Przetwarzanie danych osobowych w sklepie internetowym to kwestia niezwykle istotna. Każdy eSklep, który zbiera dane osobowe swoich klientów, między innymi w celu realizacji zamówienia lub wysłania newslettera, musi pamiętać, że informacje te chronione są przepisami prawa. Ich nieprzestrzeganie może wiązać się konsekwencjami, takimi jak kara grzywny lub nawet pozbawienia wolności. Dlatego zanim zaczniemy prowadzić własną działalność, należy jak najwięcej dowiedzieć się na temat danych osobowych i sposobu ich przetwarzania.

 

Co to są dane osobowe?

Zgodnie z Ustawą o Ochronie Danych Osobowych, są to wszelkie informacje, które pozwalają na zidentyfikowanie osoby fizycznej. Trzeba też zwrócić uwagę na to, że wszystkie łatwe do weryfikacji informacje, takie jak imienny adres e-mail, numer telefonu, imię i nazwisko są danymi osobowymi, ale np. inicjały, wymagające analizy grafologa, już nie.  Aby realizować zamówienia, sklepy internetowe przetwarzają głównie następujące dane osobowe:

  • imię i nazwisko;
  • adres e-mail;
  • adres osoby zamawiającej;
  • adres dostawy;
  • nazwę firmy;
  • numer telefonu;
  • NIP;
  • adres IP.

 

Przetwarzanie danych osobowych w sklepie internetowym to zadanie Administratora Danych Osobowych. W przypadku działalności jednoosobowej będzie to właściciel firmy, a w przypadku spółek prawa handlowego – cała spółka. Administrator jest odpowiedzialny za prawidłowe przetwarzanie zgromadzonych informacji, zachowywanie procedur i kontrolę osób, które mają z nimi styczność (np. pracowników).

 

Przetwarzanie danych osobowych w sklepie internetowym – jak robić to prawidłowo?

Informacje, które pozyskujemy od naszych klientów, przetwarzane są w różnych określonych celach. Najważniejszymi są realizacja zamówienia i wspomniane już newslettery, ale mogą też one być wykorzystane do programów lojalnościowych, przygotowania kampanii marketingowej czy zbierania opinii o sklepie. W każdym z przypadków przetwarzany jest określony zbiór danych. Ustawa o Ochronie Danych Osobowych określa, że zbiór takich danych powinien charakteryzować się trzema cechami:

  • informacje w nim zawarte pozwalają na zidentyfikowanie osoby fizycznej;
  • dane są ułożone według określonej struktury;
  • dostęp do informacji zawartych w zbiorze jest zapewniony dzięki pewnym ustalonymi kryteriom.

 

Grupy rozróżniane są na podstawie celu ich przetwarzania, a nie samych danych w nich zawartych. Dlatego też zgłoszeniu do GIODO podlegają właśnie całe grupy danych, a nie tylko pojedyncze personalia.

Należy pamiętać o tym, że tylko zrozumiała i wyraźna zgoda właściciela daje nam możliwość korzystania z jego danych osobowych. Najczęściej prośba o zgodę na przetwarzanie danych osobowych pojawia się w ostatnim etapie dokonywania zakupu. Nie można jej „ukryć” w regulaminie, czy też na podstronie. Każda zgoda musi zostać udzielona osobno. Oznacza to, że klient musi wyrazić jedną zgodę na przetwarzanie danych osobowych w sklepie internetowym w celu realizacji zamówienia, a jeśli zechcemy, aby zapisał się on do newslettera – kolejną.

 

Jakich zbiorów nie trzeba zgłaszać do GIODO

Ustawa o Ochronie Danych Osobowych reguluje, które zbiory danych nie podlegają rejestracji. Są to na przykład:

  • dane przetwarzane w zakresie drobnych spraw życia codziennego. Mowa tu np. o pozostawieniu w pralni swojego nazwiska, aby potem móc odebrać czyste ubrania. Zakup w sklepie internetowym nie zalicza się do bieżących spraw życia codziennego;
  • dane przetwarzane podczas zatrudniania osoby na podstawie umowy o pracę (i pozostałych);
  • dane przetwarzane są w celu wystawienia rachunku, faktury lub prowadzenia sprawozdawczości finansowych.

 

Zgłoszenie zbioru do GIODO – jak to zrobić?

Osoba Administratora Danych Osobowych, który przetwarza informacje o klientach, jest zobowiązana do ich zarejestrowania u Generalnego Inspektora Danych Osobowych. Aby zgłosić zbiór do GIODO, wystarczy wypełnić formularz, który znajduje się na stronie https://egiodo.giodo.gov.pl/. Sama procedura nie jest wyjątkowo skomplikowana i składa się z kilku punktów, które skupiają się na opisaniu nazw zbiorów oraz procedur bezpieczeństwa przetwarzania w firmie. Sama rejestracja to jednak nie wszystko. Zgłoszenie bazy do Generalnego Inspektora Danych Osobowych to część formalna, jej dopełnieniem jest przygotowanie i wdrożenie odpowiednich procedur, jakimi są polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym.

 

Polityka bezpieczeństwa

Jest to system reguł wewnętrznych, zasad przetwarzania informacji o klientach. Muszą być w niej wyróżnione zbiory danych, cel ich przetwarzania, stosowane zabezpieczenia oraz podmioty, którym dane mogą zostać powierzone lub udostępniane.

 

Instrukcja zarządzania systemem informatycznym

Odnosi się ona się do systemów, procedur tworzenia kopii zapasowych, nadawania dostępów i innych kwestii związanych z teleinformatyczną stroną przetwarzania danych.

Oba dokumenty powinny zostać przedstawione pracownikom, którzy, po zapoznaniu się z nimi, podpiszą stosowne upoważnienia. Osoby te powinny też znaleźć się na liście osób dopuszczonych do pracy z informacjami osobowymi.

 

Za niedopełnienie obowiązku grożą kary i grzywny

Generalny Inspektor Ochrony Danych Osobowych ma prawo przeprowadzać niezapowiedziane kontrole, które mają na celu sprawdzenie poziomu bezpieczeństwa danych, przechowywanie dokumentacji, tworzenie kopii zapasowych itp. Przedsiębiorca, który nie dokonał obowiązku rejestracyjnego lub w jakiś sposób zaniedbał procedury, w tym nie zdobył odpowiednich zgód od klientów, może narazić się na odpowiedzialność karną w postaci grzywny lub pozbawienia wolności.

Ochrona danych osobowych klientów to obowiązek, który musi spełnić każdy przedsiębiorca. Niezależnie do tego, czy prowadzi sklep internetowy, czy stacjonarny. Odpowiednie procedury nie są trudne do wdrożenia, nie są też bardzo wymagające i kosztowne (w przypadku małych firm). W przypadku wystąpienia jakichkolwiek wątpliwości bądź problemów, zawsze można skorzystać z pomocy pracowników GIODO.

Jeśli interesują Cię pozostałe kwestie prawne związane z prowadzeniem sklepu internetowego – np. to, jaki rodzaj regulaminu wybrać – obejrzyj fragment wywiadu z Rafałem Stępniewskim z firmy Rzetelny Regulamin:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *