Jednym z najważniejszych narzędzi wykorzystywanych na potrzeby sklepu internetowego jest e-mail marketing. Ułatwia on realizowanie transakcji i nawiązywanie kontaktów na linii sprzedawca-klient. Należy jednak pamiętać o tym, iż wiąże się to z niezwykle ważnym aspektem, jakim jest ochrona danych osobowych. Co w tej kwestii sprzedawca musi mieć na uwadze?
Błędna interpretacja przepisów
Sprawa z danymi osobowymi pozornie wydaje się w przypadku sklepów internetowych prosta – sprzedawca ich potrzebuje, aby zrealizować złożone przez klienta zamówienie. Musi więc on podać swoje imię i nazwisko, adres czy numer telefonu. Informacje te są również niezbędne przy zakładaniu konta w sklepie oraz do wystawiania faktur. Niejednokrotnie przedsiębiorcy są zdania, iż z obowiązku rejestrowania gromadzonych danych osobowych zwalania je ustawa o ochronie danych osobowych, której art. 43.1 pkt. 8 stanowi o tym, że z obowiązku takiego „…zwolnieni są administratorzy danych: (…) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,(…)”. Powyższa interpretacja jest mylna.
Obowiązki wynikające z ustawy o ochronie danych osobowych
W praktyce przedsiębiorca prowadzący sklep internetowy musi zapewnić zbiorowi danych osobowych należytą ochronę poprzez zarejestrowanie go w Generalnym Inspektoracie Ochrony Danych Osobowych. Istnieje ku temu wiele powodów, a najważniejsze z nich to:
- dane osobowe klientów są nieodzowne do realizacji umowy kupna-sprzedaży,
- sprzedawcy współpracują z firmami kurierskimi oraz podmiotami oferującymi usługi w zakresie systemów płatności, którym udostępniają dane klientów.
Sprzedawcy muszą mieć świadomość tego, że nie wywiązywanie się z powyższych obowiązków pociąga za sobą poważne konsekwencje. Wystarczy w tym miejscu przytoczyć kilka zapisów z ustawy o danie osobowych:
- Art. 51. 1. „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.
- Art. 52. „Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.
- Art. 53. „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.
Rejestracja zbiorów danych osobowych w GIODO
W celu zarejestrowania zbioru danych osobowych w GIODO należy złożyć wniosek – służy do tego specjalny formularz, którego wzorem jest załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji. Można go pobrać m. in. ze strony internetowej www.giodo.gov.pl. Zgłoszenie można przesłać tradycyjną lub elektroniczną pocztą bądź złożyć osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych w Warszawie. Uwaga – przesłanie dokumentu drogą elektroniczną w grę wchodzi tylko wówczas, gdy nadawca posiada podpis elektroniczny.
Warto w tym miejscu nadmienić, iż z dniem 1 stycznia 2015 r. weszły w życie zmodyfikowane przepisy w zakresie ochrony danych osobowych. Zgodnie z nimi administratorzy danych osobowych nie muszą dokonywać rejestracji w GIODO, jeżeli powołają Administratora Bezpieczeństwa Informacji, a następnie zarejestrują go w jawnym rejestrze GIODO. ABI to osoba posiadająca wiedzę o regulacjach dotyczących ochrony danych osobowych, zadaniem której jest ochrona danych osobowych gromadzonych przez konkretną organizację. Bardzo istotne jest to, że na zgłoszenie ABI jest ściśle określony termin – w 2015 r. upłynął on z dniem 30 czerwca.
Jakie dodatkowe działania podejmować?
Ponadto sprzedawca powinien podjąć również inne działania takie jak:
- Prowadzenie ewidencji osób posiadających upoważnienie do przetwarzania danych osobowych – taka ewidencja sprawdza się doskonale w formie tabeli zawierającej niezbędne informacje, np. imię i nazwisko osoby upoważnionej i numer upoważnienia.
- Zawarcie stosownych umów z podmiotami, którym sprzedawca przekazuje dane osobowe swoich klientów, np. z firmami kurierskimi czy obsługującymi systemy płatności w sklepie internetowym. Nie wolno zapomnieć o poinformowaniu o tym fakcie GIODO.
- Wdrażanie rozwiązań zapewniających ochronę polityki prywatności – chodzi w tym momencie o tzw. cookies, czyli ciasteczka. Są to dane, których klient nie pozostawia w sklepie w sposób bezpośredni, a odnoszą się one do jego aktywności na danej stronie. Dzięki nim można usprawnić funkcjonowanie sklepu oraz precyzyjniej dostosować jego ofertę do oczekiwań klientów.
- Pozyskiwanie zgody klientów na przetwarzanie ich danych osobowych, np. przy zakładaniu konta, zapisach do newslettera czy wysyłaniu informacji handlowych. Znajdują tu zastosowanie regułki typu „„Wyrażam zgodę na przetwarzanie swoich danych osobowych do celów marketingowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. nr 133, poz. 883) przez… (tutaj dane naszej firmy)”. Dodatkowo warto poinformować klienta o tym, że jego dane nie zostaną sprzedane żadnym podmiotom.