To pytanie pojawia się zwykle przy okazji zakładania (lub prowadzenia) sklepu internetowego, serwisu www lub po prostu, gdy ze zwykłej ciekawości (np. po przeczytaniu tego artykułu ) zaczynamy się zastanawiać, czy posiadany przez nas zbiór danych jest zbiorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych. Odpowiedź na postawione w tytule pytanie jest paradoksalnie banalnie prosta, bo… TO ZALEŻY, CO ROBISZ. Na marginesie – warto zaznaczyć, że sama ustawa powszechnie uważana jest za „pisaną na kolanie” ,głównie z tego względu na to, że tak samo traktuje osoby fizyczne, mikro firmy jak i wielkie korporacje w zakresie administracji zbiorami danych osobowych i rejestracji takich zbiorów.
Obowiązkowi rejestracji podlegają zbiory danych osobowych, wiec warto zacząć od definicji tych danych. Zgodnie z ustawą uważa się za nie wszelkie informacje dotyczące konkretnej (zidentyfikowanej) osoby fizycznej lub dane pozwalające na jej identyfikacje. Jednocześnie nie dotyczy to informacji, których użycie do identyfikacji osoby wymagałoby nadmiernych kosztów, czasu lub działań.
Niby prosta definicja, ale od czasu, gdy obowiązuje ustawa, czyli od 1997r, wzbudziła już wiele dyskusji i wątpliwości. Jedną z najdłużej ciągnących się była dyskusja czy sam e-mail jest daną osobową?. Otóż jest, i kropka. GIODO traktuje zbiór e-maili jako zbiór danych osobowych i nie ma sensu udowadniać, że jest inaczej *dyskusja z GIODO = kłopoty 😉
Od obowiązku rejestracji zbioru są jednak wyjątki. Przede wszystkim, nie dotyczy to zbiorów prowadzonych dla celów prywatnych (inaczej, każdy z nas, używający telefonu komórkowego, nosiłby w kieszeni taki zbiór i musiałby go rejestrować). Nie podlegają rejestracji także zbiory służące jedynie do celów księgowych, kartoteki lekarskie czy takie, które prowadzone są przez kancelarie prawne, notarialne, radcowskie i rzeczników patentowych. Podobnie z obowiązku rejestracji danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Wyjątków jest oczywiście więcej, ale zasadniczo tylko te, w przypadku typowego małego przedsiębiorcy, mogą mieć znaczenie. Sam art. 43 Ustawy o ochronie danych osobowych, w którym wyliczone są te wyjątki pozostawia duże pole do interpretacji- choćby zbiór danych, jakim jest lista osób zarejestrowanych w forum internetowym. Wielu administratorów nie rejestruje zbioru definiując go w regulaminie Forum jako klub i opiera zwolnienie z rejestracji na podstawie art. 43.1 pkt 4. Ważne jest to, że ta decyzja – rejestrować czy nie, należy do administratora, ale w przypadku, gdy GIODO się z taką interpretacją nie zgodzi grożą mu sankcje(ale o tym później).
Najczęściej z tematem rejestracji zbioru danych osobowych spotykamy się przy okazji prowadzenia sklepów internetowych. Co do zasady, jeśli prowadzący e-sklep zapisuje i przechowuje dane swoich klientów, tostanowią one zbiór danych osobowych podlegający rejestracji. Niestety, nie ma tutaj zastosowania wyjątek z art. 43.1 pkt 8 ustawy, który mówi o zwolnieniu zbioru gromadzonego w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, bowiem dotyczy także innego celu, a mianowicie dostawy towaru, więc podlega rejestracji. Jedynym sposobem na uniknięcie obowiązku rejestracji jest nie gromadzenie danychà czyli nie prowadzenie rejestracji w sklepie onlineà czyli nie zapisywanie danych klienta, a jedynie użycie ich do realizacji zamówienia i natychmiastowe usunięcie. Jest to jednak bardzo niepraktyczne z wielu względów – od marketingowych (nie możemy się komunikować z klientami) po obsługę reklamacji – nie mamy „śladu” po historii danego klienta, jego zakupów itd. Sam taki zabiegnie daje też pewności, że nie prowadzimy zbioru danych, jeśli np. dane klientów są w naszym programie księgowym i jednocześnie używamy ich do wysyłki towaru. W praktyce jedynie bardzo małe sklepy, które wystawiają ewentualne faktury ręcznie mogą go zastosować.
Istotne jest by pamiętać, że zbiór należy zgłosić do rejestracji zanim rozpoczniemy jego tworzenie. W większości przypadków wystarczy samo wysłanie wniosku i możemy działać. Jak zarejestrować zbiór ? Co poza samym wnioskiem rejestracyjnym musisz przygotować ? O tym w kolejnym artykule.
Autor artykułu: Michał Kulka
