Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu czy serwisu internetowego, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też odpowiedniego zabezpieczenia i zarządzania bazą.
W Polsce kary za błędy bądź niedopatrzenia mogą być bardzo wysokie. Najsurowsze to 200 tysięcy złotych, a nawet pozbawienie wolności do lat 2.
Obecnie obowiązujące w Polsce przepisy w zakresie ochrony danych osobowych są bardzo restrykcyjne. W przypadku wykrycia naruszeń prawa w tym zakresie, odpowiedzialność spoczywa nie tylko na firmie, ale też na pracowniku odpowiedzialnym za zarządzanie takim zbiorem – administratorze danych osobowych (może być nim właściciel serwisu – przyp. red.)
– Pieczę nad danymi osobowymi w Polsce sprawuje Generalny Inspektor Ochrony Danych Osobowych (GIODO), który jest odpowiedzialny m.in. za ewidencję baz danych oraz kontrolę administrowania nimi. GIODO może nakazać firmie konkretne działanie w przypadku wykrycia naruszeń, a nawet skierować sprawę do sądu. Za niezarejestrowanie zbioru danych osobowych lub niewłaściwe nim administrowanie, można otrzymać grzywnę w wysokości od 50 do 200 tysięcy złotych, a w szczególnych przypadkach nawet karę pozbawienia wolności do lat dwóch – tłumaczy Rafał Stępniewski, ekspert z serwisu RzetelnyRegulamin.pl.
Kiedy trzeba rejestrować zbiory danych osobowych?
Przedsiębiorca musi zgłosić wszystkie zbiory danych osobowych, których wykorzystanie wykracza poza załatwianie drobnych spraw z życia codziennego. Ta ogólna definicja dotyczy sytuacji, w której wykorzystujemy bazę jedynie w codziennych obowiązkach i kontaktach służbowych.
W przypadku wykorzystania jej do innych celów np. marketingowo-handlowych, należy zarejestrować bazę w GIODO. Wyjątki od konieczności takiego zgłoszenia opisane są szczegółowo w ustawie o ochronie danych osobowych, w artykule 43.
W przypadku sklepów i serwisów internetowych, obowiązek rejestracji bazy danych oraz odpowiednie administrowanie nią wynika już z samego charakteru prowadzonej działalności tj. handlu, obsługi zamówień, a także prowadzenia działań marketingowych.
Już w momencie składania zamówienia przez kupującego, nadawany jest mu numer rejestracyjny, a sklep staje się administratorem jego danych osobowych.
– W tym momencie użytkownik musi zaakceptować postanowienia regulaminu, zgodzić się na przetwarzanie danych osobowych, a czasem również ich gromadzenie w celach marketingowych. Jednak uzależnianie rejestracji od wyrażenia zgody na przetwarzanie danych osobowych do celów marketingowych jest niezgodne z prawem. Administratorzy często łączą akceptację regulaminu ze zgodą na przetwarzanie danych osobowych. Jest to jednak zupełnie inne działanie, na które musi zostać osobno wyrażona zgoda. Co więcej, zezwolenie na przetwarzanie danych osobowych nie może być domniemane. Użytkownik musi być w pełni świadomy swojej decyzji – wyjaśnia Stępniewski.