To, czy przedsiębiorcy i inne instytucje przestrzegają przepisów Kodeksu pracy oraz przepisów z zakresu ochrony danych osobowych będzie mogło być sprawdzane podczas jednej kontroli prowadzonej albo przez pracowników Biura GIODO, albo Państwowej Inspekcji Pracy (PIP). Warunkiem połączenia kontroli jest dobra znajomość szczególnych przepisów prawa i jego interpretacji przez inspektorów obydwu instytucji.
Porozumienie GIODO – PIP
14 grudnia 2012 roku zawarte zostało porozumienie pomiędzy Państwową Inspekcją Pracy a Biurem Generalnego Inspektora Ochrony Danych Osobowych, w treści którego określone zostały zasady współpracy tych organów:
Porozumienie określa zasady współdziałania PIP i GIODO w realizacji ustawowych zadań dla podniesienia skuteczności działań na rzecz przestrzegania przepisów o ochronie danych osobowych w stosunkach pracy.
Porozumienie zobowiązuje PIP do zawiadomenia GIODO o „stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
Realizowanie kontroli przez inspektorów PIP było dotychczas znacznie utrudnione z uwagi na ich ograniczoną wiedzę w zakresie ochrony danych osobowych.
Jak twierdzi dr Wojciech Wiewiórowski (GIODO)
„W przypadku instytucji publicznych często zawarcie oficjalnego porozumienia po prostu ułatwia działania organizacyjne”.
Celem porozumienia była w związku z tym wymiana doświadczeń z kontroli oraz podnoszenie kwalifikacji pracowników PIP i GIODO po to by mogły wspólnie prowadzić kontrole w zakresie przestrzegania ochrony danych osobowych.
Zakres porozumienia wskazano w:
§ 2, który mówi:
1. Państwowa Inspekcja Pracy zawiadamia GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO informuje Państwową Inspekcję Pracy o wynikach postępowania w sprawie nieprawidłowości określonych w zdaniu pierwszym.
2. GIODO zawiadamia Państwową Inspekcję Pracy o stwierdzonych w czasie kontroli naruszeniach przepisów prawa pracy.
§ 3 Współdziałanie stron realizowane jest również poprzez:
1. wzajemną wymianę doświadczeń wynikających z kontroli realizowanych przez każdą ze Stron w ramach swoich kompetencji, w zakresie spraw objętych współdziałaniem,
2. działania mające na celu podnoszenie kwalifikacji pracowników PIP i GIODO, w tym współpracę przy opracowywaniu programów szkoleń, wymianę wykładowców, zapewnienie pracownikom, w miarę zgłaszanych potrzeb i możliwości, udziału w kursach i szkoleniach organizowanych przez Strony,
3. prowadzenie wspólnie kontroli w uzgodnionym zakresie tematycznym,
4. konsultacje w zakresie doskonalenia metodyki prowadzenia kontroli w zakresie przestrzegania ochrony danych osobowych przez podmioty kontrolowane.
Więcej kontroli?
Porozumienie PIP – GIODO oznacza większą ilość kontroli procesów przetwarzania danych osobowych.
W całej Polsce, w jednym tylko roku 2015 PIP przeprowadziła blisko 90 000 kontroli (dane z http://www.pip.gov.pl ) podczas gdy GIODO w tym samym czasie mniej niż 200 (dane z http://www.giodo.gov.pl/) . Z pewnością kontrola PIP w zakresie ochrony danych zawsze będzie bardziej pobieżna niż inspekcja GIODO z uwagi na fakt, że inspektorzy PIP nigdy nie będą specjalistami w dziedzinie ochrony danych. Zatem inspektor PIP sprawdzi np. czy w kontrolowanym podmiocie funkcjonuje wymagana prawem dokumentacja (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemami Informatycznymi, upoważnienia do przetwarzania danych, ewidencja upoważnień), ale nie będzie już analizował szczegółowo jej zapisów. GIODO natomiast przy okazji przeprowadzanych kontroli zweryfikuje respektowanie prawa pracy przez kontrolowaną instytucję. Zapewni to kompleksowość kontroli. Jak wskazuje Dr Wojciech Rafał Wiewiórowski (GIODO):
„Kiedy sprawdzamy działania podejmowane przez przedsiębiorcę, ale również instytucje publiczne, możemy dojść do wniosku, że niektóre z nich nie mają wprawdzie charakteru naruszającego ustawę o ochronie danych osobowych, ale mogą naruszać inne uprawnienia pracowników. W tej sytuacji powinniśmy informować Państwową Inspekcję Pracy. Chodzi nam także o koordynację kontroli, tak żeby nie dochodziło do sytuacji, w której ta sama rzecz jest kontrolowana przez PIP i przez GIODO, raz po razie.”
Dwa urzędy = jednolita wykładnia
Porozumienie ma wpłynąć również na stworzenie jednolitej wykładni przepisów dotyczących prawa do prywatności pracowników przez obydwa urzędy.
Jest to istotne choćby z uwagi na fakt, jaki wskazuje Dr Wojciech Rafał Wiewiórowski (GIODO) iż:
„istnieje przekonanie, że GIODO nie dopuszcza zbierania danych biometrycznych od pracowników, co nie jest do końca prawdą. Nie dopuszczamy tego na potrzeby rozliczenia czasu pracy czy innych obowiązków, wynikających z Kodeksu pracy. Choć mogą też istnieć uzasadnione powody, związane z bezpieczeństwem, które powodują, że jest to możliwe. Jest to dozwolone, na przykład tam, gdzie chodzi o ochronę pomieszczenia albo konkretnego zasobu, który w tym pomieszczeniu się znajduje”
Podsumowanie
Zmiana w zakresie porozumienia GIODO i PIP, która weszła niedawno w życie miała na celu zwiększyć bezpieczeństwo danych osobowych przetwarzanych przez polskie przedsiębiorstwa i zlikwidować nadużycia dotyczące danych osobowych pracowników.
Dla przedsiębiorców ta zmiana oznacza, że uchybienia w tym zakresie będą częściej weryfikowane.
Idealny sklep pod względem ochrony danych osobowych to jaki?
Działalność sklepu internetowego nierozerwalnie wiąże się z przetwarzaniem danych osobowych, a co za tym idzie – sklep podlega ustawie o ochronie tych informacji oraz obowiązkowi rejestracji zbiorów danych osobowych w GIODO. Nie każdy właściciel sklepu internetowego zdaje sobie do końca jednak sprawę z tego, jakie ciążą na nim obowiązki.
Obowiązki właściciela sklepu internetowego
Każdy administrator danych powinien przede wszystkim przeanalizować, jakie dane osobowe przetwarza by właściwie wyodrębnić zbiory danych osobowych, a następnie zweryfikować, czy powinien zarejestrować swój zbiór w GIODO.
Przy analizie, pomocny będzie poniższy schemat:
kliknij, aby powiększyć
Cały proces rejestracji zbioru danych w GIODO można przejść za pośrednictwem specjalnej platformy internetowej e-giodo, gdzie wypełnia się wniosek online i – jeżeli właściciel nie ma podpisu elektronicznego – powinien wydrukować go, podpisać i wysłać do Biura Generalnego Inspektora Ochrony Danych Osobowych. Jeśli e-sklep przetwarza tylko dane zwykłe – od momentu rejestracji zbioru danych będzie mógł w pełni legalnie działać w internecie.
Oprócz rejestracji zbiorów właściciel powinien opracować jeszcze 2 dokumenty:
Politykę bezpieczeństwa informacji
Instrukcję zarządzania systemem informatycznym
Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każdy e-sklep powinien mieć opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
sposób przepływu danych pomiędzy poszczególnymi systemami
określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy. Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
sposób odnotowywania informacji o odbiorcach danych.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać.
Dokumenty te opisują w jaki sposób ADO przetwarza i chroni dane osobowe.
Są to dokumenty wewnętrzne, jednak należy je aktualizować w miarę potrzeb.
Właściciel powinien prowadzić ewidencję upoważnień do przetwarzania danych osobowych
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO. Upoważnienie musi zawierać:
imię i nazwisko
datę nadania
datę ustania
zakres upoważnienia – nazwa zbioru bądź elementu zbioru danych
Właściciel e-sklepu powinien również pamiętać o obowiązku informacyjnym, a zatem:
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
Celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
Prawie dostępu do treści swoich danych oraz ich poprawiania
Dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
W przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
Celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych
Źródle danych
Prawie dostępu do treści swoich danych oraz ich poprawiania
Uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 (chodzi o prawo do złożenia sprzeciwu wobec przetwarzania danych w celach marketingowych lub przekazywania ich innym podmiotom oraz żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której one dotyczą)
Zgodnie z art. 32 ust. 5 ustawy o ochronie danych osobowych, prawo do informacji przysługuje osobie zainteresowanej raz na 6 miesięcy. Obowiązek informacyjny to również udzielenie informacji osobie, której dane dotyczą na podst. art. 32 ust.1 pkt 1-5a ustawy o ochronie danych osobowych, takich jak:
czy zbiór istnieje;
od kiedy dane są przetwarzane;
jakie jest źródło pozyskania danych;
w jaki sposób dane są udostępniane;
jaki jest cel i zakres przetwarzania danych;
w jakim zakresie i komu dane zostały udostępnione.
ABI?
Ustawa o ochronie danych nie wymusza na administratorze danych osobowych (w naszym przypadku chodzi oczywiście o właściciela sklepu) wyznaczenie administratora bezpieczeństwa informacji. W obecnym stanie prawnym jest to prawo a nie obowiązek administratora danych.
ABI to osoba w firmie, która stoi na straży bezpieczeństwa informacji, kontroluje oraz szkoli pracowników pod względem zawartych procedur w polityce bezpieczeństwa.
Podsumowanie
By zbiór danych osobowych pojawił się w GIODO potrzeba trochę czasu. Jednak jeżeli w zbiorze nie znajdują się dane osobowe wrażliwe – nic nie stoi na przeszkodzie by e-sklep już po dokonaniu rejestracji zbioru mógł rozpocząć przetwarzanie danych. Niniejszy artykuł miał na celu wskazać co powinien uczynić przed faktycznym rozpoczęciem działalności właściciel by jego sklep internetowy mógł zyskać miano idealnego pod względem ochrony danych osobowych. Trzeba pamiętać, że rejestracja zbioru w GIODO i przygotowanie dokumentacji to nie wszystko. Każdy z tych dokumentów wymaga aktualizacji, a zasady w nich opisane, wdrożenia w życie i przestrzegania.
Kto i kiedy powinien zarejestrować zbiory – czyli jak powinna przebiegać prawidłowo wykonana GIODO rejestracja?
Obowiązek zgłoszenia bazy do rejestracji GIODO ciąży na administratorze danych osobowych. Nie ma znaczenia, czy administrator przetwarza dane samodzielnie, czy zlecił ich przetwarzanie w drodze umowy powierzenia podmiotowi trzeciemu. Odpowiedzialność za ewentualne naruszenie przepisów (m.in. dot. ochrony danych osobowych i GIODO rejestracji) spoczywa na osobach zarządzających firmą, tj. właścicielach sklepu internetowego, dyrektorach przedsiębiorstwa, zarządzie spółki. Rejestracja GIODO stanowi więc ważny element funkcjonowania każdego sklepu internetowego.
Zgłoszenia zbioru do rejestracji GIODO należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie z art. 46 ust. 1 ustawy o ochronie danych osobowych administrator może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu go do rejestracji GIODO. Jeśli sprzedawca prowadzi już sprzedaż w swoim sklepie powinien jak najszybciej o takie zgłoszenie zadbać.
Czy należy rejestrować nowy zbiór?
Prowadzenie działalności gospodarczej związane jest sporą liczbą regulacji, których przestrzeganie jest warunkiem koniecznym do jej rozpoczęcia oraz prowadzenia. Jednym z dylematów sprzedawców internetowych pojawiających się przy tej okazji jest kwestia obowiązku zgłoszenia zbioru danych osobowych przetwarzanego przez sklep Internetowy do Głównego Inspektora Ochrony Danych Osobowych w związku z przetwarzaniem danych osobowych swoich klientów. Dane, które przetwarzane są przez sprzedawców internetowych w celu prawidłowej realizacji umowy, niewątpliwie mają charakter danych osobowych, o których mowa w ustawie o ochronie danych osobowych. Tym samym bazy danych sklepów internetowych spełniają wszystkie przesłanki wymienione w art. 40 ustawy o ochronie danych osobowych. Wnioskując, rejestracja GIODO w przypadku jest niezbędna.
GIODO rejestracja czyli zgłoszenie zbioru danych do rejestru
Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).
Stosownie do art. 41 ust. 1 ustawy o ochronie danych osobowych, prawidłowe zgłoszenie zbioru danych do rejestracji powinno zawierać:
wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
cel przetwarzania danych,
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych,
informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Sankcje natury karnofinansowej za niezgłoszenie zbioru do GIODO?
Otóż tak, przetwarzanie danych osobowych bez ich zgłoszenia niesie ze sobą liczne negatywne skutki, w tym natury karnoprawnej. Zgodnie z treścią art. 53 ustawy o ochronie danych osobowych przestępstwo to zagrożone jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.
Podsumowanie
Podsumowując, GIODO rejestracja jest obowiązkowa do prawidłowego funkcjonowania sklepu internetowego. Choć samo zgłoszenie zbioru danych osobowych do rejestracji GIODO nie jest nader kłopotliwe, to jednak wymaga od przedsiębiorców pewnego nakładu czasu i wysiłku, chociażby w stworzeniu odpowiedniej dokumentacji. Gdy z jakichś powodów nie możecie Państwo zająć się rejestracją danych osobowych, możecie zlecić te zadanie specjalistom naszego portalu.
Nasi prawnicy oraz partnerzy w zakresie GIODO są do Państwa dyspozycji. Zyskujecie wówczas pewność, że wszystkie procedury zostaną należycie dopełnione, a zbiór danych osobowych właściwie zarejestrowany.
Obowiązek zgłoszenia bazy do rejestracji ciąży na administratorze danych osobowych. Nie ma znaczenia, czy administrator przetwarza dane samodzielnie, czy zlecił ich przetwarzanie w drodze umowy powierzenia podmiotowi trzeciemu. Odpowiedzialność za ewentualne naruszenie przepisów o ochronie danych osobowych spoczywa na osobach zarządzających firmą, tj. właścicielach sklepu internetowego, dyrektorach przedsiębiorstwa, zarządzie spółki.
Zgłoszenia zbioru do rejestracja sklepu internetowego w GIODO należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie z art. 46 ust. 1 ustawy o ochronie danych osobowych administrator może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu go do rejestracji Generalnemu Inspektorowi. Jeśli sprzedawca prowadzi już sprzedaż w swoim sklepie powinien jak najszybciej o takie zgłoszenie zadbać.
Czy należy rejestrować nowy zbiór?
Prowadzenie działalności gospodarczej związane jest sporą liczbą regulacji, których przestrzeganie jest warunkiem koniecznym do jej rozpoczęcia oraz prowadzenia. Jednym z dylematów sprzedawców internetowych pojawiających się przy tej okazji jest kwestia obowiązku zgłoszenia zbioru danych osobowych przetwarzanego przez sklep Internetowy do Głównego Inspektora Ochrony Danych Osobowych w związku z przetwarzaniem danych osobowych swoich klientów.
Dane, które przetwarzane są przez sprzedawców internetowych w celu prawidłowej realizacji umowy, niewątpliwie mają charakter danych osobowych, o których mowa w ustawie o ochronie danych osobowych.
Tym samym bazy danych sklepów internetowych spełniają wszystkie przesłanki wymienione w art. 40 i podlegają obowiązkowi rejestracja sklepu internetowego w GIODO.
Zgłoszenie zbioru do rejestracji
Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).
Stosownie do art. 41 ust. 1 ustawy o ochronie danych osobowych, prawidłowe zgłoszenie zbioru danych do rejestracji powinno zawierać:
wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
cel przetwarzania danych,
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych,
informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Sankcje natury karnofinansowej za niezgłoszenie zbioru do GIODO?
Otóż tak, przetwarzanie danych osobowych bez ich zgłoszenia niesie ze sobą liczne negatywne skutki, w tym natury karnoprawnej. Zgodnie z treścią art. 53 ustawy o ochronie danych osobowych przestępstwo to zagrożone jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku.
Podsumowanie
Podsumowując, choć samo zgłoszenie zbioru danych osobowych do GIODO nie jest nader kłopotliwe, to jednak wymaga od przedsiębiorców pewnego nakładu czasu i wysiłku, chociażby w stworzeniu odpowiedniej dokumentacji. Gdy z jakichś powodów nie możecie Państwo zająć się rejestracją danych osobowych, możecie zlecić te zadanie specjalistom naszego portalu. Nasi prawnicy oraz partnerzy w zakresie GIODO są do Państwa dyspozycji. Zyskujecie wówczas pewność, że wszystkie procedury zostaną należycie dopełnione, a zbiór danych osobowych właściwie zarejestrowany.
Zgoda na przetwarzanie danych osobowych w sklepie internetowym stanowi oświadczenie woli, w którego treści jest wyrażona taka zgoda. Nie istnieją szczegółowe zasady formułowania klauzuli zgody, ale z jej tekstu powinno w sposób precyzyjny wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane.
Ustawa nie wymaga pisemnej formy wyrażenie zgody, jednakże, wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza. Ponadto, należy wskazać, iż wyrażającemu zgodę przysługuje prawo dostępu do treści jego danych osobowych, możliwość ich poprawiania, a także prawo do żądania zaprzestania wykorzystywania danych w określonych celach. Warto podkreślić, że podanie danych jest całkowicie dobrowolne.
Zakazana niezamówiona informacja handlowa
Wysyłanie informacji handlowych pocztą elektroniczną wymaga uprzedniej i wyraźnej zgody odbiorcy informacji. Oznacza to, że zakazane jest wysyłanie informacji handlowej drogą elektroniczną bez zgody odbiorców.
W oparciu o polski porządek prawny zakazane jest wysyłanie reklam do oznaczonego odbiorcy, będącego osobą fizyczną. Oznacza to, że dopuszczalne jest wysyłanie ofert i innych wiadomości marketingowych na adresy firmowe, z takim zastrzeżeniem, iż nie mogą one zawierać danych osobowych wymienionych osób fizycznych.
Stanowisko sądownictwa polskiego w sprawie zgody na przetwarzanie danych osobowych w tzw. celach marketingowych
O tyle, o ile zgoda na przetwarzanie danych osobowych w sklepie internetowym w celu związanym bezpośrednio z realizacją umowy sprzedaży nie wymaga odrębnego oświadczenia woli klienta, to zgoda na przetwarzanie danych osobowych w celach marketingowych jest niezbędna.
Powyższe twierdzenie wynika z wyroku z dnia 19 listopada 2001r., sygn. akt. II SA 2748/00 Sądu Administracyjnego, a mianowicie:
„(…) oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż realizacja warunków umownych, nie może znajdować się jako jedno z postanowień umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych, informacyjnych oraz przyszłych wynikających z działalności operatora lub osoby trzecie, działające z jego upoważnienia i na jego rzecz, a także zgoda na przesyłanie materiałów promocyjnych i reklamowych innych podmiotów i udostępnianie danych innym osobom trzecim musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na przetwarzanie w tym właśnie celu.”
Co na to UOKiK?
Urząd Ochrony Konkurencji i Konsumentów również stoi na stanowisku, iż zgoda na przetwarzanie danych osobowych w sklepie internetowym m.in. do celów marketingowych musi zostać złożona świadomie, wyraźnie oraz swobodnie. Akceptacja regulaminu przy rejestracji konta użytkownika w sklepie internetowym nie może być interpretowana jako zgoda na przetwarzanie danych osobowych klienta np. w celach marketingowych.
Do rejestru klauzul niedozwolonych wpisano postanowienia, w których klient akceptując regulamin jednocześnie zgadza się na przetwarzanie danych w innych celach, np. w celach marketingowych.
Poniżej wskazujemy przykłady postanowień umownych, uznanych za niedozwolone:
Numer wpisu 3522, data wpisu 06.08.2012:
“Udostępnione dane osobowe będą przechowywane w bazie danych administratora i będą wykorzystywane w celu prawidłowej realizacji umowy sprzedaży oraz w celach marketingowych w szczególności w celu informowania o nowych produktach, usługach oraz promocjach oferowanych przez sklep.”
Numer wpisu 4175, data wpisu 23.02.2013
“Posiadacz Konta (…) wyraża zgodę na zamieszczenie i przetwarzanie swoich danych osobowych w bazie danych osobowych Banku dla celów promocyjnych i marketingowych Banku, podmiotów z nim współpracujących w zakresie świadczonych przez Bank usług bankowych oraz innych podmiotów, z którymi Bank współpracuje przy sprzedaży ich produktów i usług, a także na otrzymywanie informacji handlowej np.: o świadczonych usługach i oferowanych produktach, propozycji udziału w promocjach, w tym za pomocą środków komunikacji elektronicznej na podany adres poczty elektronicznej oraz nr telefonu komórkowego oraz na posłużenie się przez Bank innymi środkami porozumiewania się na odległość w celu złożenia przez Bank propozycji zawarcia umowy, w tym również po wygaśnięciu umowy.”
Reasumując, najlepszą formą uniknięcia uznania danych postanowień za niedozwolone jest zwyczajna profilaktyka. Zatem, warto rozważyć zlecenie opracowania bądź audyt regulaminów profesjonalistom, którzy zadbają o wyeliminowanie “niebezpiecznych” zapisów z konkretnych wzorców umownych.
