Biznes Florystyczny – jakie dane powinny podlegać rejestracji w GIODO?

Andrzej Dąbrowski Przedsiębiorczość dla uczniów, WF 1 Comment

W artykule postaram się przybliżyć Wam w przystępny sposób choć trochę tematykę związaną z ochroną danych osobowych, rejestracji zbiorów w GIODO w kontekście prowadzonej przez Was działalności. Oczywiście każdą sytuację należy traktować indywidualnie i trudno będzie w tak krótkim artykule rozważyć wszystkie możliwe warianty. Mam nadzieje, że chociaż w podstawowym zakresie, nabędziecie umiejętności, aby sobie w tym temacie samodzielnie poradzić.

Nowe przepisy od 25 maja 2018

Ochrona danych osobowych w firmie to bardzo ważny element. Mamy opracowane odpowiednie procedury, skontaktuj się z nami pomożemy Ci wdrożyć nowe przepisy RODO

Pomóż mi!

Kto ponosi odpowiedzialność w zakresie Ochrony Danych Osobowych w firmie?

Każdy przedsiębiorca musi sam przeanalizować, w jakich zbiorach i w jakim celu przetwarza dane osobowe klientów i czy zachodzi którakolwiek z przesłanek zwalniająca go z obowiązku rejestracji zbioru u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązująca od 1 stycznia 2015 r. znowelizowana ustawa o ochronie danych osobowych wprowadza dość duże ułatwienia w rejestracji zbiorów danych osobowych. Jednym z nich, jest zwolnienie z obowiązku rejestracji przez Administratora Danych Osobowych u Generalnego Inspektora tych zbiorów danych, które nie są prowadzone z wykorzystaniem systemów informatycznych. Z tego zwolnienia nie można skorzystać jedynie wówczas, gdy w zbiorze przetwarzane są tzw. dane szczególnie chronione, takie jak: dane o stanie zdrowia, przynależności partyjnej lub związkowej, poglądach politycznych czy przekonaniach religijnych. Zbiorów nie trzeba będzie zgłaszać do rejestracji również wówczas, gdy administrator danych powoła Administratora Bezpieczeństwa Informacji (ABI) i zgłosi go Generalnemu Inspektorowi do rejestracji. Warunkiem jest, by w zbiorach tych nie były przetwarzane dane szczególnie chronione. Z dotychczasowej swojej praktyki Wiem, że nie zawsze proste jest rozstrzygniecie kwestii rejestracji, czy też braku konieczności rejestracji baz danych w GIODO.

Dane osobowe, co to jest?

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej poprzez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie powiązana z innymi dodatkowymi informacjami, które w konsekwencji dadzą możliwość zidentyfikowania konkretnej osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest np. numer PESEL.

Czy florysta przetwarza dane osobowe ?

Przy sprzedaży bezpośredniej w kwiaciarni anonimowemu klientowi na pewno nie, ponieważ klient przychodzący po kwiaty praktycznie nie pozostawia za sobą śladu, oprócz krótkiej notki na paragonie fiskalnym, czy też płacąc kartą kredytową ślad w postaci transakcji w systemach kartowych operatorów, przetwarzanych poza kwiaciarnią. Pewnie od razu zadajecie sobie pytanie: A co w sytuacji kiedy klient zażyczy sobie fakturę, w której występują dane osobowe w postaci imienia, nazwiska, adresu itp.? – które z rozumieniu ustawy jednoznacznie identyfikują klienta. Otóż tego typu zbiorów nie musimy zgłaszać do GIODO gdyż ustawodawca wykluczył rejestrację dla danych wykorzystywanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Nie należy też rejestrować baz danych zawierających dane osobowe zatrudnionych w firmie pracowników, byłych pracowników i potencjalnych pracowników, kontrahentów, osób przebywających na terenie firmy. Są jeszcze inne wyjątki, ale raczej trudno je powiązać z branżą florystyczną.

A co w przypadku danych zbieranych i przechowywanych drogą elektroniczna?

W dzisiejszych czasach biznes musi szybko nadążać za nowymi technologiami, nowymi kanałami sprzedaży. Internet, wszechobecna informatyka wchodzi, a raczej już weszła dużymi krokami również do branży florystycznej. Coraz więcej kwiaciarni rozwija sprzedaż przez Internet, wykorzystuje nowe kanały zdobywania klientów, e-marketing, newslettery, różnego rodzaju formularze, chaty – dające możliwość interakcji z klientami, programy lojalnościowe. Często przy nowoczesnych usługach dane są przekazywane do współpracujących przedsiębiorców. W przypadkach gdy dane klienta są wykorzystywane w celach, np. marketingowych, albo udostępniane za zgodą klienta do współpracujących z przedsiębiorcą firm, wówczas trzeba dopełnić obowiązku zgłoszenia zbioru danych osobowych do rejestracji GIODO. Dobrym przykładem może być tutaj usługa wysyłania kwiatów zamówionych telefonicznie bądź internetowo do innych miejscowości w kraju lub za granicą lub usługa wysyłanie newsletterów z nowinkami, promocjami, nowymi usługami dostępnymi dla klientów, czy też nowoczesnego podejścia do obsługi procesu reklamacyjnego.

A co w przypadku danych zbieranych od klientów i przesyłanych do partnerów kwiaciarni w celu realizacji usługi przesyłek kwiatowych?

W przypadku wysyłki kwiatów na zamówienie, do zrealizowania usługi, oprócz danych osobowych odbiorcy kwiatów, często należy podać także dane nadawcy kwiatów jeżeli ten nie chce być anonimowy lub też chce mieć możliwość śledzenia przesyłki, czy tez skorzystania z procesu reklamacyjnego. Usługa jest często realizowana z wykorzystaniem firmy zewnętrznej, która do prawidłowej obsługi wymaga przekazania jej danych osobowych klientów kwiaciarni. Taki zbiór trzeba zarejestrować w GIODO, umowa z firmą przekazującą towar musi być w odpowiedni sposób skonstruowana, a administrator danych musi mieć pewność, że przekazane dane są przetwarzane zgodnie z wymogami UODO.

Nie można zapominać, że często dane Waszych klientów są przetwarzane u dostawcy rozwiązania informatycznego, w skrócie, są przetwarzane w wynajętej przez Państwa chmurze obliczeniowej (hostowanie usług) i też od tej strony należałoby się zabezpieczyć stosowną umową z operatorem. Należy przy tym pamiętać, że to my jesteśmy administratorem tych danych i za ich odpowiednie przetwarzanie odpowiadamy w pierwszej kolejności, a nasz dostawca usług outsourcingowych dopiero pomocniczo.

A co z danymi, które pozyskujemy od osób zapisujących się na naszego newslettera lub gdy rozpatrujemy reklamację?

Aby zamówić newsletter z nowinkami zazwyczaj należy wpisać na jego stronie swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe i zbiór taki także należy zgłosić do GIODO. Jeżeli proces reklamacyjny, śledzenia przesyłki wymaga przekazania danych do podmiotów trzecich też należy zarejestrować zbiór w GIODO.

Administrator Danych Osobowych musi swoim klientom udzielić informacji na temat danych, które przetwarza, by osoba ta wiedziała, do kogo ma się zwrócić w przypadku naruszenia jej praw jak również miała pełną świadomość, na co się godzi wyrażając zgodę na przetwarzanie swoich danych osobowych. W praktyce obowiązek ten realizuje się w postaci klauzul informacyjnych lub regulaminów świadczenia usług drogą elektroniczną. Generalnie osoby, których dane przetwarzamy moją prawo do informacji o tym, co robimy z ich danymi osobowymi, od kiedy to robimy, na jakiej podstawie i w jakim celu. Posiadają również prawo do aktualizowania swoich danych ze szczególnym uwzględnieniem prawa do zaprzestania ich przetwarzania. Możemy przetwarzać dane osoby, która wyraziła na to zgodę tak długo jak długo istnieje cel przetwarzania tych danych lub oczywiście osoba nie zażądała wcześniej zaprzestania przetwarzania jej danych osobowych.

Nasuwa mi się na myśl pytanie dotyczące plików cookies na stronie kwiaciarni …

Często aby dobrze spozycjonować swoich klientów, poznać ich preferencje, wyświetlić odpowiednio dobrane reklamy na stronach internetowych na stronach internetowych działają usługi analityczne wykorzystujące pliki cookies (info statystyczne) google analitics – tego typu zbiorów nie należy rejestrować, ale klient powinien mieć możliwość wyrażenia zgody bądź nie analizy tego typu danych statystycznych. Działanie tych usług nie powinno dawać możliwości jednoznacznej identyfikacji klienta, nie można także zbierać danych zabronionych w ustawie.

Wiele już wiem, w takim razie pozostaje pytanie jakie obowiązki ciążą na przedsiębiorcy, który gromadzi dane osobowe w kwiaciarni?

Na Administratorze Danych Osobowych spoczywa obowiązek przygotowania Polityki Bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji Zarządzania Systemem Informatycznym. Zakres wymaganych informacji w obu dokumentach zdefiniowana jest w UODO i ustawach pokrewnych.

Pierwszy dokument skupia się bardziej na ogólnych zasadach przetwarzania danych osobowych oraz na procedurach z tym związanych, niż na części informatycznej. Zawiera również opis zabezpieczeń danych osobowych oraz wszelkiego rodzaju ewidencje, rejestry zbiorów danych jak i osób upoważnionych do ich przetwarzania.

Drugi dokument Instrukcja Zarządzania Systemem Informatycznym opisuje zabezpieczenia techniczne, wszelkie procedury bezpieczeństwa danych osobowych wykorzystywane w komputerach w firmie oraz w usługach internetowych. Dokument zawiera również informacje związane z kopiami zapasowymi oraz sposobem udostępniania danych na zewnątrz firmy. Jest to główny dokument, opisujący zabezpieczenia, do którego najczęściej powinien zaglądać Administrator Systemów Informatycznych.

Zgłoszenia zbioru do GIODO dokonuje się przez wypełnienie załącznika do rozporządzenia, który stanowi formularz, podpisanie go przez ADO oraz wysłanie do GIODO. Można również dokonać rejestracji przez Internet za pomocą platformy e-GIODO przy użyciu bezpiecznego podpisu elektronicznego. Sama procedura nie jest zbyt skomplikowana, natomiast informacje, które należy zamieścić w formularzu mogą być już trudniejszym zadaniem. Najlepszym sposobem na sprawdzenie, jakie zbiory danych osobowych powinien zarejestrować Administrator Danych, byłoby sprawdzenie, jakie zbiory udało się w praktyce zarejestrować u GIODO innym Administratorom Danych z tej samej branży.

Co zrobić jak już przetwarzamy dane, a nie zgłosiliśmy ich w GIODO?

Obowiązuje tu zasada „Lepiej późno nic wcale”. Przy perfekcyjnym podejściu Administrator Danych powinien zgłosić zbiory do rejestracji jeszcze przed rozpoczęciem przetwarzania danych. W praktyce różnie to wygląda i w sytuacji braku zgłoszenia zbioru, przy jego jednoczesnym przetwarzaniu powinniśmy jak najszybciej zarejestrować taki zbiór. Trzeba jednak pamiętać, że niezarejestrowanie zbioru danych dla GIODO jest przestępstwem, dlatego należy to uczynić tak szybko jak to tylko możliwe. Z praktyki Wiem, że GIODO w takiej sytuacji nie będzie wszczynało żadnego postępowania wyjaśniającego/kontrolnego w stosunku do Administratora Danych, wręcz przeciwnie, rozpatrując taki wniosek ucieszy się, że Administrator Danych spełnił wreszcie obowiązek meldunkowy.

Mam nadzieję, że informacje zawarte w artykule pozwolą Państwu trochę spokojnie spojrzeć na kwestie związane z ochroną danych osobowych. Oczywiście najlepiej sięgnąć do materiałów źródłowych, ale nie zawsze język prawniczy, odwołania z paragrafów do paragrafów, innych ustaw jest dla wszystkich czytelne i zrozumiałe. W przypadku pytań, prosimy o kontakt. Możemy również zaproponować audyt, który ostatecznie rozwieje wszelkie wątpliwości. Gdy zaistnieje potrzeba możemy przygotować wszelką dokumentację w zakresie Ochrony Danych Osobowych w Twojej florystycznej firmie.

Na moje pytania odpowiadał Tomasz Bystrzykowski, ekspert bezpieczeństwa IT, wieloletni pracownik Departamentu Bezpieczeństwa Operacyjnego IT BZWBK S.A., manager zespołu kontroli, analiz i monitoringu bezpieczeństwa IT. Praktyk z wieloletnim doświadczeniem we wdrażaniu i zarządzaniu systemami bezpieczeństwa, prowadzeniu skomplikowanych, dużych projektów informatycznych głównie związanych z wdrożeniami\integracją systemów bezpieczeństwa IT, procesów obiegu informacji oraz działań w sytuacjach awaryjnych. Posiada solidną teoretyczna i praktyczna wiedzę w badaniu bezpieczeństwa systemów operacyjnych, baz danych, urządzeń sieciowych oraz środowiska końcowego użytkownika oraz we wdrażaniu najlepszych praktyk bezpieczeństwa, regulacji, standardów, procedur związanych z bezpieczeństwem IT i ochroną informacji. Brał udział w przygotowaniu dokumentacji, procesów przygotowujących bank do uzyskania certyfikacji zgodnie z wymogami norm z wymogami norm ISO 27001, 20000, 25999, 9001, PCI, SOX, Visa, Mastercard oraz na zgodność z ustawą o ochronie danych osobowych. Audytor wiodącym ISO 27001, 20000, 25999, 22301, 9001.

O Autorze

Andrzej Dąbrowski

Facebook Twitter Google+

Andrzej Dąbrowski – magister ekonomii. Urodził się, mieszka i pracuje w Bolesławcu. Wżenił się w biznes florystyczny w 1994 roku i w związku tym pozostał do dzisiaj. W międzyczasie ukończył Akademię Ekonomiczną we Wrocławiu w zakresie zarządzanie przedsiębiorstwem. Działalność w branży kwiatowej zaczynał od prowadzenia kwiaciarni, rozwijając firmę do sieci kilku kwiaciarni. W między czasie rozwinął sprzedaż hurtową i import w firmie Florand. Kolejnym etapem rozwoju w branży było stworzenie ośrodka szkoleniowego Akademia Florystyczna i pracowni florystycznej Party Flowers. Wszystkie stworzone marki to obecnie gotowe koncepty franczyzowe, które mają za zadanie ułatwić rozwój lub rozpoczęcie biznesu w branży florystycznej. Zajmuje się praktycznym zastosowaniem wiedzy z zakresu zarządzania przedsiębiorstwem florystycznym. Obecnie świadczy usługi doradcze i szkoleniowe dla firm z branży kwiatowej w oparciu o szeroką, praktyczną i teoretyczną wiedzę z zakresu zarządzania przedsiębiorstwem, zdobytą podczas ponad dwudziestoletniej działalności w biznesie kwiatowym. Swoją pasją, wiedzą i doświadczeniem chętnie dzieli się pisząc artykuły o biznesie florystycznym publikowane na forumkwiatowe.pl, w czasopiśmie NDiO - Flora i Florysta.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.