FAQ

Co to jest segido.pl?

Segido.pl to system opieki prawnej dla sklepów internetowych, za pomocą którego możesz spełnić wymogi nałożone na każdą firmę prowadzącą handel w Internecie na mocy następujących przepisów prawa:
  • ustawy z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny
  • ustawy z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu cywilnego
  • ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny
  • ustawy ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
  • ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
  • rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Segido.pl składa się z dwóch modułów:

Ochrona danych osobowych – aplikacja on-line służąca do spełniania wymogów ustawy o ochronie danych osobowych i rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, a w szczególności do:
  • samodzielnego przeprowadzania audytu przetwarzanych przez sklep internetowy danych osobowych
  • tworzenia polityki bezpieczeństwa danych osobowych
  • tworzenia instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
  • wypełniania upoważnień i ewidencji osób upoważnionych do przetwarzania danych
  • generowania wniosków rejestracyjnych do GIODO
  • zarządzania dokumentacją ochrony danych
  • objaśniania trudnych zagadnień wynikających ze stosowania przepisów ustawy o ochronie danych poprzez selektywne ćwiczenia e-learningowe

Klauzule niedozwolone – aplikacja on-line mająca na celu pomaganie przedsiębiorcom prowadzącym sklep internetowy w byciu zgodnym z przepisami regulującymi e-handel, a w szczególności poprzez:
  • tworzenie zgodnych z prawem i wolnych od klauzul niedozwolonych (abuzywnych) regulaminów
  • sprawdzanie istniejących regulaminów pod kątem występowania klauzul niedozwolonych oraz takich, które specjaliści segido.pl uznali za potencjalnie niebezpieczne
  • edukację mającą na celu wyjaśnienie właścicielom sklepów co w praktyce oznaczają dla nich zobowiązania wynikające z przepisów prawa (e-learning)

Jakie obowiązki ciążą na sklepie internetowym w zakresie ochrony danych osobowych?

Ustawa o ochronie danych osobowych nakłada szereg wymogów na podmiot, który przetwarza dane osobowe. Firma, która prowadzi sklep internetowy musi je spełnić w całości, ustawa nie przewiduje tu żadnych wyjątków, które mogłyby mieć zastosowanie do mikro czy małych przedsiębiorców. Wymogi, o których tu mowa, można podzielić na kilka grup:
  • przetwarzanie danych zgodnie z wymogami ustawy o ochronie danych osobowych – ta kategoria obejmuje m.in.: legitymowanie się odpowiednią przesłanką do przetwarzania danych (np. zgodą na przetwarzanie danych), zbieranie tylko tych danych, które są niezbędne do realizacji celu (np. tylko te dane, które są niezbędne do realizacji umowy kupna – sprzedaży), dopełnienie obowiązku informacyjnego
  • współpraca z podwykonawcami na zasadach określonych w ustawie o ochronie danych osobowych – ta kategoria obejmuje przede wszystkim konieczność zawarcia umów powierzenia przetwarzania danych osobowych z firmami, które przetwarzają na zlecenie dane należące do sklepu internetowego np. firma hostingowa, biuro księgowe, etc.
  • zabezpieczenie danych osobowych – ta kategoria obejmuje konieczność zastosowania środków technicznych (np. wyposażenie komputerów w oprogramowanie antywirusowe, zabezpieczenie transmisji danych osobowych w Internecie) i organizacyjnych (m.in. sporządzenie polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych, nadanie upoważnień do przetwarzania danych)
  • zarejestrowanie zbiorów danych osobowych w GIODO – ta kategoria obejmuje konieczność przygotowania wniosków dla tych zbiorów danych przetwarzanych przez sklep internetowy, które muszą zostać zgłoszone do rejestracji np. zbiór danych wykorzystywanych w celach marketingowych
  • respektowanie praw przysługujących osobom fizycznym – każda osoba, której dane przetwarzamy, posiada szereg uprawnień wynikających z ustawy o ochronie danych osobowych. Wśród nich można wymienić np. możliwość uzyskania wiedzy o tym jakie dane przetwarzamy o danej osobie (wskazanie zakresu, celu, etc.), czy dane zostały komuś udostępnione, itd.

Zachęcamy do skorzystania z darmowego e-learningu, który przygotowaliśmy właśnie z taką myślą, by właściciel sklepu internetowego mógł się zorientować w podstawowych zagadnieniach związanych z ochroną danych osobowych.

Co to są dane osobowe?

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Typowe dane osobowe, które przetwarzane są przez sklepy internetowe to: imię, nazwisko, adres zamieszkania, adres e-mail, nr telefonu, adres IP, nick, nr NIP (gdy trzeba wystawić fakturę).

Jak działa moduł - Ochrona Danych Osobowych?

  1. Tworzysz konto w systemie segido.pl bądź logujesz się na wcześniej założone konto
  2. Jeśli korzystasz z darmowego pakietu, od razu możesz przejść do audytu i sprawdzić czy prowadzony przez Ciebie biznes jest zgodny z przepisami o ochronie danych osobowych (odpowiedz na kolejne pytania, a na końcu wygeneruj raport)
  3. Jeśli korzystasz z któregoś z odpłatnych pakietów, pierwszym krokiem jest również przeprowadzenie audytu
    • Audyt jest niezbędny, byś mógł wygenerować wszystkie niezbędne dokumenty wymagane przez przepisy o ochronie danych osobowych
    • Segido.pl zapamiętuje poszczególne sekwencje audytu, tak byś nie musiał się martwić o utratę wprowadzonych informacji
    • Niemal każde pytanie zawiera szczegółowy opis objaśniający o co w nim chodzi i podpowiadający odpowiedzi
    • Dodatkowo część pytań zawiera moduły e-learningowe oraz podpowiedzi od innych użytkowników segido.pl (na zasadzie co oni w danym przypadku wybrali)
  4. Po zakończeniu audytu i spełnieniu wszystkich wymogów, które zostały wskazane jako niezbędne z punktu widzenia przepisów prawa, możesz wygenerować niezbędne dokumenty wymagane przepisami o ochronie danych osobowych, a więc:
    • Politykę bezpieczeństwa danych osobowych
    • Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych
    • Upoważnienia dla Twoich pracowników i współpracowników
    • Ewidencję osób, które upoważniłeś
    • Oświadczenia gotowe do podpisania przez pracowników i współpracowników
    • Gotowe do podpisu umowy powierzenia przetwarzania danych z firmami, z którymi współpracujesz
    • Wnioski do GIODO – w wersji do druku i do zaciągnięcia w ramach platformy e-giodo
  5. Jeśli wykupiłeś pakiet z abonamentem rocznym, dodatkowo możesz zarządzać na bieżąco wszystkimi dokumentami, o których mowa wyżej, a system segido.pl będzie przypominał Ci o różnych ważnych terminach z punktu widzenia ustawy o ochronie danych osobowych, w tym o konieczności:
    • Dokonania aktualizacji któregoś z wniosków do GIODO
    • Aneksowania/podpisania nowej umowy powierzenia przetwarzania danych
    • Nadania/cofnięcia upoważnienia do przetwarzania danych i dokonania aktualizacji ewidencji osób upoważnionych

Co to są klauzule niedozwolone (abuzywne)?

Klauzule niedozwolone czyli postanowienia umowy (w przypadku e-handlu umową najczęściej jest regulamin sklepu internetowego) zawieranej z konsumentem, kształtujące jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszającymi jego interesy. W przypadku ich wykrycia konsument może złożyć skargę do Urzędu Ochrony Konkurencji i Konsumentów, a przedsiębiorca może zostać ukarany karą finansową. Typowym przykładem takiej klauzuli jest zapis warunkujący odstąpienia od umowy zapłaceniem kary lub wyłączający odpowiedzialność przedsiębiorcy za niewykonanie lub nienależyte wykonanie zobowiązania.

Jak działa moduł - Klauzule niedozwolone?

  1. Tworzysz konto w systemie segido.pl bądź logujesz się na wcześniej założone konto
  2. Jeśli korzystasz z darmowego pakietu, od razu możesz sprawdzić swój regulamin poprzez wklejenie jego treści w ramkę. Segido.pl zbada czy występują w nim klauzule abuzywne i poinformuje Cię o tym.

  3. System weryfikuje dokument pod kątem występowania:
    • Klauzul niedozwolonych aktualnie wpisanych do rejestru prowadzonego przez Prezesa UOKiK
    • Klauzul, które eksperci segido.pl uznali za potencjalnie niebezpieczne, które mogą trafić za jakiś czas do tego rejestru

  4. Jeśli korzystasz z któregoś z odpłatnych pakietów, do Twojej dyspozycji są następujące opcje:
    • Pakiet Basic pozwala na sprawdzenie regulaminu w ten sposób, że otrzymasz szczegółowy raport z zaznaczonymi fragmentami, które zawierają klauzule niedozwolone oraz zapisy potencjalnie niebezpieczne
    • Pakiet Pro daje możliwość sprawdzenia regulaminu analogicznie jak w Pakiecie Basic, a dodatkowo otrzymujesz roczny monitoring klauzul niedozwolonych oraz dostęp do edytowalnych szablonów regulaminów, z których możesz wybrać ten, który będzie najbardziej odpowiedni dla Twojego sklepu. Pozostaje go tylko uzupełnić, przy czym segido.pl zawsze będzie Cię informował, jeśli zaproponowany przez Ciebie zapis np. termin na rozpatrzenie reklamacji, będzie niezgodny z obowiązującym prawem
    • Pakiet Max to dostęp do funkcjonalności z Pakietu Basic i Pro, a także możliwość korzystania z selektywnego e-learningu, czyli zestawu interaktywnych ćwiczeń składających się z wprowadzenia i quizu. Dzięki niemu na pewno zrozumiesz najtrudniejsze zagadnienia związane z prowadzeniem sklepu internetowego w kontekście praw konsumentów

Jakie są konsekwencje w przypadku wykrycia klauzul niedozwolonych w regulaminie?

Powództwo o uznanie postanowień wzorca za niedozwolone – art. 479 (36) i nast. KPC Każdy, kto według oferty przedsiębiorcy stosującego klauzule niedozwolone mógłby zawrzeć z nim umowę na podstawie takiego wzorca może wytoczyć ww. powództwo. Ponadto legitymacja czynna przysługuje w tym zakresie także:
  • organizacjom pozarządowym, których celem statutowym jest ochrona interesów konsumentów,
  • powiatowemu (miejskiemu) rzecznikowi ochrony konsumentów,
  • Prezesowi UOKiK.
Powództwo wytacza się przed sąd ochrony konkurencji i konsumentów – SO w Warszawie. Uwzględnienie powództwa powoduje wskazanie w wyroku treści klauzuli niedozwolonej i orzeczenie zakazu wykorzystywania tego postanowienia. Wyrok prawomocny podlega publikacji w MSiG (koszty publikacji są kosztami procesu i w większości przypadków będą obciążać przedsiębiorcę stosującego klauzule abuzywne, bo proces będzie z jego punktu widzenia przegrany. Wyrok prawomocny przesyłany jest do Prezesa UOKiK, który wpisuje klauzule do prowadzonego przez siebie rejestru. Wyrok ma skutek wobec osób trzecich od chwili wpisania postanowienia w nim wymienionego do rejestru Prezesa UOKiK. Przegranie procesu przed sądem ochrony konkurencji i konsumentów nie uzasadnia jeszcze nałożenia kary pieniężnej w trybie ustawy o ochronie konkurencji i konsumentów. W tym celu musi odbyć się postępowanie przed Prezesem UOKiK, o którym mowa poniżej.

Postępowanie przed Prezesem UOKiK. Stosowanie klauzul wpisanych do rejestru Prezesa UOKiK jest rozumiane jako jedna z praktyk naruszających zbiorowe interesy konsumentów – wg. ustawy o ochronie konkurencji i konsumentów oznacza to, że w przypadku gdy klauzula jest wpisana w rejestrze Prezesa UOKiK nie istnieje konieczność wytaczania ww. powództwa przed sądem ochrony konkurencji i konsumentów w celu wszczęcia postępowania przed Prezesem UOKiK. Każdy może zgłosić Prezesowi UOKiK na piśmie zawiadomienie ws. podejrzenia stosowania praktyk naruszających zbiorowe interesy konsumentów. Zawiadomienia takiego może także dokonać zagraniczna organizacja wpisana na listę organizacji UE uprawnionych do złożenia wniosku o wszczęcie postępowania. Prezes wydaje decyzję o wszczęciu postępowania ws. stosowania praktyk naruszających zbiorowe interesy konsumentów. W postępowaniu może zostać zawarta ugoda, jeżeli nie ma na celu obejścia ustawy lub nie narusza interesu społecznego lub słusznego interesu konsumentów. Prezes wydaje decyzję o uznaniu danej praktyki za naruszającą interesy konsumentów i nakazuje zaniechanie jej stosowania. W decyzji Prezes może określić środki usunięcia skutków naruszenia zbiorowych interesów konsumentów jakie przedsiębiorca ma podjąć w celu wykonania nakazu zaniechania stosowania klauzuli np. publikacja oświadczenia o treści i w formie wskazanej w decyzji. Decyzji może być nadany rygor natychmiastowej wykonalności, jeśli wymaga tego interes konsumentów. Prezes może też nakazać publikację decyzji na koszt przedsiębiorcy.

Prezes UOKiK może nałożyć na przedsiębiorcę w drodze decyzji karę pieniężną w wysokości do 10% przychodu osiągniętego w roku rozliczeniowym poprzedzającym rok nałożenia kary w przypadku, gdy przedsiębiorca choćby nieumyślnie stosował praktykę naruszającą zbiorowe interesy konsumentów tj. m.in. stosował klauzule wpisane do rejestru Prezesa UOKiK. Z praktycznego punktu widzenia zauważyć należy, że dopuszczalne jest aby Prezes wydał jedną decyzję , w której rozstrzygnie o naruszeniu zbiorowych interesów konsumentów i w tej samej decyzji nałoży karę pieniężną, jeśli zachodzić będą przesłanki przewidziane w ustawie.

Postępowanie przed Prezesem UOKiK zostało uregulowane w sposób specyficzny. W sprawach nieuregulowanych w ustawie o ochronie konkurencji i konsumentów odnośnie postępowania stosuje się przepisy KPA, a co do gromadzenia materiału dowodowego stosuje się w zakresie nieuregulowanym przepisy KPC.

Co to jest GIODO?

GIODO czyli Generalny Inspektor Ochrony Danych Osobowych. Jest to urząd powołany na mocy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, którego zadaniem jest czuwanie nad przestrzeganiem przepisów ww. ustawy.

Do zadań GIODO należą w szczególności:
  • kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych
  • wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych
  • zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji wydanych przez GIODO, poprzez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji
  • prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach
  • opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych
  • inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych
  • uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Co to jest UOKiK?

UOKiK czyli Urząd Ochrony Konkurencji i Konsumentów. Jest to centralny organ administracji państwowej (organem jest Prezes UOKiK), którego zadania zostały wskazane m.in. w ustawie z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów.

Do najważniejszych zadań Prezesa UOKiK w odniesieniu do ochrony konsumentów należą w szczególności:
  • prowadzenie postępowań w sprawach praktyk naruszających zbiorowe interesy konsumentów. Mogą się one zakończyć nakazem zaniechania kwestionowanych działań, a także, na podstawie ustawy o ochronie konkurencji i konsumentów, nałożeniem kary pieniężnej
  • podejmowanie działań zmierzających do wyeliminowania z obrotu prawnego niedozwolonych postanowień umownych – to znaczy kształtujących interesy konsumentów w sposób sprzeczny z prawem lub dobrymi obyczajami. Podstawowym narzędziem są kontrole wzorców umownych stosowanych przez przedsiębiorców
  • prowadzenie postępowań w sprawach ogólnego bezpieczeństwa produktów - służących ochronie zdrowia i życia konsumentów. W ich wyniku Prezes UOKiK może nakazać między innymi wycofanie z rynku wyrobu stwarzającego zagrożenie oraz, zgodnie z nowelizacją ustawy o ogólnym bezpieczeństwie produktów z 12 stycznia 2007 roku, nałożyć karę pieniężną w wysokości do 100 tys. zł

Co to jest polityka bezpieczeństwa danych osobowych?

Polityka to jeden z dokumentów wymaganych przez rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (§ 4).

Dokument ten opisuje jakie dane przetwarzasz w ramach prowadzonego przez siebie sklepu internetowego, w jakich systemach się one znajdują, gdzie dokładnie są zlokalizowane, a także jak są zabezpieczone.

Wdrożenie polityki bezpieczeństwa jest niezbędne, by można było zgłosić wniosek do Biura Generalnego Inspektora Ochrony Danych Osobowych. Ponadto, gdyby kiedykolwiek zdarzyła Ci się kontrola GIODO, wówczas na pewno dokument ten będzie szczegółowo analizowany przez inspektorów.

Co to jest instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych?

Instrukcja, podobnie jak polityka bezpieczeństwa, to jeden z dokumentów wymaganych przez rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (§ 5).

Dokument ten składa się z szeregu procedur mających na celu zapewnienie bezpieczeństwa przetwarzanych przez Ciebie danych osobowych, począwszy od procesu nadawania i odbierania uprawnień do systemów informatycznych, a skończywszy na opisie metod, częstotliwości i czasu przechowywania kopii zapasowych.

Wdrożenie procedur składających się na instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych jest niezbędne, by można było zgłosić wniosek do Biura Generalnego Inspektora Ochrony Danych Osobowych. Ponadto, gdyby kiedykolwiek zdarzyła Ci się kontrola GIODO, wówczas na pewno dokument ten będzie szczegółowo analizowany przez inspektorów.

Jakie zbiory danych musi rejestrować w GIODO sklep internetowy?

To pytanie bardzo często pojawia się na różnych formach dyskusyjnych, etc. Konsultanci Techsecure od lat pomagają opracowywać wnioski do GIODO dla sklepów internetowych, dlatego też w ramach segido.pl znajdziesz konkretne informacje, które z wybranych przez Ciebie zbiorów muszą być zgłoszone do GIODO, a które muszą zostać odnotowane w polityce bezpieczeństwa i uwzględnione w upoważnieniach do przetwarzania danych i ewidencji osób upoważnionych.

Jedno o czym trzeba pamiętać na pewno, to fakt, że bez względu na to, czy zbiór wymaga zgłoszenia czy nie, zawsze musi być chroniony zgodnie z ustawą o ochronie danych osobowych i jej aktami wykonawczymi.

Czy szablony regulaminów dla sklepów internetowych dostępne w segido.pl są bezpieczne?

Regulaminy, które tworzymy są bezpieczne i non stop monitorowane pod kątem zarówno zmian w przepisach prawa jak i obecności klauzul niedozwolonych. Szablony zostały stworzone w ten sposób, by zawierały naprawdę minimum treści wymaganej przez ustawy regulujące tematykę handlu w Internecie, w szczególności zaś:
  • ustawy z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny
  • ustawy z dnia 27 lipca 2002 r. o szczególnych warunkach sprzedaży konsumenckiej oraz o zmianie Kodeksu cywilnego
  • ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny
  • ustawy ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
  • ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Każdy szablon jest edytowalny, ale zaprojektowaliśmy to w ten sposób, że segido.pl będzie wyłapywać i informować Cię o tym, że wprowadzana przez Ciebie zmiana narusza przepis prawa. Przykładowo – jeśli będziesz chciał wstawić krótszy niż 10 dni termin na dokonanie zwrotu produktu bez podania przyczyny na krótszy, zostaniesz o tym poinformowany, wraz ze wskazaniem konsekwencji.

Dodatkowo praca na szablonach posiada jeszcze jedno udogodnienie (dostępne w Pakiecie Max) – jest uzupełnione o selektywny e-learning, który ma Ci pomóc zrozumieć dane zagadnienie i wytłumaczyć dlaczego musisz stosować taki a nie inny zapis.

Jaka jest odpowiedzialność za nieprzestrzeganie przepisów ustawy o ochronie danych osobowych?

Nieprzestrzeganie przepisów ustawy o ochronie danych osobowych może wiązać się z odpowiedzialnością prawną za takie działania. W zasadzie obejmuje ona:
  • odpowiedzialność administracyjną wynikającą z decyzji wydanej przez GIODO (np. usunięcie uchybień, usunięcie danych osobowych)
  • odpowiedzialność cywilnoprawną wynikającą z roszczeń cywilnych o naruszenie dóbr osobistych np. prawa do prywatności, co może wiązać się z koniecznością zadośćuczynienia za doznaną krzywdę (najczęściej w formie pieniężnej)
  • Odpowiedzialność według prawa pracy (postępowanie w celu nałożenia kary porządkowej, postępowanie zmierzające do rozwiązania stosunku pracy)
  • Odpowiedzialność karna np. za udostępnienie danych osobie nieupoważnionej (art. 51 ustawy o ochronie danych osobowych) albo za naruszenie obowiązku zabezpieczenia danych (art. 52 ustawy o ochronie danych osobowych)

Na koniec należy też wspomnieć o uszczerbku na wizerunek podmiotu, który dopuścił się np. wycieku danych, co może skutkować ucieczką dotychczasowych klientów i trudnością w pozyskaniu nowych.

Co to jest umowa powierzenia przetwarzania danych osobowych?

Jeśli przy przetwarzaniu danych osobowych współpracujesz z podmiotami trzecimi np. firmą hostingową, biurem rachunkowym albo korzystasz z zewnętrznych aplikacji, gdzie przechowujesz swoje dane osobowe np. aplikacja do wysyłania e-maili marketingowych, powinieneś zadbać o to, by podmiot taki podpisał z Tobą tzw. umowę powierzenia przetwarzania danych.

Umowa taka powinna zawierać co najmniej następujące elementy:
  • wskazywać cel przetwarzania danych np. obsługa kadrowo – płacowa pracowników zleceniodawcy
  • określać zakres powierzenia danych rozumiany jako wskazanie jakie dane osobowe będą przetwarzane np. imię, nazwisko, adres zamieszkania, itd., ale też doprecyzowanie zakresu operacji wykonywanych na danych osobowych np. wprowadzanie do systemu informatycznego, aktualizowanie, itd.
  • zobowiązanie zleceniobiorcy do zastosowania środków technicznych i organizacyjnych mających na celu zabezpieczenie powierzonych danych osobowych jeszcze przed rozpoczęciem ich przetwarzania np. fizyczne zabezpieczenie dostępu do serwerowni, opracowanie dokumentacji ochrony danych osobowych, itd.