Decyzja z 14 lipca 2015 r. nakazująca usunięcie uchybień dotyczących przetwarzania danych osobowych klientów sklepu internetowego, którzy złożone zamówienia anulowali przed ich realizacją. Kontrola GIODO wykazała, że w sklepie internetowym nie są obecnie usuwane dane związane ze złożonym zamówieniem, w tym dane osobowe podane do faktury oraz dane do wysyłki zamówionych towarów lub usług (o ile nie są tożsame z danymi do faktury VAT), nawet wówczas, gdy klient anulował to zamówienie. Sklep internetowy nie realizuje obowiązku informacyjnego o którym mowa w art. 25 ust. 1 ustawy w stosunku do klientów, dla których zamówienie na oferowany przez Spółkę certyfikat jest składane za pośrednictwem partnera – podmiotu współpracującego ze Spółką w zakresie sprzedaży certyfikatów, posiadającego konto w sklepie internetowym Spółki, tj. w zakresie wskazanym w art. 25 ust.1 pkt 3 i pkt 5 ustawy, tj. dotyczących źródła danych oraz uprawnień wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy.
Zarzuty:
1) przetwarzanie danych osobowych klientów sklepu internetowego Spółki w związku ze złożonym przez nich zamówieniem, które następnie zostało anulowane przez klienta – brak podstawy prawnej legalnego przetwarzania danych
2) nierealizowanie obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy w stosunku do klientów, dla których zamówienie na oferowany przez Spółkę certyfikat jest składane za pośrednictwem partnera – podmiotu współpracującego ze Spółką w zakresie sprzedaży certyfikatów, posiadającego konto w sklepie internetowym Spółki, tj. w zakresie wskazanym w art. 25 ust.1 pkt 3 i pkt 5 ustawy, tj. dotyczących źródła danych oraz uprawnień wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy,
3) niezapewnienie, aby w przypadkach, gdy założenie konta w systemie informatycznym służącym do zarządzania sklepem internetowym Spółki następuje po złożeniu zamówienia na wybrane towary lub usługi oferowane w sklepie internetowym Spółki, składane oświadczenie w przedmiocie wyrażenia zgody na przetwarzanie danych osobowych na zasadach określonych w Regulaminie Sklepu Internetowego U. S.A. (dalej także: „Regulamin Sklepu”) było wyodrębnione od oświadczenia w przedmiocie zgody na akceptację Regulaminu Sklepu Internetowego
4) niezapewnienie możliwości swobodnego wyrażenia zgody na przetwarzanie danych osobowych w zakresie wskazanym w § 7 ust. 5 „Regulaminu świadczenia usług drogą elektroniczną” tj. „Usługobiorca wyraża zgodę na umieszczenie nazwy (firmy) Usługobiorcy na listach klientów […]” poprzez wymuszenie wyrażenia zgody przez akceptację postanowień regulaminu – zgoda domniemana z oświadczenia woli o innej treści
5) niezapewnienie możliwości swobodnego wyrażenia zgody na przetwarzanie danych osobowych w celach wskazanym w § 8 ust. 1 Regulaminu Świadczenia Usług, zgodnie z którym „Użytkownik wyraża zgodę na przetwarzanie, udostępnianie i wykorzystywanie danych osobowych Użytkownika, podanych w trakcie rejestracji, do celów związanych z realizacją Usług przez […] oraz promocji i reklamy przez […], własnych i obcych towarów i usług.
– wymuszenie zgody poprzez akceptację postanowień regulaminu, klauzula zgody obejmująca wiele celów przetwarzania – brak swobody wyrażenia zgody co do każdego celu.
Spółka w odniesieniu do zarzutów:
1. Zmodyfikowała politykę prywatności tak, że dane osobowe klienta będą przetwarzane także w celu rozpatrywania składanych (w przyszłości) reklamacji lub w przypadku skorzystania z prawa do odstąpienia od umowy (zwrot towaru), wskazując, iż całkowite usunięcie danych klientów lub ich anonimizacja może utrudnić działanie w przyszłości, w przypadku gdy np. klient złoży reklamację
2. W sytuacji, w której dla klienta nie posiadającego konta w sklepie internetowym Spółki, certyfikat kupuje partner (posiadający konto) i jako dane do faktury VAT podaje dane osobowe klienta, zmodyfikowano informacje widniejące na fakturze VAT wystawianej przez Spółkę poprzez zamieszczenie następującego komunikatu: „Państwa dane osobowe pochodzę od podmiotów pośredniczących w sprzedaży produktów i usług oferowanych przez Spółkę U. S.A. Administratorem danych osobowych jest Spółka U. S.A., wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie, XIII Wydział Gospodarczy KRS, pod nr […], NIP […]. Dane zbierane są w celu realizacji złożonego zamówienia. Podanie danych osobowych jest dobrowolne, a osobie, która wyraża zgodę na przetwarzanie wyżej wymienionych danych osobowych przysługuje prawo dostępu do przekazanych danych osobowych w każdym czasie, w tym do zgłoszenia żądania ich poprawienia, a także do żądania ich usunięcia. Przysługuje Państwu także prawo do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania Państwa danych osobowych ze względu na szczególną sytuację, a także prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych.”
3. gdy założenie konta w systemie informatycznym o nazwie „[…]”, służącym do zarządzania sklepem internetowym Spółki następuje po złożeniu zamówienia na wybrane towary lub usługi oferowane w sklepie, wyodrębniono składane na potrzeby założenia konta w ww. systemie oświadczenie w przedmiocie akceptacji Regulaminu Sklepu od oświadczenia w przedmiocie zgody na przetwarzanie danych osobowych na zasadach określonych w Regulaminie Sklepu
4. Z Regulaminu Świadczenia Usług usunięto postanowienie o treści: „Usługobiorca wyraża zgodę na umieszczenie nazwy (firmy) Usługobiorcy na listach klientów […].”
„Użytkownik wyraża zgodę na przetwarzanie, udostępnianie i wykorzystywanie przez U. oraz przez podmioty współpracujące danych osobowych Użytkownika, podanych w trakcie rejestracji, do celów związanych z realizacją Usług przez U. oraz promocji i reklamy przez U., własnych i obcych towarów i usług. Przetwarzanie danych osobowych odbywać się będzie zgodnie z przepisami ustawy o ochronie danych osobowych. Udostępnienie objętych niniejszą zgodą danych osobowych jest dobrowolne. Użytkownikowi przysługuje prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem Ustawy o ochronie danych osobowych albo są już zbędne do realizacji celu, w którym zostały zebrane.”
5. Ustosunkowując się do uchybienia określonego w pkt 4 zawiadomienia o wszczęciu postępowania z dnia […], zmodyfikowano panel sklepu internetowego Spółki dla nowych (niezarejestrowanych jeszcze klientów). Klient, który pierwszy raz kupuje produkty lub usługi w sklepie internetowym U., w czasie składania zamówienia uzyska informację następującej treści: „Państwa dane osobowe przetwarzane będą w celu korzystania z […].pl oraz realizacji zakupu towarów. Administratorem danych jest Spółka U. SA, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie, XIII Wydział Gospodarczy KRS, pod nr […], NIP […]. Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm.) przysługuje Państwu prawo dostępu do treści swoich danych, prawo ich poprawiania, a także żądania ich usunięcia z bazy danych. Podanie danych jest dobrowolne, jednak niezbędne dla realizacji wyżej wymienionych celów.”
Wskazówki GIODO:
1. Nie są obecnie usuwane dane osobowe klientów związane ze złożonym zamówieniem, w tym dane osobowe podane do faktury oraz dane do wysyłki zamówionych towarów lub usług (o ile nie są tożsame z danymi do faktury VAT), nawet wówczas, gdy klient anulował to zamówienie.
Podjęte przez Spółkę działania, opisane w piśmie z dnia nie mogą zostać uznane za zmierzające do usunięcia uchybienia gdyż złożenie reklamacji bądź oświadczenia w przedmiocie odstąpienia od umowy (zwrotu) sprzedaży dotyczy wyłącznie zamówień, które zostały zrealizowane!!!!
Sklep nie może zatem przetwarzać danych klienta po anulacji zamówienia, gdyż przetwarzanie takich danych będzie pozbawione podstawy prawnej.
Podsumowanie
Sklep internetowy winien pamiętać by w sytuacji gdy pozyskuje dane nie od osoby, której te dane dotyczą realizować obowiązek informacyjny wskazany w art. 25 ust. 1 ustawy.
Istotne jest wyodrębnienie zgody na założenie konta w sklepie internetowym (które to tworzy się po złożeniu zamówienia przez klienta) na przetwarzanie danych osobowych na zasadach określonych w regulaminie od oświadczenia w przedmiocie zgody na akceptację samego regulaminu.
Jeśli sklep zechce umieścić nazwę firmy klienta na swojej stronie czy też prowadzić działania marketingowe na każde z tych działań Spółka musi pozyskać od klienta wyraźną zgodę, domniemana zgoda wyrażona w formie akceptacji regulaminu sklepu nie będzie wystarczająca.
Administrator danych winien przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, gdyż to na nim ciąży obowiązek dochowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnienia, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Zatem w sytuacji, gdy klient rezygnuje z dokonania zamówienia w e-sklepie – administrator nie może przetwarzać jego danych, twierdząc, że mogą być mu one potrzebne np. na potrzeby rozpatrzenia ewentualnej reklamacji, gdyż takowe tyczyć się mogą jedynie zamówień zrealizowanych.
DIS/DEC- 593/15/62551
http://www.giodo.gov.pl/310/id_art/9444/j/pl/
