UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2010-04-16
Wprowadził‚ informację: Rafał Kreusch 2010-04-23 11:38:35
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Odpowiedź

Nie, gdyż dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Uzasadnienie

Ustawa z dnia 29 sierpnia 1997 r. o  ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z  wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy. W rozumieniu ustawy, zbiór danych to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).

Baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Jednocześnie z ustawy o ochronie danych osobowych wynika, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru. Dlatego, wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem. Tym samym nie można dla każdego z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze, a co za tym idzie nie jest możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.

A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych. Prowadzi to do wniosku, że taka baza danych osobowych zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Dlatego każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.

Ostatnie aktualności