Każdy kto pobiera i wykorzystuje dane osobowe zobowiązany jest do ich przetwarzania w zgodzie z obowiązującymi przepisami prawa. Przez przetwarzanie danych osobowych według ustawy o ochronie danych osobowych należy rozumieć wykonywanie na nich jakichkolwiek operacji w tym ich przechowywanie, wykorzystywanie do zrealizowania zawartej umowy, czy wysyłania newslettera. Każdy z przytoczonych powyżej przykładów ma miejsce w codziennej działalności sklepu internetowego, co w praktyce oznacza, że właściciele sklepów muszą zadbać o uregulowanie zagadnień związanych z ochroną danych osobowych oraz GIODO. Oto 5 punktów, o których trzeba bezwzględnie pamiętać aby przetwarzać dane osobowe w zgodzie z obowiązującymi przepisami.
1. Zgłoszenie zbiorów danych osobowych do rejestracji w GIODO.
Najczęściej wymieniany przez przedsiębiorców, ale co istotne, nie jedyny obowiązek jaki musi zostać spełniony, aby sklep funkcjonował zgodnie. Zgłoszeń do GIODO, a więc Generalnego Inspektora Ochrony Danych Osobowych można dokonywać w formie pisemnej, wysyłając wypełniony wniosek o rejestracje zbioru danych osobowych lub w formie elektronicznej za pośrednictwem platformy egiodo.giodo.gov.pl. Wniosek w formie papierowej stanowi załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DZ. U. z 2004 r. nr 100, poz. 1024). Wniosek można znaleźć m.in. na stronie internetowej GIODO. Po wypełnieniu, wniosek powinien zostać podpisany w sposób czytelny przez przedsiębiorcę, warto również opatrzyć go pieczęcią firmową. Wniosek składa się bezpośrednio w biurze podawczym Generalnego Inspektora Ochrony Danych Osobowych lub wysyła się pocztą. W przypadku wniosku składanego w formie elektronicznej, koniecznym jest opatrzenie go podpisem elektronicznym przedsiębiorcy.
2. Polityka prywatności na stronie internetowej sklepu.
Polityka prywatności to dokument, który określa prawa i obowiązki osób których dane dotyczą, a także wskazuje na Administratora danych osobowych, który faktycznie odpowiedzialny jest za przetwarzanie danych. Dokument ten ma na celu przede wszystkim informowanie osoby której dane dotyczą; kto, kiedy i w jakim celu pobiera i przetwarza jej dane osobowe, a także jakie uprawnienia w związku z powyższym jej przysługują. Z perspektywy przedsiębiorcy najrozsądniejszym jest aby z polityką prywatności zapoznał się każdy, kto przekazuje mu swoje dane do przetwarzania. Można to zrobić w taki sposób, aby podczas odbierania zgód na przetwarzanie danych osobowych, klient sklepu oświadczał, że zapoznał się oraz akceptuje postanowienia polityki prywatności.
3. Zgody na przetwarzanie danych osobowych.
Osoba której dane osobowe są przetwarzane musi wyrazić na to zgodę. Jednym z wyjątków jest konieczność przetwarzania jej danych osobowych wyłącznie w związku z realizacją umowy. Trzeba jednak pamiętać, że legalność przetwarzania danych osobowych w dużym stopniu opiera się o cel w jakim dane są pobierane i wykorzystywane. Jeżeli przetwarzamy dane osobowe w celu zrealizowania umowy sprzedaży, to bez zgody osoby której dane dotyczą, nie możemy przetwarzać ich np. w celu przesłania jej informacji dotyczącej sklepu (oferty, promocji, zmiany adresu siedziby firmy). W tym celu wskazane jest, aby od każdej osoby której dane dotyczą odebrać zgodę w której będzie określony cel. Przykładowa zgoda może mieć następującą formę:
„Wyrażam zgodę na przetwarzanie moich danych osobowych przez ………….. (nazwa firmy) w celu korzystania z usług sklepu …….. (nazwa sklepu) w zgodzie z postanowieniami Polityki prywatności (zalecam aby wyraz „Polityka prywatności” była aktywnym linkiem do treści dokumentu).”
W związku z tym, że relacje z klientem sklepu ograniczają się głównie do kontaktu elektronicznego, odebranie zgody na przetwarzanie danych osobowych musi odbyć się zdalnie. Najwygodniejszą formą jest zastosowanie tzw. checkboxów w których znajduje się gotowe oświadczanie klienta. Jako potwierdzenie złożenia oświadczenia, klient zaznacza rzeczony checkbox. Przy ustalaniu treści zgód trzeba określić w jakim celu sklep pobiera oraz jak chce wykorzystywać (przetwarzać) dane. Określając cel nie można ustanowić go zbyt szeroko. GIODO stoi na stanowisku, że nie możemy wymagać od naszych klientów, by przy zawieraniu umowy, wyrazili zgodę na dalszą odsprzedaż ich danych, a od uzyskania wspomnianej zgody warunkować zakup w sklepie. Z tego względu nie można wymagać, aby nasi klienci wyrazili zgodę na przetwarzanie danych w celach marketingowych tylko po to, aby dokonać zakupu w sklepie.
4. Dokumentacja wewnętrzna.
Ten kto dane osobowe przetwarza, musi to robić zgodnie z prawem, w tym celu konieczne jest określenie procedur, które będą pozostawały w zgodzie z obowiązującymi przepisami. Ustawa o ochronie danych osobowych oraz rozporządzenia do ww. ustawy w dokładny sposób wskazują w jaki sposób procedury powinny być w firmie wprowadzone. Przez dokumentację wewnętrzną należy rozumieć m.in. politykę bezpieczeństwa ochrony danych osobowych, która określa sposoby zabezpieczenia danych osobowych w firmie. Instrukcje zarządzania systemem informatycznym, która wskazuje jak dane są przetwarzane i zabezpieczone w systemach informatycznych, ewidencje osób upoważnionych do przetwarzania danych osobowych, a więc wykaz osób, które dane będą przetwarzać i są odpowiednio w tym celu przeszkolone. Procedury określone w dokumentacji wewnętrznej firmy będą podstawą weryfikacji w razie kontroli ze strony GIODO, powinny więc być stale dostępne w firmie i w razie potrzeby aktualizowane.
5. Umowy powierzenia przetwarzania danych osobowych.
Jeżeli Administrator danych osobowych powierzy innemu podmiotowi, dane swoich klientów do przetwarzania, zobowiązany jest do zawarcia tzw. umowy powierzenia przetwarzania danych osobowych. Przez powierzenie danych do przetwarzania należy rozumieć sytuacje, w których podmiot któremu dane zostały powierzone, nie korzysta z tych danych bezpośrednio, tak jak robi to administrator danych osobowych. Doskonałym przykładem powierzenia danych do przetwarzania jest korzystanie z hostingu. Hostingodawca przechowuje na serwerze dane jakie mu powierzyliśmy, jednak nie wykorzystuje ich jak administrator danych osobowych, do własnych celów. Jeżeli dojdzie do powierzenia, strony muszą zawrzeć umowę w ramach której określą zakres powierzonych danych, a także wskażą swoje prawa i obowiązki. Brak zawarcia umowy może skutkować koniecznością poniesienia odpowiedzialności za działania hostingodawcy, jak za swoje własne. Z tego względu umowa ma przede wszystkim zabezpieczyć przedsiębiorcę przed nadmierną odpowiedzialnością za działania podmiotu któremu dane zostały powierzone, a na którego nie ma bezpośredniego wpływu.
Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Doradztwa Prawnego
Cioczek & Szajdziński Spółka Cywilna