REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Sklep internetowy - dokumentacja dotycząca ochrony przetwarzanych danych osobowych

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Kancelaria Prawna GHMW – Hulist, Prawdzic Łaszcz – Radcowie Prawni spółka partnerska
Kancelaria świadczy kompleksowe usługi prawne związane z bieżącą obsługą przedsiębiorców (głównie spółek handlowych).
Sklep internetowy - dokumentacja dotycząca ochrony przetwarzanych danych osobowych / Fot. Fotolia
Sklep internetowy - dokumentacja dotycząca ochrony przetwarzanych danych osobowych / Fot. Fotolia
Fotolia

REKLAMA

REKLAMA

Przedsiębiorcy dokonujący sprzedaży towarów za pośrednictwem sklepu internetowego powinni pamiętać, że ciążące na nich obowiązki nie ograniczają się wyłącznie do przygotowania regulaminu sklepu i zapewnienia takiego funkcjonowania portalu, aby spełnione zostały wymogi nakreślone w przepisach regulujących prawa konsumenta.

REKLAMA

REKLAMA

Autopromocja

Prowadzenie sklepu internetowego wiąże się najczęściej z procesem przetwarzania danych osobowych jego klientów. Aby zapewnić właściwą ochronę tych danych, sprzedawca zobowiązany jest do przygotowania obszernej dokumentacji w tym zakresie, obejmującej m. in politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym, a także do wdrożenia procedur mających na celu ochronę przetwarzanych danych osobowych.

Obowiązek przygotowania dokumentacji

Zgodnie  z art. 36 ust. 2 ustawy o ochronie danych osobowych (dalej: u.o.d.o.)  administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Sposób prowadzenia i zakres dokumentacji określa rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie). Zgodnie z §3 ust. 1 rozporządzenia na dokumentację, o której mowa powyżej składa się polityka bezpieczeństwa i instrukcja zarządzania system informatycznym. Opracowanie polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym należy zatem do obowiązków administratora danych, którym przeważnie jest właściciel sklepu internetowego (za administratora danych nie można uznać – przykładowo - członka zarządu spółki z o.o.  czy wspólnika spółki jawnej; administratorem danych będzie natomiast spółka prawa handlowego).

Wyszukiwarki internetowe jako administrator danych osobowych – orzeczenie TSUE

REKLAMA

Nie ma obowiązku zamieszczania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym na stronie internetowej sklepu internetowego. Wskazana dokumentacja powinna zostać zatwierdzona przez administratora danych oraz przyjęta do stosowania.

Dalszy ciąg materiału pod wideo

Polityka bezpieczeństwa

Polityka bezpieczeństwa w sposób ogólny prezentuje przyjęte w firmie zasady postępowania, dotyczące ochrony danych osobowych. Zgodnie z §4 rozporządzenia polityka bezpieczeństwa zawiera w szczególności:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Polecamy: Monitor Księgowego – prenumerata

Instrukcja zarządzania systemem informatycznym

Instrukcja zarządzania systemem informatycznym to dokument w sposób szczegółowy opisujący procedury przyznawania uprawnień, tworzenie kopii zapasowych, sposoby uwierzytelniania dostępu oraz konserwację systemu. Zgodnie z §5 rozporządzenia instrukcja zarządzania systemem informatycznym obejmuje w szczególności:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

5) sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych,

6) sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania;

7) sposób odnotowania udostępniania danych osobowych;

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.


Zakres środków ochrony danych osobowych określonych w rozporządzeniu różni się w zależności od stosowanego przez przedsiębiorcę poziomu bezpieczeństwa. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Oznacza to, że właściciele sklepów internetowych będą zasadniczo zobowiązani do wdrożenia maksymalnych środków bezpieczeństwa przewidzianych w rozporządzeniu.

Hosting a obowiązek przygotowania dokumentacji

Z przygotowania dokumentacji związanej z ochroną przetwarzanych danych osobowych nie zwalnia administratora danych umowa zawarta z firmą udostępniającą zasoby serwerowni. Zgodnie z § 3 ust. 2 dokumentację wdraża administrator danych. Nie wydaje się możliwe zastąpienie własnej dokumentacji dokumentacją przygotowaną przez firmę hostingową. Firma hostingowa nie staje się administratorem danych nawet w przypadku gdy powierzono jej przetwarzanie danych osobowych  w drodze umowy, o której mowa w art. 31 ust. 1 u.o.d.o.

W celu prawidłowej realizacji obowiązków ustawowych administrator powinien wybrać dostawcę usług internetowych, który oferuje środki zabezpieczenia wskazane w ustawie o ochronie danych osobowych oraz rozporządzeniu. Umowa pomiędzy administratorem danych a firmą hostingową powinna określać stosowane przez firmę hostingową zabezpieczenia przetwarzania danych, które to dane mogą posłużyć przy przygotowywaniu wymaganej przez przepisy dokumentacji oraz przy zgłaszaniu zbioru do Generalnego Inspektora Ochrony Danych Osobowych.

Jak rozliczać sprzedaż za pomocą kuponów internetowych

Administrator bezpieczeństwa informacji

W ustawie o ochronie danych osobowych, w brzmieniu od 1 stycznia 2015 r., przewidziane zostały dwa sposoby sprawowania nadzoru nad przestrzeganiem zasad ochrony danych osobowych: poprzez wyznaczenie administratora bezpieczeństwa informacji oraz poprzez samodzielne wykonywanie przez administratora danych czynności nadzorczych.

Powołanie administratora bezpieczeństwa informacji będzie wiązać się z przejęciem przez niego części obowiązków dotyczących aktualizowania omawianej dokumentacji oraz nadzorowania przestrzegania zasad w niej określonych. Obecność administratora bezpieczeństwa informacji wpłynie w szczególności na charakter środków organizacyjnych stosowanych w celu ochrony danych osobowych -  do obowiązków administratora bezpieczeństwa informacji może należeć  kontrola zabezpieczeń, nadawanie upoważnień oraz podejmowanie działań w przypadku naruszeń ochrony danych osobowych.

Autor: Krzysztof Smach, Kancelaria GACH, HULIST, MIZIŃSKA, WAWER – adwokaci i radcowie prawni sp.p.

(www.ghmw.pl)

Podyskutuj o tym na naszym FORUM

Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
W KSeF 2.0 NIP jest kluczowy

Od 1 lutego 2026 r. każdy przedsiębiorca będzie odbierał e-faktury w KSeF. Tego samego dnia obowiązek wystawiania obejmie największe firmy, czyli te z obrotem powyżej 200 mln zł za 2024 r. Od 1 kwietnia 2026 r. dołączają pozostali, niezależnie od formy prawnej. Do końca 2026 r. działa okres przejściowy – można wystawiać poza KSeF, o ile w danym miesiącu łączna sprzedaż na takich fakturach nie przekroczy 10 tys. zł brutto. Po przekroczeniu limitu dokumenty wystawia się już w KSeF.

Paradoks: Rentowność obligacji skarbowych spadała w minionym tygodniu, a ich ceny rosły. Co będzie dalej?

Rentowność obligacji skarbowych spadała w minionym tygodniu, a ich ceny rosły, na przekór narracji płynącej z rynku złota i innych metali szlachetnych, których rajd miałby być wyrazem spadającego zaufania do dolara, obligacji i całego systemu fiducjarnego. Czy można pogodzić dwa trendy o przeciwnym charakterze? Na to pytanie, w cotygodniowym komentarzu Catalyst odpowiada Emil Szweda (Obligacje.pl).

Skarbówka wchodzi na nasze konta i sprawdza transakcje bez nakazu jak się fiskusowi tylko podoba: STIR, DAC7 – warto wiedzieć, co to jest i jak działa

Fiskus ma prawo do prowadzenia kontroli kont bankowych. Dotyczy to osób prywatnych oraz przedsiębiorców i firm. Dla sprawdzenia historii transakcji na koncie bankowym nie musi być prowadzone przeciwko nam żadne postępowanie ani wszczęta kontrola. Skarbówce wystarczy samo podejrzenie popełnienia wykroczenia lub przestępstwa skarbowego, aby sięgnąć do banku po informacje o dokonywanych przez nas transakcjach. Poza tym zautomatyzowane systemy same badają na bieżąco historię bankową naszych kont i wyłapują transakcje podejrzane.

Firmowe to firmowe. Dlaczego warto oddzielić finanse prywatne od firmowych. Cztery konta, które dają przedsiębiorcy spokój

Właściciele małych firm często powtarzają: „to przecież wszystko moje pieniądze”. I rzeczywiście – formalnie tak jest. Ale kiedy pieniądze są wspólne, problemy finansowe też robią się wspólne. Dopóki na koncie jest płynność, granica między finansami firmowymi a prywatnymi wydaje się niewidoczna. Ale wystarczy większy wydatek, spadek sprzedaży albo poślizg w płatnościach od klientów – i zaczyna się chaos. Nie w dokumentach – w codziennym zarządzaniu.

REKLAMA

Dwie ważne nowości w podatku od spadków i darowizn. Przywrócenie terminu do zwolnienia i zmiana przepisów dot. obowiązku podatkowego i złożenia zeznania

W dniu 14 października 2025 r. Rada Ministrów przyjęła i przesłała do Sejmu RP projekt nowelizacji ustawy o podatku od spadków i darowizn, który przewiduje w szczególności ochronę spadkobierców przed utratą zwolnień podatkowych. Jak wyjaśnia Ministerstwo Finansów, nowe przepisy przewidują możliwość przywrócenia terminu, który będzie miał zastosowanie do wszystkich tytułów nabycia majątku podlegającego podatkowi od spadków i darowizn. Ponadto przywrócenie terminu dotyczyć będzie poza zwolnieniem dla najbliższej rodziny, także zwolnienia nabycia przedsiębiorstw zmarłej osoby fizycznej, gdzie warunkiem zwolnienia jest również konieczność terminowego złożenia zgłoszenia. Dodatkowo nowe przepisy doprecyzują moment powstania obowiązku podatkowego przy nabyciu spadku i obowiązku złożenia zeznania podatkowego. Jest możliwe, że zmiany przepisów wejdą w życie jeszcze w 2025 roku.

API KSeF 2.0 - Ministerstwo Finansów udostępniło demo interfejsu programistycznego

W dniu 15 października 2025 r. Ministerstwo Finansów udostępniło środowisko przedprodukcyjne (Demo) interfejsu programistycznego API KSeF 2.0.Środowisko daje możliwość sprawdzenia systemów finansowo-księgowych z wykorzystaniem rzeczywistych metod uwierzytelniania. Resort finansów zapewnia wsparcie techniczne dla użytkowników środowiska przedprodukcyjnego (Demo) pod adresem: podatki.gov.pl/formularz. Ministerstwo Finansów wyjaśnia, że integracja ze środowiskiem API KSeF 2.0 jest konieczna, aby zapewnić kompatybilność systemów finansowo-księgowych z obligatoryjną wersją systemu KSeF 2.0.

Od 2026 r. zmiany w księgowości podatników PIT. Nowe pliki JPK i rozporządzenia Ministra Finansów i Gospodarki

Ministerstwo Finansów poinformowało w komunikacie z 16 października 2025 r., że od 2026 r. wchodzą w życie nowe obowiązki dla przedsiębiorców prowadzących działalność gospodarczą i rozliczających się w ramach podatku PIT. Podmioty prowadzące działalność gospodarczą podlegające podatkowi PIT, które co miesiąc przekazują ewidencję JPK_V7M, będą zobowiązane do prowadzenia przy użyciu programów komputerowych ksiąg rachunkowych, podatkowej księgi przychodów i rozchodów lub ewidencji przychodów. Ministerstwo Finansów udostępni bezpłatne narzędzia pozwalające na realizację obowiązków w zakresie przesyłania nowych obligatoryjnych plików JPK.

Rachunki nie będą trafiały do KSeF. Czy to oznacza, że wrócą do łask?

Już od 2026 roku podatnicy będą zobowiązani do wystawiania faktur w Krajowym Systemie e-Faktur (KSeF). System obejmie faktury ustrukturyzowane, natomiast nie dotyczy innych dokumentów, takich jak rachunki. Oznacza to, że przedsiębiorcy dokumentujący sprzedaż zwolnioną z VAT mogą wystawiać rachunki poza KSeF.

REKLAMA

Darowizna samochodu żonie po wycofaniu z firmy. Czy to na pewno bezpieczne podatkowo? Skarbówka rozwiewa wątpliwości

Czy przekazanie żonie samochodu wycofanego z działalności gospodarczej może sprowadzić na przedsiębiorcę problemy z fiskusem? Najnowsza interpretacja skarbówki rozwiewa te wątpliwości. Urząd jasno wskazał, że darowizna auta po wycofaniu z firmy nie powoduje powstania przychodu w PIT, o ile spełnione są określone warunki. To ważna wiadomość dla przedsiębiorców, którzy zastanawiają się, jak bezpiecznie przekazać majątek firmowy do majątku prywatnego.

Opodatkowanie donejtów dla twórców internetowych (PIT, VAT). Czy to naprawdę darowizna?

Przez lata środowisko twórców internetowych – streamerów, youtuberów czy użytkowników Patronite – żyło w przekonaniu, że donate’y (czyli dobrowolne wpłaty od widzów) to darowizny, a więc – do określonego limitu – nieopodatkowane. Takie podejście miało swoje źródło w języku – słowo „donate” pochodzi przecież od angielskiego „donation”, czyli darowizna.

REKLAMA