Przetwarzasz dane osobowe klientów? Poznaj swoje obowiązki

Przetwarzanie danych osobowych klientów nabywających towary lub usługi zarówno w lokalu, jak i za pośrednictwem Internetu wiąże się z koniecznością dokonania szeregu czynności prawnych. Warto o nich wiedzieć, chociażby ze względu na ochronę interesów klientów. Ważne jest to również dla nas, bowiem wypełnianie obowiązków ustawowych w tym zakresie może być przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych.

Obraz
Źródło zdjęć: © Jupiterimages

Każdy, kto przetwarza dane osobowe osób fizycznych jako administrator danych, a więc: zbiera je, utrwala, zmienia, przechowuje czy nawet usuwa, zobowiązany jest do dokonywania tych czynności zgodnie z prawem. Oznacza to, że powinien legitymować się upoważnieniem do przetwarzania danych. Nie zawsze upoważnienie takie musi być wyrażone w formie zgody klienta. Zgodnie z art. 23 ust. 1 pkt. 3 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, a gdy osoba, której dane dotyczą, jest jej stroną.

Przetwarzanie danych wyłącznie w celu kontaktu z klientem oraz wysyłki towaru nie wymaga wyrażenia przez niego zgody. Inaczej będzie jednak, gdy sprzedający będzie chciał pozostawić we własnym zbiorze dane klienta po to, aby przesyłać klientowi na przykład oferty dotyczące aktualnych promocji czy newsletter. Na takie działania klient będzie musiał wyrazić bowiem zgodę. Zbierając dane klientów w celach marketingowych lub w związku z innymi działaniami promocyjnymi, należy zadbać, aby klient mógł wyrazić zgodę świadomie i dobrowolnie. Niewłaściwą praktyką jest bowiem zawieranie treści takiej zgody w regulaminie lub uniemożliwianie klientowi wyłączenia lub odznaczenia takiej zgody. Dodatkowo treść zgody musi być sformułowana w sposób jasny i przejrzysty – tak, aby klient nie miał wątpliwości na co się godzi. Zdarza się, że sprzedawca lub usługodawca zamierza przetwarzać dane osobowe na kilka sposobów np. w zakresie wysyłania własnych ofert drogą elektroniczną i dodatkowo przekazywania lub udostępniania danych
innym podmiotom. Należy wówczas pamiętać, że zgodnie ze stanowiskiem GIODO klient powinien mieć możliwość wyrażenia każdej z tych zgód odrębnie, a co za tym idzie, zgody te powinny być wskazane np. w osobnych checkboxach.

Kolejnym obowiązkiem administratora danych osobowych jest należyte informowanie osób, których dane dotyczą o pełnej nazwie administratora danych i jego siedzibie, celu, zakresie i sposobie przetwarzania danych, możliwości wglądu do danych, ich poprawiania oraz o możliwości żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Przetwarzane dane osobowe muszą być również odpowiednio chronione przed nieupoważnionym względem i wykorzystaniem przez osoby trzecie. Administratorzy danych są zobowiązani przygotować, wdrożyć i przestrzegać politykę bezpieczeństwa, w której zgodnie z ustawą o ochronie danych osobowych i w jej aktach wykonawczych, należy, między innymi, ustalić podstawowe zasady ochrony danych z punktu widzenia organizacyjnego i technicznego, sposoby udzielania dostępu do danych oraz wskazać sposoby zapobiegania nieuprawnionemu wglądowi lub zniszczeniu danych. W przypadku gdy dane są przetwarzane przy pomocy systemów informatycznych, należy przygotować i wdrożyć dodatkowo instrukcję zarządzania systemem informatycznym ustalającą warunki techniczne i organizacyjne właściwe urządzeniom i systemom informatycznym używanym do przetwarzania danych osobowych. Nad sporządzeniem i przestrzeganiem wskazanych procedur powinien czuwać administrator danych osobowych oraz administrator systemów informatycznych, powołani przez
administratora danych osobowych.

Przetwarzający dane powinien również, z wyłączeniem wyjątków wskazanych w art. 43 ustawy o ochronie danych osobowych, zarejestrować zbiór lub zbiory przetwarzanych danych osobowych. Rozpoczęcie przetwarzania danych powinno nastąpić dopiero po zgłoszeniu danych GIODO, przy czym w przypadku danych zwykłych (takich jak imię, nazwisko, wiek, płeć, adres, adres e-mail) do przetwarzania można przystąpić już w momencie złożenia wniosku o rejestrację zbioru.

Monika Klimek-Malinowska
starszy prawnik
Waluga Szczurowski i Wspólnicy sp. k. Kancelaria Prawna

Wybrane dla Ciebie
Wcześniejsza emerytura dla tej grupy? "Pominięto nas"
Wcześniejsza emerytura dla tej grupy? "Pominięto nas"
Żabka przebiła Biedronkę i Lidla. Oto nowa propozycja dla klientów oddających butelki
Żabka przebiła Biedronkę i Lidla. Oto nowa propozycja dla klientów oddających butelki
Bank w Danii radzi, by wypłacać gotówkę. Podali kwotę
Bank w Danii radzi, by wypłacać gotówkę. Podali kwotę
Mały handel wymiera? Z ulic zniknęło tysiące sklepów
Mały handel wymiera? Z ulic zniknęło tysiące sklepów
Z drukowaną kartą pokładową do Ryanaira nie wejdziesz. Co na to UOKiK?
Z drukowaną kartą pokładową do Ryanaira nie wejdziesz. Co na to UOKiK?
"Słyszymy w lesie strzały". Tak gmina chce zakazać łowów
"Słyszymy w lesie strzały". Tak gmina chce zakazać łowów
Jak zwiększyć szansę na wygraną w Lotto? Matematyk podpowiada
Jak zwiększyć szansę na wygraną w Lotto? Matematyk podpowiada
Rzeczywistość po 1 listopada. Śmieci wysypują się z kontenerów
Rzeczywistość po 1 listopada. Śmieci wysypują się z kontenerów
Boją się rachunków. Ciepło dostarcza im spółka o. Rydzyka
Boją się rachunków. Ciepło dostarcza im spółka o. Rydzyka
Fala żywności z Ukrainy płynie do Polski. Wśród nich te produkty
Fala żywności z Ukrainy płynie do Polski. Wśród nich te produkty
Coraz większy problem w polskich firmach. Dotyczy głównie małych miast
Coraz większy problem w polskich firmach. Dotyczy głównie małych miast
Więcej niż na lokacie. Oszczędza tak już ponad 4 miliony Polaków
Więcej niż na lokacie. Oszczędza tak już ponad 4 miliony Polaków