Czy przedsiębiorca, który świadczy usługi za pośrednictwem internetu, podlega jakimś szczególnym zasadom w zakresie ochrony danych osobowych?

Odpowiada Mateusz Oskroba prawnik, Kancelaria Prawna Piszcz, Norek i Wspólnicy

:

Ustawa o ochronie danych osobowych nie jest jedynym aktem, który określa obowiązki przedsiębiorców w zakresie przetwarzania danych osobowych. Oprócz tej ustawy przedsiębiorcy, którzy świadczą usługi lub sprzedaż przez Internet, powinni stosować się do ustawy o świadczeniu usług drogą elektroniczną. Tak więc należy pamiętać, że ustawa o świadczeniu usług drogą elektroniczną stanowi podstawowy akt prawny dla przedsiębiorców, którzy prowadzą działalność gospodarczą za pośrednictwem Internetu.

Jakich danych może żądać przedsiębiorca internetowy od swoich klientów?

Podstawowym obowiązkiem i ograniczeniem przedsiębiorcy w zakresie zbierania danych osobowych jego klientów jest ich niezbędność do wykonania samej usługi. Oznacza to, że przedsiębiorca nie powinien żądać od swojego kontrahenta podania danych, które nie mają znaczenia dla realizacji planowanej umowy, chyba że sam kontrahent wyrazi zgodę na przekazanie takich danych. Tak więc należy podzielić dane na takie, które są potrzebne do wykonania umowy, i takie, które nie są związane z usługą. Tych ostatnich klient nie musi przekazywać. W tym zakresie przedsiębiorca – w szczególności świadczący usługi drogą elektroniczną – powinien tak przygotować swój formularz, poprzez który zbiera dane osobowe klientów, aby klient sam zdecydował, czy pragnie przekazać dodatkowe dane poza tymi, które są niezbędne do wykonania umowy.

Co powinien on zrobić po zrealizowaniu swojej usługi?

Przede wszystkim po wykonaniu usługi przedsiębiorca powinien usunąć dane swojego kontrahenta, chyba że zaistnieje jedna z okoliczności wymienionych w ustawie, jak na przykład potrzeba dochodzenia roszczeń z tytułu płatności za korzystanie z usługi przez kontrahenta albo zgoda klienta na przetwarzanie jego danych osobowych po zakończeniu świadczenia usługi.

Jaka kara grozi przedsiębiorcy, gdy naruszy przepisy o ochronie danych osobowych?

Odpowiedzialność przedsiębiorcy za naruszenie ustawy o ochronie danych osobowych oraz ustawy o świadczeniu usług drogą elektroniczną może wynikać zarówno z regulacji prawa cywilnego, prawa karnego, jak i prawa administracyjnego.

W zakresie prawa cywilnego przedsiębiorca może ponieść odpowiedzialność w stosunku do osoby, której dane zostały naruszone. Osoba, której dane były nielegalnie przetwarzane, jest uprawniona do wytoczenia powództwa przeciwko przedsiębiorcy o naruszenie jej dóbr osobistych.

Przdsiębiorca może też trafić do więzienia?

Tak. Art. 49 ust. 2 ustawy o ochronie danych osobowych przewiduje karę pozbawienia wolności nawet do lat trzech w przypadku, gdy przedsiębiorca przetwarza bez uprawnienia tzw. wrażliwe dane osobowe, które dotyczą m.in. pochodzenia rasowego i etnicznego albo przynależności partyjnej.

Jeżeli przedsiębiorca w wyniku kontroli przeprowa-dzonej przez GIODO nie zastosuje się do jego decyzji, to musi się liczyć z grzywną w wysokości do 10 tys. zł. Tak więc zbagatelizowanie kwestii ochrony danych może się wiązać z negatywnymi dla niego konsekwencjami, które musi wziąć on pod uwagę, oceniając ryzyko oraz koszty działalności.

—Rozmawiał: Jerzy Kowalski