Z początkiem tego roku, temat dotyczący ochrony danych osobowych w polskich firmach, powrócił za sprawą ustawy z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej. Wspomniana ustawa znowelizowała dotychczas obowiązujące przepisy dotyczące m.in. ochrony danych osobowych, aby jak sama nazwa wskazuje – ułatwić prowadzenie działalności gospodarczej. O nowelizacji mówiono dość sporo, czemu nie można się dziwić, przedsiębiorcy zawsze będą entuzjastycznie podchodzić do jakichkolwiek zmian, które będą miały ułatwić im codzienne funkcjonowanie. W ramach wspomnianych ułatwień w aspekcie ochrony danych osobowych, ustawa wprowadziła w nowym wymiarze instytucję tzw. Administratora Bezpieczeństwa Informacji (ABI). Ustawa zakłada, że firmy, które dotychczas nie uregulowały procedur związanych z ochroną danych osobowych, będą mogły to uczynić powołując ABI, który osobiście będzie odpowiadał za ochronę danych osobowych w ich firmie. Założeniem ustawodawcy poza ułatwieniem prowadzenia działalności jest m.in. wzrost świadomości na temat ochrony danych osobowych, wśród polskich przedsiębiorców.
Temat ochrony danych osobowych w sklepach internetowych nie jest jeszcze tak popularny jak temat klauzul niedozwolonych czy regulaminów sprzedaży. O ile w swojej praktyce coraz rzadziej spotykam się z wątpliwościami ze strony przedsiębiorców, co do potrzeby stosowania zgodnego z prawem regulaminu, o tyle temat ochrony danych osobowych nadal traktowany jest po macoszemu. Z moich obserwacji wynika, że większość firm z którymi mamy do czynienia jako kancelaria, a działających w sektorze e-commerce, nie ma dokonanych zgłoszeń do GIODO lub nie posiada dokumentów wymaganych przez obowiązujące przepisy. Co więcej, sami przedsiębiorcy mają małą świadomość na temat potrzeby uregulowania zagadnień dotyczących ochrony danych osobowych, sposobu w jaki dane osobowe swoich klientów przetwarzają, czy też potrzeby ich właściwego zabezpieczenia. Taki stan rzeczy może wynikać z dość aktywnej działalności UOKiK, zmasowanego ataku stowarzyszeń „pro konsumenckich” na sklepy internetowe na przestrzeni ostatnich lat, czy też szumu medialnego wokół nowej ustawy o prawach konsumenta, z którym mieliśmy do czynienia pod koniec zeszłego roku. Wspomniane mocno uświadomiło przedsiębiorców o prawach konsumentów oraz konieczności ich przestrzegania. Biorąc jednak pod uwagę drugi najważniejszy aspekt w sklepach internetowych, a więc ochronę danych osobowych, wielu przedsiębiorców ogranicza swoje działania do co najwyżej zamieszczenia na stronie internetowej polityki prywatności, która w dodatku często jest skopiowana z innego sklepu internetowego. Swój brak działań w tej materii przedsiębiorcy często argumentują powielając schematy czy wręcz mity funkcjonujące w sieci, które z prawdą mają niewiele wspólnego.
Czy to mi jest w ogóle potrzebne?
Z takim pytaniem spotykam się bardzo często. Również na różnych forach internetowych przedsiębiorcy toczą zażarte dyskusje na temat konieczności, bądź też braku potrzeby, informowania Generalnego Inspektora Ochrony Danych Osobowych (GIODO) o przetwarzaniu przez nich danych osobowych swoich klientów. Trzeba jasno powiedzieć – każdy sklep internetowy jest bezwzględnie zobowiązany do przestrzegania przepisów prawa, w tym również przepisów dotyczących ochrony danych osobowych. Co za tym idzie, każdy sklep internetowy musi dokonać zgłoszenia zbiorów danych do GIODO lub też musi powołać Administratora Bezpieczeństwa Informacji, wpisanego do prowadzonej przez GIODO ewidencji. Z przepisów ustawy o ochronie danych osobowych wynika jasno, iż każdy kto zamierza przetwarzać lub już przetwarza dane osobowe, staje się ich administratorem. Administratorem danych osobowych może być osoba fizyczna, osoba prawna czy jednostka organizacyjna nieposiadająca osobowości prawnej. Jeżeli nasza firma (niezależnie od jej formy) do prowadzenia swojej działalności pobiera i wykorzystuje dane osobowe swoich klientów to jest niejako „automatycznie” postrzegana jest przez GIODO jako administrator danych osobowych na którym spoczywają określone obowiązki. Przez przetwarzanie danych osobowych należy rozumieć wykonywanie jakichkolwiek operacji na danych osobowych. Przechowywanie danych, adresowanie przesyłek, prowadzenie mailingu czy newsletter’a w pełni wpisuje się w katalog czynności określanych mianem przetwarzania danych.
Nie przetwarzam w swoim sklepie danych osobowych.
Dane osobowe to wszelkie informacje na podstawie których można bez większych trudności zidentyfikować konkretną osobę. Co do zasady danymi osobowymi jest imię i nazwisko, adres zamieszkania, numer telefonu czy numer PESEL. Jednak samo pojęcie danych osobowych jest na tyle szerokie, iż na dobrą sprawę każda informacja, dotycząca danej osoby, która mogłaby pomóc w ustaleniu jej tożsamości może zostać uznana właśnie za dane osobowe. Przykładem może być tu adres e-mailowy klienta. W praktyce oznacza to, iż wręcz niewykonalnym staje się prowadzenie sklepu internetowego bez przetwarzania danych osobowych. Nawet jeżeli nie prowadzimy bezpośredniej sprzedaży na rzecz konkretnych osób, a nasi klienci korzystają jedynie z konta w naszym sklepie internetowym lub wyłącznie zapisali się na newsletter, to już pobraliśmy od nich dane osobowe, które przetwarzamy, a tym samym powinniśmy właściwie zabezpieczyć.
Mam niewielu klientów, niech do GIODO zgłaszają się duże firmy, banki czy urzędy.
Nie ma znaczenia czy liczba naszych klientów idzie w dziesiątki, setki czy też tysiące. Ustawa o ochronie danych osobowych w żaden sposób nie różnicuje podmiotów pod względem ich wielkości, ilości obrotu czy też przychodu. Przepisy stanowią jasno, iż każdy kto dane przetwarza, musi robić to zgodnie z prawem. Ilość klientów może mieć jedynie wpływ na procedury związane z ochroną danych osobowych stosowane w firmie lub też potencjalne kary w przypadku złamania przepisów o ochronie danych osobowych. Trzeba pamiętać, że wielkość nie jest żadną przesłanką, która pozwala na zwolnienie z obowiązku poinformowania GIODO o przetwarzaniu danych osobowych. Podobnie sprawa ma się ze sposobem w jaki dane są wykorzystywane. Niezależnie od tego czy klient dokona u nas zakupu jednokrotnie, czy będzie do nas wracał, bez znaczenia czy będziemy z nim korespondować za pomocą newslettera czy nasz kontakt zakończy się na jednorazowym przesłaniu towaru, w myśl przepisów o ochronie danych osobowych przetwarzamy dane, a co za tym idzie kwestię tę musimy zgłosić w GIODO.
Chcąc uregulować ochronę danych osobowych w sklepie internetowym należy pamiętać o tym, iż dane te przetwarzane są z użyciem systemów informatycznych, co za tym idzie w przypadku dokonywania zgłoszenia zbiorów danych do GIODO administrator danych osobowych musi spełnić dodatkowe obowiązki wynikające z Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dodatkowe obowiązki to stosowanie określonych procedur w tym m.in. sporządzenie polityki bezpieczeństwa ochrony danych osobowych, instrukcji zarządzania systemem informatycznym, czy też prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.
Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Doradztwa Prawnego
Cioczek & Szajdziński Spółka Cywilna