W dobie dynamicznego rozwoju struktury informacyjnej, wiele społecznych aktywności dotychczas zarezerwowanych dla świata realnego coraz to częściej przenoszone jest do świata wirtualnego. Taka sytuacja ma miejsce również w przypadku handlu, skutkiem czego jest powstawanie coraz to nowych sklepów internetowych.
Prowadzenie sklepu internetowego wiąże się z koniecznością przetwarzania danych osobowych klientów. Osoby prowadzące sprzedaż w tej formie często nie wiedzą jednak, że w związku z przetwarzaniem danych osobowych, przepisy prawa nakładają na nie, w tym zakresie, szereg obowiązków. W szczególności zgodnie z treścią art. 40 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. 2002 Nr 101, poz. 926 ze zm.), mają one obowiązek zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a niedopełnienie tego obowiązku może przynieść dotkliwe konsekwencje prawne.
Co to są dane osobowe?
Na definicję danych osobowych wskazuje art. 6 wyżej wymienionej ustawy, a mianowicie: dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Kolejna regulacja (art. 7 pkt 1) określa pojęcie zbioru danych osobowych. Przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Kim właściwie jest GIODO?
Otóż, Generalny Inspektor Ochrony Danych Osobowych to organ do spraw ochrony danych osobowych działający na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Głównym zadaniem GIODO jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dlatego też może on wyciągnąć konsekwencje z nieprzestrzegania obowiązku zgłoszenia zbioru prowadzonego przez sklep Internetowy GIODO.
Czy sprzedawca internetowy ma obowiązek zgłoszenia bazy danych osobowych do GIODO?
Prowadzenie działalności gospodarczej związane jest sporą liczbą regulacji, których przestrzeganie jest warunkiem koniecznym do jej rozpoczęcia oraz prowadzenia. Jednym z dylematów sprzedawców internetowych pojawiających się przy tej okazji jest kwestia obowiązku zgłoszenia zbioru danych osobowych przetwarzanego przez sklep Internetowy GIODO (Głównego Inspektora Ochrony Danych Osobowych) w związku z przetwarzaniem danych osobowych swoich klientów.
Dane, które przetwarzane są przez sprzedawców internetowych w celu prawidłowej realizacji umowy, niewątpliwie mają charakter danych osobowych, o których mowa w ustawie o ochronie danych osobowych.
Tym samym bazy danych sklepów internetowych spełniają wszystkie przesłanki wymienione w art. 40 i podlegają obowiązkowi rejestracji.
Rejestracja bazy danych osobowych do GIODO wymaga skompletowania odpowiedniej dokumentacji. Dlatego też, w razie jakichkolwiek pytań oraz wątpliwości, prawnicy naszego portalu oraz partnerzy w zakresie GIODO są do Państwa dyspozycji.
W branży handlu internetowego, dane klientów gromadzone są niemalże zawsze w systemie informatycznym. W związku z tym, istnieje konieczność stworzenia dokumentu instrukcja zarządzania systemem informatycznym w celu uregulowania oraz określenia sposobu zarządzania danymi w formie elektronicznej.
Posiadanie sklepu internetowego wymusza na sprzedawców stworzenie dokumentu, niezależnie od formy prowadzenia sklepu. Ustawodawca traktuje każdą platformę sklepową jako program informatyczny, którego wykorzystywanie warunkuje posiadanie wspomnianego dokumentu. Wszystkie poboczne programy wykorzystujące dane klientów sklepu np. programy księgujące lub fakturujące również wymagają utworzenia instrukcji zarządzania systemem informatycznym.
Proces tworzenia instrukcji jest szczegółowo opisany w wytycznych z GIODO. Zgodnie z nimi, dokument winien składać się z ośmiu rozdziałów. Pierwszym z nich jest rozdział dotyczący uprawnień do przetwarzania danych osobowych z wykorzystaniem systemu informatycznego. Opisane w nim są procesy nadawania uprawnień oraz cel i zakres tego uprawnienia. Kolejną istotną częścią instrukcji zarządzania systemem informatycznym jest rozdział dotyczący kwestii wykorzystania elektronicznych systemów bezpieczeństwa — sposobu tworzenia kont użytkowników oraz ich bezpieczeństwa.
Kolejny dział dokumentu poświęcony jest procedurze uruchamiania, korzystania oraz wyłączania systemu informatycznego. Ta z pozoru błaha kwestia jest kluczowa do posiadania pełnowartościowego dokumentu instrukcji i nie może zostać pominięta. Dalsze rozdziały obejmują kwestie tworzenia kopii zapasowych, miejsca i sposobu przechowywania danych oraz sposobu zabezpieczenia systemu informatycznego przed złośliwym oprogramowaniem.
Prowadząc sprzedażową działalność w sieci należy ze szczególną uwagą przygotować instrukcję zarządzania systemem informatycznym. W tej branży jest to najistotniejszy dokument związany z ochroną danych. Na podstawie tego dokumentu, podczas kontroli GIODO lub PIP ocenia się zdolność do administracji danymi osobowymi w sposób cyfrowy — czyli powszechnie stosowany przez sprzedawców internetowych. W przypadku błędnego przygotowania dokumentu, GIODO może ograniczyć zarządzanie danymi jedynie do ich przechowywania, w praktyce uniemożliwiając prowadzenia działalności e-sklepu.
Z powodu wysokiej kompleksowości, opisywany dokument należy przygotować z należytą starannością. Można również skorzystać z usług pomocy w zakresie kompleksowego złożenia dokumentów do GIODO.
Każdy administrator danych osobowych według zapisów z ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych ma obowiązek odpowiednio zabezpieczyć proces magazynowania oraz przetwarzania danych osobowych. Właściciele sklepów internetowych, którzy gromadzą bazy swoich klientów muszą utworzyć odpowiednią dokumentację, która określi sposób oraz metody zapewniające ochronę danych osobowych.
Dokumentacja opisująca sposób przetwarzania danych to:
polityka bezpieczeństwa
instrukcja zarządzania systemem informatycznym
Polityka bezpieczeństwa danych osobowych — zawartość i rola
Polityka bezpieczeństwa to jeden z najważniejszych dokumentów, które wymagane są przy procesie składania wniosku o rejestracje zbiorów danych w GIODO. To dokument, który winien stanowić zbiór reguł związanych z procesem przetwarzanie danych osobowych, które obowiązują u administratora danych osobowych.
Zadaniem dokumentu jest szczegółowe opisanie procesów które związane są z przetwarzaniem danych personalnych. Stanowi również informację dla klientów sklepu, które ich dane są gromadzone oraz w jakim celu są przetwarzane. Profesjonalnie przygotowana polityka bezpieczeństwa zawiera m.in. następujące dane:
objaśnienie pojęcia bezpieczeństwa informacji, jej celu oraz zakresu
oświadczenie dotyczące celu oraz intencji gromadzenia danych przez podmiot upoważniony
wyjaśnienie polityki bezpieczeństwa informacji obowiązującej w danej firmie, wyszczególnienie ich standardów oraz informacja o zgodności procedur z literą prawa
informacja o obowiązkach związanych z zarządzaniem danymi osobowymi przez osoby upoważnione
wykaz budynków raz pomieszczeń w których dokonuje się proces gromadzenia i przetwarzania danych, a także dane o nośnikach na których zbierane są informacje (istotne w przypadku działalności sklepu internetowego)
Rzetelnie przygotowany dokument polityki bezpieczeństwa gwarantuje pewność, iż jest ona zgodna z wymaganiami określonymi w ustawie o ochronie danych osobowych. Możesz powierzyć jego utworzenie ekspertom w dziedzinie prawa e-commerce lub przygotować dokument samemu, za pomocą dostępnych wzorów.
Generalny Inspektor Ochrony Danych Osobowych, bo tak brzmi pełne rozwinięcie skrótu, to organ, który ma za zadanie kompleksowo analizować oraz kontrolować zgodność procesu przetwarzania danych osobowych z ustawowymi regulacjami o ich ochronie. Ponadto, do obowiązków GIODO należy rozpatrywanie skarg oraz wydawanie decyzji dotyczących respektowania przepisów prawnych o ochronie danych osobowych. Prowadzi również publiczną ewidencję zbiorów danych osobowych.
Jako ekspercki organ doradczy, Generalny Inspektor Ochrony Danych Osobowych opiniuje projekty ustaw oraz rozporządzeń, które mają bezpośredni wpływ na kształt przepisów dotyczących ochrony danych personalnych.
Zakres praw i obowiązków GIODO ma bezpośredni wpływ na branżę e-commerce. Bardzo często pod lupą GIODO są prawne kwestie sklepów internetowych, takie jak polityka prywatności sklepu internetowego oraz instrukcja zarządzania systemem informatycznym w sklepie internetowym. Do obowiązku sprzedawców internetowych należy odpowiednie przygotowanie powyższych dokumentów na podstawie dostępnych wzorów, lub powierzenie całego procesu wykwalifikowanej firmie. Bardzo często upoważnione organy dokonują kontroli właśnie w tym zakresie.
Kontrole Generalnego Inspektora Ochrony Danych Osobowych
Zgodnie z wymienionymi wcześniej kompetencjami, GIODO ma funkcjonalny obowiązek dokonywania okresowych kontroli przestrzegania zasad ustawy o ochronie danych osobowych przez podmioty owe dane przetwarzające. Taka kontrola obejmuje pełną analizę procesu zbierania, gromadzenia, przetwarzania, a także usuwania i magazynowania danych osobowych. Kontrola jest zazwyczaj zapowiedziana i zgodnie z jej zasadami, upoważnionym organom przysługuje prawo do wstępu do pomieszczenia w którym znajdują się zbiory danych (w godzinach od 6:00 do 22:00, za okazaniem legitymacji), przesłuchiwania osób odpowiedzialnych za zbiory, wglądu do wszystkich dokumentów mających związek z kontrolą — w tym dokumentów objętych klauzulą poufności.
Obecnie, największy nacisk podczas kontroli kładzie się na analizę systemów informatycznych, które odpowiedzialne są za gromadzenie oraz przetwarzanie danych osobowych. W przypadku sklepu internetowego, jest to bardzo ważne, gdyż w większości przypadków takie zbiory znajdują się na serwerach firmy zewnętrznej. Należy pamiętać, aby w odpowiednim czasie — jeszcze przed pozyskaniem pierwszego klienta, wykonać zgłoszenie odpowiedniej dokumentacji oraz zbiorów danych osobowych w GIODO, aby podczas kontroli nie obawiać się pouczeń i kar.
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych jasno i precyzyjnie określa czym są dane osobowe. Zgodnie z nią przez dane osobowe rozumiemy wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przekładając język prawa na język potoczny — są to dane konkretnej, rzeczywistej osoby o uregulowanej prawnie tożsamości, lub osoby której tożsamość można ustalić znając jej informacje osobowe.
Zgodnie z definicją danych osobowych, możemy do nich zaliczyć następujące informacje:
imię i nazwisko
adres zameldowania
adres zamieszkania
numer PESEL
numer NIP
numery dokumentów tożsamości
Jednakże, ciągle postępujący rozwój technologii sprawił, iż nastąpiła konieczność doprecyzowania ogólnych zapisów z ustawy o ochronie danych osobowych.
Nowoczesne dane osobowe to także:
adresy e-mail
wizerunek osoby
dźwięk głosu
dane biometryczne:
wizerunek twarzy
linie papilarne
obraz tęczówki
informacja o kodzie genetycznym
Zgodnie z aktualną doktryną prawa, są to dane na podstawie których można zidentyfikować osobę fizyczną i w związku z tym, również podlegają pod ustawę o ochronę danych osobowych. Wszystkie dane osobowe przechowywane i przetwarzane w sposób elektroniczny, takie jak dane klientów sklepu internetowego, również podlegają pod powyższą ustawę.
Przetwarzanie danych osobowych
Przetwarzanie danych osobowych, zgodnie z ustawą, to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Prawo jasno określa sytuacje, w których można przetwarzać dane osobowe. Nadrzędną zasadą jest konieczność wyrażenia zgody na przetwarzanie danych osobowych osoby, której owe dane dotyczą. Przetwarzanie danych osobowych w przypadku składania zamówień przez klientów sklepu internetowego, jest konieczne i zgodne z literą prawa, gdyż bez procesu przetwarzania danych nie byłoby możliwości sfinalizowania umowy kupna-sprzedaży. Ponadto, umożliwia sprzedawcom internetowym tworzenie baz danych klientów, które są jednym z kluczowych narzędzi w e-handlu.
Prawidłowe i umiejętne przetwarzanie danych osobowych w branży handlu internetowego może być doskonałym sposobem na udane działania marketingowe. Dzięki wnikliwej analizie profilu konsumenta danej grupy towarów oraz okresu w jakim dany towar jest kupowany, sprzedawca może stworzyć bardzo dokładny plan działań marketingowych oraz przewidzieć konieczność zaopatrzenia sklepu w większą ilość danych towarów.
Dodatkową korzyścią gromadzenia danych osobowych i ich przetwarzania jest możliwość tworzenia baz adresów e-mail klientów. Dzięki temu, sprzedawca internetowy może stworzyć własny newsletter, który będzie personalizowany zgodnie z preferencjami poszczegółnych grup klientów.
Specyficznym rodzajem danych, których nie wolno przetwarzać są dane wrażliwe. Do danych wrażliwych zaliczamy m.in.:
przynależność wyznaniową
przynależność polityczną
stan zdrowia
pochodzenie rasowe lub etniczne.
Jak widać, dane osobowe to temat niezwykle złożony i wymagający szczególnej ostrożności i uwagi, zarówno ze strony podmiotu je udostępniającego jak i przetwarzającego. W branży e-commerce niezwykle istotna jest właściwa ochrona danych osobowych, gdyż jakiekolwiek ubytki lub niedopatrzenia w tej kwestii mogą bardzo źle wpłynąć na niektóre obszary internetowej działalności handlowej.
