Dla e-sklepów temat GIODO to totalna abstrakcja

25-11-2011, 12:00

Właściciele e-sklepów często myślą o regulaminach, ale nie zawsze działają świadomie w kwestii rejestrowania (lub nierejestrowania) bazy danych osobowych. Częste są również błędy dotyczące zgód na przetwarzanie danych - mówił w rozmowie z Dziennikiem Internautów Michał Sztąberek z firmy iSecure Sp. z o.o.

Zbliża się okres gorący dla e-sprzedawców i e-klientów. To dobry moment, aby przypomnieć, że z internetowym handlem wiążą się różne problemy, a jednym z nich jest ochrona danych osobowych i wypełnianie przez sklepy wymagań w tym zakresie. Dziennikowi Internautów na pytania odnośnie tego problemu odpowiedział Michał Sztąberek, prawnik, audytor oraz partner zarządzający w iSecure Sp. z o.o.

Michał Sztąberek

DI: Jakie dane na temat klienta zbierają sprzedawcy i jak te dane mogą być w praktyce wykorzystane?

Michał Sztąberek (MS): Odpowiedź na to pytanie w zasadzie jest o tyle prosta, że sama ustawa o ochronie danych osobowych niemal wprost udziela na nie odpowiedzi. Otóż w art. 26 ust. 1 pkt. 3 mowa jest o tym, że administrator danych (firma, która prowadzi sklep internetowy) ma obowiązek zapewnić, by zbierane dane osobowe były adekwatne do celów, w jakich są przetwarzane. Czyli jeśli kupienie czegoś w sklepie internetowym jest swego rodzaju umową kupna – sprzedaży, wydaje się, że niezbędnymi danymi będą te, które umożliwią obu stronom wywiązanie się z obowiązków wynikających z takiej umowy. Nie powinno zatem budzić wątpliwości zbieranie np. imienia, nazwiska, adresu do wysyłki zamówionego produktu, danych kontaktowych (mail i/lub nr telefonu).

DI: Na jakie elementy regulaminu czy usługi powinien zwrócić uwagę nabywca, któremu zależy na ochronie swoich danych osobowych?

MS: Na pewno nabywca powinien zwrócić uwagę na zakres danych, który musi podać, a także sposób, w jaki to robi, tj. czy formularz zakupowy (ten, gdzie podaje się dane osobowe) jest zabezpieczony protokołem SSL. Dalej warto dokładnie wczytać się w klauzule zgód, które pojawiają się pod takim formularzem. Może być tak (niestety jest to dość częsty przypadek), że pod formularzem nie będzie żadnych klauzul. Wówczas zerknijmy koniecznie do regulaminu i polityki prywatności – właściciele sklepów czasami tam informują, że dane będą wykorzystywane w celach marketingowych i/lub przesyłania informacji handlowych. Jeśli tak właśnie jest, tj. istnieje tylko informacja w regulaminie/polityce prywatności, ale nie ma żadnej zgody na przetwarzanie danych w ww. celach, to znaczy, że niestety właściciel jest na bakier z ustawą o ochronie danych osobowych i raczej nie powinniśmy liczyć na ich ochronę zgodnie z obowiązującymi przepisami prawa.

DI: Czy e-sklepy potrzebują zgody na przetwarzanie danych osobowych? Kiedy i w jakiej formie powinno następować uzyskanie tej zgody?

MS: Wszystko zależy od tego, jaki cel chce osiągnąć, przetwarzając dane. Jeśli chodzi tylko o realizację umowy kupna – sprzedaży, to wówczas zgoda jest zbędna, właściciel korzysta wówczas z zupełnie innej przesłanki legalizującej przetwarzanie danych, a mianowicie tej, w której mowa jest o tym, że możliwe jest przetwarzanie danych, jeśli osoba fizyczna jest stroną umowy (drugą stroną jest administrator danych) – przesłanka ta została wskazana w art. 23 ust. 1 pkt. 3 ustawy o ochronie danych osobowych.

Jeśli miałby być realizowany cel marketingowy/przesyłanie informacji handlowych – będą wówczas potrzebne dwie zgody (takie stanowisko wyraża GIODO): jedna dotyczyć będzie marketingu, druga chęci otrzymywania informacji handlowych (warto się zatem zastanowić, na czym będzie polegał nasz marketing – może tylko będą to maile z informacjami o promocjach etc. – wówczas wystarczy nam ta druga zgoda, pierwszą możemy sobie odpuścić).

Tak samo zgoda będzie niezbędna, jeśli klient będzie rejestrował się w sklepie. O tym niestety bardzo często się zapomina. Ten cel w gruncie rzeczy nie ma nic wspólnego ani z realizacją umowy, ani z marketingiem. Chodzi o wygodę, a ta niestety wymaga zgody. Same klauzule zgód należy umieszczać pod formularzem zakupowym. Nie powinno się robić tego w regulaminach. Oprócz klauzuli zgody, niezbędne jest również dopełnienie obowiązku informacyjnego wskazanego w art. 24 ust. 1 ustawy o ochronie danych osobowych.

DI: Co ze sprzedawcami prowadzącymi sprzedaż na aukcjach? Czy można powiedzieć, że przetwarzają oni dane osobowe?

MS: W moim odczuciu jak najbardziej. W końcu po zakończeniu aukcji otrzymują informację z danymi osobowymi tej osoby, która dokonała zakupu na aukcji.

DI: Czy e-sklepy powinny zgłaszać bazy danych do GIODO?

MS: Tak, sklepy internetowe powinny zgłaszać zbiory do GIODO, choć czasami można skorzystać z wyjątków. Jeśli sklep przetwarza dane wyłącznie w celu związanym z wystawieniem rachunku, faktury albo w związku ze sprawozdawczością finansową, wówczas można nie rejestrować takiego zbioru, a mówi o tym art. 43 ust. 1 pkt. 8 ustawy o ochronie danych osobowych. Pamiętajmy jednak, że dołożenie do tego innych celów – rejestracja w bazie sklepu, marketing, newsletter – to wszystko sprawia, że z wskazanego wcześniej wyjątku skorzystać się już nie da i trzeba rejestrować. Warto jeszcze dodać, że jeśli sklep zatrudnia pracowników, to ww. zbiory nie są jedynymi. O tym się zawsze zapomina, ale myśląc o danych, pamiętajmy również o tych, które odnoszą się do naszych pracowników.

DI: Z jakimi niewłaściwymi praktykami odnośnie danych osobowych można spotkać się w e-handlu?

MS: Tu katalog jest całkiem pokaźny. Najczęściej będzie to brak klauzul zgód i obowiązków informacyjnych, o których mowa odpowiednio w art. 23 ust. 1 i art. 24 ust. 1 ustawy o ochronie danych osobowych. Dalej – brak zabezpieczania przesyłu danych za pomocą formularzy zakupowych. Zadziwiające, jak wiele sklepów nie korzysta z protokołów SSL, które naprawdę nie są aż tak drogie. Częsty przypadek to także niepotrzebne stosowanie np. zgody na przetwarzanie danych w celach realizacji umowy. Tak jak wspominałem wcześniej, tu zgoda jest zupełnie zbędna, wystarczy przesłanka z art. 23 ust. 1 pkt. 3 ustawy o ochronie danych osobowych. Inny powszechny błąd to wrzucanie kilku celów przetwarzania danych do jednej zgody, zgodnie z wykładnią GIODO należy to rozdzielać.

Cały czas rzadkością jest zgłaszanie przez sklepy internetowe zbiorów do GIODO. Z moich obserwacji wynika, że brakuje tu świadomości. O ile właściciel często myśli o regulaminie sklepu (zwłaszcza po różnych doniesieniach medialnych o pozwach w sprawie klauzul niedozwolonych), o tyle temat GIODO to często totalna abstrakcja. Warto dodać, że wniosek rejestracyjny do tego urzędu to nie wszystko. Trzeba stworzyć jeszcze dokumentację ochrony danych, m.in. politykę bezpieczeństwa, która bardzo często utożsamiana jest z polityką prywatności, a to zupełnie co innego…


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Kwiecień 2020»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
27282930