O konieczności ochrony danych osobowych słyszał już chyba każdy. Szczególnie obowiązki te dotyczą właścicieli sklepów, zarówno stacjonarnych, jak i internetowych, którzy chcieliby wykorzystać zebrane dane klientów do np. celów marketingowych. Poniżej opisujemy podstawowe zasady wykorzystania takich danych.
Z artykułu dowiesz się:
- jakie przepisy regulują ochronę danych osobowych,
- jak przeprowadzić audyt zgodności z RODO,
- jakie są warunki legalnego przetwarzania danych osobowych.
RODO i ochrona danych
Chociaż przepisy prawa regulują zasady wykorzystywania danych osobowych od bardzo dawna, to głośno zrobiło się o nich wraz z przyjęciem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej jako: RODO). Jest to podstawowa regulacja określająca, w jaki sposób pomioty w całej Unii Europejskiej mogą legalnie przetwarzać dane osobowe.
Co to są dane osobowe?
Zgodnie z RODO dane osobowe oznaczają „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
Jest to bardzo ogólna i pojemna definicja. W skrócie – danymi osobowymi są wszelkie informacje pozwalające zidentyfikować konkretną osobę fizyczną. Nie będą nimi zatem dane np. spółki (czasem niektórzy tak sądzą), ale już np. imię, nazwisko, adres korespondencyjny (pocztowy), adres e-mail i numer komórkowy klienta (konsumenta) – jak najbardziej.
Ważne!
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, to unijne rozporządzenie, które reguluje przetwarzanie danych osobowych osób fizycznych w UE. Ustala zasady zbierania, przetwarzania i przechowywania danych osobowych, zapewniając ochronę prywatności i praw jednostek.
W jaki sposób można zbierać dane osobowe klientów sklepu?
Najkrótszą odpowiedź można streścić do słów: zgodnie z RODO. RODO posługuje się pojęciem „przetwarzania” danych osobowych. Oznacza to każdą operację (w tym zbieranie i dalsze wykorzystywanie) na danych osobowych. Przetwarzanie może dotyczyć danych udostępnianych przez kupującego w formie papierowej (np. podczas zakupu w stacjonarnym sklepie zoologicznym) czy elektronicznej (np. wypełnienie formularza na stronie).
Jeśli podmiot zbiera dane w celu wykorzystania ich, np. w celach marketingowych, staje się ich administratorem. Na administratorze właśnie ciążą podstawowe obowiązki związane z przestrzeganiem wymogów RODO. Będą one miały zastosowanie nawet wówczas, gdy dalsze operacje na danych (np. wysyłka listy mailingowej) będzie zlecona innemu podmiotowi.
Wszystkie dane osobowe muszą być:
- przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
- zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych);
- prawidłowe i w razie potrzeby uaktualniane;
- przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
- przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych.
Każdy administrator odpowiedzialny za przestrzeganie tych wymogów musi być w stanie wykazać ich przestrzeganie (np. poprzez wdrożenie odpowiedniej polityki RODO i przyjęcie regulaminów przetwarzania danych osobowych).
6 warunków legalnego przetwarzania danych
Każdy administrator musi posiadać odpowiednie uzasadnienie na przetwarzanie. RODO przewiduje6 warunków legalnego przetwarzania danych:
- osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Wystarczy, że będzie spełniony przynajmniej jeden z tych warunków. Im jest on wyżej na liście, tym lepiej.
Wybór uzasadnienia przetwarzania będzie zależał od tego, jakie dane oraz w jakim celu mają być przetwarzane. Optymalnym (i bezpiecznym) rozwiązaniem jest uzyskiwanie wyraźnych zgód klientów na poszczególne działania – czy to będzie zgoda na udostępnienie danych w celu realizacji zakupu, czy na wykorzystanie danych w celach marketingowych. Administrator powinien informować, na jakiej podstawie zbiera poszczególne dane.
Obowiązki informacyjne
Skoro mówimy o informowaniu, to administrator, zbierając dane osobowe od klientów, musi wypełnić ciążące na nim obowiązki informacyjne. Jest to bardzo ważne, gdyż niepodanie tych informacji może grozić dotkliwymi sankcjami finansowymi.
RODO wskazuje, że podczas zbierania danych osobowych administrator powinien podawać wszystkie poniższe informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- dane kontaktowe inspektora ochrony danych (gdy został on wyznaczony);
- cele przetwarzania danych osobowych (realizacja umowy, dostawy, wysłanie newslettera) oraz podstawę prawną przetwarzania (podstawy zostały wskazane powyższej);
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (gdy przetwarzanie odbywa się na tej podstawie);
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (gdy zgoda została wyrażona);
- informacje o prawie wniesienia skargi do organu nadzorczego (Prezes Urzędu Ochrony Danych Osobowych);
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Kary za nieprzestrzeganie wymogów RODO
Prezes Urzędu Ochrony Danych Osobowych zaczął od pewnego czasu nakładać kary pieniężne za nieprzestrzeganie wymogów RODO. Mogą one sięgać aż 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu podmiotu z poprzedniego roku obrotowego. Oczywiście im większy podmiot, im na większą skalę przetwarza on dane swoich klientów, tym realne kary mogą być większe.
Natomiast nawet małe sklepy zoologiczne (stacjonarne lub online) mogą być nimi ukarane za np. brak podstawy do przetwarzania danych klientów lub brak ich odpowiedniego poinformowania. Urząd działa bowiem nie tylko na podstawie głośnych i medialnych wycieków danych klientów, ale również na podstawie doniesień, czy to konkurencji, czy też samych klientów, którzy mają coraz wyższą świadomość dotyczącą ochrony swoich danych osobowych.
Zapamiętaj!
- Zapoznanie się z RODO: właściciele sklepów muszą dokładnie znać przepisy RODO, które regulują przetwarzanie danych osobowych w Unii Europejskiej, by zapewnić ich przestrzeganie w codziennej działalności.
- Przeprowadzenie audytu: regularne audyty są niezbędne do monitorowania i zapewnienia zgodności z przepisami o ochronie danych, szczególnie w kontekście zbierania danych klientów oraz ich wykorzystywania w celach marketingowych.
- Stosowanie wymogów do celów przetwarzania: dane osobowe powinny być zbierane i przetwarzane zgodnie z konkretnymi, wyraźnymi i prawnie uzasadnionymi celami, a wszelkie operacje na danych powinny być ograniczone do tego, co jest niezbędne do realizacji tych celów.
autor: dr Patryk Kalinowski, prawnik