Ochrona danych osobowych w sklepie internetowym

 
Rozmiar: 936817 bajtów

Ochrona danych osobowych w sklepie internetowym

Sprzedaż przez Internet z wykorzystaniem sklepów internetowych jest coraz bardziej popularną formą prowadzenia działalności związanej ze sprzedażą. Decydując się na taką formę działalności powinniśmy się zapoznać z przepisami prawa, a w szczególności z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) oraz ustawą z dnia 18 lipca 2002 r o świadczeniu usług drogą elektroniczną (UŚUDE). Obie ustawy określają szereg wymagań, jakie powinniśmy spełnić przed przystąpieniem do przetwarzania danych osobowych.

Czy sklep internetowy musi rejestrować zbiory w GIODO?

Klienci e-sklepu będą przekazywali swoje dane osobowe do realizacji zakupu lub podczas logowania. Dane te stanowią zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Artykuł 40 ustawy o ochronie danych osobowych nakłada obowiązek rejestracyjny na każdego administratora danych osobowych, chyba że zachodzi jedna z okoliczności, które wyłączają konieczność rejestracji zbiorów danych osobowych. W przypadku sklepu internetowego może nią być sytuacja w której dane osobowe są rejestrowane wyłącznie w celu dostarczenia towaru i wystawiania rachunku lub faktury. Oznaczałoby to również, że dane klienta po realizacji zamówienia, byłby usuwane z systemu sklepu, zaś klient, który chciałby ponownie zrealizować zakupy w tym sklepie, musiałby ponownie rejestrować się. Należy zatem stwierdzić, iż ogromna większość sklepów internetowych powinna rejestrować w GIODO swoje zbiory danych osobowych klientów.

Ważne jest, iż taki obowiązek należy spełnić jeszcze przed rozpoczęciem właściwej działalności sklepu, czyli rozpoczęciem faktycznej sprzedaży towarów. Obowiązki administratora danych osobowych

Zgodnie z UODO, każdy podmiot, który przetwarza dane osobowe osób fizycznych, zobowiązany jest również do podjęcia odpowiednich środków nie tylko technicznych, ale również organizacyjnych, czyli stworzyć odpowiednią dokumentację opisującą sposób przetwarzania danych (Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), upoważnić do przetwarzania danych wszystkie osoby, które będą posiadały do nich dostęp oraz zobowiązać je do zachowania ich oraz sposobów ich zabezpieczeń w tajemnicy oraz prowadzić ewidencję tych osób i na bieżąco ją aktualizować.

Obowiązek informacyjny

Sklep internetowy ma również obowiązek poinformowania, kto jest administratorem danych, podając pełną nazwę firmy oraz jej dokładny adres. Należy też dołączyć informację o możliwości wprowadzania zmian oraz całkowitego usunięcia takiego wpisu z bazy. Można to zrobić np. poprzez kliknięcie w specjalnie przygotowany link lub za pośrednictwem wiadomości e-mail, z prośbą o rezygnację z subskrypcji lub zaprzestanie wykorzystywania danych osobowych. Na życzenie osoby, której dane są przetwarzane powinny zostać udostępnione informacje o tym, w jaki sposób firma weszła w posiadanie danych osobowych, od kiedy nimi dysponuje oraz kto i kiedy je modyfikował.

Jakie są sankcje za brak rejestracji zbioru danych osobowych w GIODO?

Sklep internetowy, który – pomimo ciążącego na nim obowiązku – nie zgłosi zbioru danych osobowych Generalnemu Inspektorowi Danych Osobowych do rejestracji, naraża się na odpowiedzialność karną. Zaniechanie obowiązku w zakresie rejestracji zbioru danych osobowych lub jego zmian stanowi czyn zabroniony, zagrożony karą grzywny, ograniczenia wolności, a nawet pozbawienia wolności do jednego roku. Postępowanie w tym zakresie jest wszczynane przez organy ścigania (prokuratura, policja) z urzędu, po uzyskaniu wiarygodnej informacji o podejrzeniu popełnienia przestępstwa. Często jest to interwencja klienta niezadowolonego z obsługi sklepu internetowego lub działanie konkurencji.

Autor: Dariusz Łydziński
Źródło: 4itsecurity.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *