Co w Prawie Piszczy | E-commerce a prawa osób, których dane dotyczą
8310
post-template-default,single,single-post,postid-8310,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

E-commerce a prawa osób, których dane dotyczą

Jak każda działalność gospodarcza, e-commerce wiąże się z przetwarzaniem danych osobowych. Praktyka pokazuje jednak, że do przedsiębiorców prowadzących sklepy internetowe klienci kierują znacznie więcej żądań i wniosków dotyczących ich danych osobowych, niż ma to miejsce np. w przypadku sklepów stacjonarnych.

W zależności od skali działalności danego przedsiębiorcy, takich zapytań może być od kilku do kilkudziesięciu, czy nawet kilkuset miesięcznie. Dodatkowo RODO przewiduje ściśle określone terminy, w których przedsiębiorca powinien ustosunkować się do żądania. Z tego powodu tak ważne jest, aby przedsiębiorcy wiedzieli dokładnie, jakie kroki należy podjąć w razie otrzymania przez nich zgłoszenia związanego z realizacją praw osoby, której dane dotyczą.

Jakie prawa przewiduje RODO?

Zgodnie z RODO, osobom, których dane dotyczą przysługują następujące prawa:

  • prawo do informacji, dostępu i uzyskania kopii danych,
  • prawo do sprostowania / uzupełnienia danych,
  • prawo do ograniczenia przetwarzania,
  • prawo do bycia zapomnianym,
  • prawo do przenoszenia danych,
  • prawo do wniesienia sprzeciwu wobec przetwarzania danych.

 

Szczegóły dotyczące powyższych praw znajdują się w artykule „RODO: (Nowe?) prawa osób, których dane dotyczą.

Co zrobić w razie otrzymania żądania dotyczącego danych osobowych?

Przede wszystkim kluczowe jest, aby pamiętać o obowiązujących przedsiębiorców terminach na ustosunkowanie się do danego żądania. Zgodnie z RODO, administrator powinien poinformować osobę, której dane dotyczą o działaniach podjętych w związku z żądaniem bez zbędnej zwłoki, ale nie później niż w ciągu miesiąca od otrzymania żądania.

Należy przy tym podkreślić, że w ww. terminie przedsiębiorca powinien nie tylko podjąć odpowiednie, wynikające z treści żądania działania, ale też przygotować odpowiedź z opisem tych działań i dostarczyć ją danej osobie. Może zdarzyć się też, że osoba zażąda, aby pismo wysłane zostało do niej pocztą – wtedy administrator powinien wysłać odpowiedź z odpowiednim wyprzedzeniem, aby dotarło ono do właściwej osoby w terminie miesiąca od otrzymania żądania przez przedsiębiorcę.

Biorąc pod uwagę powyższe wymogi przewidziane przez RODO, nie warto czekać z podjęciem działań do ostatnich dni terminu. Ważne jest, aby rozplanować prace tak, żeby w miesięcznym terminie uwzględnić czas na analizę żądania, jego realizację (w uzasadnionym zakresie), przygotowanie odpowiedzi i dostarczenie jej do osoby, której dane dotyczą.

Kolejne czynności będą zależeć od rodzaju otrzymanego żądania. Warto jednak na początku precyzyjnie ustalić, którego z praw żądanie dotyczy (ponieważ nie zawsze wynika to wprost np. z tytułu pisma) oraz czy wszystkie elementy żądania mieszczą się w granicach przewidzianych przez RODO (tj. czy dana osoba nie żąda od przedsiębiorcy podjęcia większej ilości działań czy przekazania większej ilości informacji niż wynika to z przepisów prawa).

Warto też upewnić się, czy w rzeczywistości zachodzą wszystkie przesłanki realizacji poszczególnych praw – przykładowo, żądanie usunięcia danych jest możliwe, jeśli ich przetwarzanie przez administratora nie jest niezbędne do wywiązania się ze spoczywającego na nim obowiązku prawnego.

Jeśli więc przedsiębiorca prowadzący sklep internetowy ma obowiązek przechowywania określonych danych, co wynika z przepisów rachunkowych – nie powinien ich usuwać, nawet jeśli żąda tego osoba, której dane te dotyczą.

W związku z powyższym, do każdego z otrzymanych żądań należy podejść indywidualnie i nie podejmować działań w sposób automatyczny i bezrefleksyjny. Nie wyklucza to oczywiście wdrożenia procedur w zakresie reagowania na żądania i wnioski osób, których dane dotyczą. Wręcz przeciwnie, takie procedury mogą ułatwić przedsiębiorcy ustalenie działań, jakie należy podjąć i zrealizowanie ich w odpowiednim, wynikającym z RODO terminie.

Autor: Marta Maliszewska

SENIOR CONSULTANT / LEGAL DEPARTMENT

marta.maliszewska@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj