Wejście w życie w dniu 25 grudnia 2014 roku ustawy o prawach konsumenta wywołało po stronie przedsiębiorców zawierających umowy poza lokalem przedsiębiorstwa lub na odległość – a więc m. in. po stronie właścicieli sklepów internetowych - konieczność dostosowania regulaminów świadczenia usług do znowelizowanych przepisów.

Przy tej okazji warto wspomnieć, że z prowadzeniem stron internetowych wiążą się także i inne obowiązki ustawowe, które obciążają nie tylko przedsiębiorców, ale również osoby fizyczne. Co zaś najistotniejsze – obowiązki te aktualizują się również w przypadku prowadzenia witryn o charakterze informacyjnym bądź reklamowym.

Trzeba bowiem podkreślić, że zgodnie z zapisami ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną, każdy kto prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową, wykonuje usługi świadczone bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej, świadczy usługi drogą elektroniczną. Definicja ustawowa nie jest może szczególnie jasna, dość jednak powiedzieć, że samo zamieszczenie na stronie internetowej informacji dotyczących prowadzonej przez nas działalności (np. oferty naszego sklepu, jego lokalizacji, cennika usług, etc.), w świetle przywołanej definicji kwalifikowane jest jako świadczenie usług drogą elektroniczną.
Z tym zaś wiążą się konkretne obowiązki informacyjne wobec usługobiorcy, a więc internauty przeglądającego naszą witrynę internetową. Ustawa przewiduje konieczność stworzenia regulaminu świadczenia usług drogą elektroniczną, w którym określone zostaną m.in.:

- dane usługodawcy (właściciela strony internetowej),
- szczególne zagrożenia związane z korzystaniem z usługi świadczonej drogą elektroniczną,
- funkcje i cele danych niebędących składnikiem treści usługi, a wprowadzanych do systemu teleinformatycznego, którym posługuje się usługobiorca,
- rodzaje i zakres usług świadczonych drogą elektroniczną,
- warunki świadczenia usług drogą elektroniczną, w tym wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną czy tryb postępowania reklamacyjnego.

Co więcej, jeśli prowadząc stronę internetową, dodatkowo w związku z działalnością zarobkową lub zawodową przetwarzamy dane osobowe, to podlegamy również regulacjom ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych. Z przepisów tych wynika, że o ile przetwarzanie nie następuje m.in wyłącznie w związku z zawartą umową i w celu jej realizacji (np. wystawienie faktury VAT), to administrator danych zobowiązany jest dokonać zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Dotyczy to np. danych zbieranych w celu rozsyłania newslettera. Ewentualne zwolnienie z obowiązku rejestracji zbioru danych nie jest jednak jednoznaczne ze zwolnieniem z obowiązków informacyjnych przewidzianych w ustawie o ochronie danych osobowych.

Ponadto w sytuacji opisanej powyżej konieczne może się okazać stworzenie tzw. polityki bezpieczeństwa w zakresie ochrony danych osobowych. Jest to dokument wewnętrzny, który określa reguły postępowania z posiadanym zbiorem danych w konkretnej jednostce. W jego treści należy zawrzeć informacje m.in. o:

- obszarze, w którym przetwarzane będą dane osobowe,
- konkretnych zbiorach danych osobowych oraz programach stosowanych do ich przetwarzania,
- strukturze tych zbiorów, zawartości poszczególnych pól informacyjnych oraz powiązaniach je łączących,
- środkach technicznych i organizacyjnych stosowanych dla zapewnienia poufności i integralności przetwarzanych danych.

Co zatem grozi za nieprzestrzeganie obowiązków ustawowych, o których wspomniałem powyżej?
Jeśli chodzi o braki informacyjne dotyczące regulaminu świadczenia usług drogą elektroniczną, to ustawa z dnia 18 lipca 2002 roku przewiduje za to karę grzywny do 5000 zł.

Znacznie surowsze sankcje grożą za nieprzestrzeganie przepisów prawa w zakresie ochrony danych osobowych. Dla przykładu wskażę, że zaniechanie zgłoszenia do rejestracji zbioru danych może wiązać się nawet z karą pozbawienia wolności do roku. Podobna kara może zostać wymierzona za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub za nieprzekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie o ochronie danych osobowych.