Co w Prawie Piszczy | Sklep internetowy a RODO
8175
post-template-default,single,single-post,postid-8175,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Sklep internetowy a RODO

Projektując sklep internetowy przed 25 maja 2018 r., przedsiębiorcy koncentrowali się przede wszystkim na tym, aby przyjęte przez nich rozwiązania były zgodne z prawem konsumenckim i regulacjami dotyczącymi świadczenia usług drogą elektroniczną czy wysyłania informacji handlowych.

Kwestia danych osobowych była umieszczana raczej na dalszym planie. Pojawiały się wprawdzie formalne dokumenty i informacje, takie jak polityki prywatności i belki cookies, ale nie przywiązywano większej wagi do samej prawidłowości przetwarzania danych osobowych.

Wraz z rozpoczęciem stosowania RODO, wszyscy odczuwamy, że znacząco wzrosła ilość treści i informacji dotyczących danych osobowych prezentowanych w ramach stron i sklepów internetowych. Wśród rozwiązań związanych z prawami konsumenta, w standardowym „pakiecie” znalazło się m.in. umieszczanie na stronach szerokich klauzul informacyjnych, rozpoczęcie zbierania odpowiednich zgód, w tym już na etapie „wejścia” na stronę, np. na tzw. twarde profilowanie czy tworzenie rozbudowanych polityk prywatności.

Podstawy przetwarzania danych w sklepie internetowym

Większość przedsiębiorców zdaje sobie sprawę z tego, że do każdej operacji przetwarzania danych niezbędne jest posiadanie odpowiedniej podstawy prawnej. W praktyce, do najczęstszych podstaw przetwarzania danych w sklepach internetowych należą umowa z klientem (umowa sprzedaży), jego zgoda (na prezentowanie profilowanych treści reklamowych) i niezbędność do realizacji prawnie uzasadnionych interesów administratora (inne działania marketingowe).

Należy pamiętać, że podstawy mają charakter równorzędny – przykładowo, jeśli z klientem zawarta została umowa sprzedaży czy umowa o prowadzenie konta, nie ma potrzeby zbierania od niego zgód na przetwarzanie danych w tych celach.

W kontekście zgód warto podkreślić też, że muszą mieć one charakter świadomy i dobrowolny – niedozwolone jest więc stosowanie z góry zaznaczonych checkboxów ze zgodami czy ukryte zbieranie kilku zgód przez zaznaczenie jednego checkboxa.

Obowiązki informacyjne, czyli o czym jeszcze powinni pamiętać przedsiębiorcy

Aby działać zgodnie z RODO, nie wystarczy posiadanie odpowiedniej podstawy przetwarzania – przedsiębiorca ma obowiązek zapewnienia, że jego klienci poinformowani zostali m.in. o tym, kto, w jakim celu, na jakiej podstawie i jak długo przetwarzać będzie ich dane osobowe.

Zakres wymaganych informacji jest dość szeroki i w tym kontekście często pojawiają się pytania, w jaki sposób umieścić je na stronie internetowej (szczególnie, jeśli jest ona odwiedzana za pomocą urządzeń mobilnych). RODO nie determinuje technicznych aspektów realizacji obowiązku informacyjnego. W praktyce w wielu sklepach klauzula informacyjna umieszczana jest w polu, którego treść można następnie rozwijać. Coraz częściej spotykanym rozwiązaniem jest też kilkuetapowe spełnianie obowiązku informacyjnego tj. wskazywanie w miejscu zbierania danych jedynie krótkiej informacji z odesłaniem do szerszej klauzuli (np. w formie hiperlinku). Takie rozwiązanie wydaje się uzasadnione w obszarze e-commerce, szczególnie mobilnym i jest dopuszczalne, a wręcz rekomendowane przez Grupę Roboczą art. 29. Pozwala to zapewnić przejrzystość i zrozumiałość prezentowanych informacji.

Dostosowane dokumenty

Czy oprócz klauzul i innych treści na www trzeba zatem tworzyć jeszcze dodatkowe dokumenty / polityki dotyczące danych osobowych? Jeżeli obowiązki informacyjne są w pełni spełnione w ramach treści na stronie i łatwo można się z nimi zapoznać, to nie ma takiej konieczności. W praktyce jednak warto stworzyć / uaktualnić dotychczasową politykę prywatności, bo ułatwi ona klientom dostęp do informacji o przetwarzaniu i zabezpieczeniu ich danych osobowych oraz potwierdzi należytą staranność przedsiębiorcy.

Warto również zerknąć do regulaminu sklepu. Często zawiera on także krótką informację o przetwarzaniu danych osobowych – przykładowo, kto jest administratorem danych, czy ich podanie jest obowiązkowe, jakie dane mogą być przetwarzane przez sprzedawcę. Warto, aby były one spójne z innymi treściami zawartymi na stronie i w polityce prywatności.

Więcej niż treści na www

Prowadząc lub dopiero projektując sklep internetowy należy pamiętać, że RODO w e-commerce to nie tylko treści na stronie internetowej, ale też konieczność uregulowania stosunków z kontrahentami i parterami biznesowymi, jak również wybór odpowiednich systemów IT.

Podmioty wspierające przedsiębiorcę w prowadzeniu działalności (np. dostawcy serwerów czy platform sprzedażowych) są zwykle tzw. „procesorami” danych, co wymaga zawarcia z nimi umów powierzenia spełniających wymogi RODO.

W kontekście systemów IT pamiętać należy, że powinny być one skonstruowane tak, aby zapewnić możliwość prawidłowej realizacji praw osób, których dane są przetwarzane przez przedsiębiorcę. Przykładowo, system powinien umożliwić przedsiębiorcy udzielenie osobom dostępu do ich danych, a także tzw. przenoszenie danych, czyli ich przekazanie osobie, której dane dotyczą lub innemu administratorowi, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. pdf).

Tworząc sklep internetowy, warto więc uwzględnić ochronę danych osobowych już na wstępnym etapie projektowania – tak, aby uniknąć konieczności przebudowywania systemów i późniejszej modyfikacji treści na stronie internetowej.

Autor: Magdalena Kaleta-Maniak

SENIOR CONSULTANT / ATTORNEY AT LAW

magdalena.kaleta@olesinski.com

Więcej

Autor: Marta Maliszewska

CONSULTANT / LEGAL DEPARTMENT

marta.maliszewska@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj