Zgłoszenie przetwarzania danych przez sklep internetowy do GIODO
Współautorem artykułu jest Michał Głuchowski.
Prowadzenie sklepu internetowego wiąże się z koniecznością przetwarzania danych osobowych klientów. Osoby prowadzące sprzedaż w tej formie często nie wiedzą jednak, że w związku z przetwarzaniem danych osobowych, przepisy prawa nakładają na nie, w tym zakresie, szereg obowiązków. W szczególności zgodnie z treścią art. 40 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. 2002 Nr 101, poz. 926 ze zm.), zwanej dalej ustawą, mają one obowiązek zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), a niedopełnienie tego obowiązku może przynieść poważne konsekwencje prawne.
Zgodnie z treścią art. 6 ust. 1 „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Stosownie do ust. 2 tego przepisu: „Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”. Co do zasady, zgodnie z cytowanym art. 6 ustawy, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli określenie wymagałoby nadmiernych kosztów, czasu i działań. Ta szeroka definicja danych osobowych obejmuje w szczególności takie dane jak: imię, nazwisko, adres zamieszkania i inne, których podanie jest wymagane przez sklepy internetowe. Pojedyncze dane takie jak np. samo nazwisko albo nazwa ulicy wprawdzie nie stanowią zazwyczaj danych osobowych, gdyż same w sobie nie pozwalają na jednoznaczną identyfikację danej osoby, jednak dane te w połączeniu umożliwiają jednoznaczne określenie tożsamości konkretnej osoby (por. odpowiedź GIODO, www.giodo.gov.pl).
„Zbiór danych” to z kolei „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie” (art. 7 pkt 1 ustawy). Zestaw posiadający strukturę i dostępny według określonych kryteriów to taki zestaw, który nie jest całkowicie luźną i przypadkową grupą danych, lecz możliwe jest szybkie znalezienie określonej informacji w zbiorze bez konieczności przeglądania całego zestawu, (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wyd. 5, LEX, 2011, art. 7 nb. 9; P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, wyd. 5, Warszawa 2013, art. 7 nb. 4 i nast.). Na tle tego przepisu zarysował się wprawdzie spór, czy wystarczy jedno kryterium porządkujące dane (tak np. odpowiedź GIODO; J. Barta, P. Fajgielski, R. Markiewicz, op. cit., art. 7 nb. 10 i nast.; P. Barta, P. Litwiński, op. cit., art. 7 nb. 8 i nast.), czy jednak brzmienie przepisu wymusza istnienie przynajmniej dwóch kryteriów (tak np. wyrok Naczelnego Sądu Administracyjnego z dnia 12 stycznia 2007 r., I OSK 218/06). Jako że standardem informatycznym w sklepach internetowych jest możliwość wyszukiwania poszczególnych klientów na podstawie wielu kryteriów zapytania, np. nazwiska, daty zakupu produktu itd., to spór ten nie ma w ich przypadku znaczenia – wskazane bazy informacji stanowią zbiór danych w rozumieniu ustawy. Obojętne dla tego przepisu jest, czy z technicznego punktu widzenia dane ujęte są w jednym zestawie, czy jest to zbiór podzielony na kilka części.
W celu zapewnienia wyczerpującej ochrony danych osobowych pojęcie „przetwarzania danych” jest w ustawie ujęte bardzo szeroko – art. 7 pkt 2 definiuje je jako „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych”.
Tym samym bazy danych sklepów internetowych spełniają wszystkie przesłanki wymienione w art. 40 i podlegają obowiązkowi rejestracji.
Wprawdzie ustawa przewiduje w art. 43 ust. 1 zamknięty katalog zwolnień z obowiązku rejestracji zbioru danych, jednak w praktyce trudno sobie wyobrazić, by te wyłączenia mogły znaleźć zastosowanie do sklepu internetowego. Mimo to wielu przedsiębiorców błędnie przyjmuje, że nie ma potrzeby rejestracji zbioru, gdyż wg art. 43 ust. 1 pkt 8 z tego obowiązku zwolnieni są administratorzy danych „przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”. Należy jednak zauważyć, że ze względu na cel ustawy, jakim jest zapewnienie szerokiej ochrony danych osobowych, zwolnienia z obowiązku rejestracji muszą być interpretowane ściśle. Jeśli administrator danych przetwarza dane w jakimkolwiek innym celu niż wystawienie rachunku, faktury lub sprawozdawczość finansowa, to nie może się powołać na art. 43 ust. 1 pkt 8 – wystarczy nawet sama możliwość przetwarzania w innym celu (por. wyrok Naczelnego Sądu Administracyjnego z dnia 21 kwietnia 2006 r., I OSK 726/05). Sklepy internetowe wykorzystują zazwyczaj dane klientów również w innych niż wskazane w pkt. 8 celach, chociażby do wysyłki towaru, czy informacji o nowych towarach np. w formie newsletter’ów.
Krąg obowiązanych do zgłoszenia został określony w art. 2 ustawy. Obowiązek rejestracji dotyczy podmiotów, które „mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej”. „Państwo trzecie” zgodnie z przepisami ustawy, to państwo nie należące do Europejskiego Obszaru Gospodarczego.
Obowiązek rejestracji dotyczy nie tylko przedsiębiorców prowadzących sklep internetowy w potocznym rozumieniu tego słowa, czyli poprzez własną stronę internetową, ale też za pośrednictwem np. portali aukcyjnych takich jak Allegro.
Rejestracji należy dokonać jeszcze przed rozpoczęciem przetwarzania danych (art. 46 ust. 1 ustawy). Wniosek można złożyć na piśmie lub przez Internet, posługując się bezpiecznym podpisem elektronicznym.
Wymagane elementy wniosku wymienia art. 41 ust. 1 ustawy. Należy w nim określić między innymi cel przetwarzania danych (pkt 3), opis kategorii osób, których dane dotyczą, zakres przetwarzanych danych, (pkt 3a), sposób zbierania oraz udostępniania danych (pkt 4), opis osób, którym dane mogą zostać przekazywane (pkt 4a), jak również opisać środki techniczne i organizacyjne służące zachowaniu wymagań dot. bezpieczeństwa danych osobowych (pkt 5, 6). Wg art. 46 ust. 2 każdą zmianę danych wskazanych we wniosku należy zgłosić GIODO w ciągu 30 dni od dokonania zmiany, a według ust. 3, jeśli zmiana polega na rozszerzeniu zakresu przetwarzanych danych o szczególnie wrażliwe informacje wymienione w art. 27 (np. dotyczące wyznania, stanu zdrowia), to należy je zgłosić jeszcze przed rozpoczęciem przetwarzania.
Warto zauważyć, że administratorzy danych w sklepach internetowych zbierają dane osobowe o różnym zakresie i w różnych celach, tworząc osobne grupy informacji – np. bazę kupujących oraz bazę subskrybentów newslettera. Tym samym tworzą one różne zbiory danych w rozumieniu ustawy i każdy z tych zbiorów musi być wg art. 41 ust. 1 osobno zgłoszony – jedno zgłoszenie z wymienieniem wszystkich celów i pełnego zakresu przetwarzanych danych nie jest wystarczające (odpowiedź GIODO, www.giodo.gov.pl). Na marginesie warto wspomnieć, że choć zapisanie się do newslettera wymaga zazwyczaj jedynie podania adresu e-mail, to już ta jedna informacja może być uznana za dane osobowe podlegające ochronie ustawy, gdyż adres e-mail jest niepowtarzalny i może doprowadzić do jednoznacznej identyfikacji właściciela adresu (odpowiedź GIODO www.giodo.gov.pl; por. J. Barta, P. Fajgielski, R. Markiewicz, op. cit., art. 6 nb. 21).
Przetwarzanie danych osobowych bez ich zgłoszenia niesie ze sobą liczne negatywne skutki, w tym natury karnoprawnej. Zgodnie bowiem z treścią art. 53 ustawy przestępstwo to zagrożone jest grzywną, karą ograniczenia wolności albo pozbawienia wolności do roku. Szczegółowo problem odpowiedzialności za naruszenie przepisów ustawy omówiony został w innym artykule, zamieszczonym w Naszym Kompendium pt. Konsekwencje naruszenia ustawy o ochronie danych osobowych (patrz:http://kompendiumprawne.pl/2013/05/21/konsekwencje-naruszenia-ustawy-o-ochronie-danych-osobowych).