RODO w działalności e-commerce

 

 

Sprzedaż internetowa jest obecnie jednym z najpopularniejszych typów transakcji handlowych i konsumenckich. Oczywiście ich skala zależy od rodzaju asortymentu i charakteru prowadzonej działalności, jednak w niektórych branżach sklepy internetowe wyraźnie dominują obrotem nad sklepami stacjonarnymi. Intensywny rozwój działalności e-commerce wymusił na ustawodawcy potrzebę prawnych regulacji. Obecnie kwestię sprzedaży internetowej w głównej mierze reguluje ustawa o świadczeniu usług drogą elektroniczną oraz szereg odrębnych przepisów, w tym ustawa o prawach konsumenta. Z tymi ustawami ściśle wiążą się przepisy RODO, które regulują obowiązki właściciela sklepu jako administratora danych osobowych oraz prawa kupującego w zakresie przetwarzania danych, które udostępnił. 

 

Z punktu widzenia prawa istotne są przede wszystkim dwa dokumenty, które regulują działalność sklepów e-commerce – regulamin sklepu internetowego oraz polityka prywatności. Oczywiście inne nazwy są również dozwolone, ważne, aby w obu dokumentach znalazły się treści, które są wymagane przez przepisy prawa.

 

Regulamin sklepu powinien zawierać typowe postanowienia dotyczące umowy sprzedaży, np. uregulowanie zasad płatności, warunki wysyłki, prawo do odstąpienia od umowy, czy też warunki reklamacji. Wszelkie postanowienia dotyczące umowy sprzedaży powinny być opracowane, mając na uwadze interesy i prawa konsumentów. Rejestr umownych klauzul niedozwolonych prowadzony jest przez Urząd Ochrony Konkurencji i Konsumentów. 

 

W regulaminie sklepu internetowego warto również zamieścić postanowienia dotyczące przetwarzania i ochrony danych osobowych. Powinny one obejmować informacje dotyczące określenia administratora danych oraz podstaw prawnych do przetwarzania danych osobowych. W przypadku sklepów internetowych jest to przede wszystkim umowa oraz prawnie uzasadniony interes administratora w przypadku obrony przed potencjalnymi roszczeniami (ewentualnie zgoda, jeżeli sklep zyskał akceptację na przesyłanie informacji drogą mailową lub telefoniczną). Jednakże, co istotne, taki rozdział w regulaminie sklepu nigdy nie może zastąpić kompleksowej polityki prywatności, która powinna szczegółowo określać m.in. zakres przetwarzanych danych, odbiorców danych czy też pouczenie dotyczące praw, jakie im przysługują. Przed spisaniem polityki należy dokonać szczegółowej analizy, do jakich danych sklep internetowy ma dostęp i gdzie dokładnie te dane się znajdują.

 

W zależności od oferowanych przez sklep internetowy produktów i usług zakres zbieranych danych może się różnić. Często właściciele sklepów internetowych nie zdają sobie sprawy, że mają dostęp do tzw. danych wrażliwych. Przykładowo taka sytuacja ma miejsce gdy sklep internetowy oferuje usługi lecznicze, które wymagają udostępnienia przez klienta informacji na temat stanu jego zdrowia. Oprócz tego, że właściciel sklepu internetowego zobligowany jest pozyskać wyraźną zgodę na przetwarzanie takich danych (a także wyraźnie poinformować o fakcie przetwarzania w swojej polityce prywatności), dodatkowo powinien wdrożyć szczególne zabezpieczenia, które uchronią jego i osobę, której dane dotyczą przed potencjalnym naruszeniem przetwarzania danych o szczególnej wartości i podlegających szczególnej ochronie. 

Dodatkowo właściciele sklepów internetowych często nie są świadomi, że korzystając z usług zewnętrznych podmiotów, np. w zakresie hostingu, udostępnione im dane osobowe mogą być przesyłane poza obszar Unii Europejskiej. Fakt ten nie oznacza, że przepisy RODO w zakresie tak zlokalizowanych danych nie obowiązują. Co więcej, taką informację należy również zamieścić w swojej polityce prywatności.

 

Jeżeli właściciel sklepu internetowego nie jest pewny, co dokładnie dzieje się z danymi, do których ma dostęp, zasadnym jest dokonanie szczegółowego audytu organizacyjnego i technicznego. Wyspecjalizowani eksperci w zakresie ochrony danych osobowych dokładnie określą ryzyka związane z przetwarzaniem danych przez konkretny podmiot oraz przygotują raport w tym zakresie. Rekomendowanym rozwiązaniem jest również skorzystanie z usług wdrożenia polityki ochrony danych osobowych zgodnej z rozporządzeniem RODO. Dzięki takiemu wdrożeniu sklepy internetowe mogą otrzymać kompleksową dokumentację oraz zastosować środki techniczne stosowne do niezbędnych działań w zakresie ochrony danych osobowych.

 

Oprócz konkretnych treści, które powinny zostać umieszczone w polityce prywatności (dokładnie sprecyzowane w art. 13 RODO), sklepy internetowe powinny zadbać również o umiejscowienie, styl oraz wygląd swojej polityki prywatności. Przede wszystkim klient zawsze powinien mieć łatwy dostęp do informacji na temat swoich danych osobowych. Warto na swojej stronie internetowej stworzyć widoczną zakładkę, z której jasno będzie wynikać, że klikając w nią, można uzyskać informacje o procesach przetwarzania danych (istotny jest również tytuł takiego dokumentu np. „Ochrona danych osobowych”, „Przetwarzanie danych osobowych”, „Prywatność”). Ponadto, polityka prywatności powinna zostać napisana prostym językiem, który nie będzie powielał prawniczych określeń, często niezrozumiałych dla konsumenta. Klient po zapoznaniu się z polityką prywatności ma być pewien, że dane, które udostępnił, są przetwarzane w sposób bezpieczny. W przypadku zastosowania niezrozumiałych i skomplikowanych określeń sklepy internetowe mogą zostać posądzone o naruszenie jednej z podstawowych zasad określonych przez RODO, tj. zasady przejrzystości. Przejrzystość oznacza również, że tworząc politykę prywatności, należy zadbać o jej wizualną stronę. Warto zrezygnować z ciągłego tekstu na rzecz oddzielnych akapitów, wypunktowań, które poprzedzone będą ogólnym „spisem treści”.

 

Z e-commerce wiąże się również działalność marketingowa. Trudno wyobrazić sobie, aby sklepy internetowe nie podejmowały kroków mających na celu pozyskiwanie nowych klientów. Oczywiście takie działania marketingowe wiążą się z przetwarzaniem danych osobowych. Przede wszystkim należy pamiętać, że dane klienta, które zostały uzyskane w wyniku zawartej umowy sprzedaży, nie mogą automatycznie posłużyć do promowania kolejnych produktów, np. poprzez wysyłkę mailową lub kontakt telefoniczny. Oprócz RODO zastosowanie w takim wypadku mają również przepisy polskich ustaw – o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego, które w obligują do zbierania zgód na podejmowanie działań marketingowych. 

 

Jak już zostało wskazane, decydując się na działalność e-commerce, często właściciele sklepów internetowych muszą podjąć współpracę z zewnętrznymi podmiotami, które świadczą usługi, np. kurierskie, w zakresie hostingu, czy też płatności internetowych. W takich wypadkach może dojść do powierzenia tym podmiotom danych osobowych. Nie zawsze jednak jest przesądzone, że podmiot zewnętrzny będzie procesorem, z którym powinniśmy zawrzeć umowę powierzenia, niezbędną w zakresie przetwarzania danych osobowych. Często taki podmiot może być odrębnym administratorem lub naszym współadministratorem. Wytyczne organów nadzorczych w tym zakresie ostatecznie nie przesądzają, jaka jest rola poszczególnych podmiotów w procesach przetwarzania danych. Dopiero szczegółowa analiza i audyt relacji konkretnych podmiotów pozwoli ocenić zakres ich odpowiedzialności w procesach przetwarzania.

 

Działalność e-commerce nierozłącznie wiąże się z przetwarzaniem danych osobowych. Każdy sklep internetowy powinien dokonać szczegółowej analizy dokonywanych procesów pod względem, m.in. posiadanej dokumentacji (zarówno wewnętrznej, jak i zewnętrznej), zakresu przetwarzanych danych oraz zabezpieczeń, które są wykorzystywane. 

 

Jeśli są Państwo zainteresowani szczegółowym omówieniem zagadnienia lub audytem prawno-technologicznym, eksperci Rödl & Partner pozostają do dyspozycji w biurach w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.