Porównanie – sklep internetowy a GIODO

Wiele sprzedawców sklepów internetowych przetwarza dane osobowe swoich Klientów, ponieważ są one niezbędne do realizacji transakcji, jakie zawierają. Tutaj dla sprzedawcy rodzi się problem z określeniem obowiązku zgłaszania zbioru danych osobowych do Głównego Inspektora Ochrony Danych Osobowych – GIODO.

Dane osobowe:

Zgodnie z Ustawą o Ochronie Danych Osobowych (Dz. U. 2014.1182) za dane osobowe : „uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”

Jak wspomniano już powyżej sklepy internetowe potrzebują danych osobowych swoich Klientów, chociażby do wysyłki towaru do ich miejsca zamieszkania. Dane takie to przede wszystkim imię i nazwisko oraz adres, dzięki któremu przesyłka dotrze w określone miejsce do odpowiedniego odbiorcy. Jednakże są to „dane osobowe”, a więc w tym momencie powstaje obowiązek zgłoszenia ich zbioru do GIODO.

Bazy klientów

W trakcie funkcjonowania sklepu internetowego tworzy się automatycznie baza klientów. Każdy klient, aby mógł otrzymać zakupiony towar, musi podać swoje dane osobowe podczas składania zamówienia, dzięki czemu otrzyma zamówiony towar. Dane te są przetrzymywane w bazach sklepu. Sklep internetowy może posiadać też drugą bazę. Powstaje ona w wyniku zapisania się klientów do newslettera. Służy on do przedstawienia oferty, oraz informacji o wyprzedażach, rabatach czy promocjach klientom sklepu. Osoba chcąca się zapisać do newslettera musi podać swój adres mailowy.

Ważne!

W dalszym ciągu – każdy z tych zbiorów powinien zostać przekazany do GIODO.

Zwolnienie z obowiązku rejestracji w GIODO

Z artykułu 43 Ustawy o Ochronie Danych Osobowych dowiadujemy się, że: ,,zwolnieni z obowiązku rejestracji zbioru danych osobowych są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.”

Warto jednak pamiętać, że dotyczy to sytuacji, w której dane osobowe posiadamy tylko i wyłącznie do wystawienia faktury naszemu Klientowi. Jednakże przy sklepie internetowym ta sytuacja nie ma miejsca, ponieważ dane Klientów nie są wykorzystywanie tylko do wystawienia faktury, a przede wszystkim do wysyłki towaru. Zgodnie z tym nie jesteśmy zwolnieni z obowiązku rejestracji zbioru danych.

Kary

Jak dowiadujemy się z artykułu 53 Ustawy o Ochronie Danych Osobowych ustawodawca przewidział karę za nie zgłoszenie zbioru danych osobowych: „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”

Z tej samej ustawy z artykułu 54 dowiadujemy się że: „Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.


NAJWAŻNIEJSZE PYTANIA I ODPOWIEDZI:

  1. Kiedy należy zgłosić zbiór danych Klientów do GIODO?

Najlepszym terminem wykonania takiej czynności jest na pewno moment rozpoczęcia właściwej działalności sklepu (najlepiej zrobić to jeszcze przed rozpoczęciem sprzedaży towarów). Jeżeli jednak jesteśmy grupą osób, które już prowadzą taką działalności, naszą powinnością powinno być natychmiastowe zgłoszenie się z odpowiednią dokumentacją do GIODO, w celu rejestracji.

Dane sklepu internetowego są bardzo cennym źródłem pozyskiwania danych osobowych Klientów ponieważ są wykorzystywane do różnych celów, tak więc przy możliwej kontroli nie ma żadnych możliwych wytłumaczeń z naszej strony, ponieważ sklep internetowy nie tylko zbiera dane osobowe ale również je utrwala (dla stworzenia listy stałych Klientów), oraz przechowuje (w celach wysyłki towaru, marketingu, wysyłki życzeń bądź drobnych upominków). Dlatego też w tym wypadku zgłoszenie jest konieczne.

  1. Czy wymagane jest wpisanie wszystkich Klientów do jednego zbioru, czy trzeba dany zbiór podzielić?

Warto tutaj podkreślić, że każdy zbiór danych odnosi się do innego wykorzystania odnośnie różnych celów (cele marketingowe, statystyczne, sprzedaży itp.), w związku z czym zbiór danych powinien znajdować się w oddzielnych formularzach zgłoszeniowych wraz z uwzględnieniem do jakiego zakresu danych należy i dla jakiego celu te dane są (bądź będą) przetwarzane

  1. Czy poza zgłoszeniem danych do GIODO potrzeba wykonać coś jeszcze?

Tak, samo zgłoszenie to jedno ale pozostaje jeszcze druga część dotycząca obowiązków dla administratorów danych zbiorów danych osobowych. Administrator musi zadbać o ich bezpieczne przechowywanie i ciągłą ochronę, aby żadne trzecie podmioty nie miały możliwości dotarcia do nich i bezprawnego wykorzystania ich do innych celów. Przede wszystkim administrator musi pilnować tego, co się na bieżąco z takimi danymi dzieje, czyli: jeżeli dany subskrybent newslettera będzie chciał się wypisać z otrzymywania wiadomości, administrator danych musi usunąć jego adres mailowy z danych i nie wykorzystywać nigdy więcej do innych celów (chyba, że subskrybent wyrazi na to uprzednio zgodę). Tak samo w wypadku jakichkolwiek modyfikacji danych, gdy Klient będzie chciał podejrzeć swoje obecne dane lub je zmienić to administrator jest zobowiązany udzielić mu takiej możliwości.

Zgłoszenie do którego zobowiązany jest administrator zbioru, czyli przedsiębiorca będący właścicielem sklepu Internetowego, a które musi spełnić wymagania art. 41 ustawy o ochronie danych osobowych) ma na celu właściwe, czyli zgodne z prawem, przetwarzanie danych osobowych, jak również kontrolowanie prawidłowości ich przetwarzania.

 

O CZYM MUSI PAMIĘTAĆ WŁAŚCICIEL SKLEPU INTERNETOWEGO ?

  1. Pozyskanie zgody
  • W wypadku zapisu do newslettera ważne jest umieszczenie pola, w których użytkownik zapisujący się wyrazi zgodę na przetwarzanie swoich danych osobowych w celach marketingowych (wysyłce cyklicznego maila z ofertą produktów i/lub usług). Natomiast w samym newsletterze powinna znaleźć się możliwość wypisu z cyklicznego otrzymywania maili na swoją skrzynkę pocztową.
  • W przypadku zapisu do sklepu internetowego również muszą znaleźć się odpowiednie pola ze zgodami, w których użytkownik zapisujący się może wyrazić zgodę odnośnie tego na jakie cele mogą być wykorzystywane jego dane osobowe. Oczywiście jest to następujący zapis: „Wyrażam zgodę na przetwarzanie swoich danych osobowych do celów marketingowych..” czy „Wyrażam zgodę na przekazywanie mi informacji handlowych środkami komunikacji elektronicznej przez.” Poza tym można jeszcze dodać własną treść – krótką informację na temat tego, jak często będzie wysyłana przesyłka mailowa z zastrzeżeniem, iż nie będzie przekazywana osobom trzecim oraz z informacją jakie ciekawostki mogą się tam znaleźć.
  1. Rejestracja w GIODO
  • Przede wszystkim, jak ciągle w tym artykule jest to powtarzane: trzeba zarejestrować swój zbiór danych osobowych w GIODO. Nie jest to nic trudnego – wzory dokumentu można w łatwy sposób znaleźć w Internecie i bez problemu pobrać, a następnie wydrukować (następnie wysłać pocztą tradycyjną). Mało tego, można również w kilka minut zarejestrować swój zbiór całkowicie online, poprzez system eGIODO. Odrobinę więcej czasu może zająć przygotowanie dwóch innych dodatkowych dokumentów, a więc załączników do wniosków dotyczących przetwarzania danych, czyli: do jakich celów będą nam one służyć. Dokumenty noszą nazwę: ,,Polityka bezpieczeństwa informacji” oraz ,,Instrukcja zarządzania systemem informatycznym”.
  1. Podpisanie umowy
  • Jeżeli dane osobowe z naszego zbioru będą znajdować się na serwerach innych podmiotów, a więc na przykład na serwerach firm, z których usług będziemy korzystać w celach wysyłki mailingów. Wówczas trzeba jeszcze podpisać umowę na powierzenie danych osobowych. W takiej sytuacji firma pośrednicząca staje się procesorem danych osobowych – to również trzeba zgłosić do GIODO.
  1. Polityka prywatności – kontrola
  • W tej kwestii bardzo ważna jest dobrze napisana polityka prywatności oraz stworzenie możliwości akceptacji tej polityki przez użytkowników, które będą rejestrowały się w danym serwisie.

Podsumowanie

Gdy prowadzimy sklep, musimy mieć na uwadze obowiązki jakie nakłada na nas ustawodawca – nieprzestrzeganie ich grozi grzywnie oraz karze więzienia. Dobrą praktyką jest także śledzenie zmieniających się przepisów i poszukiwania informacji dotyczących przetwarzania danych osobowych, aby ciągle być z nimi na bieżąco.

Warto jeszcze wspomnieć, że nie można patrzeć na innych sprzedawców – co oni robią, a raczej czego nie robią.. Trzeba być tym, o krok przed nimi – być tym dokładniejszym i przestrzegać wszelkie prawa, aby w razie komplikacji nie mieć z niczym problemów – mieć tylko dowody swojej rzetelności w załatwianiu jakichkolwiek formalności. Ponieważ żadne wytłumaczenia w tym wypadku nie pomogą, jeżeli wydarzy się coś na naszą niekorzyść. Firma (a głównie jej działania) jest wizytówką całości, więc musi dbać już od samego środka, po brzegi, końce i detale o to, aby wszystko było wykonane prawidłowo, rzetelnie i dokładnie. Dane Klientów są dla nas, jak i dla nich prawie najważniejszą kwestią, to coś czym nie można handlować – to nie towary, a odzwierciedlenie naszego odbiorcy i jego prywatności, którą oddaje nam w zamian za zaufanie!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *