Jak sklepy internetowe powinny chronić dane o swoich klientach

Jakimi zbiorami danych osobowych administrują sklepy internetowe?

Typowe zbiory danych osobowych prowadzonych przez sklepy internetowe to:

1. konta użytkowników w sklepie internetowym,

2. zamówienia składane w sklepie internetowym,

3. marketing produktów i usług,

4. opinie o produktach,

5. subskrybenci newslettera,

6. formularz kontaktowy

Powyższe wyliczenie nie obejmuje wszystkich zbiorów danych osobowych, których administratorem jest sklep internetowy. Możemy do nich zaliczyć również zbiory danych związane z zatrudnieniem pracowników (klasyczne zbiory kadrowe) oraz obsługą administracją (księgi wejść i wyjść, rejestry korespondencji, książki adresowe etc.) - czyli te zbiory danych, które ma większość pracodawców/przedsiębiorców. Często sklepy internetowe organizują loterie, konkursy lub uruchamiają programy lojalnościowe. To także generuje powstanie nowych zbiorów danych.

Które z wyżej wymienionych danych gromadzonych przez sklepy internetowe podlegają obowiązkowi rejestracji w Biurze Generalnego Inspektora Ochrony Danych Osobowych?

Analiza art. 43 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm. - dalej: ustawa), prowadzi do wniosku, że administrator danych osobowych powinien zarejestrować wszystkie z sześciu wymienionych wyżej zbiorów. Co do rejestracji innych zbiorów, to zależy od praktyki danego sklepu (zakresu jego działań).

Sklepy internetowe coraz częściej wykorzystują w celach marketingowych pliki cookies i inne podobne technologie przechowujące i uzyskujące dostęp do informacji na urządzeniu użytkownika końcowego. Czy ustawa o ochronie danych osobowych odnosi się do kwestii reklam behawioralnych? Czy działanie polegające na zbieraniu informacji o zachowaniu klienta jest legalne?

Zagadnienie, o którym mowa, nie zostało jeszcze w sposób jednoznaczny ocenione przez generalnego inspektora ochrony danych osobowych (GIODO). Istotny dla interpretacji zagadnienia jest dorobek tzw. grupy roboczej art. 29 (patrz ramka). Szczególnie warto zapoznać się z jej opinią 16/2011 w sprawie zaleceń EASA/IAB dotyczących najlepszych praktyk w internetowej reklamie behawioralnej. Zdaniem grupy roboczej art. 29 "użytkownik musi wyrazić swoją zgodę na przechowywanie informacji albo dostęp do informacji przechowywanych w jego urządzeniu końcowym po otrzymaniu jasnych i wyczerpujących informacji w zgodzie z dyrektywą 95/46/WE, między innymi na temat celu przetwarzania informacji. A zatem, aby zapewnić zgodność z prawem, właściwe informacje muszą być przekazane użytkownikom bezpośrednio, w jasnej i zrozumiałej formie przed rozpoczęciem ich przetwarzania. Nie wystarczy jedynie »dostępność« tych informacji w jakimś miejscu strony, którą odwiedza użytkownik".

W wyżej przywołanej opinii grupa robocza art. 29 twierdzi, że "zgodę należy uzyskać przed pobraniem danych osobowych, gdyż stanowi ona niezbędny środek zapewnienia osobom, których dane dotyczą możliwości pełnego zrozumienia, na co wyrażają zgodę. Ponadto zgoda musi być odwoływalna". Należy również pamiętać, że ze względu na konstrukcję art. 27 ust. 2 ustawy administrator danych w zasadzie nie powinien przetwarzać w ramach reklamy behawioralnej wrażliwych danych osobowych w rozumieniu jej art. 27 ust. 1 ustawy (m.in. danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, nałogi).

Jak długo można przechowywać dane osobowe zebrane w opisany powyżej sposób?

Niestety, przepisy nie dają odpowiedzi również na to pytanie. Odwołać się można się jednak np. do opinii 2/2010 grupy roboczej art. 29 w sprawie internetowej reklamy behawioralnej. Zgodnie z nią "operatorzy sieci reklamowych powinni wdrożyć zasady przechowywania, które zapewniałyby automatyczne usuwanie informacji gromadzonych każdorazowo przy odczycie pliku cookies po upływie uzasadnionego czasu (niezbędnego do celów przetwarzania)".

Czy w każdym przypadku wymagana jest zgoda na przechowywanie danych w plikach typu cookies?

Przywołana opinia grupy roboczej art. 29 zawiera również wyłączenie od wymogu zbierania takiej zgody. Według art. 5 ust. 3 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz.Urz. L 201 z 31 lipca 2002 r., P. 0037 - 0047) zezwala się na wyłączenie pliku cookies spod zasady wyrażenia świadomej zgody, jeżeli jest to potrzebne "w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej" lub też jest to "szczególnie niezbędne w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika". Opinia grupy roboczej art. 29 zawiera listę wyżej wymienionych wyjątków. Są to:

wpliki cookies sesji bezpiecznego logowania,

wpliki cookies koszyka na zakupy (przechowywanie odnośników do przedmiotów, które użytkownik wybrał),

wpliki cookies bezpieczeństwa.

Administrator danych prowadzący sklep internetowy i wykorzystujący pliki cookies do przechowywania danych osobowych dotyczących zachowań klientów powinien opracować treść klauzuli obowiązku informacyjnego w rozumieniu art. 24 ustawy, która byłaby dla każdej osoby widoczna na stronie internetowej. Powinien też opracować klauzulę zgody na przetwarzanie określonych danych osobowych na potrzeby reklamy behawioralnej. Zgoda taka może zostać wyrażona np. poprzez zaznaczenie checkboxa.

Jakie klauzule związane z ochroną danych osobowych należy zastosować, zbierając dane osobowe uczestników konkursu organizowanego przez sklep internetowy?

Organizując konkurs, na potrzeby którego przetwarzane są dane osobowe, trzeba dopełnić kilku obowiązków wynikających z ustawy o ochronie danych osobowych. Najważniejsze jest, by uwarunkowania związane z ochroną danych osobowych przeanalizować już na etapie projektowania konkursu. Bardzo często zdarza się, że temat ochrony danych osobowych pojawia się dopiero na końcowym etapie projektowania konkursu, kiedy przygotowana została już odpowiednia aplikacja, strona internetowa, powstał regulamin itd. W konsekwencji może się okazać, że cenny z biznesowego punktu widzenia konkurs nie może zostać przeprowadzony, ponieważ jest niezgodny z ustawą o ochronie danych osobowych.

Zbierając dane osobowe za pomocą formularza konkursowego, powinniśmy poinformować uczestników konkursu o okolicznościach wskazanych w art. 24 ustawy, a więc dopełnić tzw. obowiązku informacyjnego. Jest on realizowany zazwyczaj poprzez umieszczenie krótkiego tekstu na formularzu konkursowym. Klauzula obowiązku informacyjnego nie musi być akceptowana. Istotne jest, by administrator danych potrafił wykazać, że uczestnik konkursu zapoznał się z jej treścią.

Należy również zastanowić się, jaka będzie podstawa przetwarzania danych osobowych uczestników konkursu. Zgodnie z praktyką GIODO trzeba wskazać na art. 23 ust. 1 pkt 1 ustawy (zgoda osoby fizycznej na przetwarzanie danych osobowych w celu przeprowadzenia konkursu i wyłonienia zwycięzców). Zgoda na przetwarzanie danych osobowych musi być oświadczeniem odrębnym. Nie może być oświadczeniem dorozumianym czy domniemanym, wynikającym z oświadczenia woli innej treści. Możemy oczywiście rozważyć zastosowanie dodatkowych klauzul związanych z ochroną danych osobowych. Jeżeli np. chcemy przetwarzać zebrane dane osobowe uczestników po zakończeniu konkursu w celach marketingowych, powinniśmy zebrać dodatkową zgodę na przetwarzanie danych osobowych w celach marketingowych. Jeżeli dysponujemy jedynie zgodą na przetwarzanie danych osobowych na potrzeby prowadzonego konkursu, powinniśmy usunąć dane osobowe po jego zakończeniu.

Konkurs powinien ruszyć najwcześniej po złożeniu do GIODO zgłoszenia (zakładając, że na potrzeby konkursu nie są przetwarzane dane wrażliwe, o których mowa w art. 27 ust. 1 ustawy). Należy również pamiętać, by zawrzeć umowy powierzenia przetwarzania danych osobowych z podmiotami, które na zlecenie sklepu internetowego wykonują określone usługi związane z dostępem do danych osobowych uczestników konkursu.

Grupa robocza art. 29

Zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych - to niezależny podmiot o charakterze doradczym, powołany na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Tworzą go przedstawiciele organów nadzorczych w zakresie ochrony danych osobowych powołanych przez państwa Unii oraz ustanowionych dla instytucji i organów Wspólnoty. Celem zespołu roboczego jest m.in. przyczynianie się do jednolitego stosowania dyrektywy we wszystkich krajach członkowskich. Przedstawicielem Polski w zespole roboczym jest generalny inspektor ochrony danych osobowych.

SZKOLIĆ SIĘ WARTO

To wszystko na specjalnej kolumnie szkoleniowej. Umieszczamy na niej podsumowanie kursów już odbytych oraz zapowiadamy merytorycznie te, które w niedługim czasie się odbędą.

@RY1@i02/2012/108/i02.2012.108.215000600.806.jpg@RY2@

Wojciech Górski

Tomasz Osiej - radca prawny, Omni Modo

@RY1@i02/2012/108/i02.2012.108.215000600.807.jpg@RY2@

materiały prasowe

Piotr Janiszewski - aplikant radcowski, Omni Modo