Q&A | Ochrona danych osobowych w e-commerce

Pytanie 1:
Jakie zbiory danych osobowych administrowane są przez sklepy internetowe? Które z nich podlegają obowiązkowi rejestracji w Biurze Generalnego Inspektora Ochrony Danych Osobowych (GIODO)?
Odpowiedź:
Analiza zakresu i celów działania podmiotów prowadzących sklepy internetowe skłania do wniosku, że w dużej mierze struktura i forma prowadzonych przez nich zbiorów danych osobowych jest powtarzalna. Można zatem wyróżnić następujące typowe zbiory danych:

1. Konta użytkowników w sklepie internetowym,
2. Zamówienia składane w sklepie internetowym,
3. Marketing produktów i usług,
4. Opinie o produktach,
5. Subskrybenci newslettera,
6. Formularz kontaktowy.

Powyższe wyliczenie nie obejmuje oczywiście wszystkich zbiorów danych osobowych, których administratorem jest sklep internetowy. Do takich zbiorów możemy zaliczyć przede wszystkim zbiory danych związane z zatrudnieniem pracowników (klasyczne zbiory kadrowe) oraz obsługą administracją (księgi wejść i wyjść, rejestry korespondencji, książki adresowe etc.). Mówiąc krótko te zbiory danych, które posiada większość pracodawców/przedsiębiorców. Zdarza się często, że sklepy internetowe organizują loterie, konkursy lub np. programy lojalnościowe, to także generuje powstanie nowych zbiorów danych.
Analiza art. 43 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm., zwaną dalej „Ustawą”), prowadzi do wniosku, że administrator danych przetwarzający dane osobowe w ww. zbiorach danych osobowych powinien zarejestrować przynajmniej wszystkie sześć z wymienionych zbiorów. Co do pozostałych rejestracji, to zależy to od praktyki danego sklepu (zakresu jego działań).

Pytanie 2:
Czy ustawa o ochronie danych odnosi się do kwestii reklam behawioralnych?

Odpowiedź:
Sklepy internetowe coraz częściej wykorzystują w celach marketingowych pliki cookie i inne podobne technologie przechowujące i uzyskujące dostęp do informacji na urządzeniu użytkownika końcowego. Celem takiego działania jest zwiększenie skuteczności prowadzonego marketingu. Powstaje jednak szereg wątpliwości ogniskujących się wokół tematu ochrony danych osobowych. Czy działanie polegające na zbieraniu informacji o zachowaniu klienta jest legalne? W jaki sposób informować klientów o tym, że administrator danych prowadzi tego typu działania? Niestety, zagadnienie o którym mowa, nie zostało jeszcze w sposób jednoznaczny ocenione przez organy ochrony danych.
Istotny dorobek w kwestii reklamy behawioralnej posiada tzw. Grupa Robocza Art. 29 (ustanowiona na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.). Szczególnie warto zapoznać się z opinią 16/2011 w sprawie zaleceń EASA/IAB dotyczących najlepszych praktyk w internetowej reklamie behawioralnej. Zdaniem Grupy Roboczej Art. 29, „użytkownik musi wyrazić swoją zgodę na przechowywanie informacji albo dostęp do informacji przechowywanych w jego urządzeniu końcowym po otrzymaniu jasnych i wyczerpujących informacji w zgodzie z dyrektywą 95/46/WE, między innymi na temat celu przetwarzania informacji. A zatem, aby zapewnić zgodność z prawem, właściwe informacje muszą być przekazane użytkownikom bezpośrednio, w jasnej i zrozumiałej formie przed rozpoczęciem przetwarzania informacji. Nie wystarczy jedynie „dostępność” tych informacji w jakimś miejscu strony, którą odwiedza użytkownik.”
W tej samej opinii, Grupa Robocza Art. 29 twierdzi, że „zgodę należy uzyskać przed pobraniem danych osobowych, gdyż stanowi ona niezbędny środek zapewnienia osobom, których dane dotyczą możliwości pełnego zrozumienia, na co wyrażają zgodę. Ponadto zgoda musi być odwoływalna”. Należy również pamiętać, że ze względu na konstrukcję art. 27 ust. 2 Ustawy, administrator danych w zasadzie nie powinien przetwarzać w ramach reklamy behawioralnej wrażliwych danych osobowych w rozumieniu art. 27 ust. 1 Ustawy.
Niestety, przepisy nie dają odpowiedzi również na pytanie, jak długo można przechowywać dane osobowe zebrane w opisany powyżej sposób. Odwołać się tutaj można np. do Opinii 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej, zgodnie z którą „operatorzy sieci reklamowych powinni wdrożyć zasady przechowywania, które zapewniałyby automatyczne usuwanie informacji gromadzonych każdorazowo przy odczycie pliku cookie po upływie uzasadnionego czasu (niezbędnego do celów przetwarzania).”
Przywołana opinia Grupy Roboczej Art. 29 zawiera również ograniczenie wymogu zbierania zgody na przechowywanie danych w plikach typu cookie. Zgodnie bowiem z art. 5 ust. 3 Dyrektywy 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dziennik Urzędowy L 201, 31/07/2002 P. 0037 – 0047) zezwala się na wyłączenie pliku cookie spod zasady wyrażenia świadomej zgody, jeżeli jest to potrzebne „w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej” lub też jest to „szczególnie niezbędne w celu dostarczania usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”. Opinia Grupy Roboczej Art. 29 zawiera listę przykładów ww. wyjątków:

1. plik cookie sesji bezpiecznego logowania,
2. plik cookie koszyka na zakupy (przechowywanie odnośników do przedmiotów, które użytkownik wybrał),
3. pliki cookie bezpieczeństwa.

Reasumując, administrator danych prowadzący sklep internetowy i wykorzystujący pliki cookie do przechowywania danych osobowych dot. zachowań klientów powinien opracować treść klauzuli obowiązku informacyjnego w rozumieniu art. 24 Ustawy, która byłaby dla każdej osoby widoczna na stronie internetowej, a ponadto, opracować klauzulę zgody na przetwarzanie określonych danych osobowych na potrzeby reklamy behawioralnej. Zgoda taka może zostać wyrażona np. poprzez zaznaczenie checkboxa.

Pytanie 3
Jakie klauzule związane z ochroną danych osobowych należy zastosować zbierając dane osobowe uczestników konkursu organizowanego przez sklep internetowy?

Odpowiedź:
Organizując konkurs na potrzeby którego przetwarzane są dane osobowe należy dopełnić kilku obowiązków wynikających z ustawy o ochronie danych osobowych. Najważniejsze, by uwarunkowania związane z ochroną danych osobowych przeanalizować już na etapie projektowania konkursu. Bardzo często zdarza się, że temat ochrony danych osobowych pojawia się dopiero na końcowym etapie projektowania konkursu, kiedy przygotowana została już odpowiednia aplikacja, strona internetowa, powstał regulamin, itd. W konsekwencji, może się niestety okazać, że cenny z biznesowego punktu widzenia konkurs nie może zostać przeprowadzony ponieważ jest niezgodny ustawą o ochronie danych osobowych.
Zbierając dane osobowe za pomocą formularza konkursowego, powinniśmy poinformować uczestników konkursu o okolicznościach wskazanych w art. 24 Ustawy, a więc dopełnić tzw. obowiązku informacyjnego. Jest on realizowany zazwyczaj poprzez umieszczenie krótkiego tekstu na formularzu konkursowym. Klauzula obowiązku informacyjnego nie musi być akceptowana. Istotne jest, by administrator danych potrafił wykazać, że uczestnik konkursu zapoznał się z jej treścią.
Należy również zastanowić się, jaka będzie podstawa przetwarzania danych osobowych uczestników konkursu. Zgodnie z praktyką GIODO wskazać należy na art. 23 ust. 1 pkt 1 Ustawy, a więc zgodę osoby fizycznej na przetwarzanie danych osobowych w celu przeprowadzenia konkursu i wyłonienia zwycięzców. Należy pamiętać, by zgoda na przetwarzanie danych osobowych była oświadczeniem odrębnym, niedorozumianym i niedomniemanym z oświadczenia woli innej treści. Oczywiście możemy rozważyć zastosowanie dodatkowych klauzul związanych z ochroną danych osobowych. Jeżeli np. chcemy przetwarzać zebrane dane osobowe uczestników po zakończeniu konkursu w celach marketingowych, powinniśmy zebrać dodatkową zgodę na przetwarzanie danych osobowych w celach marketingowych. Jeżeli dysponujemy jedynie zgodą na przetwarzanie danych osobowych na potrzeby prowadzonego konkursu, dane osobowe po jego zakończeniu powinniśmy usunąć.
Konkurs powinien ruszyć najwcześniej po złożeniu do GIODO zgłoszenia (zakładając, że na potrzeby konkursu nie są przetwarzane dane wrażliwe o których mowa w art. 27 ust. 1 Ustawy). Należy również pamiętać, by zawrzeć umowy powierzenia przetwarzania danych osobowych z podmiotami, które na zlecenie sklepu internetowego wykonują określone usługi związane z dostępem do danych osobowych uczestników konkursu.

Tomasz Osiej – radca prawny
Piotr Janiszewski – aplikant radcowski

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.