Prowadzę działalność gospodarczą, w ramach której sprzedaję towary za pośrednictwem serwisu aukcyjnego. Zbieram dane klientów potrzebne mi tylko do zawarcia umowy i wystawienia faktury. Czy jestem zobowiązany rejestrować zbiory danych osobowych moich klientów u GIODO?
Regulacjom ustawy o ochronnie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zm.) podlegają osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Niewątpliwie osoba fizyczna prowadząca działalność gospodarczą polegającą na sprzedaży towarów poprzez serwisy aukcyjne przetwarza dane osobowe swoich klientów, które są jej niezbędne do zawarcia umowy sprzedaży, wysłania towaru i wystawienia faktury. Przedsiębiorca posiada w takim przypadku status administratora danych i jeżeli nie powołuje w swojej firmie Administratora Bezpieczeństwa Informacji (ABI), na podstawie art. 43 ust. 1a omawianej ustawy, zobowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Z obowiązku rejestracji zbioru danych u Generalnego Inspektora Ochrony Danych Osobowych zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Tak wynika z art. 43 ust. 1 pkt 8 wspomnianej ustawy.
Jednak w praktyce sklepy internetowe oraz przedsiębiorcy dokonujący sprzedaży za pośrednictwem portali aukcyjnych zbierają dane osobowe swoich klientów również w innych celach np. w momencie, gdy klienci dokonują rejestracji w bazie sklepu (bazie przedsiębiorcy), przetwarzają je w celach marketingowych, do rozsyłania newsletterów, informacji handlowych itp. W takich przypadkach zgłoszenie zbioru danych do GIODO jest konieczne.
Jeśli administrator danych powoła ABI i zgłosi go do rejestracji GIODO, zwolniony jest z obowiązku rejestracji zbiorów danych u Generalnego Inspektora (z wyjątkiem zbiorów zawierających dane szczególnie chronione).
Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z art. 46 ust. 1 ustawy, administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi.
|