Autorem poniższego wpisu jest Krzysztof Krawczyk, który m.in. prowadzi bloga na temat ochrony danych osobowych w e-biznesie – Ostium.pl. Zapraszam!
Sklep internetowy to specyficzny rodzaj handlu opierający się na przetwarzaniu danych osobowych, w związku z czym podlega ustawie o ochronie tych informacji oraz obowiązkowi rejestracji zbiorów danych osobowych w GIODO. Wielu właścicieli sklepów internetowych nie do końca zdaje sobie jednak sprawę z tego, czy powinni zgłaszać swoje bazy, a także jak konkretnie podejść do tego tematu.
Na wstępie wyjaśnię, że skrót GIODO oznacza Generalnego Inspektora Ochrony Danych Osobowych, który to stoi na czele swojego urzędu oraz pełni najważniejszą funkcję w ochronie danych osobowych w Polsce. Osobę taką powołuje Sejm RP. Pełny zakres uprawnień możemy znaleźć w artykule 12 ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101 poz. 926). Jest to m.in. działalność kontrolna, co jest ważne dla osoby prowadzącej sklep internetowy.
Czy muszę rejestrować zbiór danych osobowych?
Wielu właścicieli niestety mylnie interpretuje Art.43.1 pkt. 8, który brzmi:
„Z obowiązku rejestracji zbioru danych osobowych zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (…)”.
Oznacza to, że jeżeli posiadamy dane osobowe tylko i wyłącznie do wystawienia faktury naszemu klientowi, to nie musimy takiej bazy danych rejestrować. Jednak w sklepie internetowym dane wykorzystujemy nie tylko do wystawienia dokumentu potwierdzającego sprzedaż, ale też do wysyłki zamówionego towaru. Tej czynności nie znajdziemy w wyłączeniu z obowiązku rejestracji.
Niektórzy również błędnie interpretują całą ustawę twierdząc, że podlegamy obowiązkowi rejestracji tylko wtedy, kiedy używamy danych do celów marketingowych (np. do wysyłania mailingu). Jest to nieprawda, ponieważ jak napisałem wcześniej sklep wykorzystuje dane osobowe do wysyłki towaru.
E-mail = dane osobowe
Do lepszego zrozumienia ochrony danych osobowych powinniśmy wiedzieć, co jest daną osobową. W świetle ustawy art. 6 ust. 1-3:
„za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest ta, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności na powołanie się m.in. na numer identyfikacyjny. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”
Najbardziej sporną kwestią jest właśnie ustęp trzeci, gdyż nie precyzuje on, czym dokładnie są nadmierne koszty. Stąd też na wielu forach internetowych panuje gorąca dyskusja czy email jest uważny za dane osobowe. W tej kwestii najlepiej jest się poradzić u źródła. Na stronach GIODO znajdziemy wyjaśnienie, że adresy e-mail to dane osobowe.
Co musi zrobić właściciel sklepu internetowego?
Przede wszystkim powinien on zarejestrować swój zbiór. Nie jest to czynność skomplikowana. Proces ułatwia specjalna platforma internetowa e-giodo, gdzie wypełnimy wniosek online i – jeżeli nie mamy podpisu elektronicznego – drukujemy go, podpisujemy i wysyłamy do Biura Generalnego Inspektora Ochrony Danych Osobowych. Od tej pory możemy w pełni legalnie działać w internecie.
Sama rejestracja nie jest zatem trudna, jednak wielu sprzedawców lekceważy ten obowiązek. Do pełni szczęścia potrzebujemy jeszcze dwóch dokumentów jako załącznika do wniosku rejestracyjnego. Bez tych załączników Generalny Inspektor może odrzucić nam wniosek rejestracyjny, poprosić o ich uzupełnienie lub wydać decyzję odmowną. Mowa to:
- Polityka bezpieczeństwa informacji
- Instrukcja zarządzania systemem informatycznym
W tych dokumentach (o jakże tajemniczej nazwie…) opisujemy procedury postępowania z danymi osobowymi przez nas i naszych pracowników. Opisujemy co wolno, a czego nie, a także zbieramy procedury na wypadek wycieku posiadanych danych. Z doświadczenia wiem, że tak naprawdę to tutaj wielu właścicieli sklepów ma największy problem z zakończeniem rejestracji w GIODO. Można takie dokumenty napisać we własnym zakresie lub wynająć firmę doradczą z zakresu ochrony danych osobowych.
Na stronie sklepu internetowego należy podać pełne dane administratora danych osobowych, nr rejestracji bazy w GIODO oraz cel przetwarzania danych. Jednocześnie należy podać klauzulę, że każdy ma wgląd do swoich danych i może je usunąć, oraz są one podawane dobrowolnie. Te regułki zawieramy w regulaminie sklepu lub polityce prywatności.
Ustawa wymusza na administratorze danych osobowych (w naszym przypadku chodzi oczywiście o właściciela sklepu) wyznaczenie administratora bezpieczeństwa informacji. Może on samodzielnie pełnić tę funkcję, zatrudnić taką osobę lub wynająć (na tej samej zasadzie jak księgowego z biura rachunkowego). ABI to osoba w firmie, która stoi na straży bezpieczeństwa informacji i kontroluje oraz szkoli pracowników pod względem zawartych procedur w polityce bezpieczeństwa.
Takie procedury w mojej ocenie ujawniają, że ustawę napisano z pominięciem małej przedsiębiorczości – ciężko jej niektóre zapisy odnieść do rodzinnego sklepu czy jednoosobowej firmy. Czy będzie to duży holding czy mały sklepik, ustawa traktuje wszystkich jednakowo.
Możliwe kary
Działalność wykonywana bez rejestracji zbioru danych osobowych jest karalna, a kary mogą być wysokie. W art. 53 ustawy znajdziemy zapis:
„Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”
Maksymalna kara dla osoby prowadzącej działalność gospodarczą może wynieść do 50 tysięcy złotych.
Podsumowując
Artykuł napisałem z jednego powodu: bardzo chciałbym, aby każdy właściciel sklepu internetowego miał świadomość tego co robi i szybko zdecydował, czy powinien zarejestrować swoją bazę w GIODO. Po nowelizacji ustawy należy się liczyć z wzmożonymi kontrolami inspektorów, a zajrzeć do sklepu internetowego może każdy. Nie trzeba nigdzie jeździć – wystarczy sprawdzić w bazie GIODO, czy podmiot ma zarejestrowaną bazę i jeżeli tak nie jest podjąć odpowiednie kroki prawne.
Obecnie Generalny Inspektor może karać za uchybienia i niedopełnienie obowiązków tak jak prezes Urzędu Regulacji Energetyki czy UOKiK. Do niedawna było tak, że kierował sprawę do prokuratury, a ta w większości przypadków umarzała ze względu na małą szkodliwość społeczną czynu. Stąd „nagłe” zainteresowanie ochroną danych osobowych wśród wielu właścicieli sklepów internetowych. Nikt nie chce przecież powtórki sytuacji z regulaminami sklepów i niedozwolonymi klauzulami.
—
Powyższy artykuł pochodzi z Magazynu eKomercyjnie.pl #1. Zapraszamy do przeczytania całego numeru!