Dołącz do czytelników
Brak wyników

Prawo i finanse

6 października 2018

NR 1 (Kwiecień 2018)

RODO w e-commerce. Praktyczne wskazówki

0 98

O RODO powiedziano i napisano już wiele, jednak nieliczne publikacje podchodzą do tego tematu całościowo, opisując, jak nowe przepisy będą wpływały na konkretną branżę. Tym artykułem podejmuję wyzwanie, by przybliżyć Ci jak najwięcej aspektów wpływu RODO na Twój e-sklep. Mimo najszczerszych chęci nie wskażę w 100% wszystkiego, bo na to potrzebnych byłoby kilkaset stron…

Znika rejestr GIODO

Zacznijmy od rzeczy miłych i przyjemnych. Po 25 maja 2018 r. przestanie funkcjonować rejestr zbiorów danych osobowych, prowadzony obecnie przez GIODO. Jeśli założysz e-sklep po tej dacie, nie będziesz musiał zgłaszać swojej bazy klientów ani bazy marketingowej do GIODO. Jedna formalność mniej!

Jeśli prowadzisz sklep od dłuższego czasu i dokonałeś rejestracji w GIODO, to po 25 maja 2018 r.zgłoszenie po prostu przestanie obowiązywać.

Jeśli miałeś już sklep, ale nie zgłosiłeś go do GIODO, możesz spać spokojnie – nikt już się o to nie upomni.

Regulaminy

Często słyszę pytanie, czy RODO nakazuje coś zmieniać w regulaminie e-sklepu. „Nie”, „tak” i „to zależy” – wszystkie te trzy opcje są prawidłowymi odpowiedziami na to pytanie.

Odpowiedź „nie” jest prawidłowa, dlatego że RODO nie nakłada żadnych szczególnych obowiązków na przedstawicieli branży e-commerce. RODO nie mówi, jak mają brzmieć regulaminy ani jakie informacje powinny się tam znaleźć. Można powiedzieć, że RODO jest obojętne wobec regulaminów w e-sklepach.

„Tak” jest jednak również prawidłową odpowiedzią, ponieważ obecnie w wielu regulaminach e-sklepów znajdują się postanowienia dotyczące przetwarzania danych osobowych. RODO wskazuje, że wszelkie komunikaty dotyczące ochrony danych osobowych, jakie kierujesz do swoich klientów, powinny być pisane prostym językiem. Muszą też być łatwo dostępne. Z powyższego płynie wniosek, że jeśli posiadasz w regulaminie zapisy o danych osobowych, a cały regulamin napisany został dość trudnym, prawniczym językiem, to wskutek RODO… powinieneś go po prostu uprościć. 

Dobrym pomysłem będzie też „wyjęcie” postanowień dotyczących danych osobowych z regulaminu i umieszczenie ich w innym dokumencie, np. w polityce prywatności. Ewentualnie możesz kwestie danych osobowych umieścić na początku regulaminu, w łatwo zauważalnym miejscu – użycie pogrubienia lub większej czcionki wcale nie będzie złym pomysłem.

„To zależy” będzie jednak (jak zwykle) najlepszą odpowiedzią. Jeśli nie masz w regulaminie żadnych zapisów o przetwarzaniu danych osobowych – gratuluję! Wówczas możesz wrócić do odpowiedzi „nie”, co oznacza, że nie musisz nic zmieniać w regulaminie w związku z wejściem w życie RODO.

Jeśli natomiast skonstruowałeś swój regulamin w ten sposób, że zawarłeś w nim jakieś zgody na przetwarzanie danych osobowych – w takiej sytuacji, by spełnić wymogi RODO, powinieneś te zgody z regulaminu „wyjąć”. RODO wskazuje bowiem, że wszelkie zgody, jakie zbierasz od swoich klientów czy użytkowników, powinny być udzielane w pełni świadomie i dobrowolnie. Ukrycie zgód w regulaminie może spowodować, że po 25 maja 2018 r. ktoś zakwestionuje ich prawidłowość. Jak wiadomo, regulaminy są zazwyczaj akceptowane bez czytania. O ile na gruncie „zwykłych” przepisów nie stanowi to problemu (przyjmujemy, że użytkownik na własne ryzyko klika akceptację regulaminu bez jego czytania), o tyle RODO wymaga większej dbałości i staranności w celu upewnienia się, że zgoda została wyrażona w sposób świadomy.

Zgody

RODO nie nakazuje wprost właścicielowi e-sklepu ponownie zbierać, odnawiać czy walidować poprzednio zebranych zgód. Jeśli jednak podjąłeś decyzję, że chcesz dostosować się do RODO, chcesz spełniać wszystkie jego wymogi, to jednym z elementów takiego audytu powinno być sprawdzenie, czy posiadane przez Ciebie zgody są prawidłowe. 

Jeśli chcesz uporządkować w swojej firmie kwestie przetwarzania danych osobowych, to doradzam również zastanowienie się i sprawdzenie, czy w ogóle potrzebujesz zgód od swoich klientów wszędzie tam, gdzie dotychczas ich o to prosiłeś. Nie trzeba bowiem odbierać zgody, jeśli podstawą do przetwarzania danych jest przepis prawa (np. cele księgowe – ustawa o rachunkowości wyznacza zakres i czas przechowywania informacji na ten cel), wykonywanie umowy albo tzw. prawnie uzasadniony interes (np. bezpieczeństwo IT). 

Jednym z najczęstszych błędów, które zauważam w praktyce e-commerce, jest umieszczanie pod formularzem zamówienia checkboxa o treści „wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych przez XYZ Sp. z o.o. w celu realizacji zamówienia”. W świetle RODO, jak i na gruncie poprzednich przepisów – jest on niepotrzebny. Jeśli bowiem przetwarzasz dane osobowe w zakresie niezbędnym do wykonania umowy, to w ogóle nie potrzebujesz na to zgody klienta. Samo zawarcie umowy stanowi tutaj podstawę prawną przetwarzania danych. 

Wskazówka

Jeśli chodzi o zgody, dostosowując się do RODO, powinieneś sprawdzić:

  • Czy wszystkie zgody, które pobierasz w swoim e-sklepie, rzeczywiście są Ci potrzebne?
  • Czy, jeśli musisz w konkretnym celu zbierać zgodę, to robisz to w sposób prawidłowy?

 

Artykuł 4 pkt 11 RODO wskazuje, że zgoda dotycząca przetwarzania danych osobowych powinna być:

  • dobrowolna
  • świadoma
  • jednoznaczna,
  • konkretna.

Jeśli takie zgody pozyskałeś zgodnie z dotychczas obowiązującymi przepisami, to zachowują one ważność również po 25 maja 2018 r. 

Możesz jednak zastanawiać się, co oznaczają wyżej wymienione przymiotniki. Już śpieszę z wytłumaczeniem.

Dobrowolność zgody będzie zachodziła wówczas, gdy od jej udzielenia nie będziesz uzależniał sprzedaży produktów czy usług w swoim sklepie. Oczywiście chodzi tu o zgodę inną niż podanie danych do celów realizacji zamówienia, gdyż jak już wspomniałam, do tego celu nie potrzebujesz zgody na przetwarzanie danych osobowych. Możesz natomiast zechcieć poprosić swoich klientów – przy okazji wypełniania danych w koszyku – o ewentualne wyrażenie zgody np. na otrzymywanie newslettera lub na późniejszy kontakt telefoniczny z propozycjami kolejnych produktów, komplementarnych wobec pierwszego zamówienia. Taka dodatkowa zgoda powinna być całkowicie dobrowolna, nie można uzależniać od niej sprzedaży. Jeśli zbierasz tę zgodę w formie checkboxu, to okienko powinno być domyślnie odznaczone, a dopiero aktywne działanie użytkownika (kliknięcie) może powodować zaznaczenie zgody.

Przykład:

Prowadzisz e-commerce sprzedający meble kuchenne. Klient w Twoim sklepie wpisuje wymiary kuchni, specjalny program dobiera mu szafki, blaty i szuflady na podstawie wskazanych preferencji, następnie klient może zamówić same meble bądź meble z usługą montażu. Jeśli w toku zamówienia umieściłbyś obowiązkowy checkbox ze zgodą na przekazanie danych Twojego klienta do producenta sprzętów AGD w celu sporządzenia specjalnej, rabatowej oferty na kuchenkę, lodówkę i okap kuchenny – taka praktyka będzie niedozwolona. Zgoda w ten sposób „pobrana” nie będzie uważana za dobrowolną i producent sprzętów AGD może spotkać się z negatywnymi konsekwencjami, jeśli będzie chciał polegać na takiej zgodzie.

Opisany checkbox możesz oczywiście umieścić obok koszyka jako nieobowiązkowy. Możesz nawet zachęcać do jego zaznaczenia, np. tekstem „Jeśli chcesz dobrać do swojej kuchni urządzenia AGD z 10% rabatem, wyraź zgodę na otrzymywanie ofert od AGD.pl na Twój adres...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • 6 wydań magazynu "E-commerce Polska"
  • Dodatkowe artykuły niepublikowane w formie papierowej
  • Dostęp do czasopisma w wersji online
  • Dostęp do wszystkich archiwalnych wydań magazynu oraz dodatków specjalnych
  • ...i wiele więcej!
Sprawdź

Przypisy