Jeżeli prowadzisz sklep internetowy, z pewnością nie raz zastanawiałeś się czy powinieneś zgłaszać bazy danych osobowych do GIODO. Na wielu forach możesz znaleźć informacje, że nie jest to konieczne. Inne źródła mówią z kolei, że jako e-sprzedawca masz taki obowiązek. Jak jest więc z tym na prawdę? Jak ma się do tego polskie prawo?
GIODO czy nie-GIODO
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) przedstawia cały katalog podstaw do zwolnienia z rejestracji wspomnianych wcześniej baz danych w GIODO. Wśród nich przedsiębiorcy znajdują pewną furtkę, według której jako właściciel e-sklepu nie musisz tego robić. Ważne jest, że takie rozumowanie przepisów nie jest do końca zasadne.
W artykule 43 Ustawy o Ochronie Danych Osobowych wymienionych jest 15 podstaw do zwolenienia zbiorów danych osobowych z rejestracji. Jeden z nich jest zawarty w artykule 43 ust. 8 i mówi o tym, że z tego obowiązki zwolnieni są administratorzy, którzy dane przetwarzają „wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej„. Jak się jednak okazuje, traktowanie tego przepisu jako zwolnienia z rejestracji zbioru w GIODO jest błędne. Zaniechanie rejestracji zbioru danych osobowych przetwarzanego w sklepie internetowym z powołaniem się na ten zapis może ściągnąć na przedsiębiorcę kłopoty i konsekwencje związane z nieprzestrzeganiem zapisów UODO.
Zgłoszenia bazy danych do GIODO to także Twój obowiązek
Skoro prowadzisz sklep internetowy, doskonale wiesz, że zbierasz dane osobowe. W jaki sposób? Na przykład podczas rejestracji czy przy składaniu zamówienia. Jakie dane natomiast są Ci potrzebne do wystawienia faktury czy rachunku? Oczywiście imię i nazwisko, nazwa firmy, adres i Numer Indentyfikacji Podatkowej. Czy coś więcej? Niestety, nie. W tym momencie z pewnością już wiesz, że w swoim sklepie internetowym zbierasz nie tylko te dane osobowowe. Praktycznie zawsze są to jeszcze adres e-mail czy dane do wysyłki. W niektórych sklepach internetowych klienci podają także numer telefonu oraz dodatkowe informacje o sobie, jak na przykład płeć czy data urodzenia. Jak więc widzisz, zapewne zbierasz również dane wykraczające poza zakres potrzebny do „wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”. Zarówno więc Ty, jak i inni właściciele sklepów internetowych, nie spełniacie przesłanek pozwalających na zwolnienie z rejestracji zbioru.
Warto również wiedzieć, że dane zbierane w e-sklepie nie są wykorzystywane jedynie w celach związanych z rozliczeniami finansowymi. Niemal każdy sklep internetowy funkcjonuje w taki sposób, że wysyła na podany przez klienta adres mailowy chociażby informacje o statusie zamówienia czy prowadzenia e-mail marketingu. Dodatkowo, odpowiedz sobie na jedno pytanie. Czy znasz jakikolwiek sklep internetowy, który nie wysyła towarow do swoich klientów za pośrednictwem poczty polskiej lub firm kurierskich? No właśnie. Sam więc widzisz, że celem zbierania danych adresowych nie są rozliczenia finansowe, a realizacja wysyłki. To kolejny dowód na to, że jako właściciel sklepu internetowego nie jesteś zwolniony z obowiązku zgłaszania baz danych do GIODO. Nie ma więc sensu szukać luk w prawie czy jakichkolwiek furtek, które zwalniałyby z ww. obowiązku. Lepiej po prostu poświęcić nieco swojego czasu i zgłosić zbiór danych osobowych, działać legalnie i spać spokojnie.
Jak zgłosić bazy danych osobowych do GIODO?
Skoro wyjaśniliśmy już, że jako właściciel sklepu internetowego nie jesteś zwolniony z obowiązku zgłoszenia danych osobowych do GIODO, czas powiedzieć Ci jak najlepiej to zrobić. Na wielu stronach internetowych możesz znaleźć kompleksowe poradniki, które pomogą Ci przebrnąć przez ten, bądź co bądź, trudny proces. Będziemy z Tobą szczerzy – zgłoszenie baz danych do GIODO nie należy do najprostszych czynności i bardzo łatwo się w tym pogubić.
Jeżeli nie chcesz tracić czasu na poszukiwanie szczegółowych informacji w jaki sposób należy postępować przy tej, jak już pisaliśmy, skomplikowanej czynności, możesz zakupić kompleksową dokumentację GIODO dla Twojego sklepu internetowego. Jest to wzór do samodzielnego uzupełnienia, wraz z praktycznymi komentarzami specjalistów i prawników z zespołu CentrumSprzedawcy.pl. Cały pakiet kosztuje 249 zł i wraz z nim otrzymasz specjalny poradnik dot. Ochrony danych osobowych. To wszystko pozwoli Ci uniknąć nadszarpywania Twojego budżetu i spełnić obowiązek zgłoszenia danych do GIODO w sposób bezproblemowy.
Wypełnienie takiej dokumentacji przygotowanej przez prawników CentrumSprzedawcy.pl jest bardzo proste, bo została ona przygotowana w trzech przystępnych formach: przykładowej wypełnionej dokumentacji, dokumentacji z praktycznymi komentarzami oraz czystej dokumentacji przeznaczonej do samodzielnego uzupełnienia. Dzięki temu masz pewność, że bez problemu sobie z nią poradzisz. W razie jakichkolwiek pytań czy wątpliwości, możesz liczyć na naszą pomoc. Jesteśmy do Twojej dyspozycji w trosce o to, byś działał całkowicie legalnie, bezpiecznie i bezproblemowo.
A co w sytuacji, kiedy formularz zamówienia wysyła swoją zawartość na maila?
Panie Michale,
rozumiem, że ma Pan na myśli sytuację, kiedy nie można dokonać zakupu bezpośrednio na stronie sklepu, ale tylko drogą mailową?
W takim wypadku również przetwarzane są dane osobowe klientów (o ile oczywiście znajdują się w formularzu) i należy taką bazę uwzględnić przy tworzeniu dokumentacji ochrony danych osobowych w Pana firmie,
Można dokonać zakupu bezpośrednio.
Z punktu widzenia klienta wszystko wygląda tak samo – jest koszyk, do którego dodaje się produkty, natomiast po skończeniu klika się „Zamawiam”, podaje dane, wybiera rodzaj przesyłki i zatwierdza.
I teraz te dane są wysyłane mailem, na adres e-mail., np sklep@onet.pl. Miałbym zgłosić do GIODO serwer pocztowy onetu?
Dodam jeszcze, ze możliwości zakładania kont czy newsletterów sklep nie posiada.
Owszem, maila odbieram, po czym wystawiam fakturę w programie do tego przeznaczonym, i ten program dane pamięta – tylko że on test na moim lokalnym komputerze – czyli poza obrębem sklepu. Są tam dane pochodzące z całej moje działalności, sklep jest jest tylko częścią.
I w tym przypadku, moim zdaniem przetwarzanie „wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej”
ma zastosowanie. Bo jak nie w tym to w jakim?
Jeżeli się mylę to proszę mnie wyprostować a także napisać co miałbym wskazać jako bazę danych osobowych, skoro dane są wysyłane z przeglądarki użytkownika na serwer pocztowy onetu, a potem znajdują się na lokalnym komputerze.
Jeżeli miałbym zgłosić dane z lokalnego komputera, to czy w sytuacji gdybym nie miał sklepu także musiałbym taki zbiór zgłaszać?
Panie Michale,
proszę zwrócić uwagę na to, że zawarcie umowy sprzedaży przez internet nie ogranicza się jedynie do kwestii wystawienia faktury. Klient powierza Panu dane osobowe w celu dostarczenia do niego paczki. Dodatkowo, zgodnie z przepisami prawa, odpowiada Pan za przedmiot sprzedany konsumentowi chociażby z tytułu rękojmi – musi Pan więc przetwarzać dane osobowe również w zakresie przekraczającym wystawienie faktury (np. w celu weryfikacji odstąpienia klienta od umowy czy roszczenia reklamacyjnego).
Niestety nie jestem w stanie powiedzieć jak wygląda przetwarzanie danych osobowych w Pana sklepie, a więc jakie procedury powinny zostać zastosowane. Możemy jednak zaproponować Panu bezpłatny audyt wstępny pod kątem ochrony danych osobowych, w ramach którego na podstawie kilku informacji będziemy mogli bezpłatnie określić jakie bazy powinien Pan zgłosić w GIODO.
Wystarczy, że napisze Pan na nasz adres: kontakt@centrumsprzedawcy.pl
(w korespondencji proszę powołać się na powyższą wymianę komentarzy).
Pozdrawiam,