Jeżeli prowadzisz sklep internetowy powinieneś być świadomy, że działalność ta wiąże się ze spełnianiem obowiązków z różnych aktów prawnych. Oprócz RODO są to między innymi ustawa o świadczeniu usług drogą elektroniczną oraz ustawa Prawo telekomunikacyjne. Przepisy wskazanych ustaw mają szczególne znaczenie w zakresie sposobów zbierania danych i celów ich przetwarzania. RODO nie wpłynęło na zakres regulacji w tych ustawach, niestety wiele sklepów internetowych nigdy nie było dostosowanych do tych przepisów.
Podstawowe dokumenty na stronie Twojego sklepu
Każdy dobrze przygotowany do RODO sklep internetowy powinien posiadać:
- Regulamin;
- Politykę prywatności i plików cookies;
- Formularz odstąpienia od umowy;
- Formularz reklamacyjny.
Wydawałoby się, że wystarczy użyć wzoru i odrobinę go przerobić, aby uzyskać odpowiedni dokument, który można wdrożyć na stronie sklepu. Niestety nic bardziej mylnego. Wszelkie postanowienia odnoszące się do danych osobowych, a szczególnie te w Polityce prywatności i plików cookies muszą być przygotowywane indywidualne. Właściciele sklepów internetowych korzystają bowiem z różnych narzędzi śledzących, wtyczek do mediów społecznościowych, logów, zbierają różne dane i przetwarzają je w celach, które niekoniecznie będą pokrywać się z Twoimi celami przetwarzania danych, o których powinieneś poinformować swoich użytkowników.
Audyt prawny
Dlatego, aby odpowiednio przygotować te dokumenty należy najpierw przeprowadzić audyt, obejmujący między innymi takie kwestie jak: rodzaje i zakres przetwarzanych danych, postawę prawną tego przetwarzania (czasem okazuje się, że takiej podstawy nie ma i należy zaprzestać przetwarzania), cele tego przetwarzania, co do określonych danych, retencję danych (czyli czas przechowywania danych), podmioty przetwarzające i narzędzia, za pomocą których przetwarzane są dane. Inaczej bowiem będzie wyglądało przetwarzanie danych w ramach konkursów organizowanych na stronie, inaczej w związku ze składanymi przez klientów zamówieniami, a jeszcze inaczej w związku z marketingiem usług sklepu czy korzystania z formularza kontaktowego. Te wszystkie kwestie należy opisać w Polityce prywatności i plików cookies. Dodatkowo informacje w zakresie cookies nie mogą bez konsekwencji ograniczać się jak dotychczas tylko do wymienienia, jakich plików używa strona i ogólnego celu ich używania. Należy pamiętać, że korzystanie choćby z takiego narzędzia jak podstawowe Google Analitycs, nie mówiąc już o Google Adwords (obecnie Google Ads) wiąże się z koniecznością dopełnienia kilku obowiązków w zakresie ochrony danych osobowych, wskazanych w politykach Google. Znaczenie mają również wtyczki do mediów społecznościowych zainstalowane na stronie oraz konta w mediach społecznościowych (jak np. fanpage na Facebooku). A propos tego ostatniego – na nim również powinna znajdować się informacja dla użytkowników Facebooka, że w ramach korzystania przez nich z Twojego fanpage’a stajesz się administratorem ich danych osobowych.
Baza klientów do celów marketingowych a odpowiednie zgody
Jest to temat, który zwykle sprawia najwięcej problemów. Nie jest bowiem tak, że dane klientów np. z zamówień można wykorzystywać w dowolny sposób i do dowolnych celów. Takie dane możesz wykorzystywać co do zasady tylko w celu obsługi zamówienia, ewentualnych reklamacji czy gwarancji, a także przechowywać je dla ochrony przed roszczeniami lub dochodzenia roszczeń. Niektórzy wskazują również na marketing usług własnych na podstawie uzasadnionego interesu, ale interes ten w danym przypadku może być na tyle ocenny, że bezpieczniejsze dla Ciebie będzie działanie na podstawie zgody.
I tutaj zaczynają się schody, bo zgody są co najmniej dwie, jak nie trzy biorąc pod uwagę, że na marketing usług własnych też będziemy zbierać zgodę.
Zgoda na przesyłanie informacji handlowych oraz na środki komunikacji
Mamy mianowicie zgodę z art. 10 ustawy o świadczeniu usług drogą elektroniczną na przesyłanie informacji handlowych drogą elektroniczną (co obejmuje też wysyłanie smsów) oraz zgodę z art. 172 Prawa telekomunikacyjnego na używanie w kontakcie określonych kanałów komunikacji (tj. e-maila, telefonu, Skype’a). Co istotne tylko zaznaczenie przez użytkowania obydwu zgód pozwoli na wysyłanie do niego regularnych wiadomości email obejmujących informacje handlowe. Takimi informacjami są wszystkie informacje przeznaczone bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi. W praktyce większość informacji wysyłanych przez przedsiębiorców w ramach zebranych baz mailingowych obejmuje nie tylko informacje marketingowe, ale również handlowe.
Trochę inaczej sytuacja kształtuje się w przypadku zapisu na newsletter. Tutaj bowiem można przyjąć, że już sam zapis na newsletter nie tylko stanowi zgodę na mocy przepisów RODO, ale również zastępuje zgodę z art. 172 Prawa komunikacyjnego na środek komunikacji jakim jest e-mail.
Umowy powierzenia i umowy z kontrahentami
Pozostałe obowiązki są nie mniej ważne. Jedną z podstawowych rzeczy, jaką obejmuje wdrożenie RODO jest audyt podmiotów przetwarzających. Przedsiębiorca musi zatem sprawdzić z usług jakich podmiotów korzysta oraz jakie narzędzia wykorzystuje. Czy podmioty te gwarantują odpowiednią ochronę danych osobowych? Czy w ramach przetwarzania danych dochodzi do transferu danych poza EOG (Europejski Obszar Gospodarczy)? Czy z wszystkimi zweryfikowanymi podmiotami zostały zawarte umowy powierzenia?
Należy również pamiętać, że RODO chroni dane osobowe nie tylko konsumentów, ale również kontrahentów – przedsiębiorców prowadzących jednoosobową działalność gospodarczą. To też osoby fizyczne, a RODO nie czyni wyjątku względem „danych ogólnodostępnych” np. z CEIDG – Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Ochronie podlegają też dane osób wykonujących czynności na rzecz tych kontrahentów. Dlatego należy uaktualnić bieżące umowy z kontrahentami, a w zakresie umów już zrealizowanych wypełnić obowiązek informacyjny (w końcu same faktury należy przechowywać 5 lat).
Pozostała dokumentacja w zakresie wdrożenia RODO w sklepie internetowym
Przygotować należy także takie podstawowe dokumenty jak: Politykę ochrony danych (podstawowy dokument, który powinien mieć każdy przedsiębiorca), upoważnienia i ewidencję upoważnień, instrukcję reagowania na żądania dotyczące praw podmiotów danych, instrukcję reagowania na incydenty, analizę ryzyka (więcej na ten temat we wpisie tutaj) oraz inne dokumenty wymagane przez RODO lub wskazywane jako obligatoryjne przez Prezesa Urzędu Ochrony Danych Osobowych. Co więcej nie należy zapominać o stworzeniu w odpowiednim zakresie polityki retencji danych oraz rejestru czynności przetwarzania. Co do zasady dokumenty te powinny obejmować odpowiednio okres przechowywania danych i zbiór wszystkich czynności w całym przedsiębiorstwie, zatem w przypadku polityki retencji również dane pracowników czy zleceniobiorców w procesach wewnętrznych, ale jest to już kwestia wdrożenia RODO w obszarze wewnętrznym.
Podsumowanie
Jak wynika z powyższego, tylko ogólnego poruszenia kwestii związanych z wdrożeniem RODO w sklepie internetowym, kompleksowe przystosowanie takiej działalności do wymagań RODO może stanowić pewne wyzwanie. Dlatego jako przedsiębiorca powinieneś śledzić szczególnie strony Ministerstwa Cyfryzacji i Urzędu Ochrony Danych Osobowych, na których publikowane są wytyczne i poradniki w zakresie przetwarzania danych osobowych. Nie powinieneś również zapominać o aspektach informatycznych/technologicznych przetwarzania danych osobowych. W ochronie danych chodzi bowiem o faktyczne bezpieczeństwo danych osobowych i to powinno być dla Ciebie priorytetem.
Dodaj komentarz