KOMENTARZ: Jakie są obowiązki informacyjne sprzedawcy związane z przetwarzaniem danych osobowych? Wyjaśnia mec. Michał Fatek

michał_fatek_retail_journal

michał_fatek_retail_journal

Czym jest obowiązek informacyjny? W jaki sposób należy go wypełnić? Jakie są sankcje za niezrealizowanie obowiązku informacyjnego? Te zagadnienia porusza Michał Fatek – radca prawny w Kancelarii Jacek Kosiński Adwokaci i Radcowie Prawni w Warszawie.

Prowadzenie sprzedaży internetowej ściśle łączy się z przetwarzaniem danych osobowych. Sprzedawca przetwarza dane osobowe swoich klientów, takie jak ich nazwiska, numery telefonu, adresy e-mail, czy adresy do doręczeń. To z kolei implikuje konieczność spełnienia przez sprzedawcę szeregu obowiązków informacyjnych. Jest on bowiem na mocy RODO zobowiązany do poinformowania osób, których dane przetwarza, o szeregu kwestii wiążących się z tym przetwarzaniem. Co więcej, informacja taka nie może być podana dowolnie. Przepisy regulują bowiem również kwestie sposobu zaprezentowania informacji podmiotowi danych.

Obowiązek informacyjny – co to jest?

Obowiązek informacyjny na gruncie prawa ochrony danych osobowych to – najkrócej rzecz ujmując – wymaganie przedstawienia przez administratora danych osobowych (np. właściciela sklepu internetowego) osobom fizycznym, których dane zbiera (np. klientów tego sklepu) o podstawowych informacjach wiążących się z przetwarzaniem danych osobowych. Informacje te mają w założeniu umożliwić podmiotowi danych decyzję, czy udostępnić swoje dane administratorowi. Mają również mu uświadomić zakres jego praw i sposób ich dochodzenia.

Na gruncie RODO obowiązek informacyjny dotyczy dwóch podstawowych sytuacji. Pierwsza z nich dotyczy zbierania przez administratora danych osobowych bezpośrednio od podmiotu danych. Odnosi się to do sytuacji, w których administrator pozyskuje dane osobowe bez pośrednictwa osób trzecich. Tytułem przykładu, właściciel sklepu internetowego zbiera i następnie przetwarza określone dane osobowe swoich klientów, niezbędne do zrealizowania ich zamówień.

Druga sytuacja dotyczy pozyskania danych osobowych od osoby innej, niż osoba, której te dane dotyczą. Administrator w takim przypadku pozyskuje najczęściej dane osobowe od innego administratora, który (uzyskując zgodę podmiotu danych na takie działanie) przekazuje mu te dane w celach marketingowych. Mogą to być sytuacje przekazania danych między podmiotami powiązanymi (np. wewnątrz grupy kapitałowej), jak i podmiotami od siebie niezależnymi.

Katalog informacji, jakie administrator obowiązany jest przekazać podmiotom danych jest w obu wyżej opisanych przypadkach zbliżony. W przypadku pozyskania danych osobowych od osoby innej, niż bezpośrednio osoba, której te dane dotyczą, administrator powinien w obowiązku informacyjnym zamieścić informacje w jaki sposób te dane pozyskał oraz na jakiej podstawie je przetwarza. W tym zakresie RODO wskazuje na obowiązek podania źródła pochodzenia danych osobowych.

Jakie informacje należy przekazać?

Katalog informacji, do których podania zobowiązany jest administrator, jest szeroki. Obejmuje on m.in. tożsamość i dane kontaktowe administratora, informacje o ewentualnym wyznaczeniu inspektora ochrony danych osobowych i jego danych kontaktowych, cel przetwarzania, kategorie przetwarzanych danych, informacje o odbiorcach danych lub kategoriach tych odbiorców, okres przetwarzania, informacje o przekazywaniu danych do państw trzecich (tj. poza Unię Europejską) zaś w przypadku, gdy przetwarzanie odbywa się na podstawie zgody osoby fizycznej – informację o prawie cofnięcia tej zgody.

Z punktu widzenia praktycznego najważniejsze jest jednak przekazanie podmiotom danych informacji o ich prawach i sposobie ich realizacji. Administrator powinien więc poinformować podmioty danych o następujących ich prawach: (i) prawie do sprostowania danych, (ii) prawie ich usunięcia (tzw. prawo do bycia zapomnianym), (iii) prawie do ograniczenia przetwarzania, (iv) prawie do sprzeciwu co do przetwarzania, (v) prawie do przenoszenia danych między administratorami oraz (vi) prawie niepodlegania przetwarzaniu zautomatyzowanemu, w tym profilowaniu. Odpowiednie części dokumentu zawierającego obowiązek informacyjny powinny precyzować na czym polegają w/w prawa i jak podmiot danych może je realizować.

Jak zaznaczono wyżej, w przypadku pozyskania danych osobowych od osoby innej, niż bezpośrednio osoba, której te dane dotyczą, administrator ma obowiązek podania źródła pochodzenia danych osobowych.

Sposób przekazania informacji

Sposób realizacji obowiązku informacyjnego powinien być determinowany – obowiązującą w całym prawie ochrony danych osobowych – zasadą przejrzystości. Zasada ta oznacza, że podane informacje muszą być zwięzłe, zrozumiałe dla przeciętnego odbiorcy, łatwo dostępne, napisane prostym językiem i w łatwej formie. Należy unikać sformułowań specjalistycznych, w tym języka prawniczego. Rekomendowane jest posługiwanie się – tak dalece, jak to możliwe – językiem powszechnym. Warto też rozważyć szerokie posługiwanie się przykładami. Wreszcie RODO dopuszcza możliwość realizacji tego obowiązku w formie graficznej – o ile jest to możliwe na gruncie danej sytuacji.

Obowiązek informacyjny powinien pozwalać osobom, których dane dotyczą uświadomienie sobie ryzyka, zasad zabezpieczenia i ochrony danych osobowych oraz praw tych osób związanych z przetwarzaniem (w tym sposobów ich wykonywania). Szczególnie ważne jest więc opisanie praw przysługujących podmiotom danych na mocy RODO (zob. wyżej).

Nie wydaje się natomiast zasadne zamieszczanie w obowiązku informacyjnym informacji innych niż te, których podania RODO wprost wymaga. Może to bowiem rodzić konsekwencje w postaci podnoszenia zarzutów zbytniego skomplikowania obowiązku informacyjnego.

W zakresie formy obowiązku informacyjnego, RODO nie wskazuje wprost, jaka powinna ona być. Stwierdza jedynie, że obowiązek informacyjny ma być dostępny dla podmiotu danych w formie łatwo dostępnej. Najczęściej praktykowanym przy sprzedaży internetowej rozwiązaniem jest przekazywanie podmiotowi danych linku (odnośnika) do dokumentu zawierającego obowiązek informacyjny z jednoczesnym uzależnieniem finalizacji transakcji od zaznaczenia przez podmiot danych okienka wyboru, że zapoznał się z treścią tego obowiązku. Często spotykanym rozwiązaniem jest również wysyłanie odpowiedniego dokumentu drogą mailową – o ile oczywiście administrator taki adres posiada.

Terminy

Administrator zobowiązany jest do wypełnienia obowiązku informacyjnego podczas pozyskiwania danych osobowych. Nie może tego uczynić dopiero po ich pozyskaniu, kiedy dane są już przez niego przetwarzane. Powinno do tego dojść równocześnie z rozpoczęciem przetwarzania, np. razem ze złożeniem przez klienta zamówienia w sklepie internetowym.

Nieco inaczej prezentuje się sytuacja, gdy administrator pozyskuje dane od osoby innej niż ta, której dane bezpośrednio dotyczą. W takim przypadku RODO wymaga, by obowiązek informacyjny został spełniony w rozsądnym terminie po pozyskaniu danych osobowych, ale nie później niż w ciągu miesiąca. Może to być np. element komunikatu handlowego kierowanego do podmiotu danych.

Co z podmiotami przetwarzającymi?

Obowiązek informacyjny nie dotyczy podmiotów przetwarzających, tj. podmiotów przetwarzających dane osobowe w imieniu administratora i według jego wskazówek (są to np. firmy księgowe, czy informatyczne). Podmioty przetwarzające nie są zobowiązane do informowania podmiotów, których dane przetwarzają w imieniu administratora, o takim przetwarzaniu.

Brak obowiązku informowania przez podmioty przetwarzające jest rekompensowany nałożeniem na administratora powinnością podania w obowiązku informacyjnym informacji o odbiorcach danych osobowych lub kategoriach odbiorców danych osobowych, o ile takie istnieją. Należy z całą stanowczością podkreślić, że na gruncie RODO przez odbiorców danych osobowych rozumie się również podmioty przetwarzające. Jest to istotna różnica w stosunku do poprzedniego stanu prawnego. Na gruncie ustawy o ochronie danych osobowych z 1997 r. za odbiorców danych osobowych uznawano bowiem tylko innych administratorów. Istniejąca jeszcze czasami praktyka pomijania wskazywania w obowiązku informacyjnym odbiorców (lub ich kategorii) w postaci podmiotów przetwarzających jest nieprawidłowa i należy rekomendować jej niezwłoczną zmianę.

Z uwagi na to, że w momencie realizacji obowiązku informacyjnego mogą nie być znane dokładne personalia odbiorców danych, RODO umożliwia podanie wyłącznie ich kategorii. Tym samym wystarczające jest poinformowanie osób, których dane dotyczą o tym, że ich dane będą przetwarzane przez podmioty przetwarzające, np. w postaci firm księgowych albo firm informatycznych, bez precyzowania o jakie dokładnie firmy chodzi.

Sankcje za niezrealizowanie obowiązku informacyjnego

Brak realizacji lub nieprawidłowe wypełnienie przez administratora danych obowiązku informacyjnego może rodzić bardzo poważne konsekwencje. RODO traktuje tego rodzaju naruszenie praw podmiotów danych za jedno z najpoważniejszych naruszeń w ogóle. W konsekwencji istnieje możliwość nałożenia na administratora nieprzestrzegającego tego obowiązku najwyższej możliwej kary pieniężnej, tj. w wysokości do 20 milionów Euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Oczywiście należy zdawać sobie sprawę, że zastosowanie tak wysokiej kary pieniężnej jest ostatecznością. Dotyczy najbardziej jaskrawych przypadków naruszenia obowiązku informacyjnego, w szczególności sytuacji, gdy takie naruszenia są nagminne. Przy decydowaniu o nałożeniu kar pieniężnych i ich wysokości właściwy organ – którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych – powinien brać pod uwagę w szczególności takie okoliczności, jak charakter, waga i czas trwania naruszenia, umyślny lub nieumyślny charakter naruszenia a także działania podjęte przez administratora w celu zminimalizowania poniesionej szkody przez osobę, której dane dotyczą. Niezwykle istotne jest również zachowanie administratora przed samym naruszeniem. Dotyczy to takich kwestii, jak przyjęcie odpowiednich polityk ochrony danych osobowych, prowadzenie szkoleń swoich pracowników, czy implementowanie odpowiednich norm bezpieczeństwa informacji (np. ISO 27001).

Autorem komentarza jest Michał Fatek – radca prawny w Kancelarii Jacek Kosiński Adwokaci Radcowie Prawni w Warszawie.

Exit mobile version