Czy nazwy leków, to dane dotyczące zdrowia?

Czy nazwy leków, to dane dotyczące zdrowia?

utworzone przez | sie 16, 2025 | Europejski Trybunał Sprawiedliwości (TSUE) | 0 komentarzy

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał wyrok mający istotne znaczenie w kontekście przetwarzania danych osobowych przez przedsiębiorców działających w branży e-commerce. Odnosi się on do przepisów RODO, w szczególności do konieczności uzyskania zgody na przetwarzanie danych osobowych oraz rozszerzenia definicji danych dotyczących zdrowia. Wyrok ten umożliwia także szerszy udział konkurencyjnych w stosunku do siebie przedsiębiorców w egzekwowaniu przepisów RODO.

TSUE uznał, że informacje o zakupie leków (nawet bez recepty) mogą być uznane za dane dotyczące zdrowia, a więc dane wrażliwe podlegające szczególnej ochronie na gruncie przepisów RODO. Dodatkowo, wyrok ten umożliwia szerszy udział konkurentów w egzekwowaniu przepisów RODO.

 

Przebieg sprawy

 

Jedna z niemieckich aptek pod nazwą handlową „Lindenapotheke” sprzedawała produkty lecznicze na platformie internetowej Amazon. Zamawiając produkty przez internet klienci musieli podać swoje dane takie jak – nazwisko, adres dostawy i informacje związane z produktami leczniczymi. Konkurent tej apteki uznał, że taki sposób sprzedaży narusza przepisy o ochronie danych osobowych. Wniósł powództwo o zaniechanie, pod rygorem grzywny, wprowadzania do obrotu na tej platformie produktów leczniczych zastrzeżonych dla aptek do momentu zagwarantowania, że klient będzie mógł wyrazić zgodę na przetwarzanie danych dotyczących zdrowia. Sprawa trafiła do niemieckiego sądu, a ten poprosił TSUE o odpowiedź na dwa pytania prejudycjalne.

 

Jakie pytania prejudycjalne zadał sąd?

 

  1. „Czy przepisy rozdziału VIII [RODO] stoją na przeszkodzie uregulowaniom krajowym, które – poza uprawnieniami interwencyjnymi organów nadzorczych właściwych w zakresie monitorowania i wykonywania tego rozporządzenia oraz możliwościami ochrony osób, których dane dotyczą – przyznają konkurentom prawo do występowania przeciwko sprawcy w drodze powództwa do sądu cywilnego z powodu naruszenia wspomnianego rozporządzenia w aspekcie zakazu stosowania nieuczciwych praktyk handlowych?”
  2. „Czy dane, które klienci farmaceuty występującego jako sprzedawca na platformie sprzedaży internetowej wprowadzają na stronie tej platformy przy zamawianiu leków wydawanych wprawdzie jedynie w aptekach, ale niebędących lekami na receptę (nazwisko klienta, adres dostawy oraz informacje niezbędne do indywidualizacji zamawianego leku wydawanego jedynie w aptekach), są danymi dotyczącymi zdrowia w rozumieniu art. 9 ust. 1 [RODO] oraz art. 8 ust. 1 dyrektywy 95/46?”

 

Dlaczego zadano takie pytania prejudycjalne?

 

Przez pytanie pierwsze sąd odsyłający chce ustalić czy oprócz osób, których dane dotyczą, także podmiot konkurencyjny może wnieść pozew cywilny w związku z nieuczciwymi praktykami dotyczącymi danych osobowych.

Zadając pytanie drugie sąd dąży do ustalenia czy dane, które podaje klient zamawiając lek, są danymi wrażliwymi podlegającymi szczególnej ochronie zgodnie z RODO.

 

Odpowiedź TSUE na pytania prejudycjalne

 

Na pytanie pierwsze TSUE odpowiedziało, że rozdział VIII RODO nie stoi na przeszkodzie, aby przyznać konkurentom domniemanego sprawcy naruszenia ochrony danych osobowych prawa do występowania przeciwko niemu z powodu naruszenia rozporządzenia i w aspekcie zakazu stosowania nieuczciwych praktyk handlowych. Argumentem za tą decyzją są cele RODO, który (jak wynika z motywu 10) zmierza do zapewnienia spójnego i wysokiego stopnia poziomu ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz do usunięcia przeszkód w przepływie tych danych w Unii.

Odpowiadając na pytanie drugie TSUE postanowił, że zgodnie z art. 8 ust. 1 dyrektywy 95/46 i art. 9 ust. 1 RODO, w sytuacji, gdy prowadzący aptekę wprowadza do obrotu, za pośrednictwem platformy internetowej, produkty lecznicze, których sprzedaż jest zastrzeżona dla aptek, informacje podawane przez klientów przy zamówieniu produktów leczniczych przez Internet (takie jak ich nazwisko, adres dostawy i elementy niezbędne do indywidualizacji produktów leczniczych) stanowią dane dotyczące zdrowia w rozumieniu tych przepisów, nawet jeśli sprzedaż tych produktów leczniczych nie wymaga recepty. Taką decyzję TSUE uzasadnia tym, że wykaz szczególnej kategorii danych osobowych zamieszczono właśnie w tych artykułach i znajdują się w nich dane dotyczące zdrowia. Obejmują one zgodnie z art. 4 pkt 15 RODO:

„„dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia”

Mogą one ujawniać informacje o przeszłym, obecnym lub przyszłym stanie zdrowia osoby fizycznej, co potwierdza motyw 35 RODO:

„Do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.”

Dane dotyczące zdrowia są szczególną kategorią danych, które podlegają szczególnej ochronie zgodnie z motywem 51 RODO, który wskazuje, że:

„Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności.”

 

Komunikat Głównego Inspektoratu Farmaceutycznego (GIF)

 

Zdaniem GIF wyrok ten może istotnie wpłynąć na branżę e-commerce. Mając na uwadze „rozszerzenie definicji” danych dotyczących zdrowia przez TSUE, apteki prowadzące sprzedaż wysyłkową powinny rozważyć dokonanie ewaluacji stosowanych dotychczas procedur w tym obszarze.

Dodatkowo, GIF podkreśla, że może być konieczna zmiana przez tego typu przedsiębiorców m.in. w zakresie:

  • treści klauzul niedozwolonych (wyświetlanych na stronie sklepu przy składaniu zamówienia)
  • uzyskanie zgody klienta zamawiającego leki, na przetwarzanie danych osobowych
  • dokumentacji dotyczącej ochrony danych osobowych

Wyrok TSUE oznacza większe ryzyko dotyczące przetwarzania danych osobowych i może mieć wpływ na przedsiębiorców, dlatego warto być świadomym tego ryzyka w zakresie prowadzenia działalności.

 

Podsumowanie

 

TSUE uznał, że informacje o zakupie leków (nawet bez recepty) mogą być uznane za dane dotyczące zdrowia, a więc dane wrażliwe podlegające szczególnej ochronie na gruncie przepisów RODO. Dodatkowo, wyrok ten umożliwia szerszy udział konkurentów w egzekwowaniu przepisów RODO.

GIF wskazał, że apteki prowadzące sprzedaż wysyłkową powinny przeanalizować i dostosować procedury przetwarzania danych osobowych.

W związku z orzeczeniem TSUE oraz komentarzem GIF, apteki internetowe znalazły się w sytuacji wymagającej natychmiastowej analizy swoich praktyk przetwarzania danych. Brak działania w tym zakresie może wiązać się z ryzykiem naruszenia przepisów RODO i potencjalnymi konsekwencjami finansowymi i prawnymi.

Apteki internetowe powinny:

  • przeprowadzić audyt strony internetowej pod kątem klauzul niedozwolonych (wyświetlanych podczas składania zamówienia)
  • zapewnić mechanizm uzyskiwania wyraźnej zgody klienta zamawiającego leki, na przetwarzanie danych osobowych (np. w formie checkboxa)
  • zaktualizować dokumentację dotyczącą ochrony danych osobowych (np. politykę prywatności)

 

Sankcje finansowe za naruszanie przepisów RODO

 

Naruszenia przepisów dotyczących kwestii RODO podlegają karze pieniężnej w wysokości do 20 milionów euro, a w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

 

Kontrole UODO w 2025 r.

 

Podmioty przetwarzające dane o stanie zdrowia są objęte planem kontroli sektorowych Urzędu Ochrony Danych Osobowych (UODO) w 2025 r.

 

Odszkodowanie za naruszenie RODO – czy za każde działanie sprzeczne z RODO należy się odszkodowanie

Odszkodowanie za naruszenie RODO – czy za każde działanie sprzeczne z RODO należy się odszkodowanie

utworzone przez | cze 26, 2023 | Ochrona Danych Osobowych (GIODO), Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, RODO, RODO sklep internetowy | 0 komentarzy

Wszyscy dobrze pamiętamy rewolucję, która zaczęła się 25 maja 2018 roku w Polsce – znikające imiona i nazwiska z tabliczek przydrzwiowych, brak informacji na gabinecie u lekarza a nawet szkolne konsternacje „czy można wywołać wyróżnionego ucznia podczas akademii czy będzie to już naruszenie RODO ?”.  RODO sprawiło, że przez kilka – a może nawet kilkanaście – miesięcy, poruszaliśmy się jak dziecko we mgle, nie wiedząc dokładnie w jaki sposób wdrożyć nowe rozwiązania prawne.

Nie budzi jednak wątpliwości, że jego wdrożenie było i jest konieczne, chociażby ze względu na ciągły rozwój technologiczny, który nie tworzy przestrzeni do bezpiecznego wprowadzania i przechowywania informacji o nas lub z nami związanymi – chociażby w Internecie. Przepisy te nałoży dużo obowiązków, ale przyznały też nowe prawa osobom, których dane są przetwarzane.

 

Prawo do odszkodowania za naruszenie RODO

 

Unijne rozporządzenie przyznaje każdej osobie, która poniosła jakąkolwiek szkodę w związku z naruszeniem przepisów o ochronie jej danych osobowych prawo do odszkodowania. 

Za typowe przykłady naruszenia RODO uznaje się:

  • poufności – np. gdy twój pracownik wyśle przypadkowo bazę danych osobowych klientów do osoby postronnej lub niewłaściwego działu firmy
  • dostępności – np. gdy zaginie pendrive z bazą danych klientów
  • integralności – np. gdy pracownik dla żartu zmieni nazwiska klientów

źródło przykładów: https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/889

Zarówno RODO jak i polska ustawa o ochronie danych osobowych nie określają jakie i w jakiej kwocie takie odszkodowanie przysługuje.

 

Czy odszkodowanie przysługuje za każde naruszenie ochrony danych osobowych

 

Odpowiedź na to pytanie może wydawać się oczywista i każdy uznałby, że tak. Skoro bowiem przepisy są tak rygorystyczne i wielu do dzisiaj spędzają sen z powiek, to nie powinno być inaczej.

Wielu czytelników może jednak poczuć się zaskoczona, albowiem w jednym z ostatnich wyroków Trybunał Sprawiedliwości Unii Europejskiej w sprawie C-300/21 z pytania prejudycjalnego Sądu Najwyższego Austrii przeciwko Österreichische Post AG (austriacki odpowiednik Poczty Polskiej) orzekł, że samo naruszenie przepisów RODO nie wystarcza do przyznania prawa do odszkodowania.

Trybunał wskazał także, że przepisy uprawniające do jego uzyskania należy interpretować w ten sposób, aby nie były one sprzeczne z krajowymi przepisami (lub praktykami) w sprawach odszkodowawczych oraz że kwota przyznanego odszkodowania zależy od prawa wewnętrznego państwa członkowskiego Unii Europejskiej dotyczącego zakresu odszkodowania pieniężnego. 

Pełna treść orzeczenia dostępna jest tutaj: https://curia.europa.eu/juris/documents.jsf?num=C-300/21

 

Co tak naprawdę oznacza wyrok TSUE

 

Postępowanie sądowe w sprawach o roszczenie z tytułu naruszenia przepisów RODO rozpoznawane są w Polsce na podstawie przepisów kodeksu postępowania cywilnego. Wydane orzeczenie Trybunału Sprawiedliwości ustala normę, że w takim postępowaniu, do ustalenia wysokości odszkodowania będą miały zastosowania przepisów kodeksu cywilnego w tym w szczególności art. 361 i 363 mówiące o tym, że  zobowiązany do odszkodowania ponosi odpowiedzialność tylko za normalne następstwa działania lub zaniechania oraz że  jeżeli naprawienie szkody ma nastąpić w pieniądzu, wysokość odszkodowania powinna być ustalona według cen z daty ustalenia odszkodowania.

To powoduje, że poszkodowany przez naruszenie RODO będzie musiał wykazać faktyczną szkodę i jej związek z działaniem administratora, a samo roszczenie odszkodowacze nie będzie spełniało funkcji „kary” cywilnej, a jedynie zmierzało do usunięcia normalnych następstw powstałej szkody. 

 

Wtyczki społecznościowe, dlaczego korzystając z nich potrzebna jest polityka prywatności

Wtyczki społecznościowe, dlaczego korzystając z nich potrzebna jest polityka prywatności

utworzone przez | wrz 5, 2019 | Regulamin Sklepu Internetowego, RODO, RODO sklep internetowy | 1 komentarz

W dzisiejszym wpisie omawiamy ważne orzeczenie Trybunału Sprawiedliwości UE, które ma duże znaczenie dla wszystkich Sprzedawców Internetowych oraz Właścicieli serwisów internetowych korzystających na stronie swojego sklepu lub serwisu internetowego z wtyczek społecznościowych serwisu Facebook (np. przycisk Lubię to!, Udostępnij lub logowanie za pomocą danych logowania do serwisu Facebook). W skrócie – w takim wypadku stajesz się współadministratorem danych osobowych razem z Facebookiem i tym samym musisz wypełniać wobec osób korzystających z witryn obowiązek informacyjny (art. 13 ogólnego rozporządzenia o ochronie danych ─ Rozporządzanie RODO). 

Jeżeli spełniasz ten warunek, to koniecznie zapoznaj się z dalszą częścią artykułu oraz zaktualizuj swoją politykę prywatności o wymagane informacje. Ważne! Nasi Klienci posiadający aktywną opiekę prawników Prokonsumencki.pl otrzymają lub już otrzymali stosowną aktualizację polityki prywatności wraz ze skróconą klauzulą informacyjną na swoją skrzynkę mailową do wdrożenia na stronie sklepu, tak aby właściwie dostosować się do zmian w prawie. Jeżeli nie jesteś jeszcze naszym Klientem albo nie jesteś już objętym naszym monitoringiem, to zapraszamy do kontaktu.

 

Co wyrok Trybunału Sprawiedliwości UE oznacza dla Sprzedawców Internetowych

 

Z wyroku, który 29 lipca 2019 r. wydał Trybunał Sprawiedliwości UE. Chodzi o wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17* Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV. wynika, że Sprzedawca Internetowy (ale także właściciel serwisu internetowego) korzystający na swojej stronie z wtyczki spółecznościowe serwisu Facebook staje się administratorem danych osobowych wspólnie z Facebook Ireland, w odniesieniu do operacji gromadzenia danych osobowych osób odwiedzających jej witrynę internetową i ich ujawniania poprzez transmisję.

W tym wyroku wskazano konkretnie wtyczkę Lubię To, ale podobne zasady działania w omawianym zakresie mają także inne wtyczki społecznościowe udostępniane przez Facebooka – np. Udostępnij lub logowanie za pomocą danych logowania do serwisu Facebook.

Trybunał wskazał, że w takim wypadku:

  • odpowiedzialność sprzedawcy jest ograniczona do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby rzeczywiście on określa, mianowicie gromadzenia rozpatrywanych danych i ich ujawniania poprzez transmisję;
  • podmiot prowadzący witrynę powinien mieć podstawę do takiego przetwarzania danych osobowych – TSUE wskazał tutaj na dwie możliwe podstawy – uzasadniony interes administratora lub zgoda;
  • na sprzedawcy ciąży obowiązek informacyjny, przy czym jednak informacja, jaką ten ostatni musi przedstawić osobie, której dane dotyczą, powinna odnosić się wyłącznie do operacji lub do zestawu operacji przetwarzania danych osobowych, której lub których cele i sposoby on określa.

Reasumując – mając takie wtyczki na stronie stajemy się współadministratorami danych razem z Facebookiem, co z kolei powoduje, że musimy w tym zakresie spełnić dodatkowy obowiązek informacyjny wobec osób odwiedzających naszą witrynę – najczęściej ten obowiązek będzie spełniany w polityce prywatności. Pamiętajmy jednak, że niezależnie od zmian na stronie sklepu konieczna jest aktualizacja w tym zakresie dokumentacji wewnętrznej RODO (polityki bezpieczeństwa lub innego właściwego dokumentu).

Pełna treść orzeczenia dostępna jest tutaj: Wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17* Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV.

 

Stanowisko Prezesa UODO na temat wtyczki Lubię To na stronie internetowej

 

W odpowiedzi na powyższe orzeczenie TSUE swoje stanowisko zajął także Prezes UODO (Urzędu Ochrony Danych Oosobowych). Prezes UODO zwrócił uwagę przede wszystkim na:

 

  • obowiązek informacyjny na stronie sklepu / serwisu / strony internetowej (np. polityka prywatności):

    Urząd Ochrony Danych Osobowych przypomina podmiotom korzystającym z wtyczek społecznościowych Facebooka „Lubię to”, aby wypełniać wobec osób korzystających z witryn obowiązek informacyjny (art. 13 ogólnego rozporządzenia o ochronie danych ─ RODO). Osoba odwiedzająca taką witrynę musi wiedzieć, że operator przekazuje jej dane Facebookowi. Dane to informacje o adresie IP i identyfikatorze przeglądarki użytkownika. Sklepy internetowe czy inne podmioty prowadzące działalność przez Internet powinny uzupełnić klauzule informacyjne na swoich stronach internetowych, jeżeli dotychczas takich informacji nie zamieściły, a korzystają z wtyczki społecznościowe „Lubię to”. Obowiązek informacyjny powinien być spełniony przed gromadzeniem i przekazywaniem danych Facebookowi.

  • zapewnienie podstawy przetwarzania danych osobowych: 

    Kolejna istotna dla operatorów witryn kwestia, to konieczność dysponowania przesłanką do przetwarzania danych osobowych w zakresie przekazywania tych danych portalowi społecznościowemu Facebook (zgoda, prawnie uzasadniony interes). Zgoda osoby, której dane dotyczą musi być uprzednia, a więc wyrażona przed rozpoczęciem gromadzenia i przekazywania danych. […] Jak orzekł Trybunał Sprawiedliwości w przypadkach, w których przetwarzanie jest konieczne do realizacji uzasadnionych interesów, każdy ze współadministratorów danych, mianowicie operator witryny internetowej i dostawca wtyczki społecznościowe, musi w ramach gromadzenia i przekazywania danych uzasadnić, dlaczego te operację są w jego działalności potrzebne.

  • aktualizacja dokumentacji wewnętrznej dot. przetwarzania danych osobowych: 

    Kolejna niezbędna czynność, to uwzględnienie przez wspomnianych operatorów w ich politykach bezpieczeństwa kwestii przekazywania danych osobowych Facebookowi w związku z korzystaniem z wtyczki „Lubię to”.

  • zapewnienie realizacji praw osobom, których dane dotyczą: 

    Ponieważ operatorzy witryn internetowych wraz z dostawcą wtyczki społecznościowe (Facebook), w zakresie zbierania i transmisji danych Facebookowi, zostali uznani przez Trybunał Sprawiedliwości UE za współadministratoratorów danych osobowych osób odwiedzających te witryny muszą pamiętać o jeszcze jednej ważnej czynności. Powinni oni zapewnić, aby osoba, której dane dotyczą miała całkowitą pewność, do którego administratora danych się zwrócić, jeżeli zamierza wykonać prawo lub prawa przysługujące jej na mocy RODO (art. 26 ust. 2 RODO).

Pełna treść stanowiska UODO dostępna jest tutaj: Użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi

 

Podsumowanie 

 

Wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17 uświadamia, ze do kwestii przetwarzania danych osobowych należy podchodzić bardzo uważnie – każdy właściciel strony internetowej jest zobowiązany zbadać czy i jakie wtyczki społecznościowe ma zainstalowane na swojej stronie oraz czy i jakie dane przetwarza za ich pośrednictwem. Podobnie bowiem jak w tym konkretnym wypadku może się okazać, ze stajemy się współadministratorami danych i tym samym ponosimy odpowiedzialnośc za ich przetwarzanie oraz za spełnienie wymaganych prawem obowiązków informacyjnych.

Jeżeli zatem  korzystasz na swojej stronie z wtyczek społecznościowych Facebooka, to koniecznie dostosuj się do wymogów wskazanych wyżej. Zmiany powinny dotyczyć przede wszystkim polityki prywatności. Dodatkowo, w celu zachowania zasady przejrzystości zalecamy umieścić skróconą klauzulę informacyjną bezpośrednio przy wtyczce Facebooka na stronie sklepu (gwarantuje to, że osoba odwiedzająca stronę, uzyska informację na temat przetwarzania danych). Zdajemy sobie sprawę, że w wielu przypadkach dodanie takiej klauzuli może być problematyczne pod kątem technicznym, dlatego też zalecamy, aby umieścić informację w polityce prywatności, a przy wtyczce serwisu społecznościowego – w miarę możliwości technicznych.

Ważne! Nasi Klienci posiadający aktywną opiekę prawników Prokonsumencki.pl otrzymają lub już otrzymali stosowną aktualizację polityki prywatności wraz ze skróconą klauzulą informacyjną na swoją skrzynkę mailową do wdrożenia na stronie sklepu, tak aby właściwie dostosować się do zmian w prawie. Jeżeli nie jesteś jeszcze naszym Klientem albo nie jesteś już objętym naszym monitoringiem, to zapraszamy do kontaktu.

 

RODO w sklepie internetowym – wszystko co musisz wiedzieć!

RODO w sklepie internetowym – wszystko co musisz wiedzieć!

utworzone przez | mar 22, 2019 | Obowiązki Informacyjne Sprzedawcy, RODO, RODO sklep internetowy | 0 komentarzy

Szukasz informacji na temat RODO w sklepie internetowym? Po raz kolejny przeczytałeś artykuł, który nie dał Ci żadnej praktycznej wiedzy? Nie wiesz, jak w praktyce wprowadzić RODO w swojej firmie? Czy RODO to tylko dokumenty? Jeśli stawiasz sobie powyższe pytania – trafiłeś w odpowiednie miejsce, Drogi Sprzedawco! Poniżej wyjaśniamy główne zagadnienia i zasady przetwarzania danych osobowych zgodnie z RODO. Jednak w przeciwieństwie do wielu ogólnych artykułów, nie będziemy po raz kolejny tłumaczyć Ci, czym jest „prawo do bycia zapomnianym” lub „pseudoanimizacja”, ale pokażemy Ci, jak wprowadzić RODO w Twojej firmie i co możesz zrobić, aby podnieść bezpieczeństwo danych (nie tylko osobowych!).

 

Na początek – czym jest RODO?

 

RODO to ogólne rozporządzenie o ochronie danych osobowych wydane przez Parlament i Radę Europy. Są to przepisy, które regulują przetwarzanie danych osobowych na terenie Unii Europejskiej (a raczej EOG) i wymagają od nas:

  • podania osobie, od której zbieramy dane osobowe zestawu informacji (np. przy składaniu zamówienia, zakładaniu konta czy zapisie na newsletter),
  • przetwarzania danych osobowych zgodnie z zasadami:
    • ograniczenia celu – czyli zbierania i przetwarzania danych tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach,
    • minimalizacji danych – czyli zbierania danych tylko w zakresie niezbędnym do osiągnięcia założonego celu,
    • prawidłowości – przetwarzać możemy tylko dane prawidłowe (w razie konieczności należy je uaktualnić),
    • ograniczenia czasowego – czyli przetwarzania danych nie dłużej, niż jest to niezbędne do osiągnięcia celu,
    • zachowania danych w poufności i zadbania o ich integralność – czyli zabezpieczenia danych przed nieuprawnioną modyfikacją i dostępem,
  • udokumentowania tego, że podjęliśmy odpowiednie kroki w celu realizacji powyższych zasad,
  • przeprowadzenia analizy ryzyka, czyli określenia jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie zabezpieczenia powinniśmy podjąć w związku z tym.

 

RODO w sklepie internetowym – od czego zacząć?

 

rodo w sklepie internetowym

infografika – RODO w sklepie internetowym

Na samym początku dostosowywania naszej firmy do RODO musimy ustalić z jakimi danymi osobowymi mamy właściwie do czynienia. Ale jak to zrobić? Bardzo prosto – wystarczy zastanowić się nad tym, czym właściwie zajmuje się nasza firma.

W całym procesie pomoże Ci także przygotowana przez nas infografika – znajdziesz ją z prawej strony artykułu oraz na końcu.

Twoją główną działalnością jest sprzedaż w Internecie? To świetnie, z pewnością będziesz miał do czynienia z danymi osobowymi podczas:

  • realizowania zamówienia w Twoim sklepie,
  • wysyłki newslettera,
  • prowadzenia akcji marketingowych,
  • sprzedaży w serwisach typu Allegro, Amazon czy eBay,
  • prowadzenia księgowości

Dodatkowo jeśli zatrudniasz pracowników – będziesz przetwarzać ich dane w celu przeprowadzenia rekrutacji i samego zatrudnienia.

Wymienione powyżej czynności to tak naprawdę procesy biznesowe, a w kontekście ochrony danych osobowych – procesy przetwarzania danych osobowych.

Jak pewnie zauważyłeś, wymienione powyżej operacje wykraczają poza prowadzenie samego sklepu internetowego (np. przy rekrutacji pracowników lub też prowadzeniu księgowości). Wynika to z tego, że RODO dotyczy całej firmy i wszystkich przetwarzanych w jej ramach danych. Jeśli więc oprócz sklepu internetowego zajmujesz się również np. pośrednictwem pracy – konieczne będzie uwzględnienie procesów, jakie są w jego ramach prowadzone.

 

Rejestr czynności przetwarzania – o co chodzi?

 

Kiedy już wiesz jakie operacje przetwarzania danych są prowadzone w Twojej firmie pora na utworzenie Rejestru czynności przetwarzania. Dokument ten jest wymagany przez RODO i możesz prowadzić go w dowolnej formie.

Warto przy tym pamiętać, że rejestr taki należy uaktualniać, dobrze więc aby łatwo można było go edytować (dlatego zalecana forma to np. plik Excel). Dokładne informacje na temat tego, co musi znaleźć się w rejestrze znajdziesz w art. 30 RODO.

Pamiętaj o tym, że w rejestrze należy uwzględnić wszystkie prowadzone operacje przetwarzania danych osobowych w Twojej firmie – również te niezwiązane ze sklepem internetowym.

Zastanawiasz się pewnie teraz, czy musisz prowadzić rejestr czynności przetwarzania? 

RODO wymaga, aby Rejestr czynności przetwarzania był prowadzony w firmach, które zatrudniają powyżej 250 pracowników. Mniejsze podmioty muszą go jednak prowadzić również wtedy gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego
  • obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

W przypadku sklepu internetowego przetwarzanie danych osobowych praktycznie nigdy nie będzie sporadyczne (nawet jeśli mamy jednego klienta w roku) i zawsze będzie się wiązało z ryzykiem naruszenia praw i wolności osób, których dane dotyczą (chodzi o to, że dane są przetwarzane w systemie informatycznym oraz przy pomocy Internetu). Rejestr czynności będzie więc zawsze konieczny.

Przykładowy wpis w Twoim rejestrze powinien wyglądać mniej więcej tak:

 

RODO to przede wszystkim analiza ryzyka

 

RODO w sklepie internetowym jest neutralne technologicznie. Oznacza to, że próżno szukać w nim konkretnych urządzeń, programów czy sposobów przetwarzania danych, jakie powinniśmy stosować, aby przetwarzać dane zgodnie z prawem. Musimy skorzystać za to z bardzo praktycznego narzędzia, jakim jest analiza ryzyka.

Jest to – mówiąc najprościej – dokument, w którym zastanawiamy się, jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie działania powinniśmy podjąć, aby je zniwelować lub ograniczyć. Aby przeprowadzić taką ocenę, musimy wiedzieć, jakie operacje prowadzimy. Właśnie dlatego na pierwszym etapie utworzyliśmy Rejestr czynności.

Przeprowadzając analizę ryzyka należy określić kontekst przetwarzania dla każdej operacji, który powinien obejmować:

  • urządzenia, jakie są używane do przetwarzania danych (np. komputer, serwer, telefon) oraz sposoby przetwarzania (np. w formie cyfrowej, przez internet)
  • osoby, jakie mają dostęp do danych w ramach procesu (czy są one upoważnione do przetwarzania? Ile osób posiada dostęp i w jakiej formie – np. zdalnie lub w siedzibie firmy)
  • jakiego rodzaju dane przetwarzamy (np. dane zwykłe, dane wrażliwe etc.)
  • jakie dokumenty, wpisy, pliki zawierające dane osobowe generowane są w ramach procesu?

Im lepiej i dokładniej określimy kontekst przetwarzania, tym łatwiej będzie nam dobrać odpowiednie zabezpieczenia. Kiedy znamy już kontekst pora na zastanowienie się nad tym, jakie zagrożenia będą związane z przetwarzaniem danych w naszej sytuacji.

Typowe zagrożenia, jakie występują przy przetwarzaniu danych w ramach sklepu internetowego to np.:

  • zarażenie komputera złośliwym oprogramowaniem (wirus, trojan, sniffing etc.)
  • złamanie zabezpieczeń (np. nieuprawnione logowanie, ataki brute force, ataki słownikowe)
  • inżynieria społeczna, podsłuchy, skanowanie
  • utrata danych (np. uszkodzenie dysku serwera, napisanie danych, usunięcie)
  • czynniki ludzkie (nieprzestrzeganie procedur, brak wiedzy, naruszenie przepisów, zaniedbanie)
  • wypadki losowe (np. zalanie serwerowni, awarie sprzętu, awarie łącz)

To że określiliśmy zagrożenia, nie oznacza od razu, że mogą one wystąpić w naszej firmie. Dlatego mając przed sobą listę ryzyk, jakie mogą wystąpić w naszej firmie w związku z przetwarzaniem danych określamy jakie podatności są z nimi związane. Podatnościami takimi mogą być:

  • kradzież lub utrata sprzętu, co samo w sobie nie jest podatnością, ale staje się nią np. kiedy przewozimy niezaszyfrowanego laptopa na przednim siedzeniu auta i pozostawiamy go w nim
  • brak wiedzy na temat należytej ochrony danych
  • brak fizycznej ochrony pomieszczeń, w których przetwarzamy dane
  • niewykonywanie kopii zapasowych danych,
  • możliwy dostęp do danych przez osoby nieuprawnione etc.

Po ustaleniu zagrożeń i podatności, jakie występują w naszej organizacji należy dobrać odpowiednie zabezpieczenia, tak aby je zniwelować. Przykładowe zabezpieczenia, jakie możemy wdrożyć to:

  • oprogramowanie antywirusowe oraz firewall
  • przeszkolenie pracowników z zasad bezpiecznego przetwarzania danych
  • wykonywanie kopii zapasowych posiadanych danych
  • podpisanie umów powierzenia danych osobowych z wymagającymi tego podmiotami
  • wprowadzenie procedur i zasad przetwarzania danych (np. procedury czystego biurka, procedury zmiany haseł i logowania do systemu
  • szyfrowanie dysków komputerów (np. tych wynoszonych poza biuro)
  • szyfrowanie protokołem SSL (dla strony naszego sklepu).

 

Przygotowanie pozostałej dokumentacji dot. RODO

 

Po Rejestrze czynności przetwarzania i analizie ryzyka możemy przystąpić do utworzenia pozostałej dokumentacji, która pozwoli nam na wywiązanie się z zasady rozliczalności (czyli możliwości udowodnienia, że podjęliśmy odpowiedni kroki w celu zabezpieczenia danych).

Dokumenty takie mogą zawierać:

  • zasady przetwarzania danych dla pracowników (np. regulamin przetwarzania danych)
  • procedury służące bezpiecznemu przetwarzaniu danych (np. instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych)
  • dodatkowe rejestry i ewidencje (np. ewidencję stosowanego sprzętu, wykaz zabezpieczeń, ewidencję podmiotów, którym powierzono przetwarzanie danych, ewidencję osób upoważnionych)
  • dokument wymagany przez RODO czyli Rejestr incydentów i naruszeń w ochronie danych, w którym uwzględniać będziemy sytuacje powodujące i mogące powodować naruszenie bezpieczeństwa danych

Zakres koniecznej dokumentacji zależy od Administratora danych osobowych i skali jego działalności oraz prowadzonych operacji przetwarzania. Nie ma więc jednego wykazu dokumentów, jaki powinniśmy posiadać, jednak pamiętajmy, że RODO w sklepie internetowym wymaga od nas co najmniej

  • rejestru czynności przetwarzania,
  • analizy ryzyka, wraz z oceną skutków dla przetwarzania danych,
  • rejestru incydentów i naruszeń,
  • pozostałej dokumentacji niezbędnej do realizacji zasady rozliczalności.

 

Pozostałe obowiązki związane z RODO w sklepie internetowym

 

Po przeprowadzeniu analizy ryzyka, dobraniu odpowiednich zabezpieczeń i przygotowaniu dokumentów możemy dopiąć pozostałe kwestie, które uzupełnią system ochrony danych w naszej firmie, czyli:

  • wydajemy upoważnienia dla pracowników naszej firmy, którzy mają dostęp do danych osobowych.

Upoważnienie powinno zawierać informacje, do jakich danych (operacji) dostęp ma pracownik (np. realizacja zamówienia w sklepie internetowym, prowadzenie księgowości, rekrutacja pracowników itd.), w jakim okresie (np. przez 3 miesiące lub – jeśli nie jesteśmy w stanie ustalić tego przedziału – do czasu rozwiązania umowy o pracę czy też zakończenia współpracy).

  • podpisujemy umowy powierzenia z firmami, którym przekazujemy dane osobowe,

Umowa zawierana jest pomiędzy Administratorem danych osobowych (ADO) a tzw. procesorem, czyli podmiotem, który „procesuje” (przetwarza) dane w imieniu procesora. Inaczej mówiąc jest to relacja pomiędzy firmą, która zleca wykonanie określonych czynności na danych osobowych innemu podmiotowi (np. biurze księgowemu – w celu prowadzenia księgowości, kurierowi – w celu dostawy produktu, hostingodawcy – w celu świadczenia usługi hostingowej).

Umowa taka nie musi być zawarta w formie papierowej (równie dobrze może to być np. akceptacja regulaminu świadczenia usługi), jednak powinna zawierać ona co najmniej:

  1. cel i zakres powierzenia danych,
  2. czas trwania,
  3. zobowiązania procesora do przetwarzania danych zgodnie z prawem i zgłaszania Administratorowi naruszeń w ochronie danych,
  4. zastrzeżenie prawa do kontroli procesora (przez Administratora) w zakresie przetwarzania danych,
  5. kwestię podpowierzenia danych (czyli przekazania danych przez procesora innej firmie),
  6. zakres odpowiedzialności procesora
  7. co stanie się z przekazanymi danymi po wygaśnięciu umowy.

Najczęściej umowa powierzenia danych osobowych jest powiązana (komparycja) z umową o świadczenie podstawowej usługi (np. świadczenia usług kurierskich, prowadzenia księgowości, wykonania określonych prac) i jest od niej zależna np. w zakresie trwania (czyli jeśli rozwiązujemy umowę z hostingodawcą umowa powierzenia również przestaje obowiązywać).

  • podajemy wymagane informacje osobom, od których zbieramy dane osobowe (obowiązki informacyjne) – również w miejscach poza sklepem internetowym (np. w sklepie stacjonarnym).

Sposób i forma przekazania informacji określonych w art. 13 i 14 RODO jest dowolna, warto jednak pamiętać o zachowaniu zasady rozliczalności – czyli możliwości wykazania, że faktycznie zostały one przekazane. Nie musimy tutaj zbierać podpisów (czy też checkboxów) od osób, którym przekazujemy dane, wystarczy określenie w dokumentacji, że obowiązki są spełniane np. poprzez umieszczenie zakładki na stronie internetowej czy też procedurę odczytywania informacji przez telefon (jeśli dane zostają pozyskane w ten sposób). W sklepie stacjonarnym obowiązek informacyjny może być umieszczony na tablicy powieszonej na ścianie czy też w formie wydruku na ladzie.

 

Ważne!

Dopełniając obowiązki informacyjne warto pamiętać o kilku kwestiach:

 

  • Informacje jakie musimy podać określone są w art. 13 i 14 RODO, informacje te obejmują między innymi:
    • tożsamość i dane kontaktowe Administratora,
    • dane Inspektora ochrony danych (tylko jeśli został powołany),
    • cel (lub cele) przetwarzania danych,
    • komu dane zostają przekazane / ujawnione,
    • czy dane są przekazywane poza Unię Europejską,
    • okres przechowywania danych (lub kryteria ustalenia tego okresu),
    •  prawa osoby, od której zbierane są dane (np. dostępu do danych czy prawie wniesienia skargi do urzędu),
    • czy dochodzi do profilowania osoby, której dane dotyczą lub podejmowania zautomatyzowanych decyzji niosących skutek prawny wobec takiej osobowy.
  • Nie ma określonej formy przekazania tych informacji. Nie jest więc konieczny masowy mailing do wszystkich klientów, czy wyskakujące okna na stronie sklepu.
  • Ponieważ informacje, jakie musimy przekazać są dość rozległe dopuszczalne jest przekazanie tylko ich części w miejscu zbierania danych, wraz z odesłaniem do dedykowanej strony zawierającej pełną treść obowiązku.
  • Nie jest konieczne umieszczanie checkboxa o zapoznaniu się z tymi informacjami, aczkolwiek jest to zalecane z uwagi na ułatwienie spełnienia obowiązku informacyjnego.
  • Obowiązek informacyjny nie jest zgodą na przetwarzanie danych! Musimy przekazać go zawsze wtedy, kiedy po raz pierwszy pozyskujemy dane osobowe bez względu na podstawę ich przetwarzania (czyli np. realizację umowy). Z kolei zgoda jest przesłanką legalizującą przetwarzanie danych (na podstawie art. 6, ust. 1 lit. A RODO) i przy jej pozyskaniu również należy przekazać wspomniane informacje (nie należy pozyskiwać zgody na przetwarzanie danych jeśli pozyskujemy je w celu realizacji umowy – czyli np. sprzedaży produktu poprzez sklep internetowy).

 

Na koniec – pamiętajmy o prawach, jakie przysługują osobom, od których zbieramy dane osobowe

 

Powyżej opisaliśmy, w jaki sposób stworzyć system ochrony danych w naszej firmie. Powinien on funkcjonować w odniesieniu do wszystkich danych, jakie będziemy przetwarzać, a więc w razie potrzeby – powinniśmy uaktualniać informacje w dokumentach (np. dodając nowe operacje do Rejestru czynności, czy też przeprowadzając analizę ryzyka w wypadku zmiany sposobów przetwarzania danych).

Cały czas musimy też pamiętać o tym, że osobom których dane przetwarzamy przysługuje szereg praw, które musimy realizować. Będą to:

  • prawo do informacji czy przetwarzamy dane osobowe tej osoby,
  • prawo do sprostowania danych (czyli ich poprawienia, jeśli są błędne) oraz
  • prawo do bycia zapomnianym (prawo do usunięcia danych)

Ważne! W przypadku wniesienia żądania usunięcia danych osobowych należy pamiętać o tym, że nie zwalnia to Administratora danych z przetwarzania danych, które wynika z przepisów prawa, np. w związku z obowiązkami podatkowymi. Nie możemy np. usunąć faktur zawierających dane osobowe na żądanie, jeśli mamy prawny obowiązek je przechowywać. W takiej sytuacji usuwamy dane jedynie z miejsc, w których były one przetwarzane w określonych celach, które wygasły. Czyli możemy pozostawić dane np. w systemie księgowym (ze względu na prawo podatkowe), ale nie w oprogramowaniu CRM czy sklepu internetowego.

  • prawo do ograniczenia przetwarzania (czyli zaprzestania wykonywania czynności na danych, jednak bez ich usuwania),
  • prawa do przenoszenia danych (czyli dostarczenia osobie, której dane dotyczą ustrukturyzowanego pliku zawierającego jej dane – uwaga to prawo mamy obowiązek realizować tyko wtedy, kiedy jest to technicznie wykonalne),
  • prawo do sprzeciwu i niepodleganiu zautomatyzowanemu podejmowaniu decyzji (np. przy profilowaniu).

 

Zamiast podsumowania – infografika

 

rodo w sklepie internetowym wszystko

rodo w sklepie internetowym wszystko

Prowadzisz fanpage na Facebooku? Możesz zostać uznany za administratora danych osobowych

Prowadzisz fanpage na Facebooku? Możesz zostać uznany za administratora danych osobowych

utworzone przez | lip 10, 2018 | Obowiązki Informacyjne Sprzedawcy, RODO | 0 komentarzy

Fanpage na Facebooku – dane osobowe ostatnimi czasy są niezwykle gorącym tematem — i to nie tylko w środowiskach prawniczych — co jest zasługą szumu wokół rozporządzenia RODO. Wprowadziło ono zaostrzenie odpowiedzialności za przetwarzanie danych oraz uchyliło dyrektywę 95/46, która wcześniej regulowała tę kwestię. Dawne przepisy unijne potrafią jednak nadal zaskakiwać i dają okazje do rozważań, czego dowodem jest czerwcowy wyrok europejskiego Trybunału Sprawiedliwości. Czy wnioski te znajdą jeszcze zastosowanie na gruncie RODO?

W sprawie między niemieckim organem ochrony danych osobowych a podmiotem prowadzącym fanpage na Facebooku o charakterze dydaktycznym TSUE orzekł, że administrator fanpage’a ponosi odpowiedzialność za przetwarzanie danych osobowych użytkowników razem z Facebookiem. W jaki sposób Trybunał doszedł do tego rozstrzygnięcia?

 

Od czego się zaczęło?

 

Spór miał swój początek w 2011 roku, kiedy Wirtschaftsakademie, wspomniana spółka prowadząca fanpage na Facebooku w celach edukacyjnych, otrzymała nakaz dezaktywacji swojej strony  od lokalnego organu zajmującego się ochroną danych osobowych na podstawie przepisów wdrożonej do prawa krajowego dyrektywy unijnej 95/46.

Zdaniem organu nadzorczego naruszenie polegało na nieinformowaniu użytkowników fanpage’a, że ich dane są gromadzone za pomocą plików cookies i przetwarzane w celach statystycznych przez administratora strony za pomocą narzędzia zwanego Facebook Insights. Pliki cookies przesyłane przez Facebooka zawierają niepowtarzalny kod użytkownika, który można powiązać z danymi użytkowników zarejestrowanych na portalu. Jest on pobrany z urządzenia użytkownika i przetwarzany przy każdorazowym odwiedzeniu przez niego fanpage’a.

W możliwy do przewidzenia sposób Wirtschaftsakademie podjęła próbę obrony, odwołując się od decyzji organu ochrony danych osobowych poprzez zarzucenie mu, że błędnie przypisuje jej odpowiedzialność za narzędzia i rozwiązania techniczne, które są pod kontrolą samego Facebooka.

Ponownie odbił piłeczkę niemiecki organ ochrony danych, wskazując, że w świetle przepisów spółka ponosi odpowiedzialność, ponieważ spełnia kryteria administratora danych osobowych jako podmiot, który zleca innej instytucji (w omawianym przypadku Facebookowi) gromadzenie i przetwarzanie danych użytkowników. Podnoszono, że zakładając i prowadząc fanpage Wirtschaftsakademie przyczyniła się do poszerzania bazy danych osobowych gromadzonych przez Facebooka, a sama korzystała ze statystyk opracowanych na podstawie tych danych za pomocą narzędzi przez niego udostępnionych.

„Administrator danych oznacza każdą osobę lub każdy podmiot, który gromadzi, przetwarza lub wykorzystuje dane osobowe na swój rachunek lub zleca to innym podmiotom”

— § 3 ust. 7 BDSG (federalnej ustawy o ochronie danych osobowych)

Rzecz jasna Wirtschaftsakademie nie zgodziła się ze stanowiskiem organu, zarzucając w szczególności, że spółka ma wgląd jedynie do anonimowych statystyk użytkowników odwiedzających jej fanpage na Facebooku, których nie może powiązać z konkretnymi osobami. Sprawa ostatecznie trafiła do sądu administracyjnego. W korzystnym dla spółki wyroku stwierdzono, że administrator fanpage’a na Facebooku nie jest „administratorem danych” w rozumieniu § 3 ust. 7 BDSG, co oznacza, że wydany nakaz usunięcia jej strony był bezzasadny.

 

Sprawa w Trybunale

 

Oczywiście, sprawa wskutek środków zaskarżenia składanych przez organ ochrony danych została przekazana w końcu sądowi federalnemu, który z kolei zwrócił się do Trybunału Sprawiedliwości z kluczowymi pytaniami odnośnie wykładni niektórych przepisów dyrektywy 95/46. Najważniejszym zagadnieniem, które miało zostać poddane interpretacji TSUE, była właśnie kwestia definicji administratora danych osobowych w kontekście portali społecznościowych.

Trybunał powołał się w swoim orzeczeniu na motywy stojące za wspomnianą dyrektywą, w szczególności natomiast podkreślił konieczność zapewnienia wysokiego poziomu ochrony prawa do prywatności. Nie bez przyczyny na mocy przepisów dyrektywy pojęcie administratora danych jest szeroko definiowane. Celem szerokiego zakresu interpretacji jest skuteczna i pełna ochrona osób, których dane dotyczą.

Za administratora danych należy uważać podmiot, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Oznacza to, że jednocześnie w roli administratora, odpowiedzialnego za przetwarzanie określonego typu danych, występować może nie jeden, lecz kilka podmiotów, które wspólnie tej czynności dokonują. Wówczas każdy z nich ponosi odpowiedzialność za przetwarzanie, jednak w zakresie, który rzeczywiście odpowiada stopniowi zaangażowania w czynności przetwarzania. Oznacza to, że rozmiar tej odpowiedzialności należy oceniać indywidualnie i przy uwzględnieniu wszystkich okoliczności danej sprawy.

Nie było wątpliwości co do tego, że Facebook jest we wskazanej sytuacji głównym podmiotem określającym cele i sposoby przetwarzania danych osobowych swoich użytkowników, także tych, którzy odwiedzali fanpage spółki. Trybunał jednak ustalił, że Wirtschaftsakademie uczestniczył w tym procesie, ponieważ jako administrator fanpage’a podejmował działania, bez których nie doszłoby do przetwarzania określonych rodzajów danych osób odwiedzających jego fanpage — w szczególności natomiast danych demograficznych takich jak płeć, wiek czy stan cywilny. Chociaż przyjmują one postać anonimowych statystyk, to ich sporządzanie opiera się na wcześniejszym gromadzeniu i przetworzeniu danych osobowych za pomocą wspomnianych plików cookies. A te, jak podkreśla TSUE, Facebook instaluje na urządzeniach osób odwiedzających fanpage, co nie miałoby miejsca, gdyby fanpage na Facebooku nie został w pierwszej kolejności założony dobrowolnie przez określony podmiot. Tym samym staje się on współodpowiedzialny za ich gromadzenie i przetwarzanie.

Fakt, że administrator fanpage’a jedynie korzysta z usług oferowanych przez Facebooka, nie zwalnia go z odpowiedzialności, zwłaszcza że fanpage odwiedzony może być nie tylko przez użytkowników portalu, ale także osoby nieposiadające na nim konta. Jak słusznie dostrzegł Trybunał: „W tym przypadku odpowiedzialność administratora fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo wejście na fanpage’a przez osoby odwiedzające skutkuje automatyczne przetworzeniem ich danych osobowych.”

Trybunał zaznaczył zatem konieczność uwzględnienia współodpowiedzialności portalu społecznościowego oraz administratora fanpage’a jako podmiotu niewątpliwie wnoszącego swój wkład w gromadzenie danych osobowych przez Facebooka. Tylko taka perspektywa może bowiem zapewnić ochronę prawa do prywatności, na którą powoływano się w motywach do dyrektywy 95/46.

 

RODO a orzeczenie

 

Powyższe rozważania doprowadziły ostatecznie TSUE do istotnego wniosku, że „pojęcie administratora danych obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.” To doprecyzowanie wcześniej spornej definicji nie traci wcale znaczenia mimo  uchylenia dyrektywy 95/46. Może ono znaleźć zastosowanie w interpretacji przepisów obecnie obowiązującego RODO. Pojęcie „administratora danych” pojawia się również na gruncie nowego rozporządzenia, dlatego orzeczenie TSUE, mimo że dotyczące wykładni poprzednich przepisów, nie musi stracić na aktualności.

W praktyce oznacza to, że prowadząc fanpage powinieneś m.in. spełniać obowiązki informacyjne wynikające z RODO (np. w ramach polityki prywatności fanpage). A tych obowiązków jest całkiem sporo – niezbędne minimum zawiera artykuł 13 RODO, zgodnie z którym:

Artykuł 13

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Informacje te najlepiej zawrzeć w polityce prywatności fanpage i zamieścić je bezpośednio w jednej z zakładek informacyjnych na fanpage lub umieścić tam link z odesłaniem do polityki prywatności. 

Jeśli jesteś zainteresowany przygotowaniem odpowiednich dla Ciebie dokumentów lub masz dodatkowe pytania związane z prowadzeniem fanpage na Facebooku – nasi prawnicy służą pomocą. Możesz skontaktować się z nami pod adresem email: kontakt@prokonsumencki.pl.

 

Newsletter prawny dla Sprzedawców

Dowiesz się pierwszy o ważnych zmianach w prawie i otrzymasz specjalne zaproszenia na nasze webinary z prawnikiem!

SUKCES - zapisałeś się!

Wybierz kanał kontaktu:
Napisz maila
*
*
*
Zamów rozmowę tel.
*
*
Cześć, czy mogę pomóc?