Formularz rejestracyjny składa się z sześciu rozdziałów (A-F), podzielonych na 18 części. I tak:
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Krok 1.
W rozdziale A, określamy rodzaj zgłoszenia. Do wyboru mamy trzy możliwości:
- zgłoszenie nowego zbioru (na podstawie art. 40 ustawy o ochronie danych osobowych),
- aktualizacja zgłoszonego wcześniej zbioru (na podstawie art. 41 ust. 2 ustawy o ochronie danych osobowych),
- zgłoszenie nowego zbioru, w którym przetwarza się dane sensytywne (na podstawie art. 27 ust. 1 ustawy o ochronie danych osobowych).
Krok 2.
W części B1 określamy nazwę zbioru i wskazujemy administratora danych osobowych – w naszym przypadku podajemy nazwę firmy i adres jej siedziby. Nazwa zbioru powinna oddawać ogólny cel jego prowadzenia. Nie musi natomiast być niepowtarzalna i niech nie zrazi nas sytuacja, gdy w ogólnopolskim rejestrze prowadzonym przez GIODO znajdziemy już zbiory o nazwie: „Klienci sklepu internetowego” lub nawet „Klienci”.
Krok 3.
Część B2 pozostawiamy pustą, ponieważ jest ona przeznaczona do wypełnienia jedynie przez podmioty mające siedzibę poza Europejskim Obszarem Gospodarczym (np. w Rosji, Chinach, Białorusi, USA) i zostały zobowiązane do wyznaczenia przedstawiciela w Polsce na podstawie art. 31a ustawy o ochronie danych osobowych.
Krok 4.
W części B3 wskazujemy podmioty, którym powierzyliśmy przetwarzanie danych osobowych w ramach zawartych umów, np. firmie informatycznej zajmującej się naszym sklepem. Jeśli przewidujemy zawarcie stosownej umowy w przyszłości, mamy możliwość, aby poinformować o tym GIODO zaznaczając odpowiedni „checkbox”.
Lubisz mieć porządek w RODO?
My też!
Krok 5.
Wskazujemy, w części B4, podstawę prawną, upoważniającą nas do przetwarzania danych w zbiorze. W interesującym nas przypadku sklepu internetowego będą to trzy klauzule:
- zgoda osoby, której dane dotyczą, na przetwarzanie jej danych (np. prowadzenie konta klienta w sklepie internetowym),
- informacja o tym, że przetwarzanie danych jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (np. realizacja umów kupna-sprzedaży),
- informacja, że przetwarzanie danych jest niezbędne do wypełnienia prawnie usprawiedliwionych celów, realizowanych przez administratorów danych albo odbiorców danych (np. marketing własnych towarów lub usług).
Krok 6.
Po przejściu do rozdziału C należy określić cel, dla którego przetwarzane będą dane osobowe. Dla sklepu internetowego będzie to naturalnie obsługa klientów sklepu.
Krok 7.
Następnie podajemy kategorię osób, których dane dotyczą. Warto w tym miejscu wpisać więcej, niż tylko klienci sklepu. Można, przykładowo, uwzględnić jeszcze użytkowników, którzy mają konto w sklepie internetowym, ale nic jeszcze nie kupiły i nie wiadomo, czy kupią.
Krok 8.
Określamy, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru. Dla potrzeb realizacji zamówienia w sklepie internetowym bez wątpienia potrzebne będą:
- imię i nazwisko,
- adres zamieszkania,
- adres do wysyłki,
- numer NIP,
- numer telefonu,
- adres e-mail.
Naturalnie, nic nie stoi na przeszkodzie, aby przetwarzać również inne dane niż zasugerowane w formularzu. Należy jednak przy tym pamiętać, że GIODO, podczas rejestrowania zbioru, będzie analizować, czy podany zakres danych jest adekwatny dla realizacji podanego przez nas celu przetwarzania.
Krok 9.
Jeżeli sklep nie przetwarza danych wrażliwych, dwa ostatnie pytania w części C możemy pominąć. Sytuacja zmieni się jednak, gdy sprzedajemy, przykładowo, odzież ciążową i zbieramy informacje o miesiącu ciąży klientki. Wówczas pominięcie tej części formularza będzie stanowiło „grzech ciężki”, o który mogą upomnieć się inspektorzy GIODO.
Podrzuć pracownikom
wartościowe e-szkolenia - bezpłatnie
Nic prostszego - skopiuj i prześlij im odpowiednie linki.
Krok 10.
Po przejściu do części D, określamy sposób zbierania danych. Nasz sklep internetowy zaznacza oba pola (tj. od osoby, której dane dotyczą).
Krok 11.
Informujemy, czy udostępniamy dane osobowe innym podmiotom niż podmioty uprawnione na podstawie przepisów prawa. Z przekonaniem graniczącym z pewnością, możemy stwierdzić, iż nie będziemy tego robić. Gdybyśmy jednak postanowili dzielić się danymi lub je sprzedawać, to na pewno pole to należy zaznaczyć.
Krok 12.
W ostatniej części rozdziału D jesteśmy pytani o to, czy przekazujemy posiadane zbiory danych osobowych do państw trzecich.
Krok 13.
Rozdział E, pomimo iż składa się jedynie z dwóch części traktujących o zastosowanych zabezpieczeniach zbiorów danych, przysparza wypełniającym sporo trudności. Stanowi również swoisty probierz uczciwości, ponieważ jeżeli nie spełniamy podstawowych wymogów, to w tym miejscu musimy się do tego przyznać (a to może oznaczać odmowę rejestracji zbioru, a nawet kontrolę GIODO), albo też skłamać i poświadczyć nieprawdę.
Krok 14.
W części E15 określamy, czy nasze zbiory danych przetwarzane są centralnie czy w tzw. architekturze rozproszonej (w różnych systemach informatycznych, w różnych lokalizacjach, powierzane zostały do przetwarzania innym podmiotom).
Krok 15.
Wskazujemy konkretne rozwiązania organizacyjno-techniczne, zastosowanych przez nas dla ochrony posiadanych zbiorów.
Krok 16.
W ostatniej części formularza rejestracyjnego, w rozdziale F, należy wskazać poziom stosowanych zabezpieczeń systemów informatycznych. Jeśli wcześniej zaznaczyliśmy pole „co najmniej jedno urządzenie Twojego systemu podłączone jest do sieci Internet”, w tym miejscu należy wybrać poziom wysoki środków bezpieczeństwa (w myśl przepisów zarządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych).
Krok 17.
Podajemy adres e-mail, na który otrzymamy potwierdzenie zgłoszenia zbioru.
Krok 18.
Wypełniony wniosek wysyłamy do GIODO. Możemy to zrobić na trzy sposoby:
- za pośrednictwem poczty, listem poleconym (aby otrzymać dowód nadania),
- dostarczyć osobiście do biura GIODO
- przez internet (jeżeli posiadamy kwalifikowany podpis elektroniczny).
Na koniec warto dodać, że dane osobowe zwykłe można przetwarzać od razu po wysłaniu zgłoszenia rejestracyjnego do GIODO, natomiast dane wrażliwe (sensytywne) dopiero po zarejestrowaniu takiego zbioru.