Ochrona danych osobowych, obowiązkiem każdego e-przedsiębiorcy

Dynamiczny rozwój technologii informacyjno-komunikacyjnej, która umożliwia szybką wymianę informacji, niesie za sobą zarówno duże możliwości, jak i duże niebezpieczeństwa. Za każdym razem, gdy zakładamy konto pocztowe, rejestrujemy się w portalu społecznościowym czy dokonujemy zakupu za pośrednictwem sklepu internetowego, przekazujemy swoje dane osobowe, takie jak imię, nazwisko, adres czy telefonu.

Warto pamiętać, iż ochrona powyższych danych jest naszym prawem podstawowym, które zostało uregulowane zarówno na szczeblu ustawodawstwa krajowego, jak i unijnego. Niniejszy artykuł będzie poświęcony przede wszystkim regulacji krajowej, która opiera się na dwóch podstawowych instytucjach, którymi są ustawa o ochronie danych osobowych oraz urząd Generalnego Inspektora Ochrony Danych Osobowych (tzw. GIODO).

Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r. (dalej: UODO) to najważniejszy akt prawny z zakresu ochrony danych osobowych. Jej podstawowym celem jest ochrona osób fizycznych, których dane osobowe są lub mogą być przetwarzane przez różnego rodzaju podmioty, instytucje czy organizacje. Ustawa zawiera szczegółowe zasady postępowania z tymi danymi oraz wskazuje warunki ich przetwarzania. Warto jednak zwrócić uwagę, że podstawowym celem wyżej wspomnianej regulacji prawnej jest przede wszystkim ochrona w sytuacji nadużywania danych osób fizycznych, szczególnie wbrew ich woli i mobilizacja tych, którzy te dane posiadają do dbania o bezpieczeństwo tych danych. Ponadto w ustawie zostały określone kompetencje organu do spraw ochrony danych osobowych, czyli Generalnego Inspektora Ochrony Danych.

Czym jest GIODO? Zakres obowiązków?

Generalny Inspektor Ochrony Danych Osobowych to organ do spraw ochrony danych osobowych. Do głównych zalet urzędu GIODO należą przede wszystkim szerokie uprawnienia przy prowadzeniu kontroli naruszonych danych osobowych co pozwala na dokładne zbadanie konkretnej sprawy. Do najważniejszych zadań GIODO należą przede wszystkim:

W celu realizacji powyższych zadań GIODO, jego zastępca oraz upoważnieni inspektorzy mają prawo wstępu do pomieszczeń, w których przechowuje się i przetwarza zbiory danych, mogą przeglądać dokumenty i dane mające związek z przedmiotem ich kontroli, żądać pisemnych i ustnych wyjaśnień, a także zlecać sporządzanie ekspertyz i opinii.

Podmioty zobowiązane do zgłoszenia zbioru danych

Z punktu widzenia prowadzenia działalności gospodarczej istotną kwestię, w zakresie ochrony danych osobowych, stanowi obowiązek zarejestrowania zbioru bazy danych. Obowiązek ten wynika bezpośrednio z art. 40 UODO, który stanowi, że Administrator Danych Osobowych (dalej: ADO) jest zobowiązany zgłosić zbiór danych do rejestracji GIODO, chyba że zachodzi jeden z wyjątków przewidzianych w UODO.

Zgodnie z definicją zawartą na oficjalnej stronie internetowej GIODO to podmiot decydującym o celach i środkach przetwarzania danych osobowych, a więc każdy przedsiębiorca prowadzący e-biznes, który wykorzystuje dane osobowe klientów.
Wyjątek od obowiązku wynikającego z art. 40 określa art. 43 ust. 1 UODO, zatem to właśnie z tym przepisem powinien zaznajomić się przedsiębiorca, aby mieć pewność czy musi występować do GIODO czy też nie. Warto także dodać, że obowiązek rejestracji zbioru bazy danych nabrał jeszcze większego znaczenia w związku z nowelizacją UODO w 2011 r. która nadała GIODO tytuł wykonawczy do karania w przypadku nie przestygania przepisów ustawy UODU. Po nowelizacji ustawy GIODO może bez konieczności oddania sprawy do prokuratury karać za wykroczenia. O restrykcjach wynikających z braku rejestracji stanowi rozdział 8 ustawy o ochronie danych osobowych (art. 49 – 54), niniejszy rozdział stanowi, że osoba, która przetwarza dane osobowe niezgodnie z prawem podlega karze finansowej, a nawet pozbawieniu wolności do lat 3.

Mając na uwadze powyższe należy pamiętać o podstawowych klauzulach, które każdy sklep internetowy powinien zawierać w swoim regulaminie sprzedaży lub formularzy sprzedaży. Po pierwsze, istotne znacznie ma klauzula o wyrażeniu zgody na przetwarzanie danych osobowych Klienta i jego dobrowolności. Oznacza to przede wszystkim zgodę klienta na przetwarzanie jego danych oraz jednocześnie informuje, że ma on prawo do wglądu w swoje dane i w każdej chwili przysługuje mu prawo usunięcia lub zmiany danych w bazie. Po drugie, istotnym elementem w sklepie jest posiadanie polityki prywatności, w której należy podać pełne dane właściciela bazy danych, cel w jakim dane są wykorzystywane, rodzaj zbieranych danych oraz sposobie ich zabezpieczenia. Konieczne jest w tym celu podanie dokładnych danych właściciela bazy danych tzw. administratora danych osobowych ponadto, klientowi należy zawsze umożliwić dostęp do regulaminu sprzedaży, natomiast zakup umożliwić mu dopiero wtedy, gdy zaakceptował regulamin sklepu.

Podsumowując należy stwierdzić, iż przedsiębiorca prowadzący sklep internetowy jest otoczony przez skomplikowane regulacje prawne, które bardzo często są dla niego niezrozumiałe i niejednoznaczne. W celu zminimalizowania ryzyka kontroli inspektorów GIODO i nałożenia kar finansowych przedsiębiorca może ograniczyć zbiór danych, co sprawi że nie będzie on wchodził w posiadanie tzw. "danych wrażliwych" co tym samym zmienia proces rejestracji takiej bazy danych. Jednakże powyższa rada jest trudna do zrealizowania, ponieważ przedsiębiorca prowadzący biznes e-commerce, chcąc ograniczyć ryzyko zawieranych transakcji, musi wejść w posiadanie tzw. "danych wrażliwych". W związku powyższym, przedsiębiorca ma obowiązek zapoznać się z wszystkimi regulacjami prawnymi, które wiążą się z koniecznością ochrony danych osobowych albo scedować niniejszy obowiązek na wyspecjalizowane firmy prawnicze specjalizujące się w powyższej tematyce.