Dyskrecja w internetowym sklepie - o ochronie danych osobowych w e-commerce

Jak wskazują badania, w Polsce wartość rynku sprzedaży detalicznej w internecie to aż 17,9 mld zł (na podstawie najnowszego badania przeprowadzonego przez Instytut Logistyki i Magazynowania w związku z Konkursem Bezpieczny eSklep). E-handel funkcjonuje bez zarzutów pomimo widma kryzysu finansowego, a nawet odnotowuje kilkunastoprocentowe wzrosty. Jednak niepokojącą informacją jest fakt, iż znaczna część sklepów nie przestrzega swoich obowiązków związanych z właściwą ochroną danych osobowych klientów. Badania wskazują iż 74 proc. sklepów internetowych  nie posiada certyfikatu SSL gwarantującego zabezpieczenie danych podczas ich transferu przez internet. Jaki jest zakres obowiązku ochrony danych osobowych nałożony na przedsiębiorców prowadzących działalność  gospodarczą w formie sklepu internetowego i jak prawidłowo się z niego wywiązywać?

Warto na początku rozwiać wszelkie wątpliwości czym w świetle prawa są dane osobowe. Odpowiedź znajdziemy w tekście Ustawy z dnia z dnia 29 sierpnia 1997 o ochronie danych osobowych, a konkretnie art. 7 który brzmi następująco: „przez zbiór danych - rozumie się, każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Dane osobowe zawarte w zbiorze danych mogą być wyrażone w dowolny sposób, np. słowem, dźwiękiem, obrazem. Ustawodawca w definicji zbioru danych osobowych posługuje się pojęciem zestawu danych, wskazuje więc na liczbę mnogą tychże danych, co nakazuje przyjąć, że w skład zbioru danych muszą wchodzić co najmniej dwie informacje, (np. Imię i Nazwisko oraz adres). W sklepie internetowym danymi osobowymi są: imię, nazwisko, miejsce zamieszkania, adres e-mail  oraz NIP kupującego. Informacje te służą do identyfikacji klienta, dlatego też baza użytkowników objęta działaniami promocyjnymi powinna znaleźć się w „Ogólnopolskim rejestrze zbiorów danych osobowych” GIODO. Musi jednak to nastąpić przed rozpoczęciem przetwarzania danych w zbiorze.

Czym jest właściwie jest przetwarzanie danych osobowych?
Jeśli sklep internetowy przykładowo:
-wymaga rejestracji klientów przed zakupem produktu
-przeprowadza konkursy, losowania
-przesyła oferty specjalne, ulotki, maile,
-wysyła upominki w formie przesyłek
to w każdym z tych przypadków dochodzi do przetwarzania danych osobowych kupujących.
W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Jednym z głównych warunków dopuszczalności przetwarzania danych wg art. 23 ustawy o ochronie danych osobowych jest wyrażenie na to zgody, osoby której dane dotyczą, chyba że chodzi o usunięcie dotyczących jej danych. Najczęściej następuje do w drodze formularza, za pomocą którego te dane będą pozyskiwane, poprzez dodanie odpowiedniej klauzuli. Klauzula taka powinna zawierać informację, kto będzie administratorem danych (dokładna nazwa i adres siedziby właściciela sklepu), cel w jakim dane będą przetwarzane, informację o prawie dostępu do treści podanych danych i możliwości ich poprawiania oraz informację o tym, że podanie danych jest dobrowolne.

E-sprzedawca (będący administratorem danych osobowych), jeszcze przed rozpoczęciem przetwarzania danych osobowych klientów powinien wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o rejestrację tworzonej przez siebie bazy danych. Zgłoszenie zbioru danych osobowych następuje poprzez wypełnienie wniosku dostępnego na stronie Generalnego Inspektora Ochrony Danych Osobowych.  Zgłoszenie danych do rejestracji jest regułą, jednak ustawa w art. 43 ust. 1 pkt. 1-11 przewiduje wyjątki. Obowiązek ten, , umożliwia Generalnemu Inspektorowi sprawowanie kontroli nad prawidłowością procesu przetwarzania danych osobowych.

Ustawa nakazuje także, aby administrator danych dokładał szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (o czym stanowi art. 26 ust. 1 pkt. 1 - 4 ustawy o ochronie danych osobowych),

Administrator danych zobowiązany jest ponadto aby stosował odpowiednie zabezpieczenia, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych –mianowicie, administrator jest  zobowiązany zastosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę np. poprzez skorzystanie z narzędzia szyfrującego np. protokołu SSL.

Ponadto obowiązkowym warunkiem administratora danych osobowych jest  zabezpieczenie  danych przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych). Ustawa nakłada obowiązek umieszczania następujących  informacji  w związku z ewidencją osób upoważnionych: imię i nazwisko osoby upoważnionej, data nadania, ustania oraz zakres upoważnienia do przetwarzania danych oraz login. Osoby upoważnione do dostępu do danych osobowych muszą rzecz jasna, zachować je w tajemnicy.

Proces przetwarzania danych podlega kontroli, prawa te wymienione są w rozdziale 4 ustawy o ochronie danych osobowych. Art. 32 ww. ustawy stanowi, iż każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, został wprowadzony by polskie przepisy były w zgodzie z art. 12 Dyrektywy 95/46/WE. Przepis dyrektywy nie budzi wątpliwości interpretacyjnych - jego treścią jest zobowiązanie skierowane do państw członkowskich Unii Europejskiej, aby zapewniły każdej osobie, której dane dotyczą, prawo do dostępu do określonych informacji  ["Państwa Członkowskie zapewniają każdej osobie, której dane dotyczą, prawo do uzyskania od administratora danych (…)"].

Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych (art. 49 - art. 54a).Przykładowo, za przesyłanie niezamówionej informacji handlowej grozi kara grzywny, a za nie zgłoszenie do rejestracji zbioru danych lub za nie dopełnienie obowiązku poinformowania osoby, której dane dotyczą o przysługujących jej uprawnieniach (w tym w zakresie możliwość usunięcia bądź zmiany podanych przez nią danych) grozi kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do roku.
 

Mec. Jacek Świeca, partner zarządzający w kancelarii prawnej Świeca i Wspólnicy, minister ds. prawa gospodarczego w Gabinecie Cieni Business Centre Club

Barbara Figas, prawnik w kancelarii prawnej Świeca i Wspólnicy