Συλλογή προσωπικών δεδομένων και υποχρέωση καταχώρισής τους από το ηλεκτρονικό κατάστημα

Επιχειρήσεις Υπηρεσιών

Πολλοί άνθρωποι που ανοίγουν ένα ηλεκτρονικό κατάστημα αγωνίζονται με το ερώτημα εάν είναι απαραίτητο να καταχωρίσετε ένα σύνολο προσωπικών δεδομένων στον Γενικό Επιθεωρητή Προστασίας Προσωπικών Δεδομένων (GIODO). Σύμφωνα με το άρθ. 43 δευτ. 1 σημείο 8 του νόμου περί προστασίας δεδομένων προσωπικού χαρακτήρα αρχεία δεδομένων που περιέχουν προσωπικά δεδομένα που υποβάλλονται σε επεξεργασία αποκλειστικά με σκοπό την έκδοση τιμολογίου, λογαριασμού ή οικονομικής αναφοράς δεν υπόκεινται σε εγγραφή. Σύμφωνα με τη θέση που εκπροσωπεί η GIODO, η διάταξη αυτή πρέπει να ερμηνεύεται αυστηρά. Μόνο ένα τέτοιο σύνολο προσωπικών δεδομένων, το οποίο δημιουργήθηκε αποκλειστικά με σκοπό την έκδοση τιμολογίου, λογαριασμού ή οικονομικής αναφοράς, θα εξαιρείται από την υποχρέωση εγγραφής. Εάν τα προσωπικά δεδομένα εξακολουθούν να υφίστανται επεξεργασία για σκοπούς μάρκετινγκ, η συλλογή προσωπικών δεδομένων θα πρέπει να υποβάλλεται για εγγραφή με γενικούς όρους.

Για την έκδοση τιμολογίου ή λογαριασμού χρειάζεστε στοιχεία όπως: όνομα και επίθετο, εταιρεία / όνομα, διεύθυνση, ΑΦΜ. Τα ηλεκτρονικά καταστήματα απαιτούν συχνά εγγραφή, απαιτώντας έναν ευρύτερο κατάλογο πληροφοριών πελατών. Ακόμα κι αν ένα συγκεκριμένο κατάστημα δεν απαιτεί εγγραφή, χρειαζόμαστε επιπλέον μια διεύθυνση e-mail, έναν αριθμό τηλεφώνου κ.λπ. Ως εκ τούτου, το ηλεκτρονικό κατάστημα δεν θα αποφύγει την υποχρέωση καταχώρησης συνόλου προσωπικών δεδομένων των πελατών του. επιπλέον ένα σύνολο προσωπικών δεδομένων πελατών που συλλέγονται σε σχέση με τη διαδικασία καταγγελίας υπόκειται σε εγγραφή (Απόφαση Ανωτάτου Διοικητικού Δικαστηρίου της 21ης ​​Απριλίου 2006, ΟΣΚ 726/05).

Συλλογή προσωπικών δεδομένων - υποχρεωτική εγγραφή στον Γενικό Επιθεωρητή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Την 1η Ιανουαρίου 2015 τέθηκε σε ισχύ ο νόμος της 7ης Νοεμβρίου 2014 για τη διευκόλυνση των επιχειρηματικών δραστηριοτήτων, ο οποίος τροποποίησε τον νόμο περί προστασίας δεδομένων προσωπικού χαρακτήρα. Οι πιο σημαντικές αλλαγές περιελάμβαναν τον κανονισμό για τον διαχειριστή ασφάλειας πληροφοριών (ABI). Σε περίπτωση που ο διαχειριστής προσωπικών δεδομένων έχει ορίσει ένα ABI και το αναφέρει στο μητρώο που τηρεί η GIODO, ο διαχειριστής αυτός απαλλάσσεται από την υποχρέωση καταχώρισης αρχείων προσωπικών δεδομένων. Στην οργανωτική δομή του υπεύθυνου επεξεργασίας δεδομένων, η ABI αναφέρεται απευθείας στον επικεφαλής της οργανικής μονάδας ή στο φυσικό πρόσωπο που είναι ο υπεύθυνος επεξεργασίας δεδομένων. Τι σημαίνει αυτό για τα ηλεκτρονικά καταστήματα; Ο διαχειριστής δεδομένων είναι συνήθως ο ιδιοκτήτης του ηλεκτρονικού καταστήματος και στην περίπτωση των εταιρειών, μέλη διοικητικών συμβουλίων / διευθύνοντες σύμβουλοι. Αυτές οι οντότητες θα έχουν το δικαίωμα να ελέγχουν και να εκδίδουν δεσμευτικές εντολές από την ABI. Η δημιουργία ABI είναι δικαίωμα και όχι υποχρέωση του υπευθύνου επεξεργασίας δεδομένων. Σε περίπτωση αποτυχίας ορισμού ενός ABI, τα καθήκοντά του εκτελούνται από τον ίδιο τον διαχειριστή δεδομένων.

Καθήκοντα του Διαχειριστή Ασφάλειας Πληροφοριών (ABI)

Πριν από την επεξεργασία προσωπικών δεδομένων θα πρέπει να διοριστεί ένας διαχειριστής ασφάλειας πληροφοριών. Ποια είναι τα καθήκοντά του;

  • τον έλεγχο της συμμόρφωσης της επεξεργασίας προσωπικών δεδομένων με τις διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα,

  • προετοιμασία εγγράφων σχετικά με την προστασία των προσωπικών δεδομένων,

  • διασφαλίζοντας ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα είναι εξοικειωμένα με τις διατάξεις για την προστασία των δεδομένων προσωπικού χαρακτήρα,
  • πραγματοποιώντας ελέγχους κατόπιν αιτήματος της GIODO.

Η ABI υποχρεούται επίσης να παρακολουθεί συνεχώς την επεξεργασία των προσωπικών δεδομένων ως προς τη συμμόρφωσή τους με τις διατάξεις για την προστασία των προσωπικών δεδομένων. Εάν εντοπιστούν παρατυπίες, θα πρέπει να το αναφέρει στον διαχειριστή δεδομένων. Αυτό σχετίζεται με την ανάγκη για την ABI να προετοιμάσει μια αναφορά για τον υπεύθυνο επεξεργασίας δεδομένων.

Πότε δεν αρκεί η κλήση του ABI;

Ωστόσο, η εξαίρεση δεν ισχύει για τα αρχεία προσωπικών δεδομένων στα οποία υποβάλλονται σε επεξεργασία ευαίσθητα προσωπικά δεδομένα. Πράγμα που σημαίνει ότι ακόμη και όταν έχουμε δημιουργήσει το ABI, θα είμαστε υποχρεωμένοι να καταχωρήσουμε οι ίδιοι το σύνολο προσωπικών δεδομένων που περιέχει ευαίσθητα δεδομένα.

Σύμφωνα με το άρθ. 27 του Νόμου για την Προστασία Δεδομένων Προσωπικού ΧαρακτήραΤα ευαίσθητα δεδομένα είναι δεδομένα που αποκαλύπτουν φυλετική ή εθνική καταγωγή, πολιτικές απόψεις, θρησκευτικές ή φιλοσοφικές πεποιθήσεις, θρησκευτικές, κομματικές ή συνδικαλιστικές πεποιθήσεις, καθώς και δεδομένα για την υγεία, τον γενετικό κώδικα, τους εθισμούς ή τη σεξουαλική ζωή, καθώς και δεδομένα για καταδίκες, τιμωρίες και κυρώσεις καθώς και άλλες αποφάσεις που εκδίδονται σε δικαστική ή διοικητική διαδικασία.

Ωστόσο, θα πρέπει να υποτεθεί ότι στην περίπτωση των ηλεκτρονικών καταστημάτων, η επεξεργασία αυτού του τύπου προσωπικών δεδομένων θα είναι σπάνια.