Najprostszą odpowiedzią na to pytanie Kogo dotyczy RODO jest odpowiedź, że dotyczy wszystkich, którzy na terenie Unii Europejskiej przetwarzają dane osobowe. Oczywiście chodzi o podmioty, które robią to w celach inne niż osobiste, czy domowe.
RODO 2018, a sprzedawcy internetowi
Czyli tak, Sprzedawco – RODO dotyczy także Ciebie. Nie ma tutaj znaczenia rozmiar Twojego sklepu ani wielkość bazy danych osobowych, którą posiadasz. Przetwarzasz dane – podlegasz pod RODO. Oczywiście kłamstwem byłoby stwierdzenie, że RODO dotyczy wszystkich podmiotów tak samo, rzeczą jasną, że nieco inne przygotowania, a potem ewentualne konsekwencje będą wyciągane wobec ogromnej, międzynarodowej korporacji, a inne wobec małego sklepiku online, który zatrudnia dwie osoby. Niemniej każdy musi być gotowym 25 maja 2018 roku, gdyż właśnie w tym dniu zapisy RODO zaczną obowiązywać na całym terenie Unii Europejskiej.
RODO – najistotniejsze zmiany Ale które zmiany, które przyniesie RODO są najistotniejsze z perspektywy sprzedawcy internetowego? Na co zwrócić szczególną uwagę?
Po pierwsze – poszerzenie definicji danych osobowych, którą od wejścia w życie RODO każda informacja, dzięki której można będzie ustalić tożsamość danej osoby. Oznacza to, że w poczet tych danych dochodzą takie informacje jak: dane genetyczne, stan zdrowia, lokalizacja, a nawet adresy IP, czy pliki cookies.
Po drugie – likwidacja obowiązku zgłaszania zbioru danych osobowych do GIODO oraz większa swoboda, przy dokonywaniu zabezpieczeń danych osobowych. Aktualnie każdy podmiot przetwarzający dane osobowe, w tym oczywiście także sklepy internetowe były zobowiązane, by zgłaszać do GIODO zbiory danych osobowych. Wiązało się to z formalnościami, które nieraz przysparzały problemy różnym podmiotom. RODO zmienia to diametralnie, gdyż obowiązek taki likwiduje, a dokumenty takie, jak polityka bezpieczeństwa, czy instrukcja zarządzania systemem informatycznym. W zamian powstanie tzw. rejestr czynności przetwarzania, w których udokumentowane powinny być kwestie środków, które zabezpieczać będą dane osobowe oraz ocena ryzyka, jakiemu podlegają przetwarzane danych. To wszystko będzie w gestii sprzedawcy, który ma tutaj sporą swobodę działania.
Po trzecie – zwiększenie uprawnień osób, których dane przetwarzamy. Pojawienie się nowego rozporządzenia powoduje, że już na wstępie, gdy jako podmiot pozyskujemy dane klienta jesteśmy zobowiązani, by poinformować go nie tylko o celu, dla którego go pozyskujemy, jak było do tej pory, ale także o czasie w jakim dane jego będą przetwarzane, skąd posiadamy jego dane, jeżeli uzyskane one zostały od firm trzecich i komu zamierzamy je w przyszłości przesłać. Klient oprócz prawa do usunięcia swoich danych z naszej bazy otrzymuje dodatkowe uprawnienia jak: możliwość transferu swoich danych do innej firmy, opcja wglądu w historię przetwarzania swoich danych osobowych oraz „bycia zapomnianym” – czyli całkowitym usunięciu danych, o ile przetwarzanie ich nie jest konieczne ze względów publicznych.
Po czwarte – obowiązek wyznaczenia IODO, czyli Inspektora Ochrony Danych Osobowych. Wraz z wejściem w życie RODO znika ABI, czyli Administrator Bezpieczeństwa Informacji i lukę po nim wypełnia właśnie IODO, którego zadaniami będzie doradztwo administratorowi w kwestiach zarzadzania danymi, jak i ciągły monitoring jego poczynań.
Po piąte – dojdzie do wycieku danych lub innych naruszeń? Musisz o tym poinformować. W takim wypadku zdarzenie takie należy jak najszybciej zgłosić organom nadzorczym oraz administratorowi danych. Ponad to pojawia się obowiązek przekazania takiej informacji klientom, których fakt ten dotyczy.
Po szóste – profilujesz klientów stosując zautomatyzowane przetwarzanie ich danych? Konieczna jest ich zgoda. Ta zmiana wywołuje wiele kontrowersji, zwłaszcza wśród sprzedawców, bo może mieć spory wpływ na spadki konwersji. Od maja, by powstał profil klient bazujący na jego zachowaniu w Sieci, potrzebna jest jego zgoda.
Po siódme – zmiany w zapisach z umów z zewnętrznymi firmami. To także bardzo istotna sprawa z punktu widzenia sprzedawcy internetowego. Większość z nich korzysta z zewnętrznej firmy do spraw księgowości, hostingu, czy systemów do marketingu, czy CRM. Umowy będą musiały zostać zaktualizowane o informacje dotyczące rodzaju danych, czas trwania powierzania, czy jaki jest jego charakter. Dodatkowo potrzebna będzie dokumentacja, która uzasadniać będzie istotę przekazywania danych konkretnej firmie zewnętrznej. Plusem tego jest fakt, że umowa będzie mogła być sporządzona tylko w wersji elektronicznej.
Po ósme – rejestr czynności przetwarzania. Jak wspomniane było już w punkcie drugim RODO wprowadzi i taką nowość. Rejestr ten jest o tyle istotny, że odciąża sprzedawcę z obowiązku zgłaszania zbioru danych do GIODO. Przede wszystkim powinny być w nim określone: rodzaje działań, jakie podejmowane będą przy przetwarzaniu danych, ryzyka zagrażające bezpieczeństwu tych danych oraz środki, które przeciwdziałać będą zagrożeniom naruszenia bezpieczeństwa danych.
Jak widać trochę zmieni się w kwestii przetwarzania danych osobowych. RODO dotyczy także sprzedawców internetowych przed którymi sporo pracy, jeżeli nie zaczęli się jeszcze przygotowywać do jego nadejścia.
Najważniejsze, by pamiętać o:
– powołaniu Inspektora Ochrony Danych Osobowych;
– zaktualizowaniu umów z firmami zewnętrznymi;
– stworzeniu rejestru czynności przetwarzaniu;
– zaktualizowani formularzy, którymi pozyskuje się dane osobowe klientów, by wymogi informacyjne były spełnione;
– dodatkowych informacjach dla klientów odnośnie usunięcia ich danych, czy przeniesienia ich do innego podmiotu;
– zgodzie, którą klient musi wyrazić, by móc go profilować;
Sprzedawco, RODO wchodzi w życie już 25 maja 2018 roku. Zrób wszystko, by być gotowym na jego przyjście.
Jakie są najpopularniejsze zbiory danych osobowych w sklepie internetowym i czy można je zgłosić razem?
Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też wdrożenia dokumentacji i odpowiedniego zabezpieczenia danych.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych administratora danych do zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków zwalniających go z tego obowiązku, o których mowa w art. 43 ust. 1 ustawy.
W rozumieniu ustawy, zbiór danych to
„każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy).
Jedno zgłoszenie – jeden zbiór
Ustawa o ochronie danych osobowych wskazuje, iż jedno zgłoszenie zbioru danych powinno obejmować tylko jeden zbiór danych osobowych (art. 41 ustawy). Każdy zbiór danych osobowych, który jest zgłaszany przez Administratora danych różni się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru.
W żadnym wypadku wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwoli w sposób właściwy scharakteryzować poszczególnych zbiorów objętych tym zgłoszeniem.
Tym samym zgłoszenie kilku zbiorów w jednym wniosku uniemożliwi wskazanie elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze. A co za tym idzie nie będzie możliwe stwierdzenie, jaki zakres informacji, o którym mowa w art. 41 ust. 1 ustawy, dotyczy każdego ze zbiorów.
Art. 41. 1. Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub 14 miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39, 6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
A zatem skoro dane osobowe klientów sklepu internetowego przetwarzane są w różnych celach, jak np. realizacja zamówień klientów sklepu internetowego, prowadzenie statystyk, marketing, prowadzenie bazy umów cywilnoprawnych, to dla ich realizacji potrzebny będzie różny zakres danych osobowych.
Zatem taka baza danych osobowych sklepu internetowego zawiera faktycznie kilka zbiorów danych prowadzonych w różnych celach. Każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym, w którym zostanie uwzględniony odpowiedni zakres danych osobowych oraz cel, dla jakiego są one przetwarzane.
Zbiory danych w e-sklepie
Pamiętając o zasadzie jeden zbiór – jeden cel przetwarzania należy wyodrębnić zbiory danych osobowych w e-sklepie.
Zbiór danych powinien posiadać strukturę. Dane powinny być uporządkowane np. alfabetycznie, wg daty lub numerów identyfikacyjnych.
Zbiór danych powinien być dostępny według określonych kryteriów – chodzi o możliwość przeszukiwania zbiorów, np. wg daty dokonania zakupu, adresu zamieszkania klienta itp.
Zbiór danych może być rozproszony lub podzielony funkcjonalnie. Dane osobowe klientów e-sklepu mogą znaleźć się również poza tzw. bazą danych e-sklepu, czyli np. jeśli sklep korzysta z zewnętrznej obsługi księgowej – dane znajdą się również w oprogramowaniu księgowym; jeśli e-sklep korzysta z zewnętrznego oprogramowania do rozsyłania mailingu, dane pojawią się z pewnością również tam.
Przykładowe zbiory danych w sklepie internetowym:
KLIENCI
Sklep internetowy gromadzi dane klientów takie jak np. ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dzieje się to podczas składania zamówienia, zakładania przez klienta konta w e-sklepie czy też podczas sprzedaży w sklepie stacjonarnym.
MARKETING
Aby zamówić newsletter Klient musi podać na stronie E-sklepu swój adres e-mail. Niezależnie od tego czy jest to klient zarejestrowany, czy też nie.
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy o ochronie danych osobowych.Jeśli to jedyne działanie marketingowe w e-sklepie – można ów zbiór zatytułować „NEWSLETTER”.
W sytuacji gdy e-sklep organizuje promocje handlowe i promocje dla konsumentów – czyli dociera do konkretnych klientów z rabatami, ofertami specjalnymi, obniżkami – na podstawie różnych metod segmentacji (pojęcie marketingu jest szersze), nazwa zbioru winna mieć bardziej pojemny zakres.
PRACOWNICY
W przypadkach większości e-sklepów zatrudniani są pracownicy.
Na szczęście, obowiązkowi zgodnie z Art. 43 ust. 1 pkt 4 uodo nie podlegają zbiory danych osób zatrudnionych u ADO na podstawie stosunku pracy, o którym mowa wKodeksie pracy, a także dane osób świadczących na rzecz administratora usługi na podstawie umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło), co nie oznacza, że nie podlegają one ochronie.
Taki zbiór należy jednak również wskazać w ewidencji.
Każdy e-sklep może gromadzić dane osobowe z różnych źródeł, dlatego wskazane powyżej zbiory danych osobowych mają jedynie przykładowy charakter.
Nie podlegają rejestracji również zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (art. 43 pkt. 8 ustawy o ochronie danych osobowych).
Główne cele przetwarzania danych osobowych w sklepach internetowych, na jakie wskazuje GIODO to:
Realizacja zamówień klientów
Marketing (np.wysyłka newslettera)
Prowadzenie bazy umów cywilnoprawnych
Prowadzenie statystyk
Podsumowanie
Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO. Zgłaszając zbiór nie należy przedkładać żadnej listy dotychczasowych klientów w GIODO a jedynie dany zbiór określając cel przetwarzania zawartych w nim danych osobowych. Wskazane w artykule zbiory danych mają jedynie przykładowy charakter, każdy sklep internetowy może mieć ich mniej lub więcej. Dlatego tak ważne przed przystąpieniem do rejestracji jest wnikliwe przeanalizowanie zakresu przetwarzanych danych i celów, w jakich są one przetwarzane.
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych reguluje, kiedy firmy mogą przesyłać swoim klientom oferty marketingowe. Jeśli w ten sposób promują własne produkty lub usługi – nie mają obowiązku pozyskiwania zgody klienta. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych
Prawnie usprawiedliwionym celem administratora danych jest marketing bezpośredni własnych produktów i usług. Można więc wykorzystywać dane w tym celu, pod warunkiem że nie narusza to praw i wolności osoby, której dane dotyczą.
Marketing produktów i usług obcej firmy
Przesyłanie klientom ofert marketingowych innej firmy będzie możliwe jedynie za ich zgodą.
Nie istnieją bowiem przepisy prawa, które pozwalałyby na uznanie, że przesyłanie oferty marketingowej innego podmiotu jest działaniem dopuszczalnym jako prawnie usprawiedliwiony interes administratora danych.
Nie pomoże w tym również wzajemna umowa w sprawie wzajemnej promocji produktów i usług.
Podsumowanie
Jeśli zamierzamy wysyłać swoim klientom oferty marketingowe celem promocji własnej marki – nic nie stoi na przeszkodzie. Jeśli natomiast chcemy legalnie promować produkty innej firmy – musimy pamiętać by w tym celu pozyskać od klienta zgodę.
Każdy Administrator danych, w tym właściciel sklepu internetowego, aby przetwarzać dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, musi wypełnić obowiązki jakie nakłada na niego ustawa. Powinien dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych.
Jak przetwarzać zgodnie z prawem?
W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych:
przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zatem każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa dotyczących przetwarzania danych osobowych, w tym z przepisów ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych.
Z prawnego punktu widzenia przepisów o ochronie danych osobowych najważniejsze jest przede wszystkim to by podmiot decydujący o celach i środkach przetwarzania danych osobowych przetwarzając zarówno dane zwykłe jak np. imię, nazwisko czy adres zamieszkania określone w art. 23 ust 1 pkt 1-5 ustawy o ochronie danych osobowych jak i dane wrażliwe takich jak np. dane o stanie zdrowia czy poglądach politycznych – art. 27 ust. 2 pkt 1-10 ustawy spełnił warunki stanowiące o zgodnym z prawem przetwarzaniu danych osobowych, czyli:
1. dopełnił – ustanowionego w art. 40 ustawy o ochronie danych osobowych – obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) – zgłoszenie zbioru danych do rejestracji jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Katalog tych wyjątków jest zamknięty i nie może być interpretowany rozszerzająco. Oceny tego, czy zbiór należy zgłosić do rejestracji, administrator danych dokonuje sam, przy czym zwolnienie zbioru danych z rejestracji jest możliwe tylko wówczas, gdy przesłanka uprawniająca do odstąpienia od rejestracji dotyczy wszystkich danych zawartych w zbiorze,
2. zastosował odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – administrator jest bowiem zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych),
3. wypełnił obowiązki informacyjne ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy o ochronie danych osobowych, chyba że administrator danych jest z niego zwolniony – w przypadku zbierania danych bezpośrednio od osoby, której dotyczą (art. 24) administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (a gdy obowiązek ten istnieje – o jego podstawie prawnej). W przypadku zbierania danych nie od osoby, której one dotyczą (art. 25),administrator – zaraz po utrwaleniu danych – musi poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych,
4. dołożył szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (o czym stanowi art. 26 ust. 1 pkt. 1 – 4 ustawy o ochronie danych osobowych),
5. respektował prawa osób, których dane dotyczą – prawa te wymienione są w rozdziale 4 ustawy o ochronie danych osobowych i dotyczą kontroli procesu przetwarzania danych.
Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych (art. 49 – art. 54a).
Każdy z tych warunków jest autonomiczny.
Podsumowanie
Bez znaczenia jest z punktu widzenia prawa to, czy sklep internetowy jest prowadzony w mieszkaniu czy w odrębnym biurze. Ustawa nakłada na wszystkich administratorów danych jednakowy obowiązek stosowania odpowiednich do poziomu bezpieczeństwa systemów informatycznych przetwarzających dane osobowe zabezpieczeń.
Każdy administrator musi opracować dokumentację z zakresu ochrony danych osobowych i dokonać zgłoszeń zbiorów danych osobowych do GIODO, o ile nie podlega wyłączeniom w tym zakresie.
Po spełnieniu wszystkich tych przesłanek przetwarzanie danych osobowych w mieszkaniu będzie zgodne z prawem.
Na tak postawione pytaie należy odpowiedzieć PRZECZĄCO:
1. NIE KAŻDY sklep musi być zgłoszony do Generalnego Inspektora Ochrony Danych Osobowych.
2. Co więcej, ustawa o ochronie danych osobowych NIE WYMAGA zgłaszania do GIODO sklepu internetowego a zbiorów danych osobowych, które taki sklep przetwarza.
Od razu jednak musimy dodać, że wszystkich sprzedawców internetowych obowiązuje ustawa o ochronie danych osobowych, a większość sprzedawców musi jednak dokonać zgłoszenia zbiorów danych osobowych do GIODO.
To jak to jest z tym zgłoszeniem?
Każdy e-sklep w związku z realizacją zamówień gromadzi i przetwarza dane osobowe swoich Klientów. Są to dane t.j. imię i nazwisko, adres zamieszkania, adres e-mail, numer telefonu i tym podobne. W ten sposób staje się administratorem danych osobowych i spada na niego obowiązek zgłoszenia zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych.
Większości sprzedawców wydaje się, że uda się uniknąć rejestracji z uwagi na ART.43.1 pkt. 8 Ustawy o Ochronie Danych Osobowych :
“Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: (…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, (…)”
Jednak e-sklep to nie tylko faktury czy rachunki.
Dane osobowe Klientów gromadzone są przede wszystkim w celu realizacji zamówień, płatności, w celach marketingowych itp.
Administrator danych powinien przeanalizować i wyodrębnić zbiory i cele, w jakich przetwarza dane osobowe klientów i czy zachodzi którakolwiek z przesłanek zwalniająca go z obowiązku rejestracji zbioru u Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Czy każdy e-sklep musi zarejestrować zbiory danych w GIODO?
Od 1 stycznia 2015 roku z obowiązku rejestracji zbioru w GIODO zwolnione będą sklepy internetowe, które powołają Administratora bezpieczeństwa informacji i zgłoszą go do GIODO. Jawny rejestr zbiorów u danego Administratora będzie prowadził ABI.
Nie jest to zwolnienie bezwzględne, albowiem jeśli w e-sklepie przetwarzane są dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane, które dotyczą skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych wydanych w postępowaniu sądowym lub administracyjnym itp. to taki zbiór będzie podlegał rejestracji.
Jest to sytuacja niezmiernie rzadka w praktyce sklepów internetowych, ale trzeba o tym pamiętać.
Jeśli administrator danych w sklepie internetowym nie powoła administratora bezpieczeństwa informacji, powinien zanim rozpocznie faktyczną sprzedaż, dokonać rejestracji zbiorów danych w GIODO.
Art. 43 ustawy o ochronie danych wskazuje przypadki wyłączeń obowiązku rejestracji zbiorów danych osobowych:
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne; 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności; 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym; 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej; 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym; 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej; 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego; 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego; 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności; 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; 9) powszechnie dostępnych; 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; 12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1. 1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 przetwarzanie niektórych kategorii danych ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ponowne zgłoszenia do rejestracji powołania administratora bezpieczeństwa informacji ust. 2. 2. W odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi nie przysługują uprawnienia określone w art. 12 zadania Generalnego Inspektora pkt 2, art. 14 uprawnienia inspektorów pkt 1 i 3-5 oraz art 15-18.
Obowiązuje zasada: jeśli zbiór nie mieści się w tym artykule – podlega rejestracji.
Podsumowanie
Prowadząc sklep internetowy trzeba pamiętać o wszystkich obowiązkach, jakie nakłada na sprzedawcę prawo. Prawo nie nakazuje rejestracji sklepu internetowego w GIODO. Ustawa o ochronie danych osobowych przewiduje dwie możliwości dla sprzedawców – powołać ABI-ego albo zarejestorwać zbiory danych osobowych w GIODO samodzielnie.
Nieznajomość prawa szkodzi, także w e-biznesie. Dobry sprzedawca to taki, który zna regulacje prawne lub korzysta z pomocy specjalistów i w oparciu o to racjonalizuje biznesowe działania, budując tym samym wizerunek rzetelnego sprzedawcy.
Uznanie informacji za marketingową albo handlową rodzi określone skutki nie tylko biznesowe, ale również prawne.
Przedsiębiorcy mają wiele problemów z wyodrębnieniem i identyfikacją zbiorów danych osobowych, tworzeniem klauzul zgody jak i samym zbieraniem tychże zgód. Pojawiają się kłopoty z zakwalifikowaniem określonych informacji jako informacji handlowych, przez co często dochodzi do przesyłania drogą elektroniczną niezamówionej informacji handlowej.
Zbiory danych a marketing i informacja handlowa
Dla wyodrębnienia zbioru danych osobowych wystarczy jedno kryterium. Art. 7 pkt.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wskazuje, iż zbiór danych to zestaw danych o charakterze osobowym, który jest dostępny według określonych kryteriów.
Przedsiębiorca, który zechce wysyłać informacje marketingowe a zarazem handlowe do swoich klientów powinien wyodrębnić dwa oddzielne zbiory danych osobowych z uwagi na inne kryterium celu ich przetwarzania:
1. zbiór prowadzony w celu marketingu 2. zbiór prowadzony w celu przesyłania informacji handlowej
Ustawa o ochronie danych osobowych mówi o marketingu bezpośrednim własnych produktów lub usług Administratora danych, który o ile jest niezbędny dla wypełnienia prawnie usprawiedliwionych celów Administratora i nie narusza praw i wolności osoby, której dane dotyczą, o tyle jest dozwolony.
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5. jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane – a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Marketing własny produktów i usług jest w praktyce dozwolony lecz zawsze należy zbadać w odniesieniu do danego przypadku, czy zachodzi przesłanka prawnie usprawiedliwionego celu, o której mowa w art. 23 ust.1 pkt.5 ustawy o ochronie danych osobowych.
Czym jest marketing?
Marketing posiada wiele definicji naukowych, ale nie istnieje żadna uniwersalna definicja tego pojęcia. Według Philipa Kothlera marketing jest kombinacją narzędzi, jakimi posługuje się firma, aby osiągnąć pożądane cele na rynku docelowym.
W praktyce działania marketingowe stanowią najczęściej konkursy promocyjne, gry czy reklamę.
Informacja handlowa jest pojęciem prawnym, które zostało uregulowane w dyrektywie 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa handlu elektronicznego):
Art. 2 Definicje
Do celów niniejszej dyrektywy następujące pojęcia oznaczają:
[…] f) „informacja handlowa”: każda forma informacji przeznaczona do promowania, bezpośrednio lub pośrednio, towarów, usług lub wizerunku przedsiębiorstwa, organizacji lub osoby prowadzącej działalność handlową, gospodarczą, rzemieślniczą lub wykonującą zawód regulowany.
Następujące informacje same w sobie nie stanowią informacji handlowych:
– informacje umożliwiające bezpośredni dostęp do działalności przedsiębiorstwa organizacji lub osoby, w szczególności nazwa domeny lub adres poczty elektronicznej,
– informacje odnoszące się do towarów, usług lub wizerunku przedsiębiorstwa, organizacji lub osoby, opracowywane w sposób niezależny, w szczególności jeżeli są one udzielane bez wzajemnych świadczeń finansowych;
i wskazane w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną:
Art.2 Określenia użyte w ustawie oznaczają: […] 2. informacja handlowa – każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi,
Ponadto ustawa doprecyzowuje:
Art. 9. 1. Informacja handlowa jest wyraźnie wyodrębniana i oznaczana w sposób niebudzący wątpliwości, że jest to informacja handlowa. 2. Informacja handlowa zawiera: 1) oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne, 2) wyraźny opis form działalności promocyjnej, w szczególności obniżek cen, nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści związanych z promowanym towarem, usługą lub wizerunkiem, a także jednoznaczne określenie warunków niezbędnych do skorzystania z tych korzyści, o ile są one składnikiem oferty, 3) wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.
Przesyłanie przez przedsiębiorców informacji handlowych drogą elektroniczną do swoich klientów będzie wymagało odebrania uprzedniej zgody od tych osób uprawniających go do przetwarzania ich danych osobowych w tym właśnie celu.
W przypadku przetwarzania danych w celach marketingowych wymóg zbierania zgód nie zawsze będzie obowiązkowe.
W sytuacji jednak gdy zajdzie konieczność odebrania zgody od podmiotu należy pamiętać klauzula zgody przetwarzania danych w celach marketingowych nie będzie mogła zostać połączona z przetwarzaniem danych w celu przesyłania informacji handlowej.
„umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować, że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną albo że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczną i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą”.
Przedstawione stanowisko znalazło poparcie w wyroku NSA z 31 stycznia 2012 r. (sygn. akt I OSK 1317/11).
Stanowisko to potwierdził również Wojewódzki Sąd Administracyjny w Warszawie w orzeczeniu z dnia 15 czerwca 2010r. (sygn. akt. II SA/Wa 556/10).
Konsekwencją sformułowania jednego oświadczenia woli obejmującego zarówno zgodę, o której mowa w art. 7 pkt 5 ustawy o ochronie danych osobowych (przetwarzanie danych osobowych w celach marketingowych), jak i zgodę określoną w art. 4 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (otrzymywanie informacji handlowych za pomocą poczty elektronicznej), czyli de facto zgodę na dwa różne sposoby przetwarzania udostępnionych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania czego zgoda dotyczy, może być mylne wyobrażenie osoby wyrażającej zgodę co do tego, na co faktycznie się godzi. W takim przypadku nie można mówić o spełnieniu przez administratora danych wymogu zapewnienia osobie, której dane dotyczą, swobodnego i nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie jej danych osobowych, ponieważ podmiot danych, wyrażając chęć otrzymywania informacji handlowych na adres poczty elektronicznej, musi jednocześnie złożyć oświadczenie woli w przedmiocie zgody na przetwarzanie jego danych osobowych w celach marketingowych wynikającą z przepisów ustawy o ochronie danych osobowych, a osoba, której dane dotyczą, zainteresowana otrzymywaniem materiałów reklamowych dotyczących usług i produktów oferowanych przez inne niż administrator danych podmioty wyłącznie tzw. pocztą tradycyjną, zobowiązana jest jednocześnie do wyrażenia woli na przesyłanie na jej adres poczty elektronicznej informacji handlowych.
Zawarcie w jednej klauzuli zgody osoby, której dane dotyczą, na przesyłanie na podany przez nią adres e-mail informacji handlowych ze zgodą na przetwarzanie jej danych osobowych w celach marketingowych może wpłynąć na brak możliwości ich swobodnego odwołania.
Art. 4 ust. 1 pkt 2 uśude stanowi, że jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta może być odwołana w każdym czasie, zaś już przepisy ustawy o ochronie danych nie regulują kwestii odwołania uprzednio wyrażonej zgody.
W sytuacji zawarcia dwóch zgód w jednej klauzuli osoba zainteresowana może nie mieć możliwości odwołania tylko jednej ze zgód, np. gdyby chciała odwołać zgodę na marketing telefoniczny.
Podsumowanie
Przedsiębiorcy powinni umieć dostrzec różnicę pomiędzy działaniami podejmowanymi w celach marketingowych oraz w celach przesyłania informacji handlowych. Działania te będą rodzić określone skutki prawne w zakresie ochrony danych osobowych. Konstruując klauzulę zgody należy pamiętać o zasadzie – jedna zgoda – jeden cel.
Marketing usług własnych można potraktować jako uzasadniony cel administratora danych osobowych, ale trzeba go każdorazowo wyważyć (nie może on bowiem naruszać praw i wolności osób np. korzystających z usługi).
