Firma działająca w sieci musi chronić prywatność

2018-02-23
Internet | Przedsiębiorca działający w ramach e-commerce, powinien poinformować każdego swojego klienta o tym, że zbiera od niego jakieś dane.

Zawieranie transakcji handlowych za pośrednictwem urządzeń elektronicznych, takich jak telefony, czy komputery staje się bardziej popularne niż standardowa wymiana towarów i usług. Rynek e-commerce w Polsce rozwija się dynamicznie, jednocześnie, aby zabezpieczyć obie strony transakcji, wymaga on specjalnych regulacji prawnych. Jednym z dokumentów związanych ze sprzedażą internetową jest polityka prywatności.

Polityka prywatności jest nienazwanym dotychczas przez polską ustawę dokumentem. Zwyczajowo w ramach polityki prywatności przedsiębiorcy realizują swoje obowiązki informacyjne zawarte w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych, a także obowiązki dotyczące tzw. plików cookies, o których mowa w ustawie z 16 lipca 2004 r. Prawo telekomunikacyjne.


Ochrona danych
Obowiązek informacyjny dotyczący przetwarzania danych osobowych wymaga od przedsiębiorcy działającego w ramach e-commerce, aby poinformował każdego o tym, że zbiera od niego jakieś dane. Parafrazując art. 24 ustawy o ochronie danych osobowych, należy przekazać:
∑ dane administratora danych osobowych;
∑ cel zbierania danych;
∑ odbiorcę zbieranych danych;
∑ informację o prawie dostępu do danych i możliwości ich poprawienia;
∑ informację czy podanie danych jest dobrowolne, czy też istnieje podstawa prawna zobowiązująca do ich podania.

Nie ma obowiązku informowania o tym, jeżeli przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (dotyczy to w szczególności przetwarzania danych w przypadkach zagrożenia zarezerwowanych dla policji lub straży granicznej) lub osoba, której dane dotyczą, posiada już wskazane informacje, co oznacza, że nie trzeba ich przekazywać, np. stałemu klientowi, któremu wcześniej udostępniono wszystkie konieczne informacje.


Zasady przetwarzania
Od 25 maja 2018 r. ustawa o ochronie danych osobowych ulegnie znaczącej nowelizacji, gdyż w jej miejsce będzie się stosować ogólne rozporządzenie o ochronie danych osobowych z 27 kwietnia 2016 r. (RODO). Mimo iż RODO częściowo odformalizuje kwestię ochrony danych, to pozostawia w mocy, a wręcz rozszerza obowiązek informacyjny.

Zgodnie z art. 12 RODO administrator powinien podjąć odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą szeregu informacji, takich jak:
∑ tożsamość i dane kontaktowe swoje oraz swojego przedstawiciela;
∑ dane kontaktowe inspektora ochrony danych;
∑ cele przetwarzania danych osobowych, oraz podstawa prawa przetwarzania;
∑ jeżeli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią należy wskazać te prawnie uzasadnione interesy;
∑ informacja o odbiorcach danych osobowych lub o kategoriach odbiorców;
∑ informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz oceny stopnia ochrony danych osobowych;
∑ okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
∑ informacja o prawie do żądania od administratora dostępu do danych osobowych
dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
∑ jeżeli przetwarzanie odbywa się na podstawie zgody danej osoby na przetwarzanie ogólnych lub szczególnych danych osobowych informacja o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
∑ informacja o prawie wniesienia skargi do organu nadzorczego;
∑ informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz, czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
∑ informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Część wskazanych informacji pokrywa się z aktualnym brzmieniem ustawy, jednak zasadniczo obowiązek informacyjny będzie miał szerszy charakter niż dotychczas. Warto również zauważyć, że brak realizacji obowiązków wynikających z RODO, został sankcjonowany dużo wyższymi niż dotychczas karami finansowymi, tym samym dla celów dowodowych warto każdorazowo umieszczać takie informacje nie tylko w polityce prywatności, ale również bezpośrednio przy uzyskiwaniu danych od klienta, np. podczas wypełniania formularza sprzedaży.

Pliki cookies
Kolejny obowiązek informacyjny realizowany w ramach polityki prywatności wynika bezpośrednio z art. 173 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne. Zgodnie z brzmieniem tego przepisu przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta (takim urządzeniem jest również komputer) lub użytkownika końcowego jest dozwolone, pod warunkiem, że:
1) abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały, o: a) celu przechowywania i uzyskiwania dostępu do tej informacji, b) możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym, lub konfiguracji usługi;
2) abonent lub użytkownik końcowy, po otrzymaniu powyższych informacji, wyrazi na to zgodę;
3) przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w telekomunikacyjnym urządzeniu końcowym abonenta, lub użytkownika końcowego i oprogramowaniu zainstalowanym w tym urządzeniu.

Przywołany przepis nie posługuje się pojęciem plików cookies, jednak mówi o „przechowywaniu i dostępie do informacji” a w rozumieniu tej ustawy, jak również zgodnie z interpretacją Ministerstwa Cyfryzacji wszelkie „ciasteczka” to po prostu informacje. Oznacza to, że przedsiębiorca działający w Internecie jest zobowiązany poinformować osoby odwiedzające jego strony internetowe o wszystkich używanych plikach cookies. Ustawa jednak nie precyzuje, w jakiej formie ma zostać przekazana ta informacja, powinna być natomiast jednoznaczna, łatwa i zrozumiała. Większość stron internetowych wykorzystuje w celu informacji dodatkowo wyświetlane „okienka”, w ramach których można wyrazić zgodę na udostępnianie tego rodzaju informacji. Czy zatem konieczny jest opis tej sytuacji w odrębnym dokumencie, jakim jest polityka prywatności? 

Zdaniem autorki
Zdecydowanie brak jest ustawowego obowiązku posiadania polityki prywatności – żaden przepis polskiej ustawy nie mówi o niej wprost. Jednak każdy podmiot stosujący pliki cookies lub przetwarzający dane osobowe musi sprostać określonym wymogom informacyjnym. Należy zatem stwierdzić, że polityka prywatności jest bardzo dobrą praktyką w branży e-commerce i należy zachęcać do jej stosowania, gdyż dodatkowo zwiększa ona wiarygodność przedsiębiorcy działającego w sieci.

Artykuł został opublikowany w dodatku do dziennika Rzeczpospolita 'Dobra Firma' z dnia 23.02.2018 r.