Porady eksperta

Ochrona danych osobowych przy sprzedaży na stronie sklepu internetowego w modelu dropshipping

Pytanie z dnia 10 kwietnia 2017

Przedstawiony problem: Ochrona danych osobowych przy sprzedaży na stronie sklepu internetowego w modelu dropshipping.

Odpowiedź na problem prawny: Przy przekazywaniu danych osobowych klientów w systemach e-handlu i e-usług do hurtowni, należy zawrzeć z firmą prowadzącą hurtownię umowę o przetwarzanie danych osobowych.

Ochrona danych osobowych polega na zabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Środki ochrony wynikają z u.o.d.o. oraz Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dane osobowe mogą być przechowywane zarówno w sposób tradycyjny (manualny – w formie papierowej), jak i za pomocą systemu informatycznego, który musi spełniać wymagania określone w rozporządzeniu. Przepisy prawa nie precyzują, jakie konkretnie środki mają być stosowane przez administratora danych w celu ich zabezpieczenia. Ustawa określa jedynie obowiązki administratora, które wynikają z art. 36a u.o.d.o. tj. zabezpieczenie danych m.ni. przed:

  • udostępnieniem ich osobom nieupoważnionym,
  • zabraniem ich przez osobę nieuprawnioną,
  • uszkodzeniem,
  • zniszczeniem.

Zadania te powinny być zrealizowane przez zastosowanie odpowiednich, skutecznych, środków technicznych i organizacyjnych.

Przedsiębiorca zobligowany jest m.in. do wprowadzenia polityki bezpieczeństwa danych osobowych (regulaminu, instrukcji, zarządzenia ), w ramach której powinien zostać stworzony nie tylko wykaz zbiorów danych osobowych (rejestrów, katalogów), ale także zostać uregulowana kontrola dotycząca wprowadzania danych, ich przetwarzania i zabezpieczenia. Ponadto, obowiązek ten łączy się z koniecznością zawiadomienia komu zostały przekazane dane oraz przedstawienie klientom sklepu internetowego, przysługujących im prawach. W tym celu korzystnym rozwiązaniem jest utworzenie odrębnego Regulaminu lub uregulowanie tej kwestii w ramach kompleksowej regulacji zarządzania informacją. Takie regulacje są coraz powszechniejsze i obejmują całość gromadzonej i przetwarzanej informacji oraz informacji wytworzonej przez przedsiębiorcę. Zalecamy skorzystanie ze wzoru takiego regulaminu, który znajduje się na stronie mikroporady.pl.

Przedsiębiorca organizując swoją działalność w zakresie sprzedaży towarów lub usług ,,przez sieć’’ musi ustalić, czy i jakie dane osobowe będzie utrwalał, w jakim zbiorze danych i przez jaki czas będzie je przechowywał. Należy wprowadzić stosowne zapisy w tym zakresie do treści umów, ogólnych warunków sprzedaży, świadczenia usług, regulaminów sprzedaży. Przy przetwarzaniu danych osobowych klientów, należy ich poinformować m.in. o swojej siedzibie, adresie, gromadzonych danych, celu ich gromadzenia, a także zapewnić należytą ochronę bezpieczeństwa danych osobowych oraz uzyskać zgodę na ich utrwalenie i ew. przetwarzanie.

Przedsiębiorca może administrować danymi osobowymi klientów sklepu sam, jako administrator danych lub powierzyć zarządzanie nimi innej osobie w drodze umowy zawartej na piśmie. Możliwym rozwiązaniem jest załączenie do umowy o dropshipping dodatkowej umowy o powierzenie przetwarzania danych osobowych. Umowa taka powinna regulować kwestie związane z przekazaniem tych danych w celu realizacji zamówień i zawierać m.in informacje o przekazaniu danych przez administratora danych, którym jest przedsiębiorca prowadzący sklep internetowy oraz nakładać na przetwarzającego, obowiązki związane z zapewnieniem odpowiednich środków gwarantujących bezpieczeństwo danych.

Przepis art. 40 u.o.d.o. nakłada na osobę, która przetwarza dane obowiązek zgłoszenia tego faktu i zarejestrowania zbioru danych u Generalnego Inspektora Ochrony Danych Osobowych (dalej jako: GIODO). Można to zrobić wypełniając odpowiedni wniosek online lub składając jego papierową wersję. Rejestracja zbiorów danych osobowych w GIODO krok po kroku, dostępna jest pod adresem: http://www.giodo.gov.pl/148/. Sposoby ochrony danych osobowych dwóch przedsiębiorstw (w tym przypadku ,,sklepu internetowego’’ i hurtowni) współpracujących ze sobą, nie muszą być takie same. Zgodnie z art. 41 ust. 1 pkt 4 u.o.d.o. we wniosku do GIODO należy wskazać sposób zbierania oraz udostępniania danych.

Jeżeli dane osobowe są przetwarzane za pomocą systemu informatycznego, do którego dostęp jest możliwy z kilku stanowisk komputerowych - we wniosku do GIODO, w pkt E-15a należy wybrać rozproszoną architekturę zbioru.

Za wszelkie dokumenty przekazywane przez przedsiębiorcę prowadzącego sklep internetowy także biuru rachunkowemu i dotyczące jego firmy, odpowiada osoba, której powierzono zarządzanie danymi osobowymi. Jeżeli danymi osobowymi zarządza sam przedsiębiorca, to on za nie odpowiada, natomiast jeżeli powierzył to innej osobie - odpowiada ta osoba. W interesie osoby zarządzającej danymi osobowymi jest zawarcie z biurem rachunkowym umowy dotyczącej ich powierzenia. Taka umowa zapewni, że przekazywane dane (za które wciąż odpowiada osoba nimi zarządzająca), będą przetwarzane z dochowaniem należytej staranności i zgodnie z przepisami u.o.d.o. W ten sposób można się też zabepieczyć przed wykorzystaniem danych osobowych przez podmiot, któremu je powierzono dla celów innych niż ten, w którym zostały biuru rachunkowemu powierzone. W ten sposób na biurze rachunkowym ciążą dodatkowe obowiązki pomimo, że nie jest administratorem danych. Biuro ma obowiązek zabezpieczenia otrzymanych danych od strony technicznej i formalnej.

Zachęcamy również do przeczytania porady dotyczącej zasad przetwarzania i udostępniania danych osobowych, tworzenia zbiorów, która znajduje się na stronie mikroporady.pl.

Ważne:

W związku ze zmianami przepisów, wejściem w życie rozporządzenia UE z dnia 27 kwietnia 2016 r., zmieniły się również obowiązki przedsiębiorcy (patrz bliżej tutaj).

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, jako: u.o.d.o. (tj. Dz. U. 2016., poz. 922)
  • Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004, Nr 100, poz. 1024)
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Pamiętaj:
Wpisz nasz KRS 0000318482 w Deklaracji Podatkowej Twój e-PIT
Dziękujemy!

Czy wiesz, że aż 96% mikro firm zapewnia 75% wszystkich wpływów z podatków i wytwarza 51% zysku gospodarki kraju?

A tylko niewielkiej liczbie udaje się utrzymać na rynku dłużej niż rok bez dostatecznej wiedzy i znajomości przepisów.

A czy wiesz, że...

Ty też możesz coś zrobić, abyśmy mogli dalej działać i skutecznie Cię wspierać?

KRS 0000318482

Przejdź do Twój e-PIT