O tym jak e-sprzedawcy radzą sobie z ochroną danych osobowych klientów

Foto: sxc.hu | Autor: linder6580

Będąc właścicielem sklepu internetowego , chcąc nie chcąc, bez wątpienia codziennie „ocieramy” się o tematykę dozwolonego wykorzystywania danych osobowych naszych klientów. Dane uzyskiwane są w różny sposób, czy to w procesie rejestracji w e-sklepie i zakładania indywidualnego konta przez klienta czy poprzez składanie przez niego jednorazowego zamówienia bez obowiązku rejestracji w sklepie internetowym.

Ochrona danych osobowych dotyczy danych osób fizycznych

Na wstępie przypomnę jedynie Państwu, że „problematyczne” jest przetwarzanie nie wszystkich danych, a jedynie tych, które dotyczą klienta będącego osobą fizyczną i które umożliwiają jego identyfikację. Poza szczególną ochroną znajdą się więc choćby dane o spółkach kapitałowych, spółkach osobowych czy innych organizacjach. W związku z tym powstał pogląd, zgodnie z którym, jeżeli w sklepie internetowym zamówienie składać będzie osoba fizyczna działająca w imieniu spółki, która poda pewne dane w związku z pełnioną przez siebie funkcją, jako osoby do kontaktu w spółce, dane te nie będą traktowane jako podlegające szczególnej ochronie.

Źródło gromadzonych danych osobowych

W ramach e-sklepu możemy pozyskiwać jedynie te dane, które przekazywane są nam bezpośrednio od klienta będącego osobę fizyczną. W przypadku danych osobowych wykorzystywanych do innych celów niż nawiązanie umowy, ukształtowanie jej treści czy w końcu realizacji zamówienia, konieczne jest uzyskanie od klienta e-sklepu wyraźnej zgody na ich przetwarzanie (tak naprawdę, jeżeli tylko tworzymy bazę danych klientów poprzez ich rejestrację w e-sklepie i przydzielanie im indywidualnych kont, taka zgoda będzie wymagana). Zgoda powinna być wyrażana przez klienta aktywnie, tj. poprzez zaznaczenie właściwego okienka (checkbox) podczas np. procesu rejestracji w sklepie internetowym. Co ważne, dla każdego oświadczenia klienta w sprawie udzielenia zgody na przetwarzanie jego danych osobowych przez e-przedsiębiorcę na różnych płaszczyznach (np. przechowywania danych osobowych klienta w bazie danych na potrzeby przyszłych transakcji i w celach marketingowych) powinno być przypisane odrębne okienko.

Prawo dostępu do danych osobowych i ich zmiany

Jeżeli w e-sklepie funkcjonuje praktyka rejestracji klienta, powinien on mieć możliwość swobodnego dostępu do swoich danych osobowych w każdym czasie i do ich modyfikacji (tj. do ich zmiany lub usunięcia). Informacja o tym, w jaki sposób klient może realizować przysługujące mu uprawienie powinna znaleźć się w regulaminie sklepu internetowego lub w polityce prywatności, a także powinna być powtarzana (w tym poprzez umieszczenie odpowiedniego linku) w wiadomościach e-mail wysyłanych do klienta, zawierających np. newsletter czy inne informacje handlowe.

Bazy danych i GIODO

Aby być w 100% w zgodzie z prawem, jeszcze przed rozpoczęciem przetwarzania danych osobowych klientów (czyli bardzo często jeszcze przed otwarciem e-sklepu), e-sprzedawca (jako administrator danych) powinien wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o rejestrację tworzonej przez siebie bazy danych („Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych”).

Wniosek może zostać wypełniony, a następnie przekazany do GIODO w formie elektronicznej (za pomocą platformy e-GIODO, dostępnej pod adresem: http://egiodo.giodo.gov.pl/index.dhtml), niemniej jednak dla swej skuteczności wymaga wydrukowania, podpisania przez wnioskodawcę  i przesłania drogą tradycyjną na adres urzędu. Złożenie wniosku o rejestrację bazy danych nie podlega żadnym opłatom.

Mimo, że do wniosku o rejestrację bazy danych nie dołącza się Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym, w oparciu o który został  zbudowany sklep internetowy, oba te dokumenty powinny funkcjonować w przedsiębiorstwie już w momencie składania takiego wniosku.

Jeżeli baza danych zostanie zarejestrowana w GIODO bardzo dobrze, gdy e-sprzedawca „pochwali” się tą wiadomością poprzez zamieszczenie stosownej informacji w regulaminie e-sklepu lub w polityce prywatności, podając jednocześnie numer, jaki GIODO nadał zarejestrowanemu zbiorowi.

W tym miejscu warto nadmienić, że już samo zgłoszenie bazy danych do GIODO uprawnia do przetwarzania zebranych w jej ramach danych osobowych. Tym samym e-sprzedawca nie musi czekać z ich przetwarzaniem do momentu, kiedy baza danych zostanie finalnie zarejestrowana w urzędzie.

Odpowiedzialność za nieuprawnione przetwarzanie danych osobowych

Zarówno ustawa o ochronie danych osobowych, jak i ustawa o świadczeniu usług drogą elektroniczną, jako rygor za nieprzestrzeganie ich postanowień (tj. nieuprawnione przetwarzanie danych osobowych) wskazują odpowiedzialność karną.

I tak na przykład, za przesyłanie niezamówionej informacji handlowej grozi kara grzywny, a za nie zgłoszenie do rejestracji zbioru danych lub za nie dopełnienie obowiązku poinformowania osoby, której dane dotyczą o przysługujących jej uprawnieniach (w tym w zakresie możliwość usunięcia bądź zmiany podanych przez nią danych) grozi kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do roku.

Ochrona danych osobowych przy prowadzeniu działalności internetowej to specyficzna dziedzina, często pomijana przez e-przedsiębiorców. Warto jednak o niej pamiętać tworząc swój internetowy biznes, ponieważ klika prostych, techniczno-prawnych kroków pozwoli na uniknięcie wielu ewentualnych nieprzyjemności w przyszłości.

2 przemyślenia nt. „O tym jak e-sprzedawcy radzą sobie z ochroną danych osobowych klientów

  1. Bardzo ciekawy i przydatny blog. Szukam w internecie-dobrze zinterpretowanych przepisów prawa i sądzę, że jestem w dobrym miejscu. Jestem przedsiębiorcą (handlowcem) od wielu lat- zawsze w zgodzie z przepisami prawa – zależy mi na tym i teraz. Szukam dobrych, opartych na przepisach prawa porad dotyczących e-sklepu- i mam TUTAJ :)

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *