Giodo i ochrona danych osobowych - co przedsiębiorca powinien wiedzieć?
Ochrona danych osobowych, obowiązkiem każdego e-przedsiębiorcy.
W związku z dynamicznym rozwojem technologii informacyjno-komunikacyjnej, która umożliwia szybką wymianę informacji, istotną kwestią jest ochrona wrażliwych informacji dotyczących każdego użytkownika, a więc każdego z nas. Za każdym razem, gdy otwieramy rachunek bankowy w Internecie, rejestrujemy się w portalu społecznościowym czy dokonujemy zakupu za pośrednictwem sklepu internetowego, przekazujemy dane osobowe takie jak nazwisko, adres czy numer karty kredytowej.
W związku z powyższym warto zadać pytania: Co dzieje się z tymi danymi? Czy będą wykorzystane w inny sposób niż ten, na który się zgodziliśmy? Czy wgląd do nich będą miały osoby nieupoważnione? Do kogo należy zwrócić w przypadku ich naruszenia ochrony? Warto pamiętać, iż ochrona powyższych danych jest naszym prawem podstawowym, które zostało uregulowane zarówno na szczeblu ustawodawstwa krajowego, jak i unijnego. Niniejszy artykuł będzie poświęcony przede wszystkim regulacji krajowej, która opiera się na dwóch podstawowych instytucjach, którymi są ustawa o ochronie danych osobowych oraz urząd Generalnego Inspektora Ochrony Danych Osobowych (tzw. GIODO).
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r. (dalej: UODO) to najważniejszy akt prawny z zakresu ochrony danych osobowych. Jej podstawowym celem jest ochrona osób fizycznych, których dane osobowe są lub mogą być przetwarzane przez różnego rodzaju podmioty, instytucje czy organizacje. Ustawa zawiera szczegółowe zasady postępowania z tymi danymi oraz wskazuje warunki ich przetwarzania. Warto jednak zwrócić uwagę, że podstawowym celem wyżej wspomnianej regulacji prawnej jest przede wszystkim ochrona w sytuacji nadużywania danych osób fizycznych, szczególnie wbrew ich woli i mobilizacja tych, którzy te dane posiadają do dbania o bezpieczeństwo tych danych. Ponadto w ustawie zostały określone kompetencje organu do spraw ochrony danych osobowych, czyli Generalnego Inspektora Ochrony Danych.
Czym jest GIODO? Zakres obowiązków?
Generalny Inspektor Ochrony Danych Osobowych to organ do spraw ochrony danych osobowych. Do głównych zalet urzędu GIODO należą przede wszystkim szerokie uprawnienia przy prowadzeniu kontroli naruszonych danych osobowych co pozwala na dokładne zbadanie konkretnej sprawy. Podstawową wadą tego urzędu jest fakt, iż wszystkie skargi, wnioski kierowane do GIODO są płatne. Do najważniejszych zadań GIODO należą przede wszystkim:
- badanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
- prowadzenie ogólnokrajowego jawnego rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
- opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
- inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
- uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
- W celu realizacji powyższych zadań GIODO, jego zastępca oraz upoważnieni inspektorzy mają prawo wstępu do pomieszczeń, w których przechowuje się i przetwarza zbiory danych, mogą przeglądać dokumenty i dane mające związek z przedmiotem ich kontroli, żądać pisemnych i ustnych wyjaśnień, a także zlecać sporządzanie ekspertyz i opinii.
Podmioty zobowiązane do zgłoszenia zbioru danych.
Z punktu widzenia prowadzenia działalności gospodarczej istotną kwestię, w zakresie ochrony danych osobowych, stanowi obowiązek zarejestrowania zbioru bazy danych. Obowiązek ten wynika bezpośrednio z art. 40 UODO, który stanowi, że administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji GIODO, chyba że zachodzi jeden z wyjątków przewidzianych w UODO. Administrator danych, a więc kto? Zgodnie z definicją zawartą na oficjalnej stronie internetowej GIODO to podmiot decydującym o celach i środkach przetwarzania danych osobowych, a więc każdy przedsiębiorca prowadzący e-biznes, który wykorzystuje dane osobowe klientów. Wyjątek od obowiązku wynikającego z art. 40 określa art. 43 ust. 1 UODO, zatem to właśnie z tym przepisem powinien zaznajomić się przedsiębiorca, aby mieć pewność czy musi występować do GIODO czy też nie. Warto także dodać, że obowiązek rejestracji zbioru bazy danych nabrał jeszcze większego znaczenia w związku z nowelizacją UODO w 2011r. która nadała GIODO tytuł wykonawczy do karania w przypadku nie przestygania przepisów ustawy UODU. Po nowelizacji ustawy GIODO może bez konieczności oddania sprawy do prokuratury karać za wykroczenia. O restrykcjach wynikających z braku rejestracji stanowi rozdział 8 ustawy o ochronie danych osobowych (art. 49 – 54), niniejszy rozdział stanowi, że osoba, która przetwarza dane osobowe niezgodnie z prawem podlega karze finansowej, a nawet pozbawieniu wolności do lat 3.
Mając na uwadze powyższe należy pamiętać o podstawowych klauzulach, które każdy sklep internetowy powinien zawierać w swoim regulaminie sprzedaży. Po pierwsze, istotne znacznie ma klauzula o wyrażeniu zgody na przetwarzanie danych osobowych Klienta i jego dobrowolności. Oznacza to przede wszystkim zgodę klienta na przetwarzanie jego danych oraz jednocześnie informuje, że ma on prawo do wglądu w swoje dane i w każdej chwili przysługuje mu prawo usunięcia lub zmiany danych w bazie. Po drugie, istotnym elementem w sklepie jest posiadanie polityki prywatności, w której należy podać pełne dane właściciela bazy danych, cel w jakim dane są wykorzystywane, rodzaj zbieranych danych oraz sposobie ich zabezpieczenia. Konieczne jest w tym celu podanie dokładnych danych właściciela bazy danych tzw. administratora danych osobowych ponadto, klientowi należy zawsze umożliwić dostęp do regulaminu sprzedaży, natomiast zakup umożliwić mu dopiero wtedy, gdy zaakceptował regulamin sklepu. Na marginesie należy również dodać, iż z treści regulaminu nie może wynikać, że "z chwilą złożenie zamówienia konsument akceptuje treść regulaminu". Wiąże się to z jedną z wielu klauzul niedozwolonych wpisaną do rejestru prowadzonego przez Urząd Ochrony Konkurencji i Konsumentów, a która w swym uzasadnieniu nie dopuszcza dorozumianej zgody konsumenta na treść regulaminu sprzedaży.
Podsumowując należy stwierdzić, iż przedsiębiorca prowadzący sklep internetowy jest otoczony przez skomplikowane regulacje prawne, które bardzo często są dla niego niezrozumiałe i niejednoznaczne. W celu zminimalizowania ryzyka kontroli inspektorów GIODO i nałożenia kar finansowych przedsiębiorca może ograniczyć zbiór danych, co sprawi że nie będzie on wchodził w posiadanie tzw. "danych wrażliwych" co tym samym zmienia proces rejestracji takiej bazy danych. Jednakże powyższa rada jest trudna do zrealizowania, ponieważ przedsiębiorca prowadzący biznes e-commerce, chcąc ograniczyć ryzyko zawieranych transakcji, musi wejść w posiadanie tzw. "danych wrażliwych". W związku powyższym, przedsiębiorca ma obowiązek zapoznać się z wszystkimi regulacjami prawnymi, które wiążą się z koniecznością ochrony danych osobowych albo scedować niniejszy obowiązek na wyspecjalizowane firmy prawnicze specjalizujące się w powyższej tematyce.
autor: adw. Daniel Gatner. Artykuł redagowany dla poradnika serwisu OpenSolution.org