Nowe rozporządzenie UE o ochronie danych – wszystko co musisz wiedzieć jako sprzedawca internetowy!

Po latach negocjacji Parlament Europejski przyjął rozporządzenie o ochronie danych osobowych. Nowe przepisy zaczną obowiązywać z dniem 25 maja 2018 r. Wydaje się jednak, że już teraz powinny zostać wprowadzone niektóre regulacje z rozporządzenia unijnego, dzięki , którym podjęte zostałyby działania dostosowujące procesu ochrony prywatności danych w przedsiębiorstwach w stosunku do nowych przepisów.

Unifikacja prawa ochrony danych na poziomie UE

Przyjęte właśnie rozporządzenie obowiązuje we wszystkich państwach członkowskich bez konieczności jego implementacji. Mające obowiązywać w przyszłości jednolite prawo ochrony danych będzie miało wpływ na uproszczenie procedur dla organów ochrony danych z państw członkowskich. Oznacza to, że obywatele pokrzywdzeni działalnością firm internetowych z siedzibą zagranicą będą mogli zgłaszać skargi do właściwych organów ochrony danych w swoim państwie członkowskim, niezależnie od kraju pochodzenia tj. w kraju w którym doszło do danego naruszenia. Powyższe dotyczy nie tylko osób fizycznych, ale również przedsiębiorców. W przyszłości będą więc musiały współpracować tylko z organami ochrony danych, właściwymi z uwagi na swoją siedzibę. Należy również podkreślić, że w przyszłości, również przedsiębiorcy z poza UE będą objęci przedmiotową regulacją, w przypadku gdy posiadają na terytorium oddział lub przetwarzają dane obywateli UE.

Nowe przychodzi, stare zostaje!

Wzmocnione zostały prawa obywateli poprzez tzw. „prawo do bycia zapomnianym”. Rozporządzenie przewiduje, że obywatele mają prawo do żądania od przedsiębiorcy usunięcia swoich danych osobowych, co powoduje jednocześnie utratę przez przedsiębiorcę prawa do gromadzenia oraz przetwarzania tych danych. Ponadto przyznano obywatelom prawo do przenoszenia swoich danych. Oznacza to, że obywatel powinien mieć możliwość do łatwego dostępu do swoich danych oraz ich przeniesienia. Przepisy koncentrują się tutaj głównie na portalach społecznościowych jako administratorach danych, jednakże obowiązki te należy też przypisać pozostałym przedsiębiorcom. Praktycznie zastosowanie tych przepisów pozostaje w tym momencie trudne do przewidzenia. A ponadto, pozostawiono podstawowe zasady związane z ochroną danych – takie jak zasada wyrażenia zgodny na przetwarzanie danych, czy zasada celowości ich przetwarzania. W związku z powyższym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy została wyrażona zgoda przez jednostkę a zakres wykorzystania danych uzależniony jest od celu, który został wskazanych w zgodzie podpisanej przez obywatela.

Na co muszą zwracać uwagę sprzedawcy Internetowi?

Należy wskazać, że zasadniczą ideą regulacji jest zapewnienie przejrzystości dla obywateli w regulaminach. Niezbędne jest również uzyskanie zgodny poprzez wyraźne działanie osoby. Zgoda taka nie może zostać wyrażona poprzez milczenie lub zaniechanie, przykładowo niedopuszczalne jest uznanie za wyrażenie zgodny przez akceptację z zaznaczonym już „check boxem”. W nowym kodeksie przepisów wymaga się wprowadzenia osobnego pola do zaznaczenia przez potwierdzającego wyrażenia zgodny na przetwarzanie danych osobowych w formularzach sklepów internetowych. Ponadto zawarcie umowy nie będzie mogło być uzależnione od wyrażenia przedmiotowej zgody. W odniesieniu do już wyrażonych zgód na przetwarzanie danych, które miałby obowiązywać po 25 maja 2018 r., przepisy rozporządzenia przewidują, że będą one skuteczne pod warunkiem spełnienia wymogów stawianych przedmiotowym zgodą w nowej regulacji. W związku z tym, należałoby już dzisiaj wdrożyć nowe zasady ochrony danych tak aby uniknąć konieczności ponownego uzyskiwania zgód w przyszłości.

Przejrzystość przede wszystkim

Korekty będą niezbędne, zwłaszcza w polityce prywatności. Nowe przepisy prawne dotyczące ochrony danych wymagają przejrzystych informacji dla obywateli. Zgodnie z art. 12 rozporządzenia informacje muszą być przekazywane „w precyzyjny, przejrzysty sposób oraz zrozumiałej i łatwo dostępnej formie, używając jasnego i prostego języka”. Jak przepisy te będą stosowane w praktyce, zwłaszcza w odniesieniu do wymagań technicznych, narzędzi śledzenia lub analizy i remarketingu, jest nadal sprawą otwartą i zostanie doprecyzowane w orzecznictwie.

Dalsze przetwarzanie danych osobowych w praktyce będzie trudniejsze

Podwykonawcy zleceniobiorcy, będą musieli zostać z góry określeni , a klient będzie musiał wyrazić pisemną zgodę na tych podwykonawców. W związku z powyższym, również sprzedawca internetowy powinien sprawdzić i dopasować swoje umowy dot. przetwarzania danych osobowych. Na tym tle, legalność kontroli kredytowej jest wątpliwa. Obecnie kwestia ta budzi sporo kontrowersji. Skutki w postaci ograniczenia zatowarowania w sklepach internetowych i zmniejszenia płynności finansowej nie są do wykluczenia. Do tej pory uzyskanie zgody na korzystanie z narzędzi internetowych takich jak śledzenie, analiza i remarketing było dobrowolne, nowe przepisy wymagają już udzielenia wyraźnej zgodny od użytkownika.

Wnioski

W związku z tym, że przepisy rozporządzenia o ochronie danych zostaną z biegiem czasu doprecyzowane, w związku z zapadającymi orzeczeniami sądów na jego podstawie oraz okresem przejściowym, jest jeszcze trochę czasu na omówienie możliwych zmian regulaminów.

Niemniej jednak, sprzedawcy internetowi powinni rozpocząć już prace nad dostosowaniem swoich regulaminów i nie odwlekać tego procesu na rok 2018. Wówczas z uwagi na zbyt krótki okres do opracowania zmian, w pośpiechu mogą zostać popełnione poważne błędy.

Warto w tym zakresie skorzystać z pomocy profesjonalnych podmiotów.

Autorzy:
Oskar Gostomski, adwokat prawa niemieckiego
Robert Kuczynski, aplikant radcowski