Ochrona danych w sklepie internetowym. Co zmieniły nowe przepisy?

Przeczytaj także: Profilowanie w e-commerce a ochrona danych osobowych

Profilowanie – obowiązki e-sprzedawcy

Każdy z nas robiąc zakupy w internecie zetknął się z mechanizmem profilowania nie raz.

- Chodzi o taką sytuację, w której otrzymujemy od sklepu internetowego, w którym już raz zrobiliśmy zakupy, sprofilowaną pod nasze potrzeby ofertę na adres email – mówi Michał Rogoziński z serwisu RzetelnyRegulamin.pl. - Mimo że krajowe przepisy o ochronie danych osobowych nie regulują kwestii profilowania, sprzedawcy, bez naszej zgody, wykorzystują ten mechanizm na co dzień, bazując np. na historii naszych zakupów czy też przeglądanych ostatnio produktach – dodaje. Przyjęte Rozporządzenie nie tylko wprowadza pojęcie profilowania do porządku prawnego, ale przede wszystkim nakłada na e-sprzedawców jasno określone obowiązki. - Od 2018 r. każdy e-sprzedawca będzie miał obowiązek, po pierwsze poinformowania klienta o profilowaniu, po drugie przekazania mu istotnych informacji o trybie jego działania, znaczeniu i przewidywanych konsekwencjach przetwarzania danych osobowych w ten sposób i po trzecie o prawie do sprzeciwu wobec przetwarzania danych osobowych przy użyciu profilowania – wylicza ekspert z RzetelnyRegulamin.pl.

Minimalizacja danych

Obecnie obowiązująca ustawa o ochronie danych osobowych obliguje każdego administratora danych do zbierania danych osobowych wyłącznie w zakresie niezbędnym do realizacji celów, dla których są one zbierane.

– Jak pokazują wyniki naszych audytów, u ponad 50 proc. sklepów internetowych, spotykamy się z nadużyciem polegającym na zbieraniu od klientów e-sklepu np. numeru PESEL lub daty urodzenia w sytuacji, gdy do realizacji umowy sprzedaży tego rodzaju dane są zbędne – mówi Michał Rogoziński z serwisu RzetelnyRegulamin.pl.

Rozporządzenie UE idzie nieco dalej i w sposób jednoznaczny stwierdza, iż administratorzy danych obowiązani są zbierać dane osobowe „ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. Jak wyjaśnia Michał Rogoziński, każdy sprzedawca prowadzący e-sklep będzie musiał ocenić, jaki jest minimalny zakres danych osobowych zbieranych od klientów, niezbędny do realizacji umowy sprzedaży czy np. prowadzenia konta klienta.

Nowe zasady wyrażenia zgody

Rozporządzenie nakłada na e-sprzedawcę obowiązek wykazania, że osoba, której dane dotyczą, udzieliła zgody na przetwarzanie swoich danych osobowych.

- Najczęściej występującą formą wyrażenia zgody na przetwarzanie danych osobowych jest zaznaczenie odpowiedniego checkbox’a na stronie e-sklepu – mówi ekspert z serwisu RzetelnyRegulamin.pl. – Checkbox jednak może okazać się mało skuteczną formą w kontekście spełnienia tego obowiązku, ponieważ mechanizmy stosowane na stronach e-sklepów nie zawsze pozwalają na zarejestrowanie faktu zaznaczenia tego pola przez danego klienta. Jeśli takie ograniczenie techniczne występuje, sprzedawca nie będzie w stanie udowodnić, iż klient wyraził zgodę na przetwarzanie jego danych (np. w celach marketingowych), a w konsekwencji przetwarzanie danych może okazać się bezpodstawne – tłumaczy Michał Rogoziński. - Z tego powodu należy spodziewać się sytuacji, w której sprzedawcy będą zmuszeni odbierać zgodę od klientów w inny sposób, np. mailowo – dodaje.

Dodatkowo, sprzedawca musi zapewnić, aby wycofanie zgody klienta było równie łatwe jak jej udzielenie.

72 godziny na zgłaszanie naruszenia

Każdy administrator danych, a w konsekwencji każdy sprzedawca prowadzący e-sklep, będzie obowiązany do zgłaszania przypadków naruszenia ochrony danych osobowych w ramach swojej działalności Generalnemu Inspektorowi Ochrony Danych Osobowych. Każdy przypadek będzie musiał być zgłoszony niezwłocznie, lecz nie później niż w terminie 72 godzin od jego stwierdzenia.

W przypadku gdy sprzedawca dokona zgłoszenia w terminie późniejszym, będzie musiał dodatkowo załączyć wyjaśnienie przyczyn opóźnienia.

- Jeżeli naruszenie ochrony danych osobowych może spowodować duże zagrożenie dla praw i wolności klientów, sprzedawca będzie musiał o takim naruszeniu zawiadomić niezwłocznie wszystkich klientów, których dane dotyczą. W praktyce konieczne będzie rozesłanie do klientów stosownej wiadomości email – dodaje Michał Rogoziński z RzetelnyRegulamin.pl.

Wiele podmiotów – jeden zestaw zasad przetwarzania danych

- W obecnym stanie prawnym, w przypadku gdy dwie firmy prowadzą wspólnie jeden sklep internetowy, każda z nich musi we własnym zakresie spełnić obowiązki wynikające z ustawy o ochronie danych osobowych (m.in. prowadzenie dokumentacji, rejestracja zbiorów danych) – mówi Michał Rogoziński.

Rozporządzenie wprowadza pojęcie „współadministratora”, które będzie miało zastosowanie do przypadku, w którym co najmniej dwaj administratorzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych. Będą oni mieli możliwość wspólnego ustalenia podziału zadań w zakresie wypełniania obowiązków wynikających z przepisów Rozporządzenia.

- Możliwe, że nieunikniona nowelizacja polskich przepisów umożliwi również podział zadań w kontekście prowadzenia dokumentacji lub rejestracji zbiorów danych – dodaje ekspert z serwisu RzetelnyRegulamin.pl

Przekazywanie danych osobowych do państw trzecich

Na mocy nowego Rozporządzenia, Komisja Europejska będzie oceniała czy konkretne państwo trzecie zapewnia odpowiedni poziom ochrony danych osobowych.

- Może być to istotnym ułatwieniem dla e-sklepów, które korzystają np. z usług firm hostingowych mających siedzibę w państwach trzecich. Jeśli państwo (w którym firma ma siedzibę) znajdzie się na liście Komisji Europejskiej, sprzedawcy nie będą musieli spełniać dodatkowych, często niełatwych wymogów, by przesłać dane osobowe do państwa trzeciego – tłumaczy Michał Rogoziński.