RODO w e-commerce. Praktyczne wskazówki

Znika rejestr GIODO

Zacznijmy od rzeczy miłych i przyjemnych. Po 25 maja 2018 r. przestanie funkcjonować rejestr zbiorów danych osobowych, prowadzony obecnie przez GIODO. Jeśli założysz e-sklep po tej dacie, nie będziesz musiał zgłaszać swojej bazy klientów ani bazy marketingowej do GIODO. Jedna formalność mniej!

Jeśli prowadzisz sklep od dłuższego czasu i dokonałeś rejestracji w GIODO, to po 25 maja 2018 r.zgłoszenie po prostu przestanie obowiązywać.

Jeśli miałeś już sklep, ale nie zgłosiłeś go do GIODO, możesz spać spokojnie – nikt już się o to nie upomni.

Regulaminy

Często słyszę pytanie, czy RODO nakazuje coś zmieniać w regulaminie e-sklepu. „Nie”, „tak” i „to zależy” – wszystkie te trzy opcje są prawidłowymi odpowiedziami na to pytanie.

Odpowiedź „nie” jest prawidłowa, dlatego że RODO nie nakłada żadnych szczególnych obowiązków na przedstawicieli branży e-commerce. RODO nie mówi, jak mają brzmieć regulaminy ani jakie informacje powinny się tam znaleźć. Można powiedzieć, że RODO jest obojętne wobec regulaminów w e-sklepach.

„Tak” jest jednak również prawidłową odpowiedzią, ponieważ obecnie w wielu regulaminach e-sklepów znajdują się postanowienia dotyczące przetwarzania danych osobowych. RODO wskazuje, że wszelkie komunikaty dotyczące ochrony danych osobowych, jakie kierujesz do swoich klientów, powinny być pisane prostym językiem. Muszą też być łatwo dostępne. Z powyższego płynie wniosek, że jeśli posiadasz w regulaminie zapisy o danych osobowych, a cały regulamin napisany został dość trudnym, prawniczym językiem, to wskutek RODO… powinieneś go po prostu uprościć. 

Dobrym pomysłem będzie też „wyjęcie” postanowień dotyczących danych osobowych z regulaminu i umieszczenie ich w innym dokumencie, np. w polityce prywatności. Ewentualnie możesz kwestie danych osobowych umieścić na początku regulaminu, w łatwo zauważalnym miejscu – użycie pogrubienia lub większej czcionki wcale nie będzie złym pomysłem.

„To zależy” będzie jednak (jak zwykle) najlepszą odpowiedzią. Jeśli nie masz w regulaminie żadnych zapisów o przetwarzaniu danych osobowych – gratuluję! Wówczas możesz wrócić do odpowiedzi „nie”, co oznacza, że nie musisz nic zmieniać w regulaminie w związku z wejściem w życie RODO.

Jeśli natomiast skonstruowałeś swój regulamin w ten sposób, że zawarłeś w nim jakieś zgody na przetwarzanie danych osobowych – w takiej sytuacji, by spełnić wymogi RODO, powinieneś te zgody z regulaminu „wyjąć”. RODO wskazuje bowiem, że wszelkie zgody, jakie zbierasz od swoich klientów czy użytkowników, powinny być udzielane w pełni świadomie i dobrowolnie. Ukrycie zgód w regulaminie może spowodować, że po 25 maja 2018 r. ktoś zakwestionuje ich prawidłowość. Jak wiadomo, regulaminy są zazwyczaj akceptowane bez czytania. O ile na gruncie „zwykłych” przepisów nie stanowi to problemu (przyjmujemy, że użytkownik na własne ryzyko klika akceptację regulaminu bez jego czytania), o tyle RODO wymaga większej dbałości i staranności w celu upewnienia się, że zgoda została wyrażona w sposób świadomy.

Zgody

RODO nie nakazuje wprost właścicielowi e-sklepu ponownie zbierać, odnawiać czy walidować poprzednio zebranych zgód. Jeśli jednak podjąłeś decyzję, że chcesz dostosować się do RODO, chcesz spełniać wszystkie jego wymogi, to jednym z elementów takiego audytu powinno być sprawdzenie, czy posiadane przez Ciebie zgody są prawidłowe. 

Jeśli chcesz uporządkować w swojej firmie kwestie przetwarzania danych osobowych, to doradzam również zastanowienie się i sprawdzenie, czy w ogóle potrzebujesz zgód od swoich klientów wszędzie tam, gdzie dotychczas ich o to prosiłeś. Nie trzeba bowiem odbierać zgody, jeśli podstawą do przetwarzania danych jest przepis prawa (np. cele księgowe – ustawa o rachunkowości wyznacza zakres i czas przechowywania informacji na ten cel), wykonywanie umowy albo tzw. prawnie uzasadniony interes (np. bezpieczeństwo IT). 

Jednym z najczęstszych błędów, które zauważam w praktyce e-commerce, jest umieszczanie pod formularzem zamówienia checkboxa o treści „wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych przez XYZ Sp. z o.o. w celu realizacji zamówienia”. W świetle RODO, jak i na gruncie poprzednich przepisów – jest on niepotrzebny. Jeśli bowiem przetwarzasz dane osobowe w zakresie niezbędnym do wykonania umowy, to w ogóle nie potrzebujesz na to zgody klienta. Samo zawarcie umowy stanowi tutaj podstawę prawną przetwarzania danych. 

 

Artykuł 4 pkt 11 RODO wskazuje, że zgoda dotycząca przetwarzania danych osobowych powinna być:

• dobrowolna
• świadoma
• jednoznaczna,
• konkretna.

Jeśli takie zgody pozyskałeś zgodnie z dotychczas obowiązującymi przepisami, to zachowują one ważność również po 25 maja 2018 r. 

Możesz jednak zastanawiać się, co oznaczają wyżej wymienione przymiotniki. Już śpieszę z wytłumaczeniem.

Dobrowolność zgody będzie zachodziła wówczas, gdy od jej udzielenia nie będziesz uzależniał sprzedaży produktów czy usług w swoim sklepie. Oczywiście chodzi tu o zgodę inną niż podanie danych do celów realizacji zamówienia, gdyż jak już wspomniałam, do tego celu nie potrzebujesz zgody na przetwarzanie danych osobowych. Możesz natomiast zechcieć poprosić swoich klientów – przy okazji wypełniania danych w koszyku – o ewentualne wyrażenie zgody np. na otrzymywanie newslettera lub na późniejszy kontakt telefoniczny z propozycjami kolejnych produktów, komplementarnych wobec pierwszego zamówienia. Taka dodatkowa zgoda powinna być całkowicie dobrowolna, nie można uzależniać od niej sprzedaży. Jeśli zbierasz tę zgodę w formie checkboxu, to okienko powinno być domyślnie odznaczone, a dopiero aktywne działanie użytkownika (kliknięcie) może powodować zaznaczenie zgody.

 

Dobrowolność zgody nie oznacza zakazu oferowania jakichś korzyści w zamian za wyrażenie zgody. Proponowanie e-booka, webinaru czy innej formy wartościowych treści w zamian za zapisanie się na newsletter będzie jak najbardziej dozwolone.

Świadoma zgoda to taka, którą użytkownik wyraża w sposób aktywny, w pełni zdając sobie sprawę z tego, co robi. Zaznaczenie checkboxa jest dobrym przykładem – użytkownik musi kliknąć w odpowiednie miejsce, a więc wykonuje tę czynność intencjonalnie. Nie uzyskasz jednak świadomej zgody, jeśli checkbox będzie domyślnie zaznaczony. Braku działania czy braku sprzeciwu nie można uważać za świadomą zgodę. Wszelkie zgody pozyskiwane na gruncie RODO muszą polegać na tzw. modelu opt-in, a nie opt-out. 

Niemniej jednak świadoma zgoda nie musi mieć formy checkboxa. RODO wprowadza tutaj ułatwienie w stosunku do poprzednich przepisów, wskazując wprost, że zgoda może być wyrażona także poprzez „wyraźne działanie”. Jeśli odpowiednio sformułujesz komunikaty płynące do klienta, to czasem nawet samo wpisanie adresu e-mail lub wpisanie numeru telefonu w odpowiednie okienko, będzie uważane za świadomą zgodę. Musisz jedynie upewnić się, że czynność, którą chcesz uważać za zgodę, jest wystarczająco wyraźna.

W ten sposób dochodzimy do kolejnej cechy, którą musi posiadać zgoda na przetwarzanie danych osobowych na gruncie RODO. Zgoda jednoznaczna, wyraźna, to zgoda niezaprzeczalna. Konkretne działanie lub oświadczenie musi być niewątpliwym przyzwoleniem na konkretne czynności, których chcesz następnie dokonywać. Jeśli pojawia się wątpliwość, czy aby na pewno użytkownik miał na myśli to samo, co Ty – wówczas zgoda traci przymiot wyraźności i będzie mogła być zakwestionowana. 

 

Ostatnią, ale nie mniej ważną cechą, jaką musi wykazywać zgoda w świetle RODO, jest konkretność. Jeśli ktokolwiek ma wyrazić konkretną zgodę na przetwarzanie swoich danych osobowych, to musi wiedzieć:

• komu udziela zgody – warto zatem w treści zgody podać pełną nazwę Twojej firmy. Nieskuteczne będzie pobieranie zgody na cele własne „i partnerów” albo „i spółek należących do grupy kapitałowej”;
• na jaki konkretnie cel – „cele marketingowe” będą zazwyczaj dostatecznie sprecyzowanym celem. W innych sytuacjach warto natomiast zadbać o to, by nie zbierać danych jednocześnie w kilku niepowiązanych ze sobą celach i gdy nie są one konieczne z główną Twoją działalnością (czyli działalnością sprzedażową);
• jakich danych to dotyczy – w przypadku e-sklepu zakres zbieranych danych będzie zazwyczaj oczywisty. Jeśli jednak korzystasz z zaawansowanego e-mail marketingu, systemu Marketing Automation lub zaawansowanych systemów wspierających sprzedaż, warto uświadomić klientów, że przetwarzasz także takie ich dane, jak historia zakupów czy historia otwieralności e-maili.

Nowe prawa

RODO wprowadza kilka nowych uprawnień dla osób, których dane są przetwarzane. Dla Ciebie jako właściciela e-sklepu istotne będą przede wszystkim dwa z nich: 

• prawo do bycia zapomnianym, 
• prawo dostępu do swoich danych wraz z prawem otrzymania ich kopii.

Prawo dostępu klienta do swoich danych najprawdopodobniej już realizujesz – poprzez możliwość zalogowania się do swojego konta w Twoim sklepie, możliwość podglądu i modyfikowania swoich danych, a także możliwość przeglądania historii swoich zakupów.

Po 25 maja 2018 r. musisz klientom umożliwić również uzyskanie kopii wszystkich ich danych. Powinien to być raport podobny do tego, jaki obecnie można wygenerować z kont bankowości elektronicznej (ich dane + historia operacji na koncie). Jeśli obecnie platforma, na której funkcjonuje Twój sklep, nie posiada takiej funkcjonalności, to najprawdopodobniej niedługo ją uruchomi.

Jeśli chodzi o prawo do bycia zapomnianym, nie musisz się przerażać. Prawo to nie jest bezwzględne i nie nakazuje Ci usunięcia wszelkich danych klienta, gdy tylko on tego zechce. Przykładowo, g...