (np.: klienci i potencjalni klienci sklepu), informację o tym, jakie dane zamierzamy gromadzić (lista gotowa oraz pole do wpisania innych) oraz informacje o danych wrażliwych (zwykle pozostawimy pustą).

Część D zaczynamy od wskazania, w jaki sposób zbieramy dane, czyli czybezpośrednio od danej osoby czy z innego źródła (np. kupionej legalnie bazy danych). Następnie wskazujemy komu będziemy dane udostępniać ( w przypadku sklepu internetowego będzie to zwykle firma kurierska, biuro rachunkowe itp.) oraz czy będziemy je udostępniać za granice i ew. do jakich państw.

Kolejna część wniosku (E) dotyczy sposobu przetwarzania danych (czy tylko na papierze czy tez elektronicznie;  czy na komputerach połączonych z Internetem, czy centralnie czy w architekturze rozproszonej), a także opisu zabezpieczeń stosowanych w związku z przetwarzaniem danych – od czysto fizycznych (typu drzwi, zamki, szafy, sejfy) i sprzętowych (np. niszczarki), poprzez firewalle i uwierzytelnianie, po organizacyjne. Część E kończymy informacją o powołaniu Administratora Bezpieczeństwa Informacji oraz o opracowaniu dokumentów, o których wspomniałem wyżej (Polityka Bezpieczeństwa Informacji oraz Instrukcja zarządzania systemem informatycznym).

Na sam koniec wniosku, wskazujemy poziom stosowanych zabezpieczeń, który ma być adekwatny do sposobu przetwarzania danych.

Niektóre z pozycji wniosku mogą sprawić spory kłopot, więc warto zwykle sięgnąć po pomoc specjalisty lub firmy, która w tym pomoże, a także przygotuje nas do rejestracji: wykona audyt i przygotuje dokumentacje. Jedno jest pewne – kary za nie zbieranie danych osobowych bez rejestracji czy też kary wynikające niedopełnienia obowiązków nakładanych przez ustawę mogą być wysokie i nie warto ryzykować.

Sprawdź czy muisz rejestrowac zbiór danych ososbowych w GIODO?