Archiwa tagu: GIODO

O tym jak e-sprzedawcy radzą sobie z ochroną danych osobowych klientów

Foto: sxc.hu | Autor: linder6580

Będąc właścicielem sklepu internetowego , chcąc nie chcąc, bez wątpienia codziennie „ocieramy” się o tematykę dozwolonego wykorzystywania danych osobowych naszych klientów. Dane uzyskiwane są w różny sposób, czy to w procesie rejestracji w e-sklepie i zakładania indywidualnego konta przez klienta czy poprzez składanie przez niego jednorazowego zamówienia bez obowiązku rejestracji w sklepie internetowym.

Ochrona danych osobowych dotyczy danych osób fizycznych

Na wstępie przypomnę jedynie Państwu, że „problematyczne” jest przetwarzanie nie wszystkich danych, a jedynie tych, które dotyczą klienta będącego osobą fizyczną i które umożliwiają jego identyfikację. Poza szczególną ochroną znajdą się więc choćby dane o spółkach kapitałowych, spółkach osobowych czy innych organizacjach. W związku z tym powstał pogląd, zgodnie z którym, jeżeli w sklepie internetowym zamówienie składać będzie osoba fizyczna działająca w imieniu spółki, która poda pewne dane w związku z pełnioną przez siebie funkcją, jako osoby do kontaktu w spółce, dane te nie będą traktowane jako podlegające szczególnej ochronie.

Źródło gromadzonych danych osobowych

W ramach e-sklepu możemy pozyskiwać jedynie te dane, które przekazywane są nam bezpośrednio od klienta będącego osobę fizyczną. W przypadku danych osobowych wykorzystywanych do innych celów niż nawiązanie umowy, ukształtowanie jej treści czy w końcu realizacji zamówienia, konieczne jest uzyskanie od klienta e-sklepu wyraźnej zgody na ich przetwarzanie (tak naprawdę, jeżeli tylko tworzymy bazę danych klientów poprzez ich rejestrację w e-sklepie i przydzielanie im indywidualnych kont, taka zgoda będzie wymagana). Zgoda powinna być wyrażana przez klienta aktywnie, tj. poprzez zaznaczenie właściwego okienka (checkbox) podczas np. procesu rejestracji w sklepie internetowym. Co ważne, dla każdego oświadczenia klienta w sprawie udzielenia zgody na przetwarzanie jego danych osobowych przez e-przedsiębiorcę na różnych płaszczyznach (np. przechowywania danych osobowych klienta w bazie danych na potrzeby przyszłych transakcji i w celach marketingowych) powinno być przypisane odrębne okienko.

Prawo dostępu do danych osobowych i ich zmiany

Jeżeli w e-sklepie funkcjonuje praktyka rejestracji klienta, powinien on mieć możliwość swobodnego dostępu do swoich danych osobowych w każdym czasie i do ich modyfikacji (tj. do ich zmiany lub usunięcia). Informacja o tym, w jaki sposób klient może realizować przysługujące mu uprawienie powinna znaleźć się w regulaminie sklepu internetowego lub w polityce prywatności, a także powinna być powtarzana (w tym poprzez umieszczenie odpowiedniego linku) w wiadomościach e-mail wysyłanych do klienta, zawierających np. newsletter czy inne informacje handlowe.

Bazy danych i GIODO

Aby być w 100% w zgodzie z prawem, jeszcze przed rozpoczęciem przetwarzania danych osobowych klientów (czyli bardzo często jeszcze przed otwarciem e-sklepu), e-sprzedawca (jako administrator danych) powinien wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o rejestrację tworzonej przez siebie bazy danych („Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych”).

Wniosek może zostać wypełniony, a następnie przekazany do GIODO w formie elektronicznej (za pomocą platformy e-GIODO, dostępnej pod adresem: http://egiodo.giodo.gov.pl/index.dhtml), niemniej jednak dla swej skuteczności wymaga wydrukowania, podpisania przez wnioskodawcę  i przesłania drogą tradycyjną na adres urzędu. Złożenie wniosku o rejestrację bazy danych nie podlega żadnym opłatom.

Mimo, że do wniosku o rejestrację bazy danych nie dołącza się Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym, w oparciu o który został  zbudowany sklep internetowy, oba te dokumenty powinny funkcjonować w przedsiębiorstwie już w momencie składania takiego wniosku.

Jeżeli baza danych zostanie zarejestrowana w GIODO bardzo dobrze, gdy e-sprzedawca „pochwali” się tą wiadomością poprzez zamieszczenie stosownej informacji w regulaminie e-sklepu lub w polityce prywatności, podając jednocześnie numer, jaki GIODO nadał zarejestrowanemu zbiorowi.

W tym miejscu warto nadmienić, że już samo zgłoszenie bazy danych do GIODO uprawnia do przetwarzania zebranych w jej ramach danych osobowych. Tym samym e-sprzedawca nie musi czekać z ich przetwarzaniem do momentu, kiedy baza danych zostanie finalnie zarejestrowana w urzędzie.

Odpowiedzialność za nieuprawnione przetwarzanie danych osobowych

Zarówno ustawa o ochronie danych osobowych, jak i ustawa o świadczeniu usług drogą elektroniczną, jako rygor za nieprzestrzeganie ich postanowień (tj. nieuprawnione przetwarzanie danych osobowych) wskazują odpowiedzialność karną.

I tak na przykład, za przesyłanie niezamówionej informacji handlowej grozi kara grzywny, a za nie zgłoszenie do rejestracji zbioru danych lub za nie dopełnienie obowiązku poinformowania osoby, której dane dotyczą o przysługujących jej uprawnieniach (w tym w zakresie możliwość usunięcia bądź zmiany podanych przez nią danych) grozi kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do roku.

Ochrona danych osobowych przy prowadzeniu działalności internetowej to specyficzna dziedzina, często pomijana przez e-przedsiębiorców. Warto jednak o niej pamiętać tworząc swój internetowy biznes, ponieważ klika prostych, techniczno-prawnych kroków pozwoli na uniknięcie wielu ewentualnych nieprzyjemności w przyszłości.

(Nie)Ochrona danych osobowych w Internecie

Foto: sxc.hu | Autor: elessar x

Niezawodnym źródłem informacji o każdym z nas jest oczywiście Internet. Ogromna liczba danych osobowych zamieszczanych w Internecie, a także niezwykła łatwość z jaką raz ujawnione mogą być rozpowszechniane i wykorzystywane w sieci powoduje, że Generalny Inspektor Ochrony Danych Osobowych ma nie lada kłopot z właściwą kontrolą ich przetwarzania. Nie pomaga mu w tym zadaniu również fakt, że aktualnie obowiązująca ustawa o ochronie danych osobowych pochodzi z roku 1997, kiedy w Polsce Internet dopiero raczkował, a dla wielu w ogóle nie był dostępny.

Zmiany, zmiany, zmiany…

Jednym z największych problemów w zakresie ochrony danych osobowych w Internecie jest to, że raz umieszczone w sieci pozostają tam na zawsze. Przez to bardzo często zdarza się, że „wypływają” one lub są świadomie wykorzystywane przez osoby trzecie w najmniej oczekiwanym momencie, zazwyczaj w sposób nieuprawniony. Problem ten dostrzegła Komisja Europejska, która podjęła właśnie prace nad nowelizacją dyrektywy stanowiącej podstawę dla naszego rodzimego prawa w zakresie ochrony danych osobowych. Do 15 stycznia 2011 roku wszystkie zainteresowane Państwa Członkowskie mają czas na zgłoszenie własnych propozycji zmian.

Prawo do zapomnienia

Jedną z podstawowych propozycji Komisji Europejskiej jest wprowadzenie tzw. prawa do zapomnienia. Na jego podstawie, każdy zainteresowany obywatel Unii Europejskiej będzie mógł wystąpić z żądaniem definitywnego usunięcia jego danych osobowych, które wcześniej zostały zamieszczone w Internecie. Pilotażowy program „Prawo do zapomnienia” realizowany jest już w Norwegii. Jednak ilość skarg jakie wpłynęły na nieuczciwych „administratorów danymi osobowymi” jest zatrważająca. Wydaje się więc, że powinny zostać określone granice występowania z takim żądaniem. Powstaje jednak pytanie, czy zastosowanie wybiórczego systemu usuwania danych z sieci nie pozbawi sensu całego programu?

Sprawca nie będzie chroniony

Drugą kwestią, którą należy zmienić, jest możliwość ujawniania danych osobowych osób dopuszczających się różnego rodzaju nadużyć w sieci. Wzorcowym przykładem może być tocząca się nie tak dawno sprawa przeciwko NK. Na tym właśnie portalu jednemu mężczyźnie ktoś założył fałszywy i obraźliwy profil. Po rozpoznaniu sprawy w I instancji sąd zasądził na rzecz owego mężczyzny od NK tytułem zadośćuczynienia z tytułu naruszenia dobrego imienia karę pieniężną w wysokości 10.000 zł, a dodatkowo nakazał usunięcie nieprawdziwego konta i podanie danych osoby, która je założyła. Konto zostało usunięte, ale NK odmówiła udzielenia informacji o osobie, która dopuściła się naruszenia. Sprawa trafiła do sądu II instancji, który wyraził odmienne niż poprzednio orzekający sąd zdanie. Stwierdził bowiem, że NK nie ma obowiązku ujawniania danych osoby odpowiedzialnej za założenie fałszywego profilu. Na uzasadnienie podał, że NK jako administrator danych osobowych zamieszczonych w portalu zobowiązany jest do ochrony wszystkich takich danych, w tym również tych dotyczących sprawcy. Na przykładzie tym widać, jak ważne jest uregulowanie przepisów dotyczących ochrony danych osobowych w taki sposób, aby osoba dopuszczająca się nadużyć w sieci nie korzystała z ochrony swoich danych osobowych, a przez to była łatwiej wykrywalna.

Właściwość polskich sądów powszechnych

Dla usprawnienia działań GIODO konieczne jest również wprowadzenie do aktualnie obowiązujących przepisów możliwości prowadzenia spraw z zakresu ochrony danych osobowych obywatela Polski przez polskie sądy, nawet jeżeli administratorem danych osobowych, jest spółka amerykańska, prowadząca dany portal (np. Facebook) lub serwis (Google Street View). Teraz takie sprawy mogą być rozstrzygane tylko przez sądy amerykańskie, co znacznie ogranicza, żeby nie powiedzieć uniemożliwia, działanie GIODO.

Dynamika przepływu danych osobowych niewątpliwie sprzyja licznym nadużyciom. Słuszne są zamiary Komisji Europejskiej dążącej do zapewnienie realnej ochrony użytkownikom Internetu przed bezprawnym wykorzystaniem ich danych osobowych. Nie jest to jednak pierwsza próba „ujarzmienia” Internetu poprzez poddanie go szczególnym, a przede wszystkim kompleksowym przepisom prawa. Jak wiadomo, do tej pory żadna z nich nie zakończyła się pełnym sukcesem. W związku z tym po raz kolejny pojawia się nieodparta myśl, że jest to walka z wiatrakami. Jednak walka, którą warto podjąć…