utworzone przez Ekspert DaneSklepu.pl | gru 15, 2016 | GIODO sklep internetowy
Marketing własnych produktów i usług
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych reguluje, kiedy firmy mogą przesyłać swoim klientom oferty marketingowe. Jeśli w ten sposób promują własne produkty lub usługi – nie mają obowiązku pozyskiwania zgody klienta. Podstawą wykorzystywania ich danych osobowych będzie bowiem prawnie usprawiedliwiony interes administratora danych (czyli firmy), o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych
Prawnie usprawiedliwionym celem administratora danych jest marketing bezpośredni własnych produktów i usług. Można więc wykorzystywać dane w tym celu, pod warunkiem że nie narusza to praw i wolności osoby, której dane dotyczą.
Marketing produktów i usług obcej firmy
Przesyłanie klientom ofert marketingowych innej firmy będzie możliwe jedynie za ich zgodą.
Nie istnieją bowiem przepisy prawa, które pozwalałyby na uznanie, że przesyłanie oferty marketingowej innego podmiotu jest działaniem dopuszczalnym jako prawnie usprawiedliwiony interes administratora danych.
Nie pomoże w tym również wzajemna umowa w sprawie wzajemnej promocji produktów i usług.
Podsumowanie
Jeśli zamierzamy wysyłać swoim klientom oferty marketingowe celem promocji własnej marki – nic nie stoi na przeszkodzie. Jeśli natomiast chcemy legalnie promować produkty innej firmy – musimy pamiętać by w tym celu pozyskać od klienta zgodę.
utworzone przez Ekspert DaneSklepu.pl | paź 25, 2016 | GIODO sklep internetowy
Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych. Podczas kontroli GIODO wykrył, że Spółka wobec osób korzystających z formularza kontaktowego sklepu internetowego nie realizuje obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.
Nierealizowanie wobec osób korzystających z formularza kontaktowego sklepu internetowego, osób zakładających konto użytkownika tego sklepu oraz osób dokonujących zakupów w sklepie internetowym bez zakładania konta użytkownika, obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy, powierza dane osób, korzystających z elektronicznego formularza kontaktu sklepu internetowego kilku podmiotom bez pisemnej umowy powierzenia przetwarzania danych, niezastosowaniu odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru oraz procesem sprzedaży prowadzonej w sklepie internetowym z uwagi na brak środków kryptograficznej ochrony tych danych, niezgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy, powierzenia przetwarzania danych osobowych, podstawy prawnej przetwarzania danych osobowych oraz zakresu danych osobowych przetwarzanych w tym zbiorze (art. 41 ust. 2 ustawy).
ZARZUTY
- nierealizowanie obowiązku informacyjnego z art. 24 ust. 1 ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz.
926 z późn. zm.)
- powierzanie danych osób, korzystających z elektronicznego formularza
kontaktu sklepu internetowego mimo niezawarcia pisemnej umowy powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.),
- niestosowanie środków kryptograficznej ochrony danych wobec danych osobowych
przesyłanych w sieci publicznej w związku z procesami tworzenia konta użytkownika
na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia
towaru oraz w związku z procesem sprzedaży prowadzonej w sklepie internetowym
- niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zmiany
informacji zawartych w zgłoszeniu zbioru danych osobowych dotyczących: adresu siedziby administratora danych, przedstawiciela Spółki, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Do czego zobowiązał GIODO?
GIODO nakazał usunięcie uchybień w procesie przetwarzania danych osobowych
Wskazówki GIODO:
1. Spółka ma udzielać osobom, od których pozyskuje dane osobowe, tj. osobom korzystającym z formularza kontaktowego, osobom zakładającym konto użytkownika oraz osobom dokonującym zakupów w sklepie internetowym bez zakładania konta użytkownika, informacji, o których mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
- prawie dostępu do treści swoich danych oraz ich poprawiania
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2. Spółka pozyskując za pomocą formularza kontaktowego sklepu internetowego dane osobowe użytkowników w zakresie: imię, nazwisko i adres e-mail sklepu internetowego które przekazuje następnie na skrzynkę poczty elektronicznej będącej własnością innej Spółki powinna z tą Spółką zawrzeć umowę powierzenia przetwarzania danych osobowych – albowiem powierzenie danych osobowych podmiotowi zewnętrznemu może nastąpić tylko i wyłącznie w oparciu o umowę powierzenia wskazującą zakres i cel powierzenia.
3. Spółka przekazując dane osobowe klientów w zakresie imię, nazwisko, nazwa prowadzonej działalności gospodarczej, adres oraz Numer Identyfikacji Podatkowej, znajdujące się na fakturach VAT, księgowej, w związku z umową o prowadzenie księgowości powinna również zawrzeć z księgową umowę powierzenia danych osobowych.
4. Spółka powinna zawrzeć umowę powierzenia również z hostingodawcą z uwagi na fakt, iż baza danych klientów sklepu internetowego znajduje się na serwerze należącym do innego podmiotu. który posiada dostęp do wszystkich danych osobowych przetwarzanych z wykorzystaniem ww. serwera.
5. Spółka powinna zawrzeć umowę powierzenia z zewnętrznym administratorem serwera, na którym znajduje się baza danych klientów sklepu internetowego, z racji, że posiada on dostęp do
wszystkich danych osobowych przetwarzanych na serwerze.
6. Spółka jako administrator danych zgodnie z art. 36 ust. 1 ustawy, jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, a także zgodnie z wymogami części C pkt XIII załącznika do rozporządzenia,
administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do
uwierzytelnienia, które są przesyłane w sieci publicznej.
7. Spółka jako administrator danych powinna zapewnić by procesy tworzenia konta przez klienta na stronie sklepu internetowego, logowania się na to konto i tworzenia zamówienia towaru, a także cały proces sprzedaży prowadzonej w sklepie internetowym był zabezpieczony za pomocą środków ochrony kryptograficznej, tj. bezpiecznego protokołu https.
8. Spółka powinna zgodnie z art 41 ust. 2 ustawy zgłaszać Generalnemu Inspektorowi każdą zmianę, czyli w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.
W zgłoszonym do rejestracji zbiorze Spółka nie ujawniła zmian w zakresie
a) adresu siedziby administratora danych – w zgłoszeniu zbioru do rejestracji wskazano nieaktualny
adres siedziby Spółki
b) przedstawiciela Spółki, o którym mowa w art. 31a ustawy – jak ustalono Spółka jest podmiotem
posiadającym siedzibę na terenie Rzeczypospolitej Polskiej, toteż należy wskazać Prezesa Zarządu
c) powierzenia przetwarzania danych osobowych kilku podmiotom (jw)
d) podstawy prawnej przetwarzania danych osobowych – w zgłoszeniu zbioru do rejestracji Spółka
wskazała, jako podstawę prawną przetwarzania danych osobowych zgodę osoby, której dane
dotyczą oraz fakt, iż przetwarzanie danych jest niezbędne do realizacji uprawnienia lub spełnienia
obowiązku wynikającego z przepisu prawa.
W toku kontroli ustalono jednak, że podstawą prawną przetwarzania danych osobowych jest art. 23 ust. 1 pkt 3 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą oraz art. 23 ust. 1 pkt 5 ustawy, który stanowi iż przetwarzanie danych jest dopuszczalne wtedy, gdy jest ono niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych;
e) zakresu przetwarzanych danych osobowych – Spółka powinna wskazać w zgłoszeniu, iż przetwarza także następujące informacje dotyczące klientów: adres e-mail, nazwa prowadzonej działalności gospodarczej, nr użytkownika, nr zamówienia, adres IP.
Podsumowanie
Spółka będąc administratorem danych osobowych powinna usunąć wskazane przez GIODO naruszenia stosując się do opisanych powyżej wskazówek oraz unikać uchybień w procesie administrowania danymi w przyszłości.
DIS/DEC-230/14/19293
http://www.giodo.gov.pl/299/id_art/8213/j/pl/
utworzone przez Ekspert DaneSklepu.pl | paź 12, 2016 | GIODO sklep internetowy
Decyzja z 27 kwietnia 2016 r. umarzająca postępowanie dotyczące niezrealizowania obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, a także braku podstawy prawnej do przetwarzania danych osobowych w celu marketingowym.
Kontrola GIODO dotyczyła danych osób, z którymi Spółka kontaktuje się telefonicznie w celach marketingowych, w tym w celu umówienia spotkania dotyczącego przedstawienia oferty marketingowej.
Najważniejsze zarzuty GIODO wobec Spółki:
- nierealizowanie (prawidłowo) obowiązku informacyjnego wynikającego z art. 25 ust. 1 ustawy wobec osób, których numery telefonów zostały wygenerowane przez Spółkę lub zostały zakupione od S. Sp. z o.o. oraz od M. s.k. (art. 25 ust. 1 ustawy);
- niezapewnienie, aby dane osobowe pochodzące z baz danych udostępnionych Spółce przez S. Sp. z o.o., własnych zbiorów danych o nazwach „N”, „K” i wygenerowanych przez Spółkę nr telefonów były przetwarzane zgodnie z prawem, tj. art. 172 ust. 1 i ust. 2 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243 ze zm.), tj. poprzez brak zgody ww. osób na otrzymywanie informacji marketingowych poprzez użycie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących na podstawie ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (art. 26 ust. 1 pkt 1 ustawy);
- brak w polityce bezpieczeństwa informacji o zbiorze danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka złożyła wyjaśnienia i usunęła uchybienia.
- zaprzestano generowania numerów telefonów oraz zawierania umów, których przedmiotem jest powierzanie danych osobowych Spółce przez tzw. brokerów.
- oświadczono, że Spółka będzie przetwarzać dane osobowe pochodzące bezpośrednio od osób, które wyrażają zgodę w stosunku do Spółki na przetwarzanie ich danych w celach marketingowych i że Spółka prowadzi działania marketingowe za pośrednictwem telefonu z ograniczeniem do osób, które wyraziły zgodę na taki kontakt np. na bonach prezentowych, umowach (art. 26 ust. 1 pkt 1 ustawy).
- uzupełniono politykę bezpieczeństwa o informacje dotyczące zbioru danych o nazwie „N” wraz ze wskazaniem programów zastosowanych do przetwarzania danych osobowych, oraz opisu struktury zbioru danych o nazwie „N” wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi (§ 4 pkt 2 i pkt 3 rozporządzenia).
Podsumowanie
Po zmianie brzmienia art. 172 ustawy Prawo telekomunikacyjne nie wchodzi w grę sytuacja, gdy firma kontaktuje się z potencjalnym klientem i zaczyna rozmowę od pytania o zgodę, a w przypadku jej nieuzyskania – rozłącza się.
Dopuszczalna jest natomiast sytuacja, gdy np. następuje kontakt telefoniczny z klientem w celu ustalenia szczegółów realizacji umowy bądź zamówienia, a przy okazji klient pytany jest o zgodę na gruncie art. 172.
Należy pamiętać, że brak dokumentu jakim jest polityka bezpieczeństwa, stanowi przesłankę odmowy rejestracji zbioru danych, określoną w art. 44 ust. 1 pkt 2 w związku z art. 26 ust. pkt 1 ustawy. Każdy przetwarzany przez administratora danych zbiór danych powinien być opisany w dokumentacji przetwarzania danych osobowych oraz w odpowiedni sposób zabezpieczony, nawet jeśli podlega wyłączeniu z obowiązku rejestracji w GIODO. W przeciwnym razie Generalny Inspektor
Ochrony Danych Osobowych wezwie Administratora danych do usunięcia naruszenia.
DEC/DIS-323/16/35657
http://www.giodo.gov.pl/280/id_art/9470/j/pl/
utworzone przez Ekspert DaneSklepu.pl | cze 8, 2016 | GIODO sklep internetowy
W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy?
Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych.
Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane?
Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych.
W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji.
Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO.
Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany.
Podsumowanie
Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do GIODO.
utworzone przez Ekspert DaneSklepu.pl | cze 4, 2016 | GIODO sklep internetowy
Prowadząc sklep lub serwis w oparciu o działalność wpisaną do CEIDG, do GIODO zgłasza się przedsiębiorcę prowadzącego sklep internetowy. Natomiast w treści wniosku rejestracyjnego wskazuje się już konkretnie sklep (serwis) i jego adres.
Jak prawidłowo należy zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
Prawidłowe zgłoszenie polega przede wszystkim na właściwym wypełnieniu przez Administratora danych wniosku rejestracyjnego i przesłaniu go do Generalnego Inspektora Ochrony Danych Osobowych.
Zgodnie z regulacją art. 41 ust.1 ustawy o ochronie danych osobowych wniosek rejestracyjny powinien zawierać m.in.:
-
oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany wraz z podstawą prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
-
cel przetwarzania danych,
-
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
-
sposób zbierania oraz udostępniania danych,
-
informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy,
-
informacje o sposobie wypełnienia warunków technicznych i organizacyjnych określonych w przepisach, o których mowa w art. 39a ustawy oochronie danych osobowych.
Jeden formularz zgłoszenia zbioru danych do rejestracji w GIODO odnosi się tylko do jednego zbioru danych osobowych.
Podsumowanie
Przedsiębiorca prowadzący sklep lub serwis internetowy ma obowiązek zarejestrowania wyłącznie zbiorów danych osobowych, dla których jest Administratorem danych osobowych.
W przypadku działalności gospodarczej – będzie nim przedsiębiorca, natomiast w przypadku spółki – sama spółka.
