E-commerce, RODO

Minimalizacja danych w sklepie internetowym

W poprzednim wpisie „Sklep internetowy a dane osobowe” pisaliśmy ogólnie o tym, jakie dane w sklepie internetowym są adekwatne, a jakie nie. Czytając jednak ustawę o świadczeniu usług drogą elektroniczną, a w szczególności jej art. 18, można zacząć zastanawiać się czy ten poprzedni wpis na Blogu przypadkiem nie pomija tej ustawy.

W art. 18 ustawy o świadczeniu usług drogą elektroniczną zostały wskazane dane usługobiorcy, jakie może przetwarzać usługodawca. Dane te można podzielić na kilka grup: dane niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego, inne dane niezbędne do świadczenia usług, a także tzw. dane eksploatacyjne czyli charakteryzujące sposób korzystania z usługi przez usługobiorcę.

Pierwsza grupa tych danych została scharakteryzowana przez ustawodawcę dosyć szczegółowo, tj. poprzez wymienienie ich katalogu. Są to:

1)  nazwisko i imiona usługobiorcy;

2)  numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

3)  adres zameldowania na pobyt stały;

4)  adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;

5)  dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

6)  adresy elektroniczne usługobiorcy.

Pytanie brzmi: po co ustawodawca wskazuje konkretne dane usługobiorcy, które może przetwarzać usługodawca, skoro w RODO znajduje się zasada minimalizacji? Przecież z przestrzegania tej zasady musi się rozliczyć sam usługodawca, a nie może robić tego za niego ustawa! Poza tym katalog tych danych z ustawy jest bardzo nieadekwatny do zasady minimalizacji np. adres zameldowania na pobyt stały w handlu elektronicznym zwykle znaczy tyle, co nic i nie jest potrzebny do wykonania usługi.

Odpowiedź na to pytanie leży w niekonsekwencji i niedbałości ustawodawcy, który powinien uchylić art. 18 ust. 1 – 4 ustawy o świadczeniu usług drogą elektroniczną. Skoro RODO nakłada na każdego administratora szereg obowiązków, w tym mających swoje bezpośrednie źródło w zasadach z art. 5 RODO, to uszczegóławianie przepisów RODO jest bezcelowe i nie ma podstawy prawnej.

Nie od dziś wiadomo, że zasadą jest prymat prawa unijnego nad prawem wewnętrznym państw członkowskich. Oznacza to, że jeżeli dwa przepisy (jeden unijny i drugi państwa członkowskiego) pozostają ze sobą w konflikcie, to zastosowanie ma przepis prawa unijnego. RODO stosuje się bezpośrednio, a zatem nie wymaga żadnej implementacji czy uszczegółowienia. Samo RODO przewiduje tutaj wyjątki np. dla przetwarzania danych w kontekście zatrudnienia (art. 88 RODO) czy też w sferze publicznej (art. 87, art. 89 RODO). Na przykład w zakresie prawa pracy i zatrudnienia ustawodawca skorzystał z możliwości uszczegółowienia i wprowadził nowelizację do Kodeksu pracy. W zakresie handlu elektronicznego RODO nie przewiduje możliwości uszczegółowienia swoich regulacji w prawie krajowym ani nie pozwala na wskazywanie przez państwa członkowskie konkretnego katalogu danych przetwarzanych w tym handlu. Skoro tak, to przepisy art. 18 ust. 1 -4 powinny zostać uchylone, a jeśli nie zostały uchylone to – jako sprzeczne z RODO (aktem prawa unijnego) nie mogą być stosowane.

Pamiętaj! W przypadku sporu np. sądowego, sąd powinien zastosować przepis art. 5 ust. 1 lit. c RODO czyli zasadę minimalizacji, a nie art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną jako przepis sprzeczny z prawem unijnym.

To administrator czyli usługodawca sam musi zdecydować, jakie dane klientów swojego sklepu internetowego może przetwarzać, a jakich nie. Powinien to ocenić przy uwzględnieniu wszystkich reguł RODO, a w szczególności zasady minimalizacji. Ocena powinna wiązać się ze starannie przygotowanym rejestrem czynności przetwarzania danych oraz oceną ryzyka. Od tych obowiązków administratora nie może uwolnić jakakolwiek ustawa. Dlatego, jeśli myślisz, że nie musisz robić nic, gdyż ustawa o świadczeniu usług drogą elektroniczną, wykonała całą robotę za Ciebie, to niestety jest to droga donikąd.

1 myśl w temacie “Minimalizacja danych w sklepie internetowym”

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s