Przetwarzasz dane osobowe klientów? Poznaj swoje obowiązki

Każdy, kto przetwarza dane osobowe osób fizycznych jako administrator danych, a więc: zbiera je, utrwala, zmienia, przechowuje czy nawet usuwa, zobowiązany jest do dokonywania tych czynności zgodnie z prawem. Oznacza to, że powinien legitymować się upoważnieniem do przetwarzania danych. Nie zawsze upoważnienie takie musi być wyrażone w formie zgody klienta. Zgodnie z art. 23 ust. 1 pkt. 3 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, a gdy osoba, której dane dotyczą, jest jej stroną.

Przetwarzanie danych wyłącznie w celu kontaktu z klientem oraz wysyłki towaru nie wymaga wyrażenia przez niego zgody. Inaczej będzie jednak, gdy sprzedający będzie chciał pozostawić we własnym zbiorze dane klienta po to, aby przesyłać klientowi na przykład oferty dotyczące aktualnych promocji czy newsletter. Na takie działania klient będzie musiał wyrazić bowiem zgodę. Zbierając dane klientów w celach marketingowych lub w związku z innymi działaniami promocyjnymi, należy zadbać, aby klient mógł wyrazić zgodę świadomie i dobrowolnie. Niewłaściwą praktyką jest bowiem zawieranie treści takiej zgody w regulaminie lub uniemożliwianie klientowi wyłączenia lub odznaczenia takiej zgody. Dodatkowo treść zgody musi być sformułowana w sposób jasny i przejrzysty – tak, aby klient nie miał wątpliwości na co się godzi. Zdarza się, że sprzedawca lub usługodawca zamierza przetwarzać dane osobowe na kilka sposobów np. w zakresie wysyłania własnych ofert drogą elektroniczną i dodatkowo przekazywania lub udostępniania danych
innym podmiotom. Należy wówczas pamiętać, że zgodnie ze stanowiskiem GIODO klient powinien mieć możliwość wyrażenia każdej z tych zgód odrębnie, a co za tym idzie, zgody te powinny być wskazane np. w osobnych checkboxach.

Kolejnym obowiązkiem administratora danych osobowych jest należyte informowanie osób, których dane dotyczą o pełnej nazwie administratora danych i jego siedzibie, celu, zakresie i sposobie przetwarzania danych, możliwości wglądu do danych, ich poprawiania oraz o możliwości żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Przetwarzane dane osobowe muszą być również odpowiednio chronione przed nieupoważnionym względem i wykorzystaniem przez osoby trzecie. Administratorzy danych są zobowiązani przygotować, wdrożyć i przestrzegać politykę bezpieczeństwa, w której zgodnie z ustawą o ochronie danych osobowych i w jej aktach wykonawczych, należy, między innymi, ustalić podstawowe zasady ochrony danych z punktu widzenia organizacyjnego i technicznego, sposoby udzielania dostępu do danych oraz wskazać sposoby zapobiegania nieuprawnionemu wglądowi lub zniszczeniu danych. W przypadku gdy dane są przetwarzane przy pomocy systemów informatycznych, należy przygotować i wdrożyć dodatkowo instrukcję zarządzania systemem informatycznym ustalającą warunki techniczne i organizacyjne właściwe urządzeniom i systemom informatycznym używanym do przetwarzania danych osobowych. Nad sporządzeniem i przestrzeganiem wskazanych procedur powinien czuwać administrator danych osobowych oraz administrator systemów informatycznych, powołani przez
administratora danych osobowych.

Przetwarzający dane powinien również, z wyłączeniem wyjątków wskazanych w art. 43 ustawy o ochronie danych osobowych, zarejestrować zbiór lub zbiory przetwarzanych danych osobowych. Rozpoczęcie przetwarzania danych powinno nastąpić dopiero po zgłoszeniu danych GIODO, przy czym w przypadku danych zwykłych (takich jak imię, nazwisko, wiek, płeć, adres, adres e-mail) do przetwarzania można przystąpić już w momencie złożenia wniosku o rejestrację zbioru.

Monika Klimek-Malinowska
starszy prawnik
Waluga Szczurowski i Wspólnicy sp. k. Kancelaria Prawna