Sklep internetowy RODO – zastanawiasz się nad założeniem sklepu internetowego lub prowadzisz już taki sklep? Jeżeli chciałbyś wiedzieć na co warto przede wszystkim zwrócić uwagę przy prowadzeniu sklepu internetowego, aby postępować zgodnie z wymogami Rozporządzenia RODO, ten artykuł jest dla Ciebie.

 

[1] Zasady przetwarzania danych osobowych w sklepie internetowym według RODO

Prowadzenie sklepu internetowego zawsze wiąże się z przetwarzaniem danych osobowych klientów. W zdecydowanej większości przypadków będziesz zatem pełnił w stosunku do klientów funkcję, którą Rozporządzenie RODO określa jako „administrator danych osobowych”. Klienci podają dane osobowe np. zakładając konto, składając zamówienie czy zapisując się na newsletter. Rozporządzenie RODO wymaga, aby przetwarzanie danych odbywało się według określonych zasad zawartych w jego art. 5:

  • zgodność z prawem, rzetelność i przejrzystość – musisz zadbać, aby mieć podstawę prawną do przetwarzania danych oraz aby klient Twojego sklepu wiedział dokładnie jakie jego dane i w jakich celach będą przetwarzane;
  • ograniczenie celu – dane osobowe powinny być przetwarzane tylko w takich celach, w jakich zostały zebrane i o jakich klient został poinformowany. Przykładowo, jeżeli klient podaje dane w celu dokonania zakupu w Twoim sklepie, nie możesz używać tych danych w celach marketingowych;
  • minimalizacja danych – możesz zbierać tylko takie dane klientów, które są konieczne w danym celu. Przykładowo, jeżeli klient rejestruje konto w Twoim sklepie, nie powinieneś wymagać od niego od razu podawania danych adresowych do wysyłki produktów, które może zakupić w sklepie. Do rejestracji konta zasadniczo potrzebny jest tylko adres e-mail klienta oraz hasło. Dokładny adres zamieszkania klienta nie jest potrzebny i jego żądanie w tym momencie byłoby niezgodne z zasadą minimalizacji danych.
  • prawidłowość – dane powinieneś uaktualnić w razie potrzeby (np. jeżeli wykryjesz w nich błąd lub klient zwróci na to uwagę), a jeżeli jakiekolwiek dane okażą się nieprawidłowe lub nie będą niezbędne dla danego celu, to należy je niezwłocznie poprawić lub usunąć;
  • ograniczenie przechowywania – powinieneś przechowywać dane klientów nie dłużej, niż to jest niezbędne z punktu widzenia danego celu przetwarzania. Przykładowo, jeżeli zbierasz dane na podstawie zgody klienta na marketing, to powinieneś przechowywać te dane tylko do momentu cofnięcia zgody;
  • integralność i poufność – powinieneś zebrane dane klientów przetwarzać tak, aby były one bezpieczne, nie uległy przypadkowej utracie, zniszczeniu czy uszkodzeniu.

 

[2] Polityka prywatności sklepu internetowego zgodna z RODO

Obowiązki informacyjne, które na administratora nakłada RODO to kluczowe uzasadnienie konieczności posiadania polityki prywatności sklepu internetowego. Ustawodawca unijny przyjął założenie, zgodnie z którym każdy użytkownik strony internetowej ma prawo wiedzieć dokładnie w jakich celach, przez kogo i w jaki sposób jego dane mogą być wykorzystywane. Rozporządzenie RODO w art. 13 nakłada na Ciebie jako administratora obowiązek poinformowania użytkownika strony sklepu o kwestiach takich jak:

  • dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
  • jeżeli wyznaczyłeś w swojej firmie inspektora ochrony danych – dane kontaktowe tej osoby;
  • cele i podstawy prawne przetwarzania danych osobowych;
  • kategorie odbiorców danych osobowych – jeżeli przekazujesz dane klientów jakimś podmiotom zewnętrznym (np. firmy kurierskie);
  • przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
  • konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
  • prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
  • prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
  • prawie do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
  • czy wymóg podania danych osobowych podczas korzystania ze sklepu jest warunkiem koniecznym do zawarcia umowy (np. umowy sprzedaży) w sklepie oraz jakich danych i jakich sytuacji taki wymóg dotyczy;
  • zautomatyzowane podejmowanie decyzji w stosunku do klientów w tym tzw. profilowanie klientów oraz zasady działania tego typu mechanizmów, jeżeli są stosowane w sklepie.

Powyższe wymagania przepisów RODO są więc podstawową wskazówką co do tego, jakie treści powinny znaleźć się w dobrze napisanej polityce prywatności.

 

[3] Podstawy prawne przetwarzania danych w kontekście sklepu internetowego

Pamiętaj, że jakiekolwiek przetwarzanie danych osobowych klientów Twojego sklepu musi odbywać się na określonej podstawie prawnej. Przetwarzanie danych osobowych bez podstawy prawnej będzie stanowiło naruszenie RODO. Najważniejsze podstawy prawne przewidziane w RODO, które mogą dotyczyć klientów Twojego sklepu internetowego, są następujące:

  • wykonanie umowy sprzedaży lub umowy o świadczenie usługi elektronicznej (np. prowadzenie konta klienta) lub podjęcie działań na żądanie klienta przed zawarciem umowy (art. 6 ust. 1 lit. b) Rozporządzenia RODO);
  • prawnie uzasadniony interes administratora np. dochodzenie roszczeń związanych z zawieranymi umowami sprzedaży lub obrona przed takimi roszczeniami (art. 6 ust. 1 lit. f) Rozporządzenia RODO);
  • zgoda klienta, np. na marketing, wysłanie zaproszenia do wyrażenia opinii o zawartej umowie na Opineo czy Ceneo (art. 6 ust. 1 lit. a) Rozporządzenia RODO);
  • obowiązek prawny ciążący na administratorze np. prowadzenie ksiąg podatkowych lub rachunkowych (art. 6 ust. 1 lit. c) Rozporządzenia RODO w związku z odpowiednimi przepisami ustaw podatkowych lub ustawy o rachunkowości).

Wszystkie podstawy prawne przetwarzania danych osobowych wymienia art. 6 Rozporządzenia RODO. Warto się z tym przepisem zapoznać w każdej sytuacji, kiedy nie wiesz czy dany cel, w jakim zamierzasz przetwarzać dane ma podstawę prawną.

 

[4] Checkboxy w sklepie internetowym, a RODO

Ważnym elementem każdego sklepu internetowego są checkboxy. Dzięki nim możesz uzyskać dowód, że spełniłeś obowiązki informacyjne wobec klientów, a także że wyrazili oni zgody, w momencie, kiedy takie zgody są wymagane. Posiadanie odpowiednio sformułowanych checkboxów w sklepie jest zatem jednym z kluczowych jego elementów z punktu widzenia zgodności z RODO. Pamiętaj, że żaden checkbox w sklepie internetowym nie może być domyślnie zaznaczony – oświadczenie klienta musi być zawsze wyraźne. Zatem klient każdorazowo musi aktywnie zaznaczyć checkbox.

Checkboxy, które powinny występować w każdym sklepie internetowym to checkbox ze zgodą na regulamin sklepu oraz checkbox z potwierdzeniem zapoznania się z polityką prywatności. Checkbox dotyczący regulaminu nie jest wprost wymagany przez RODO. Spełnia on przede wszystkim wymogi informacyjne ustanowione w ustawie o prawach konsumenta, reguluje umowę sprzedaży jako tzw. wzorzec umowny, a także określa zasady korzystania z usług elektronicznych w sklepie. Z kolei checkbox z potwierdzeniem zapoznania się z polityką prywatności pełni ważną funkcję w spełnieniu obowiązków informacyjnych, o których pisaliśmy w punkcie 2. tego artykułu. Zaleca się, aby te checkboxy były odrębne od siebie, ale rozwiązanie, w którym zgoda na regulamin i potwierdzanie zapoznania się z polityką prywatności znajdują się w jednym checkboxie, jest dopuszczalne.

W przypadku, gdy zamierzasz zbierać dane klientów, aby wykorzystać je później w celu marketingu a więc np. wysyłania materiałów reklamowych na adres e-mail podany przy rejestracji konta, potrzebne jest odebranie od klientów zgody na ten rodzaj przetwarzania jego danych. Ta sytuacja różni się od przetwarzania danych np. w celu prowadzenia konta klienta lub w celu realizacji zamówienia złożonego w sklepie internetowym. W tamtych przypadkach podstawą do przetwarzania danych jest konieczność realizacji umowy zawieranej z klientem. W przypadku marketingu, podstawą do przetwarzania danych jest wyraźna zgoda klienta. Checkbox, który umożliwia wyrażenie tej zgody ma więc nie tylko charakter informacyjny – jego zaznaczenie jest również podstawą przetwarzania danych. W związku z tym, wymagania co do treści takiego checkboxa są również bardziej restrykcyjne. Zalecane jest, aby najważniejsze informacje związane z przetwarzaniem danych zawrzeć już w treści checkboxa a dopiero dodatkowo odesłać do polityki prywatności.

Opisane powyżej checkboxy pojawiają się prawie we wszystkich sklepach internetowych. W niektórych przypadkach możesz potrzebować również innych checkboxów. Niektóre inne zgody, jakie mogą być wymagane w sklepie internetowym to:

  • zgoda na tzw. marketing zewnętrzny, a więc marketing produktów lub usług Twoich partnerów handlowych;
  • zgoda na przekazanie danych portalom typu Ceneo/Opineo i na ich przetwarzanie przez te portale w celu wysłania klientowi zaproszenia do wyrażenia opinii o zakupie;
  • zgoda na przekazanie danych osobowych Twoim partnerom handlowym w celu prowadzenia bezpośrednio przez nich marketingu ich produktów i usług – tutaj przede wszystkim zalecane jest, aby wymienić podmioty, którym zamierzasz w taki sposób przekazywać dane.

Każda z tych zgód musi być dobrowolna oraz wyraźna. Stąd również powinny one być wyrażone w formie odrębnych checkboxów. Tak samo jak opisana wyżej zgoda marketingowa, checkboxy te nie mogą być obowiązkowe, nie powinny też być domyślnie zaznaczone.

 

[5] Pliki Cookies w sklepie internetowym

Pliki Cookies, tzw. ciasteczka, są to niewielkie informacje tekstowe w postaci plików tekstowych, wysyłane przez serwer i zapisywane po stronie osoby odwiedzającej stronę sklepu internetowego (np. na dysku twardym komputera, laptopa, czy też na karcie pamięci smartfona). Prawie wszystkie sklepy internetowe korzystają z plików Cookies. Jeżeli wykorzystujesz pliki Cookies w swoim sklepie internetowym, powinieneś poinformować o tym osoby odwiedzające Twój sklep internetowy.

Szczegółowe informacje o celach ich używania, sposobie działania i możliwościach wyłączenia w określonych przeglądarkach możesz zamieścić w polityce prywatności lub osobnej polityce plików Cookies. Najważniejsze informacje o tych plikach i w ogóle o samym fakcie, że działają one w Twoim sklepie, powinieneś jednak umieścić na stronie sklepu tak, aby każdy kto pierwszy raz wchodzi n stronę sklepu mógł zobaczyć tę informację, bez szukania jej specjalnie w polityce prywatności. Może ona mieć formę komunikatu dostępnego u góry lub u dołu strony, który użytkownik może zamknąć poprzez kliknięcie w odpowiedni przycisk na stronie sklepu. W komunikacie takim warto zamieścić informację, że korzystasz z plików Cookies w celu usprawnienia działania strony sklepu (lub również w innych celach), w jaki sposób można kontrolować pliki Cookies a także że dalsze korzystanie ze strony sklepu bez zmiany ustawień jest uznawane za zgodę na stosowanie tych plików. W komunikacie warto zawrzeć również link do polityki prywatności, w której użytkownik może znaleźć bardziej szczegółowe informacje w tym zakresie.

 

[6] Odbiorcy danych i umowy powierzenia – to też dotyczy sklepu internetowego

W większości przypadków przy prowadzeniu sklepu internetowego konieczne jest powierzanie danych klientów zewnętrznym podmiotom. Podstawowe sytuacje i kategorii podmiotów, którym z dużym prawdopodobieństwem będziesz powierzać dane osobowe swoich klientów to:

  • firmy kurierskie – w celu dostarczenia produktów;
  • firmy obsługujące płatności elektroniczne lub kartą płatniczą;
  • dostawcy oprogramowania komputerowego, którego potrzebujesz do prowadzenia sklepu internetowego, dostawcy poczty elektronicznej potrzebnej do wysyłania powiadomień e-mail związanych z realizacją zakupu lub w przypadku wysyłki newslettera;
  • biuro księgowe lub kancelaria prawna – jeżeli korzystasz ze wsparcia księgowego czy też prawnego w związku z prowadzeniem sklepu.

Oczywiście, tych odbiorców danych może być więcej, w zależności od tego w jakich celach będzie przetwarzał dane, jakie funkcjonalności będą dostępne w Twoim sklepie i czyjej pomocy będziesz w związku z tym potrzebował.

Te sytuacje łączy jedna podstawowa kwestia: Rozporządzanie RODO wymaga, abyś z każdym podmiotem, który w Twoim imieniu będzie przetwarzał dane Twoich klientów zawarł umowę powierzenia przetwarzania danych. Kwestie, które taka umowa powinna regulować to między innymi: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa zarówno Twoje jako administratora jak i podmiotu, któremu powierzasz dane. Rozporządzenie RODO wymaga, aby przy powierzeniu danych móc każdorazowo wykazać zapewnienie należytej ochrony danych. Nie jest jednak realne ciągłe kontrolowanie każdego z podmiotów, którym powierzasz dane przy prowadzeniu sklepu internetowego. Dlatego zawarcie umowy powierzenia danych jest dla Ciebie korzystne: poprzez jej postanowienia i wymagania, jakie możesz w niej ustanowić dla kontrahenta, możesz wykazać w razie ewentualnej kontroli, że przez jej zawarcie zapewniasz należytą ochronę danych.

 

[7] Dokumentacja wewnętrzna zgodna wymogami RODO dla sprzedawcy internetowego

Na koniec, warto pamiętać nie tylko o prawidłowym prowadzeniu strony sklepu i kontrolowaniu do kogo trafiają dane klientów. W każdej firmie, która przetwarza dane osobowe, a więc nie tylko w przypadku prowadzenia sklepu internetowego, konieczna jest odpowiednia dokumentacja wewnętrzna. W skład dokumentacji wewnętrznej wchodzą takie dokumenty jak:

  • Polityka bezpieczeństwa zawierająca m.in. główne zasady przetwarzania danych osobowych w firmie, zasady przetwarzania danych przez personel, wykaz urządzeń stosowanych do przetwarzania danych, obowiązki administratora i personelu, prawa osób, których dane dotyczą i sposoby ich realizacji, określenie obszaru przetwarzania danych, środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych;
  • Udzielone przez administratora upoważnienia do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności.
  • Ewidencja upoważnień do przetwarzania danych;
  • Ewidencja podmiotów, którym powierzono przetwarzanie danych.
  • Rejestr czynności przetwarzania.
  • Ewidencja incydentów naruszeń zasad prawidłowego przetwarzania danych;
  • Analiza ryzyka związanego z przetwarzaniem danych wraz z oceną skutków dla przetwarzania danych osobowych;
  • Zawarte przez administratora umowy powierzenia danych osobowych.

Warto jednak pamiętać, iż sama dokumentacja nie będzie wystarczająca – niezbędne jest wprowadzenie w firmie odpowiednich zabezpieczeń i procedur związanych z przetwarzaniem danych osobowych oraz przeszkolenie pracowników.

 

Podsumowanie

Wymogi związane z danymi osobowymi są kwestią, której nie da się pominąć przy prowadzeniu sklepu internetowego. Jeżeli masz wrażenie, że jest ich bardzo dużo – masz rację. Rozporządzenie RODO traktuje bardzo poważnie zasady prawidłowego przetwarzania danych osobowych, szczególnie w przypadku działalności w internecie i nakłada na przedsiębiorców niezwykle liczne i szczegółowe wymogi związane z przetwarzaniem danych. Prawidłowe spełnienie wszystkich obowiązków, nawet jeżeli wydają się tylko formalnością lub są uciążliwe, jest bardzo ważne przy prowadzeniu sklepu internetowego.

Dlatego też służymy pomocą we wszystkich kwestiach sklep internetowy RODO. Niezależnie od tego czy potrzebujesz pomocy przy napisaniu odpowiedniego regulaminu i polityki prywatności sklepu, sformułowaniu właściwych checkboxów, czy też przygotowaniu odpowiedniej dokumentacji wewnętrznej – nasi specjaliści są do Twojej dyspozycji. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@regulaminowo.pl.