Ochrona danych osobowych w handlu
13.07.2007.
Wydawać by się mogło, że kwestie danych osobowych i ich ochrony nie są dziedziną, która koniecznie musi być znana handlowcowi. Owszem przepisy na temat cen, promocji czy reklamacji – to zupełnie oczywiste – ale dane osobowe? Okazuje się jednak, iż ta skomplikowana materia prawna tyczy również handlowców, i to zarówno dużych sieci, jak i mniejszych sklepów.
Obszary styku z danymi osobowymi
Każda firma, która przetwarza dane osobowe, musi je odpowiednio chronić i zgłosić zbiór danych do GIODO czyli Generalnego Inspektora Ochrony Danych Osobowych. Przy czym przetwarzanie danych to nie tylko operacje wykonywane w komputerach – np. tworzenie i gromadzenie bazy danych, ale jakiekolwiek przechowywanie danych np. klientów czy pracowników w formie papierowej oraz – uwaga! – także ich niszczenie (również poprzez firmy zewnętrzne – tu pojawia się konieczność zawarcia specjalnych umów), czy dalsze przekazywanie danych klientów w procesie reklamacji (do producentów). Oznacza to, iż także w firmach handlowych musi być wprowadzona odpowiednia polityka ochrony danych osobowych oraz procedury ich chronienia, np. każdy pracownik (nawet w sklepie) mający dostęp do danych (klientów, pracowników etc.) musi mieć szczegółowe pełnomocnictwo – jakie dane i w jakim zakresie ma prawo przetwarzać. W firmie musi być też ewidencja udzielonych pełnomocnictw.
Firmy handlowe mające zbiory danych powinny je zgłosić do rejestracji w GIODO (z wyłączeniem zbiorów danych pracowniczych). Wszystkie dane muszą być chronione w sposób określony w ustawie o ochronie danych osobowych (Dz.U. 02.101.926) zwanej dalej u.o.d.o i rozporządzeniu wykonawczym do ustawy.
Firma powinna mieć powołanego Administratora Bezpieczeństwa Informacji (ABI), który powinien wdrożyć politykę ochrony oraz wszelkie konieczne procedury.
Dlaczego to ważne?
Wystąpienia GIODO wyraźnie zwracają uwagę na przypadki nieprzestrzegania ustawy o ochronie danych osobowych w handlu, a co za tym idzie zwiększa się prawdopodobieństwo przeprowadzenia kontroli w firmach handlowych pod kątem spełniania wymogów formalnych (np. rejestracji baz danych w GIODO) i technicznych.
Osoby, które powinny szczególnie zainteresować się tą tematyką, to szefowie działów personalnych, odpowiedzialni za prowadzenie baz danych osobowych pracowników i ich przetwarzanie, szefowie służb ochrony sklepu, odpowiedzialni za przetwarzanie danych osób ujętych na terenie sklepów, przedstawiciele działów IT odpowiedzialni za politykę i procedury ochrony danych osobowych. Zgodnie z rozporządzeniem do ustawy o ochronie danych osobowych to ponadto osoby odpowiedzialne za operacje sklepów – głównie za system punktów obsługi klienta, do których zgłaszane są reklamacje czy wypadki klientów, również wewnętrzni prawnicy oraz szefowie działu marketingu, jeśli firma sama przetwarza dane klientów zebrane do celów marketingowych organizując konkursy, akcje lojalnościowe, loterie etc).
Zakres stosowania przepisów
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych. Ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych i w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 u.o.d.o.).
Ustawa określa bardzo szczegółowo obowiązki firmy, która przetwarzając dane staje się administratorem danych osobowych. Opisuje sytuacje, w których dopuszcza się przetwarzanie danych osobowych:
• tzw. danych zwykłych (np. imię, nazwisko klienta i jego adres – pobrane, aby dostarczyć mu np. zakupioną pralkę do domu),
• danych wrażliwych (tzn. danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych).
Opisuje jak konkretnie należy zabezpieczać dane i jak powiadamiać osoby, których dane posiadamy, o fakcie, iż są w naszym zbiorze danych oraz jak rejestrować bazy danych w GIODO.
Jeśli firma nie wypełnia obowiązków ustawowych, ponosi odpowiedzialność za naruszenie ochrony danych osobowych. Zgodnie z ustawą jest to bardzo szeroka odpowiedzialność i obejmuje:
• odpowiedzialność administracyjną – art. 18 ust.1 u.o.d.o.,
• odpowiedzialność karną – art. 49-54 u.o.d.o.,
• odpowiedzialność pracowniczą – art.17 ust.2 u.o.d.o.,
• odpowiedzialność cywilnoprawną
(dane osobowe i prywatność jako dobra osobiste człowieka).
W wypadku wykrycia nieprawidłowości, na firmę może być nałożona kara grzywny a nawet więzienia dla członków zarządu.
Rodzaje danych osobowych oraz zbiorów danych:
• Dane pracownicze (kandydaci do pracy, pracownicy, osoby wykonujące usługi na podstawie umów cywilnoprawnych, praktykanci, „pracownicy
tymczasowi”)
• Dane księgowe
• Dane konsumentów (składane przy reklamacjach, wypadkach w sklepie)
• Dane osób, które spowodowały szkodę (np. kradzieże, „podjadanie”)
• Dane marketingowe (jeśli firma sama przetwarza dane klientów zebrane do celów marketingowych przy okazji konkursów, akcji lojalnościowych,
loterii etc.)
• Dane osobowe w relacjach pomiędzy firmami (tzw. B2B)
Iwona Szczepańska, MBA
radca prawny, wiceprezes Polskiej Organizacji Handlu
i Dystrybucji, reprezentant POHiD w Komitecie Prawnym
EuroCommerce w Brukseli
Wiadomości Handlowe Nr 7(63) Lipiec 2007
Agamma