Wczytywanie...

Obowiązki sprzedawców internetowych w świetle unijnego rozporządzenia o ochronie danych

Przedsiębiorcy prowadzący sprzedaż produktów czy usług za pośrednictwem Internetu, niezależnie od formy wykonywanej działalności, pozostają administratorami danych osobowych swoich klientów, co pozostaje równoznaczne z obowiązkiem przestrzegania przepisów dotyczących ochrony danych osobowych. W maju bieżącego roku, w Dzienniku Urzędowym Unii Europejskiej, opublikowane zostało ogólne rozporządzenie o ochronie danych, które obowiązywać będzie bezpośrednio we wszystkich krajach Unii. Pomimo tego, że przepisy rozporządzenia będą obowiązywać podmioty z państw członkowskich dopiero od maja 2018 roku, wskazanym jest podjęcie działań mających na celu dostosowanie przewidzianych w sklepie internetowym rozwiązań do nowych przepisów z odpowiednim wyprzedzeniem. Istotnym jest, że odpowiedniej modyfikacji mogą wymagać nie tylko treści regulaminów czy polityki prywatności obowiązujących w sklepie internetowym, ale także funkcje oprogramowania sklepu internetowego.

 

Rozbudowany obowiązek informacyjny

 

Rozporządzenie unijne kładzie niezwykle duży nacisk na kwestie dotyczące informowania osób fizycznych o przetwarzaniu ich danych osobowych. Przede wszystkim wszelkie informacje dotyczące przetwarzania danych osobowych powinny być przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Jednocześnie w porównaniu z obecnie obowiązującymi regulacjami, obowiązek informacyjny administratora danych osobowych został znacznie rozbudowany. Od maja 2018 roku właściciel sklepu internetowego będzie zobowiązany do przekazania klientowi informacji nie tylko o celach przetwarzania danych, prawie dostępu do danych, możliwości ich poprawiania i dobrowolności podania, ale także informacji m. in. o tym, jaka jest podstawa prawna przetwarzania danych, jaki będzie czas ich przechowywania, czy dane będą przekazywane do państwa trzeciego oraz o przysługującym prawie do usunięcia danych, ich przenoszenia czy też cofnięcia zgody na ich przetwarzanie.

 

Profilowanie

 

Chociaż pojęciem profilowania uczestnicy obrotu elektronicznego posługują się na co dzień, to właśnie unijne rozporządzenie o ochronie danych po raz pierwszy wprowadziło jego legalną definicję. Zgodnie z zawartą w rozporządzeniu definicją, profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Powszechnie wykorzystywane przez internetowych sprzedawców mechanizmy profilowania, od 2018 roku podlegać będą istotnym ograniczeniom.

 

Sama możliwość profilowania uzależniona będzie od istnienia prawnej przesłanki do przetwarzania danych w ten sposób. Taką przesłanką będzie przede wszystkim zgoda osoby, której dane dotyczą. Niewykluczone także, że profilowanie będzie mogło odbywać się w oparciu o przesłankę „prawnie uzasadnionych interesów” administratora. W tym ostatnim przypadku jednak, decydujące znaczenie będzie miała ocena, czy interesy osoby, której dane dotyczą nie mają charakteru nadrzędnego w stosunku do interesów administratora. To zagadnienie będzie zapewne przedmiotem oceny w orzecznictwie, a praktyka pokaże jak rozumiane będą „prawnie uzasadnione interesy realizowane przez administratora”.

 

Ponadto obowiązek informacyjny administratora danych został rozciągnięty także na kwestie dotyczące profilowania. I tak administrator danych zobowiązany będzie do udzielenia informacji zarówno o samym fakcie profilowania, jak i o jego trybie, znaczeniu i przewidywanych konsekwencjach dla osoby, której dane są przetwarzane w ten sposób. W kontekście profilowania szczególnego znaczenia nabiera także przewidziany w rozporządzeniu obowiązek dokonania przez administratorów danych oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, przewidziany w art. 35 rozporządzenia.

 

Wyrażenie zgody

 

Obostrzeniu uległy także warunki wyrażenia zgody na przetwarzanie danych w przypadkach, w których to właśnie zgoda osoby której dane dotyczą stanowi przesłankę ich przetwarzania (co w przypadku sklepów internetowych zasadniczo odnosić się będzie do kwestii przetwarzania danych w celach marketingowych). Po pierwsze, jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, taką zgodę wyraziła. W przypadku wyrażania zgody poprzez zaznaczanie przez klientów tzw. „checkboxa”, właściciele sklepów internetowych powinni zadbać o to, aby fakt wyrażenia zgody w ten sposób został odpowiednio zarejestrowany. Ponadto osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę a właściciel sklepu internetowego powinien mieć na względzie, że wycofanie zgody musi być równie łatwe jak jej wyrażenie.

 

Wobec ilości i treści nałożonych na administratorów danych obowiązków warto podjąć działania zmierzające do dostosowania rozwiązań obowiązujących w sklepie internetowym z odpowiednim wyprzedzeniem. Dzięki takim działaniom posiadaną bazę danych klientów będzie można wykorzystywać bez obaw także po wejściu w życie nowych przepisów.

 

Faktem jest, że handel w internecie z roku na rok generuje coraz wyższe zyski. Dlatego wychodząc naprzeciw oczekiwaniom naszych Klientów, stworzyliśmy na naszej stronie internetowej osobny dział E-COMMERCE dotyczący tej gałęzi gospodarki. Zapraszamy!
Powrót