Dane osobowe
Warto wiedzieć, że w rozumieniu w/w ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Szczególna ochrona nie dotyczy więc danych o spółkach kapitałowych, spółkach osobowych czy innych organizacjach. W przypadku danych osobowych wykorzystywanych do innych celów niż nawiązanie umowy, ukształtowanie jej treści i realizacji zamówienia, konieczne jest uzyskanie od klienta sklepu internetowego wyraźnej zgody na ich przetwarzanie. Zazwyczaj odbywa się to podczas procesu rejestracji w e-sklepie, gdy klient zaznacza właściwe okienko. Co ważne, dla każdego oświadczenia klienta o udzieleniu zgody na przetwarzanie jego danych osobowych, czy to na potrzeby przyszłych transakcji, czy w celach marketingowych, powinno być przypisane odrębne okienko. Sklep internetowy musi również poinformować klienta o tym, kto jest administratorem jego danych i podać pełną nazwę firmy oraz jej dokładny adres. Trzeba także dołączyć informację o możliwości wprowadzania zmian oraz całkowitego usunięcia takiego wpisu z bazy. Informacja o tym, w jaki sposób może on realizować przysługujące mu uprawienie powinna znaleźć się w regulaminie sklepu internetowego lub w polityce prywatności, a także powinna być powtarzana (w tym poprzez umieszczenie odpowiedniego linku) w wiadomościach e-mail wysyłanych do klienta, zawierających, np. newsletter czy inne informacje handlowe.
Zgłoszenie do GIODO
Jeżeli właściciel sklepu internetowego chce zbierać dane osobowe swoich klientów także w celach marketingowo-handlowych, a nie tylko w celu realizacji zamówienia, wówczas musi wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o rejestrację tworzonej przez siebie bazy danych osobowych. Wniosek można wypełnić i przekazać do GIODO w formie elektronicznej, za pomocą platformy e-GIODO, dostępnej pod adresem: http://egiodo.giodo.gov.pl/index.dhtml. Jeżeli wniosek jest opatrzony bezpiecznym podpisem elektronicznym nie trzeba go dostarczać w innej postaci. Wysłanie do GIODO wniosku bez podpisu elektronicznego wymaga dodatkowo wydrukowania, podpisania przez wnioskodawcę i przesłania drogą tradycyjną na adres urzędu. Co ważne, złożenie wniosku o rejestrację bazy danych nie podlega żadnym opłatom.
Zabezpieczenie danych osobowych klientów
Właściciel e-sklepu musi również odpowiednio zabezpieczyć dane osobowe swoich klientów. Administrator danych jest zobowiązany bowiem zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Trzeba również stworzyć tzw. politykę bezpieczeństwa, czyli dokument opisujący reguły, procedury oraz procesy stosowane w celu ochrony danych wrażliwych. Dobrym rozwiązaniem jest wykorzystanie, w formularzach, za pośrednictwem których przesyłane są dane osobowe, narzędzia szyfrującego np. protokołu SSL. Do przetwarzania danych powinny być dopuszczone tylko osoby, które posiadają upoważnienie nadane przez administratora danych. Należy prowadzić ewidencję tych osób oraz zobowiązać je do zachowania w tajemnicy tych danych osobowych oraz sposobów ich zabezpieczeń.
Odpowiedzialność za nieuprawnione przetwarzanie danych osobowych
Należy pamiętać, że nieuprawnione przetwarzanie danych osobowych jest zagrożone odpowiedzialnością karną. Osoba, która nie zarejestruje zbioru danych osobowych lub będzie nim niewłaściwe administrować może otrzymać grzywnę w wysokości od 50 do 200 tysięcy złotych, a w szczególnych przypadkach nawet karę pozbawienia wolności do lat 2.
