Na temat sklepów internetowych słów kilka

Z dniem 25 grudnia 2014 r. weszły w życie zmiany w prawie konsumenckim, wprowadzane ustawą o prawach konsumenta. Wiele firm w celu dostosowania wdrożonych rozwiązań biznesowych do nowych przepisów, poszukuje informacji na temat zmian w powszechnie dostępnych źródłach. Najpopularniejszym z nich jest bez wątpienia internet. Jak to bywa z treściami publikowanymi w sieci, część z nich jest merytorycznie poprawna, część jednak budzi mniejsze lub większe wątpliwości. Inspiracją do napisania niniejszego komentarza, stał się dla mnie artykuł[1] odnoszący się do przetwarzania danych osobowych przez podmioty prowadzące sklepy internetowe. Jak sądzę, wielu przedsiębiorców poszukujących informacji na temat zmian w prawie konsumenckim, ma szansę zapoznać się z jego treścią, warto zatem odnieść się do zaprezentowanych w artykule tez.

Autor omawianego artykułu, podkreśla konieczność zgłoszenia zbiorów danych, w których przetwarzane są dane osobowe klientów sklepów internetowych do… Głównego Inspektora Ochrony Danych Osobowych. Można rzecz jasna tłumaczyć powyższy lapsus, oczywistą omyłką pisarską, która może przydarzyć się przecież każdemu, jednak wpisuje się on w powszechną, niestety, praktykę błędnego oznaczenia organu ds. ochrony danych osobowych. W wielu mniej lub bardziej oficjalnych publikacjach pojawia się rozszerzenie skrótu GIODO, właśnie jako Główny, a nie jak winno być, Generalny Inspektor Ochrony Danych Osobowych. Może niektórzy, uznają tę zamianę za mało znaczący niuans, jednak w mojej ocenie, jeżeli jakakolwiek publikacja ma posiadać walor edukacyjny, tego typu błąd nie może mieć miejsca.

Pozostając w tematyce GIODO, moje wątpliwości wzbudziły kolejne sformułowania komentowanego artykułu. Mianowicie, zdaniem Autora: „GIODO jest organem, do którego zadań należy kontrola (na wniosek podmiotu zainteresowanego lub z urzędu) zgodności przetwarzania danych z przepisami o ochronie danych osobowych, dlatego też może on wyciągnąć konsekwencje z nieprzestrzegania obowiązku zgłoszenia zbioru prowadzonego przez sklep internetowy. Przepisy karne ustawy o ochronie danych osobowych są restrykcyjne”. Powyższy cytat odnosi się do dwóch problemów. Przede wszystkim, podkreślić należy, że określone w art. 12 pkt 1 ustawy o ochronie danych osobowych uprawnienie GIODO do prowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, nie jest realizowane na wniosek podmiotu zainteresowanego. Decyzja o przeprowadzeniu kontroli (inspekcji) należy do autonomicznych decyzji GIODO, tym samym osoba, która zwróci się do GIODO z żądaniem podjęcia takiego działania, nie jest uznawana za stronę postępowania administracyjnego, tym samym nie może oczekiwać od organu podjęcia decyzji o rozpoczęciu kontroli. Osoba, której dane przetwarzane są w sposób niewłaściwy może złożyć skargę na nieprawidłowości w procesie przetwarzania danych osobowych (instytucja ta została uregulowana w art. 18 ustawy o ochronie danych osobowych). Postępowanie administracyjne wszczęte skargą zainteresowanej osoby, nie jest tożsame z przeprowadzeniem kontroli przetwarzania danych osobowych. Są to dwie odmienne instytucje. W większości przypadków wydanie decyzji w sprawie skargi na wykonywanie przepisów o ochronie danych osobowych następuje po przeprowadzeniu postępowania dowodowego, opartego o pisemne wyjaśnienia administratora danych. Złożenie skargi nie przesądza o podjęciu przez GIODO decyzji o przeprowadzeniu kontroli w siedzibie podmiotu objętego skargą.

W mojej ocenie zacytowany powyżej fragment sugeruje również, że GIODO jest kompetentny do rozstrzygania, czy w związku z uchybieniami w procesie przetwarzania danych osobowych doszło do popełnienia przestępstwa. Podkreślić należy, na co wielokrotnie w decyzjach wskazywał organ,  że GIODO nie jest podmiotem uprawnionym do kwalifikacji prawnej czynu jako przestępstwa. Do tego powołane są inne instytucje. GIODO, może jedynie skorzystać z uprawnienia przewidzianego w art. 19 ustawy o ochronie danych osobowych (jest to znów autonomiczna decyzja, nie następuje na wniosek) i zawiadomić organy powołane do ścigania przestępstw o podejrzeniu popełnienia przestępstwa.

Nie mogę zgodzić się również z kolejną tezą artykułu, cyt.: „Zważywszy na fakt, iż dane, które otrzymuje sklep od swoich klientów, które są potrzebne chociażby do wysyłki towaru (jak ich imię, nazwisko czy adres, dzięki którym z łatwością można ich zidentyfikować) mają niewątpliwie charakter danych osobowych, przesądza to o obowiązku zgłoszenia zbioru danych osobowych związanych z działalnością sklepu do rejestru zbiorów prowadzonego przez GIODO”. W mojej ocenie o konieczności zgłoszenia zbioru do GIODO, nie decyduje fakt, iż przedsiębiorca prowadzący posiada dane osobowe klientów. Istotną jest okoliczność, że przetwarza je w zbiorze danych, czyli w posiadającym strukturę zestawie danych o charakterze osobowym, dostępnym według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zatem, aby ustalić, czy na administratorze ciąży obowiązek zgłoszenia zbioru do rejestracji w GIODO, niezbędnym jest wpierw wyodrębnienie (ustalenie), iż dane osobowe przetwarzane są właśnie w zbiorze. W celu wyodrębnienia zbioru należy określić przede wszystkim cel przetwarzania danych, ustalić, czy dostęp do danych jest możliwy przy użyciu konkretnych kryteriów, oraz czy baza zawierająca dane posiada strukturę. Abstrahując od zbiorów danych klientów sklepu internetowego, przed zgłoszeniem zbioru, należy przeanalizować przepis art. 43 ustawy o ochronie danych osobowych, który określa wyłączenia od obowiązku rejestracji zbiorów w GIODO.

Na koniec zasygnalizować chciałbym również, iż zgodnie z nowelizacją ustawy o ochronie danych osobowych, wchodzącą w życie z dniem 1 stycznia 2015 r. administrator danych, który powoła i zgłosi administratora bezpieczeństwa informacji do GIODO, będzie całkowicie zwolniony z obowiązku zgłaszania do rejestracji w GIODO zbiorów danych, w których przetwarzane są dane zwykłe.

Autor: Marcin Cwener


[1] http://prokonsumencki.pl/blog/czy-sklep-internetowy-musi-byc-zgloszony-do-giodo-piszemy-o-obowiazkach-sprzedawcy-internetowego-wobec-giodo/

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.