Sprzedawcom internetowym przybędzie obowiązków związanych z ochroną danych klientów

Po latach negocjacji Parlament Europejski przyjął rozporządzenie o ochronie danych osobowych. Nowe przepisy zaczną obowiązywać 25 maja 2018 r. Wydaje się jednak, że już teraz powinny zostać wprowadzone niektóre regulacje z rozporządzenia unijnego, dzięki, którym zostałyby podjęte działania dostosowujące proces ochrony prywatności danych w przedsiębiorstwach do nowych przepisów.

Rozporządzenie to będzie obowiązywać we wszystkich państwach członkowskich, bez konieczności jego implementacji. Jednolite prawo ochrony danych będzie miało wpływ na uproszczenie procedur dla organów ochrony danych z państw członkowskich. Oznacza to, że obywatele pokrzywdzeni działalnością firm internetowych z siedzibą za granicą, będą mogli zgłaszać skargi do właściwych organów ochrony danych w swoim państwie członkowskim. Bez znaczenia będzie w jakim kraju doszło do danego naruszenia. Powyższe dotyczy nie tylko osób fizycznych, ale również przedsiębiorców. W przyszłości firmy będą więc musiały współpracować tylko z organami ochrony danych, właściwymi z uwagi na swoją siedzibę. Ponadto od 25 maja 2018 r. również przedsiębiorcy spoza UE będą objęci przedmiotową regulacją, w przypadku gdy posiadają na swoim terytorium oddział lub przetwarzają dane obywateli jednego z państw członkowskich UE.

Nowe przychodzi, ale stare też zostaje

Wzmocnione zostały prawa obywateli poprzez tzw. „prawo do bycia zapomnianym”. Zgodnie z przepisami rozporządzenia, obywatele UE mają prawo do żądania od przedsiębiorcy usunięcia swoich danych osobowych, co powoduje jednocześnie utratę przez przedsiębiorcę prawa do gromadzenia oraz przetwarzania tych danych.
Ponadto przyznano obywatelom prawo do przenoszenia swoich danych. Oznacza to, że powinni mieć oni możliwość łatwego dostępu do swoich danych oraz ich przeniesienia. Przepisy koncentrują się tutaj głównie na portalach społecznościowych jako administratorach danych, jednakże obowiązki te należy też przypisać pozostałym przedsiębiorcom. Trudno obecnie przewidzieć praktycznie zastosowanie tych przepisów.
W rozporządzeniu znalazły się także dotychczas obowiązujące zasady związane z ochroną danych. Są to:

  • zasada wyrażenia zgody na przetwarzanie danych oraz
  • zasada celowości ich przetwarzania.

Zgodnie z nimi, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy została wyrażona zgoda przez jednostkę, a zakres wykorzystania danych uzależniony jest od celu, który został wskazanych w zgodzie podpisanej przez obywatela.

Na co muszą zwracać uwagę sprzedawcy Internetowi?

Zasadniczą ideą regulacji jest zapewnienie przejrzystości dla obywateli w regulaminach. Niezbędne jest również uzyskanie zgody poprzez wyraźne działanie osoby. Zgoda taka nie może zostać wyrażona poprzez milczenie lub zaniechanie – przykładowo niedopuszczalne jest uznanie za wyrażenie zgody przez akceptację z zaznaczonym już „check boxem”. W unijnym rozporządzeniu wymaga się wprowadzenia osobnego pola do zaznaczenia przez potwierdzającego wyrażenia zgody na przetwarzanie danych osobowych w formularzach sklepów internetowych. Ponadto zawarcie umowy nie będzie mogło być uzależnione od wyrażenia przedmiotowej zgody. W odniesieniu do już wyrażonych zgód na przetwarzanie danych, które miałby obowiązywać po 25 maja 2018 r., przepisy rozporządzenia przewidują, że będą one skuteczne, pod warunkiem spełnienia wymogów stawianych przedmiotowym zgodom w nowej regulacji. W związku z tym, należałoby już dzisiaj wdrożyć nowe zasady ochrony danych tak, aby uniknąć konieczności ponownego uzyskiwania wymaganych akceptacji w przyszłości.

Korekty będą niezbędne, zwłaszcza w polityce prywatności. Nowe przepisy prawne dotyczące ochrony danych wymagają przejrzystych informacji dla obywateli. Zgodnie z art. 12 rozporządzenia, informacje muszą być przekazywane „w precyzyjny, przejrzysty sposób oraz w zrozumiałej i łatwo dostępnej formie, używając jasnego i prostego języka”. W jaki sposób przepisy te będą stosowane w praktyce – zwłaszcza w odniesieniu do wymagań technicznych, narzędzi śledzenia lub analizy i remarketingu – jest nadal sprawą otwartą i zostanie doprecyzowane w orzecznictwie.

Przetwarzanie danych osobowych w praktyce będzie trudniejsze

Podwykonawcy zleceniobiorcy, będą musieli zostać z góry określeni, a klient będzie musiał wyrazić pisemną zgodę na udział w danym zleceniu tych podwykonawców. W związku z powyższym, również sprzedawca internetowy będzie zobowiązany sprawdzić i dopasować swoje umowy dotyczące przetwarzania danych osobowych. Na tym tle, legalność kontroli kredytowej jest wątpliwa. Obecnie kwestia ta budzi sporo kontrowersji. Skutki w postaci ograniczenia zatowarowania w sklepach internetowych i zmniejszenia płynności finansowej nie są do wykluczenia. Do tej pory uzyskanie zgody na korzystanie z narzędzi internetowych takich jak śledzenie, analiza i remarketing było dobrowolne – nowe przepisy wymagają już udzielenia wyraźnej zgodny od użytkownika.

Ważne:
W związku z tym, że przepisy rozporządzenia o ochronie danych zostaną z biegiem czasu doprecyzowane, w związku z zapadającymi orzeczeniami sądów na jego podstawie oraz okresem przejściowym, jest jeszcze trochę czasu na omówienie możliwych zmian regulaminów.
Niemniej jednak, sprzedawcy internetowi powinni rozpocząć już prace nad dostosowaniem swoich regulaminów i nie odwlekać tego procesu na rok 2018. Wówczas z uwagi na zbyt krótki okres do opracowania zmian, w pośpiechu mogą zostać popełnione poważne błędy.

Autorzy:
Oskar Gostomski, adwokat prawa niemieckiego
Robert Kuczyński, aplikant radcowski