Sklepy internetowe muszą rejestrować bazy klientów

Podczas prowadzenia działalności gospodarczej w internecie gromadzi się dane osobowe klientów, które są niezbędne chociażby do wysyłki zakupionych przedmiotów. W świetle prawa czynność ta jest traktowana jako przetwarzanie danych, a baza powinna zostać zgłoszona do GIODO. Administrator, który tego nie dopilnuje może podlegać nawet karze pozbawienia wolności.

Sklepy internetowe muszą rejestrować bazy klientów
Autor

Monika Klimek-Malinowska, prawnik w Kancelarii Prawnej Trinity Waluga i Wspólnicy należącej do Grupy Trinity S.A.

Przedsiębiorcy internetowi, którzy wykorzystują dane osobowe swoich klientów podlegają Ustawie o ochronie danych osobowych. Zawarte w niej przepisy zobowiązują do wykonywania szeregu obowiązków - w tym rejestracji bazy u Generalnego Inspektora Ochrony Danych Osobowych.

eCommerce Standard 2012

Chcesz dowiedzieć się więcej o prowadzeniu sprzedaży w internecie? Już dzisiaj zapisz się na konferencję eCommerce Standard 2012 - najważniejsze spotkanie branży ecommerce!

Czym są dane osobowe i kto jest ich administratorem?

Punktem wyjścia do weryfikacji, czy w konkretnym przypadku należy kierować się przepisami ww. ustawy, powinno być zdefiniowanie trzech podstawowych pojęć: danych osobowych, ich przetwarzania oraz administratora.

Danymi osobowymi są wszelkie informacje, na podstawie których można ustalić tożsamość osoby fizycznej (w tym, od 1 stycznia 2012 r., również dane osobowe przedsiębiorców zbierane oraz udostępniane w ramach Centralnej Ewidencji i Informacji o Działalności Gospodarczej). Nie ma znaczenia, czy pozwolą one na zidentyfikowanie osoby w sposób natychmiastowy czy też identyfikacja wymaga dodatkowego, choć nie nadmiernego nakładu sił i środków (np. kiedy osoba poda, że ma zarejestrowana działalność w mieście x i okazuje się, że jest jedyną, więc można zweryfikować, że chodziło właśnie o nią).

Przykładem danych osobowych przetwarzanych w ramach działalności handlowej będzie imię, nazwisko, adres, data urodzenia a także PESEL. W określonych okolicznościach można zaliczyć do nich również adres e-mail oraz adres IP.

Przez przetwarzanie danych osobowych, należy rozumieć wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Administratorem jest natomiast firma/osoba, która decyduje o celach i środkach przetwarzania, czyli np. osoba zbierająca dane osobowe klientów obsługiwanych w ramach prowadzonego sklepu internetowego.

Obowiązek rejestracji - zasada i wyjątki

Ustawa o ochronie danych osobowych wprowadza generalną zasadę, zgodnie z którą każdy administrator zbioru danych jest zobowiązany do zarejestrowania go u Generalnego Inspektora Ochrony Danych Osobowych. Wprowadzono jednak wyjątki - m.in. nie trzeba tego robić, jeśli zbiór danych klientów sklepu jest przetwarzany jedynie w celu wystawienia faktury lub rachunku.

Z istoty działalności sklepu internetowego wynika jednak szereg innych celów, dla których dane osobowe klientów są przetwarzane, m.in.: wysyłka towaru, przechowywanie danych na potrzeby możliwych reklamacji lub roszczeń o zapłatę, dokonywania analiz indywidualnych preferencji zakupowych, czy wreszcie w celu ułatwienia klientowi kolejnych zakupów - umożliwienie mu utworzenia indywidualnego konta w serwisie.

W związku z powyższym rejestracji zbioru danych klientów można uniknąć jedynie wówczas, gdy dane klienta przetwarzane są wyłącznie w celu wystawienia faktury lub rachunku, po czym są usuwane w sposób trwały. Wykorzystanie danych w jakimkolwiek innym celu powoduje powstanie obowiązku rejestracji zbioru danych GIODO.

Należy również zaznaczyć, że jeżeli dane osobowe klientów przetwarzane są w różnych celach, np. zarówno marketingowych, jak i realizacji zamówień czy prowadzenia statystyk to zgodnie ze stanowiskiem GIODO, powinny one zostać zgłoszone odrębnie na oddzielnym formularzu zgłoszeniowym.

Kiedy i w jaki sposób należy rejestrować bazy?

Rejestracja zbioru powinna nastąpić przed rozpoczęciem przetwarzania danych, przy czym istotny jest moment złożenia wniosku o rejestrację a nie moment rejestracji zbioru. Na marginesie można zaznaczyć, że zasada ta nie ma zastosowania w do zbioru wrażliwych danych osobowych, które mogą być przetwarzane dopiero po jego zarejestrowaniu.

Formularz interaktywny, znajdujący się na portalu egiodo.giodo.gov.pl można wypełnić i wysłać on-line (w przypadku posiadania bezpiecznego podpisu elektronicznego). Zgłoszenia można dokonać również drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. W takim przypadku wydruk zgłoszenia należy opatrzyć pieczątką i podpisem wnioskodawcy, a następnie wysłać pocztą tradycyjną lub złożyć osobiście w siedzibie GIODO, co usprawni proces rejestracji.

GIODO nie wydaje zaświadczenia o zarejestrowaniu zbioru zwykłych danych osobowych. Zaświadczenie takie może zostać jednak wydane na wniosek administratora danych, który podlega opłacie skarbowej. Zaświadczenie o rejestracji zbioru danych osobowych wrażliwych jest natomiast wydawane i doręczane administratorowi danych z urzędu niezwłocznie po jego zarejestrowaniu.