Prawo do bycia zapomnianym w sklepie internetowym

• Alicja Skibińska
• /
• 28 lutego 2020

Sklepy internetowe a RODO

Choć rozporządzenie RODO obowiązuje już od maja 2018 roku, wiele firm wciąż ma problemy ze stosowaniem się do niektórych jego postanowień. Nie każdy przedsiębiorca rozumie, czym właściwie są dane osobowe, a także w jakich sytuacjach i w jakim zakresie ma prawo je gromadzić i przetwarzać. Z tego powodu nadal możemy natknąć się na nieuzasadnione pytania w różnego rodzaju kwestionariuszach oraz nieuprawnione wymuszanie zgód na wykorzystywanie informacji podanych w formularzach wypełnianych np. podczas składania zamówień.

Aby regulamin sklepu internetowego był zgodny z RODO, musi informować klientów zarówno o przysługujących im prawach, jak i obowiązkach sprzedawcy. Należy opisać w nim dokładny zakres gromadzonych danych osobowych, sposób ich przechowywania, dane firmy oraz administratora danych osobowych, a także prawa użytkownika, m.in. takie jak prawo do żądania usunięcia danych czy prawo do bycia zapomnianym, zgłoszenia naruszeń oraz edycji pobranych danych. Oprócz tego przedsiębiorca jest zobowiązany do prowadzenia rejestru czynności przetwarzania, czyli specjalnego dokumentu wskazującego m.in. administratora danych osobowych, podmioty, którym mogą zostać one udostępnione, a także wykorzystywane zabezpieczenia. Należy zaznaczyć, że sklep gromadzący informacje o swoich klientach musi spełniać wymogi bezpieczeństwa, do których należą środki ochrony zarówno fizycznej, jak i informatycznej.

Do przetwarzania danych osobowych nie zawsze potrzebna jest świadoma i dobrowolna zgoda osoby, której one dotyczą. Często zdarza się, że sklep wymaga jej udzielenia podczas dokonywania transakcji, jednak w rzeczywistości nie jest to konieczne – samo zawarcie umowy oraz podanie informacji na swój temat (o ile są one niezbędne do jej finalizacji, jak np. adres w przypadku wysyłki kurierskiej) jest równoznaczne ze zgodą na przetwarzanie danych. Nielegalne jest natomiast stosowanie z góry zaznaczonych pól wyboru z takimi zgodami lub automatyczne zaznaczanie kilku kratek przy kliknięciu w jedną z nich, czy też łączenie różnych zgód.

Kolejnym aspektem funkcjonowania stron internetowych, który został zmieniony przez RODO, jest tzw. profilowanie oparte o zbieranie informacji o kliencie na podstawie jego zachowań w sieci. W taki sposób można pozyskać takie wiadomości jak płeć, wiek, miejsce zamieszkania, sytuacja rodzinna oraz zainteresowania, a nawet stan zdrowia, poglądy, czy orientacja seksualna konsumenta. Co do zasady takie działania nie są zakazane, jednak warunkiem jest jasne informowanie o profilowaniu, a także umożliwienie internaucie zgłoszenia sprzeciwu wobec tego procesu.

Dane osobowe w sklepie internetowym Rafał Stępniewski

Czym jest prawo do bycia zapomnianym?

Celem unijnego rozporządzenia RODO jest umożliwienie mieszkańcom Unii Europejskiej kontroli nad ich danymi osobowymi. Oznacza to, że regulacja obejmuje również respektowanie praw użytkowników sieci. Zgodnie z przepisami przysługują im: prawo dostępu do informacji, prawo do sprostowania, prawo do przenoszenia danych osobowych, prawo do ograniczenia przetwarzania oraz prawo do bycia zapomnianym. To ostatnie stanowi jeden z najbardziej kontrowersyjnych zapisów, które zostało poddane gorącej dyskusji podczas formułowania treści RODO. Niektórzy byli zdania, że koliduje ono z wolnością wypowiedzi oraz swobodnym dostępem do informacji. Oprócz tego jest ono pewnym zagrożeniem dla modeli biznesowych wykorzystywanych przez wielu dostawców usług online. Finalnie jednak prawo to zostało zapisane w rozporządzeniu, a my możemy egzekwować jego respektowanie.

Prawo do bycia zapomnianym głosi, że każda osoba fizyczna może zażądać od administratora niezwłocznego usunięcia swoich danych osobowych. Zwykle ma ono zastosowanie do niepochlebnych lub prywatnych informacji publikowanych na stronach internetowych, jednak ma odniesienie także do danych gromadzonych w bazach sklepów internetowych. Zgodnie z prawem osoba, której dotyczą dane, ma prawo żądać ich usunięcia, jeśli:

• zgoda, na której opierało się przetwarzanie, została cofnięta (i nie istnieje inna podstawa prawna ich dalszego przetwarzania),

• podmiot sprzeciwia się przetwarzaniu danych,

• dane nie są już potrzebne do celów, w których zostały zebrane,

• dane były przetwarzane niezgodnie z prawem.

Oczywiście prawo do bycia zapomnianym nie przysługuje nam w każdej sytuacji bez wyjątku. Poza wyjątkowymi przypadkami możemy z niego skorzystać wyłącznie wtedy, gdy dane przestaną być niezbędne do realizacji celu, w którym zostały zebrane. Oznacza to, że firma może przechowywać informacje na nasz temat (takie jak imię i nazwisko, adres czy numer konta bankowego) w celu realizacji prawa do reklamacji (na którą mamy 2 lata). Dodatkowo zgodnie z ustawą o rachunkowości sklepy mają obowiązek przechowywania dokumentacji finansowej przez 5 lat od końca roku, w którym dokonano transakcji. Ponadto w przypadku uszczerbku na zdrowiu spowodowanego przez zakupiony przedmiot mamy prawo na podstawie roszczeń cywilnych dochodzić zadośćuczynienia od sprzedawcy przez okres 6 lat od końca roku, w którym zakupiono produkt. Oznacza to, że sprzedawca musi mieć możliwość obrony przed takimi roszczeniami i może w tym czasie przetwarzać część danych, które od nas pozyskał. Nie jest to jednak równoznaczne z możliwością przesyłania informacji marketingowych czy newslettera – jeśli udzieliliśmy zgody na takie działania, w każdej chwili mamy prawo ją wycofać.

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.