Audyt sklepu internetowego- Nasi Klienci często zwracają się do nas z prośbą o sprawdzenie pod kątem RODO wybranych zakładek, checkboxów czy komunikatów na stronie ich sklepu. Z naszej praktyki wynika, że wybiórcza weryfikacja określonych rozwiązań nie jest bezpieczna.  Zalecamy przeprowadzenie kompleksowego audytu pod kątem RODO w każdym sklepie internetowym, tak aby mieć pewność, że sklep jest w pełni dostosowany do nowych wymagań dotyczących ochrony danych osobowych. Po przeprowadzeniu audytu możliwe jest stwierdzenie czy treści zamieszczone w sklepie spełniają warunki wynikające z RODO czy też wymagają modyfikacji.

W tym artykule opiszemy w kilku punktach  jaki powinien być zakres standardowego audytu oraz na co trzeba zwrócić szczególną uwagę weryfikując sklep pod kątem RODO. Oczywiście każdy sklep jest inny i może wymagać szerszego zakresu sprawdzenia – dlatego też zawsze zalecamy konsultację z prawnikiem i zlecenie przeprowadzenie mu indywidualnego audytu.

 

Zakres audytu sklepu pod kątem RODO oraz podstawa prawna

Podstawą prawną do przeprowadzenia audytu sklepu pod kątem RODO jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO. Rozporządzenie to uchyliło poprzednie, polskie rozwiązania w zakresie ochrony danych osobowych, w związku z tym nie są w ogóle brane pod uwagę w kontekście weryfikacji sklepu.

Na marginesie należy wskazać, że w kompleksowym audycie pod kątem RODO nie może zabraknąć weryfikacji treści także pod kątem prawa konsumenckiego, tak aby nie okazało się, że sklep jest w pełni dostosowany do RODO, a przykładowo w regulaminie znajdują się liczne klauzule niedozwolone.

Jeżeli chodzi o zakres – w ramach audytu powinny być sprawdzone wszystkie najważniejsze elementy sklepu internetowego: od dokumentacji zaczynając po treści informacyjne w zakładkach oraz checkboxy. Poniżej wskazujemy obowiązkowe elementy audytu pod kątem RODO w sklepie internetowym:

1) Audyt sklepu internetowego – regulamin;

2) Audyt polityki prywatności sklepu internetowego;

3) Audyt sklepu internetowego- zakładki informacyjne (w tym zakładki typu kontakt, reklamacje i zwroty, o nas, sposoby płatności, koszty dostawy );

4) Audyt formularzy oraz checkboxów w sklepie internetowym (w tym zgoda dot. regulaminu, zgoda dot. polityki prywatności, zgoda marketingowa, zgoda dot. wyrażenia opinii);

5) Weryfikacja zgodności stosowanych zgód z polityką prywatności sklepu internetowego;

6) Weryfikacja poprawności komunikatu dot. stosowania plików Cookies w sklepie internetowym.

Oczywiście przeprowadzając audyt sklepu internetowego, mogą być także sprawdzone inne kwestie, jednak powyżej wskazaliśmy obowiązkowe elementy, które zawsze powinny być brane pod uwagę.

 

Regulamin oraz Polityka prywatności zgodna z RODO

Kluczowym punktem w sprawdzaniu sklepu pod kątem RODO powinna być weryfikacja dostosowania do nowych wymagań regulaminu oraz polityki prywatności.

Zgodny z prawem regulamin sklepu internetowego jest niezwykle istotny nie tylko z punktu widzenia sprzedawcy, ale też z punktu widzenia każdego klienta sklepu, ponieważ zarówno sprzedawca, jak i klient są jednocześnie stronami zawieranych umów sprzedaży. Regulamin zatem ma za zadanie kształtować prawa i obowiązki obu stron umowy: sprzedawcy i klienta.

Oczywiście audyt regulaminu sklepu powinien także obejmować sprawdzenie wszystkich zapisów pod kątem klauzul niedozwolonych oraz prawa konsumenckiego. Dopiero wtedy możemy przejść do następnego kroku, a więc analizy regulaminu mając na uwadze ochronę danych osobowych.

W regulaminie w związku z RODO powinny być wskazane następujące informacje: dane administratora danych osobowych (zdecydowanie najczęściej będzie to sprzedawca), ogólne cele, zakres, podstawy oraz zasady dotyczące przetwarzania danych osobowych (tutaj zalecamy odesłanie do polityki prywatności sklepu oraz jej podlinkowanie ).  W samym regulaminie oprócz wyżej wskazanych kwestii powinna się znaleźć także informacja o dobrowolności w zakresie korzystania ze sklepu, w tym dokonywania zakupów, tak samo jak podanie danych osobowych z zastrzeżeniem wyjątków wskazanych w polityce prywatności (zawarcie umowy oraz obowiązki ustawowe sprzedawcy).

Polityka prywatności z kolei to dokument o charakterze informacyjnym,  przedstawiający zasady oraz podstawy przetwarzania i ochrony danych osobowych w danym sklepie internetowym, a więc dokument mający fundamentalne znaczenie, jeżeli chodzi o RODO.

Ustawodawca unijny przyjął założenie, zgodnie z którym każdy użytkownik strony internetowej ma prawo wiedzieć dokładnie w jakich celach, przez kogo i w jaki sposób jego dane mogą być wykorzystywane. Rozporządzenie RODO w art. 13 nakłada na Ciebie jako administratora obowiązek poinformowania użytkownika strony sklepu o kwestiach takich jak:

• dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
• jeżeli wyznaczyłeś w swojej firmie inspektora ochrony danych – dane kontaktowe tej osoby;
• cele i podstawy prawne przetwarzania danych osobowych;
• kategorie odbiorców danych osobowych – jeżeli przekazujesz dane klientów jakimś podmiotom zewnętrznym (np. firmy kurierskie);
• przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
• konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
• prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
• prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
• prawie do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
• czy wymóg podania danych osobowych podczas korzystania ze sklepu jest warunkiem koniecznym do zawarcia umowy (np. umowy sprzedaży) w sklepie oraz jakich danych i jakich sytuacji taki wymóg dotyczy;
• zautomatyzowane podejmowanie decyzji w stosunku do klientów w tym tzw. profilowanie klientów oraz zasady działania tego typu mechanizmów, jeżeli są stosowane w sklepie.

Powyższe elementy to obowiązkowy „szkielet” Polityki Prywatności.  Należy mieć na uwadze to, że tak jak regulamin – tak polityka prywatności musi być każdorazowo dopasowana do danego sklepu internetowego. Indywidualnie powinny być przeanalizowane takie kwestie jak: cele, zakres przetwarzanych danych, kategorie odbiorców czy stosowanie profilowania i plików Cookies. 

 

Audyt sklepu internetowego- zakładki informacyjne

W sklepach internetowych znajdziemy różnego rodzaju zakładki informacyjne. Najczęściej występujące to: zakładka typu „Kontakt”, „O nas”, „Reklamacje i zwroty”, „Sposoby płatności” czy „Koszty dostawy”.

Zakładki informacyjne często stanowią rozwinięcie treści, które z różnych przyczyn nie mogły się znaleźć w regulaminie. Treści w zakładkach informacyjnych bardzo często także charakteryzują się mniejszym formalizmem niż analogiczne informacje w regulaminie czy polityce prywatności.  Chociaż w zakładkach sprzedawcy mają większą swobodę przy konstruowaniu treści, nie zmienia to faktu, że zakładki również podlegają weryfikacji w razie ewentualnej kontroli.

Analizę treści zakładek należy przeprowadzać dwutorowo: zarówno pod kątem klauzul niedozwolonych i prawa konsumenckiego jak i pod kątem RODO.

Każda zakładka, w zależności od tego jakim kwestiom została poświęcona powinna być odrębnie przeanalizowana. Przykładowo w zakładce typu „O nas” nie powinno zabraknąć pełnych danych sprzedawcy, a w zakładce „Kontakt” i znajdującym się w niej formularzu kontaktowym obligatoryjnie powinien się znaleźć checkbox z oświadczeniem o zapoznaniu się z Polityką Prywatności. Z kolei w zakładkach dot. reklamacji i zwrotów należy zwrócić szczególną uwagę na zgodność z prawem pouczeń. Częstym błędem w zakładkach poświęconych reklamacji czy odstąpieniu od umowy jest narzucanie klientom formy złożenia danego oświadczenia czy obowiązku wypełnienia formularza.

Zakres audytu zakładek zależy zatem od złożoności zawartych w nich treści i tym samym w przypadku każdego sklepu wygląda on nieco inaczej.

 

Checkboxy

Checkboxy umożliwiają w czytelny dla klienta oraz nieskomplikowany dla Ciebie technicznie sposób uzyskać zgodę klienta. Dzięki takim zgodom – checkboxom masz możliwość wykazania, że spełniłeś obowiązki informacyjne wobec klienta.

Weryfikacja checkboxów jest zatem jednym z kluczowych elementów. Audyt sklepu internetowego pod kątem RODO jest ważny, należy pamiętać o tym, że żaden checkbox w sklepie internetowym nie może być domyślnie zaznaczony – oświadczenie klienta musi być zawsze wyraźne. Zatem klient każdorazowo musi aktywnie zaznaczyć checkbox.

Checkboxy, które powinny występować w każdym sklepie internetowym to checkbox ze zgodą na regulamin sklepu oraz checkbox z potwierdzeniem zapoznania się z polityką prywatności.

Checkbox dotyczący regulaminu nie jest wprost wymagany przez RODO. Spełnia on przede wszystkim wymogi informacyjne ustanowione w ustawie o prawach konsumenta, reguluje umowę sprzedaży jako tzw. wzorzec umowny, a także określa zasady korzystania z usług elektronicznych w sklepie.

Z kolei checkbox z potwierdzeniem zapoznania się z polityką prywatności pełni ważną funkcję w spełnieniu obowiązków informacyjnych wynikających z RODO. Zaleca się, aby te checkboxy były oddzielne – ze względu na to, że oba dokumenty mają odmienny charakter prawny.

W przypadku, gdy zamierzasz zbierać dane klientów, aby wykorzystać je później w celu marketingu a więc np. wysyłania materiałów reklamowych na adres e-mail podany przy rejestracji konta, potrzebne jest odebranie od klientów zgody na ten rodzaj przetwarzania jego danych.

Ta sytuacja różni się od przetwarzania danych np. w celu prowadzenia konta klienta lub w celu realizacji zamówienia złożonego w sklepie internetowym. W tamtych przypadkach podstawą do przetwarzania danych jest konieczność realizacji umowy zawieranej z klientem.

W przypadku marketingu, podstawą do przetwarzania danych jest wyraźna zgoda klienta. Checkbox, który umożliwia wyrażenie tej zgody ma więc nie tylko charakter informacyjny – jego zaznaczenie jest również podstawą przetwarzania danych. W związku z tym, wymagania co do treści takiego checkboxa są również bardziej restrykcyjne. Zalecane jest, aby najważniejsze informacje związane z przetwarzaniem danych zawrzeć już w treści checkboxa a dopiero dodatkowo odesłać do polityki prywatności.

Opisane powyżej checkboxy pojawiają się prawie we wszystkich sklepach internetowych. W niektórych przypadkach możesz potrzebować również innych checkboxów. Niektóre inne zgody, jakie mogą być wymagane w sklepie internetowym to:

• zgoda na tzw. marketing zewnętrzny, a więc marketing produktów lub usług Twoich partnerów handlowych;
• zgoda na przekazanie danych portalom typu Ceneo/Opineo i na ich przetwarzanie przez te portale w celu wysłania klientowi zaproszenia do wyrażenia opinii o zakupie;
• zgoda na przekazanie danych osobowych Twoim partnerom handlowym w celu prowadzenia bezpośrednio przez nich marketingu ich produktów i usług – tutaj przede wszystkim zalecane jest, aby wymienić podmioty, którym zamierzasz w taki sposób przekazywać dane.

Każda z tych zgód musi być dobrowolna oraz wyraźna. Stąd również powinny one być wyrażone w formie odrębnych checkboxów. Tak samo jak opisana wyżej zgoda marketingowa, checkboxy te nie mogą być obowiązkowe, nie powinny też być domyślnie zaznaczone.

 

Pliki Cookies

Ważnym punktem audytu sklepu pod kątem RODO jest również analiza stosowania plików Cookies w sklepie.

Pliki Cookies są to niewielkie informacje tekstowe w postaci plików tekstowych, wysyłane przez serwer, które są zapisywane po stronie osoby odwiedzającej sklep internetowy (np. na dysku twardym komputera czy też na karcie pamięci smartfona).

Obecnie, w zasadzie każdy sklep internetowy stosuje pliki Cookies, część z nich jest niezbędna do funkcjonowania sklepu, część natomiast wspomaga usługodawcę przy np. kierowaniu do użytkowników dopasowanych reklam.

W związku z tym usługodawca powinien zidentyfikować pliki Cookies używane w swoim sklepie internetowym, zamieścić informację dot. używanych plików Cookies w formie np. polityki Cookies oraz uzyskać zgodę i prawidłowo poinformować użytkowników o stosowanych plikach Cookies. W trakcie audytu pod kątem RODO sprawdzamy zatem komunikat wyświetlający się użytkownikom odwiedzającym stronę.

Zalecany przez nas komunikat dot. stosowania plików Cookies powinien przede wszystkim informować o plikach Cookies, celu ich stosowania, sposobie kontrolowania ( w tym ustawień przeglądarki) oraz zawierać odesłanie do polityki prywatności sklepu.

Polityka plików Cookies z kolei może przybrać formę odrębnego od Polityki Prywatności dokumentu informacyjnego lub tworzyć z nią jeden dokument. Zalecamy, aby informacje o plikach Cookies dodawać do Polityki Prywatności, ponieważ pod kątem prawnym polityka Cookies ma te same cechy co polityka prywatności, różni się jedynie celem i zakresem zawartych w niej informacji.

Jakie informacje odnośnie plików Cookies powinny się znaleźć w Polityce Prywatności? Przede wszystkim jasno należy określić cele przetwarzania danych zawartych w plikach Cookies ( np. identyfikacja, zapamiętywanie produktów dodanych do koszyka, remarketing), sposób wyrażenia zgody. oraz wykorzystywanie narzędzi analitycznych. 

 

Odbiorcy danych i umowy powierzenia

Obecnie, praktycznie każdy sprzedawca prowadzący sklep internetowy będzie przekazywał dane swoich klientów zewnętrznym podmiotom. Audyt pod kątem RODO powinien zatem również obejmować analizę sposobu i zakresu przekazywania danych osobowych podmiotom trzecim.

Podstawowe sytuacje i kategorii podmiotów, którym z dużym prawdopodobieństwem będziesz powierzać dane osobowe swoich klientów to:

• firmy kurierskie – w celu dostarczenia produktów;
• firmy obsługujące płatności elektroniczne lub kartą płatniczą;
• podmioty udzielające kredytu, leasingodawcy;
• dostawcy systemu ankiet opiniujących;
• dostawcy oprogramowania komputerowego, którego potrzebujesz do prowadzenia sklepu internetowego, dostawcy poczty elektronicznej potrzebnej do wysyłania powiadomień e-mail związanych z realizacją zakupu lub w przypadku wysyłki newslettera;
• biuro księgowe lub kancelaria prawna – jeżeli korzystasz ze wsparcia księgowego czy też prawnego w związku z prowadzeniem sklepu.

Oczywiście, tych odbiorców danych może być więcej, w zależności od tego w jakich celach będzie przetwarzał dane, jakie funkcjonalności będą dostępne w Twoim sklepie i czyjej pomocy będziesz w związku z prowadzeniem sklepu potrzebował.

Ważne! RODO nakłada obowiązek zawierania z każdym podmiotem przetwarzającym w naszym imieniu dane osobowych klientów umowy powierzenia przetwarzania danych. Umowa ta powinna m.in. określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. RODO podaje też szereg dodatkowych zapisów, które taka umowa powinna zawierać. Brak takiej umowy stanowi naruszenie przepisów RODO. Zawarcie takiej umowy jest także w Państwa interesie – w razie kontroli na jej podstawie będą mogli Państwo wykazać zapewnienie należytej ochrony danych. 

 

Dokumentacja wewnętrzna

Audyt sklepu pod kątem RODO nie może pominąć także bardziej ogólnej kwestii – a mianowicie posiadania właściwej dokumentacji wewnętrznej. Należy pamiętać nie tylko o dostosowaniu funkcjonowania sklepu do RODO  w tym checkboxów, polityki prywatności czy przetwarzania danych zgodnie z zasadami i na ściśle określonych podstawach. W każdej firmie, która przetwarza dane osobowe, a więc nie tylko w przypadku prowadzenia sklepu internetowego, konieczna jest odpowiednia dokumentacja wewnętrzna. W skład dokumentacji wewnętrznej wchodzą takie dokumenty jak:

• Polityka bezpieczeństwa zawierająca m.in. główne zasady przetwarzania danych osobowych w firmie, zasady przetwarzania danych przez personel, wykaz urządzeń stosowanych do przetwarzania danych, obowiązki administratora i personelu, prawa osób, których dane dotyczą i sposoby ich realizacji, określenie obszaru przetwarzania danych, środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych;
• Udzielone przez administratora upoważnienia do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności.
• Ewidencja upoważnień do przetwarzania danych;
• Ewidencja podmiotów, którym powierzono przetwarzanie danych.
• Rejestr czynności przetwarzania.
• Ewidencja incydentów naruszeń zasad prawidłowego przetwarzania danych;
• Analiza ryzyka związanego z przetwarzaniem danych wraz z oceną skutków dla przetwarzania danych osobowych;
• Zawarte przez administratora umowy powierzenia danych osobowych.

Warto jednak pamiętać, iż sama dokumentacja nie będzie wystarczająca – niezbędne jest wprowadzenie w firmie odpowiednich zabezpieczeń i procedur związanych z przetwarzaniem danych osobowych oraz odpowiednie przeszkolenie pracowników.

 

Podsumowanie

Wymogi związane z danymi osobowymi są kwestią, której nie da się pominąć przy prowadzeniu sklepu internetowego, tym bardziej,  jeżeli nie chcesz się narażać na dotkliwe sankcje finansowe. Prawidłowe spełnienie wszystkich obowiązków, nawet jeżeli wydają się one być nadmiernie skomplikowane i uciążliwe, jest niezwykle istotne.

Warto dokonać kompleksowego audyt sklepu internetowego kątem RODO i przekonać się czy wszystkie wymogi RODO zostały wdrożone w prawidłowy sposób.

Dlatego też służymy pomocą w przeprowadzeniu audytu sklepu internetowego pod kątem RODO . Niezależnie od tego czy potrzebujesz pomocy przy napisaniu odpowiedniego regulaminu i polityki prywatności sklepu, sformułowaniu właściwych checkboxów, czy też weryfikacji sklepu pod kątem wymogów RODO – nasi specjaliści są do Twojej dyspozycji. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@prokonsumencki.pl.