Regulamin sprzedaży na Allegro – Celem rozporządzenia dotyczącego ochrony danych osobowych, które weszło w życie 25 maja 2018 roku jest doprowadzenie do pełnej harmonizacji i ulepszenia kontroli przetwarzania danych osobowych w ramach Unii Europejskiej. Wejście w życie RODO wymusiło na wszystkich przetwarzających dane osobowe, w tym prowadzących sprzedaż poprzez platformę Allegro dostosowanie do nowych przepisów. Istotne kwestie, które wynikają z RODO, a które należy uwzględnić to m.in. prawo do uzyskania informacji na temat sposobu przetwarzania danych osobowych, prawo do przeniesienia danych, prawo do żądania ograniczenia przetwarzanych danych, tzw. prawo do bycia zapomnianym, prawo do otrzymania kopii danych czy do dochodzenia odszkodowania w sądzie cywilnym.
W tym artykule wskażemy Ci 6 kwestii jakie musisz wziąć pod uwagę, aby regulamin sprzedaży na Allegro był poprawny
[ Numer 1 ] Zweryfikuj w jakich sytuacjach oraz w jakim zakresie przetwarzasz dane osobowe klientów
Prowadząc sprzedaż poprzez Allegro jesteś jednocześnie administratorem danych osobowych kupujących biorących udział w Twoich transakcjach. Dane osobowe kupujących otrzymujesz od Grupy Allegro.
Oczywiście w przypadku sprzedaży na Allegro zakres przetwarzania danych osobowych będzie co do zasady ograniczony do celów związanych z realizacją danej transakcji, nie masz bowiem możliwości jako sprzedawca dodania checkboxa z zapisem na Newsletter czy też checkboxa ze zgodą na wyrażenie opinii o zakupie. Wynika to z faktu, że Allegro jest gotową platformą sprzedażową, która udostępnia użytkownikom możliwość sprzedaży produktów w ramach wzorca ustalonego przez Allegro. Sprzedawcy na Allegro nie mają w przeciwieństwie do sprzedawców prowadzących sklepy internetowe możliwości dodania checkboxów, usług elektronicznych czy edycji formularzy.
Dane osobowe Kupujących (login w portalu Allegro.pl, imię i nazwisko; adres dostawy: ulica, numer domu, numer lokalu, kod pocztowy, miejscowość, kraj, adres zamieszkania/prowadzenia działalności/siedziby, jeżeli jest inny niż adres dostawy, nazwa firmy oraz numer identyfikacji podatkowej) mogą być przetwarzane w następujących celach:
- Przeprowadzenie transakcji i realizacja umów sprzedaży zawartych w wyniku prowadzonych transakcji;
- Prowadzenie ksiąg podatkowych ( KPiR) lub rachunkowych;
- Ustalenie, dochodzenie lub obrona roszczeń jakie może podnosić sprzedawca lub jakie mogą być podnoszone wobec sprzedawcę;
- Marketing bezpośredni.
O ile trzy pierwsze cele nie budzą większych wątpliwości, umówmy w kilku zdaniach przetwarzanie danych osobowych klientów w celu marketingu bezpośredniego. Na gruncie RODO marketing bezpośredni jest to szczególny rodzaj marketingu polegający na kierowaniu bezpośrednich komunikatów do wybranych, pojedynczych osób, w głównej mierze w indywidualnym kontakcie, w celu uzyskania określonej reakcji ( odpowiedzi).
Zgodnie z motywem 47 preambuły Rozporządzenia RODO: “za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.” Za tego typu działania, a więc mieszczące się w ramach marketingu bezpośredniego i nie wymagające uzyskania odrębnej zgody, uznajemy np. wysyłanie korespondencji do klienta w celu przypomnienia o konieczności zapłaty czy dołączenie gazetki z produktami do wysyłanej klientowi przesyłki. W przypadku marketingu bezpośredniego podstawą przetwarzania danych osobowych jest prawnie uzasadniony interes administratora, nie jest konieczne zatem uzyskanie odrębnej zgody klienta na przetwarzanie danych osobowych.
Chociaż RODO nie definiuje pojęcia marketingu bezpośredniego, na podstawie decyzji z wcześniejszych lat, obecnie już niefunkcjonującego GIODO możemy wskazać, że pojęcie to z pewnością nie dotyczy produktów i usług innych podmiotów aniżeli administratora danych. Zaznaczyć należy, że marketingiem bezpośrednim nie będzie np. wysyłka ofert promocyjnych od innych podmiotów, z którymi administrator współpracuje – tutaj już będzie wymagana odrębna zgoda, a więc w ramach Allegro przetwarzanie danych osobowych w takim celu nie będzie co do zasady mogło mieć miejsca. Wysyłka ofert promocyjnych od partnerów administratora, a także inne nie mieszczące się w pojęciu marketingu bezpośredniego działań powinna być zatem wyraźna zgoda kupującego (art. 6 ust. 1 lit. a) Rozporządzenia RODO).
W ramach tego artykułu omawiamy różnego rodzaju obowiązki i konieczność dostosowania regulamin sprzedaży na Allegro do RODO, natomiast nie można zapominać o innych aktach prawnych, które również mogą regulować omawiane kwestie, jak jest w przypadku marketingu.
Należy mieć na uwadze to, że marketing jest także w różnym zakresie regulowany innymi aktami prawnymi, w grę wchodzi chociażby Prawo Telekomunikacyjne, zgodnie z którym w celu stosowania marketingu niezbędne jest uprzednie uzyskanie zgody z użyciem tzw. telekomunikacyjnych urządzeń końcowych. I tak, o ile przesłanie gazetki reklamowej wraz z zakupionym produktem nie będzie wymagało uzyskania zgody na gruncie tego przepisu, o tyle przesłanie oferty promocyjnej drogą mailową – już tak. Sygnalizujemy zatem każdorazowe upewnienie się, czy obowiązek uzyskania zgody nie wynika z odrębnego przepisu.
Oczywiście wyżej przedstawione sytuacje możemy określić jako klasyczne, najbardziej podstawowe. Należy jednak mieć na uwadze, że nie są to wszystkie możliwe sytuacje, w których może dojść do przetwarzania danych osobowych klientów – jeżeli klient wyrazi uprzednią zgodę – dane osobowe tego klienta mogą być także przetwarzane w innych celach.
[ Numer 2 ] Przetwarzaj dane klientów, jedynie, gdy istnieje wyraźna podstawa prawna
Wskazane w poprzednim punkcie cele i sytuacje, w których może dojść do przetwarzania danych osobowych muszą być bezpośrednio powiązane z podstawami prawnymi przetwarzania wynikającymi z RODO. Przetwarzanie danych osobowych klientów bez wyraźnej podstawy prawnej stanowi naruszenie RODO.
Każdy cel przetwarzania przez Ciebie danych osobowych klientów musi mieć określoną podstawę prawną. Przed rozpoczęciem zbierania, a następnie przetwarzania danych osobowych klientów do konkretnych celów, upewnij się, że działanie to wynika z konkretnej podstawy prawnej – przepisu RODO.
Podstawy te co do zasady znajdują się w art. 6 Rozporządzenia RODO, mogą być też uzupełniane o podstawy wynikające z innych aktów prawnych. Poniżej podajemy najważniejsze podstawy prawne przetwarzania danych osobowych poprzez sprzedaż na Allegro. Są one dostosowane do najczęstszych celów przetwarzania danych osobowych, które wymieniliśmy w pierwszym punkcie tego artykułu:
- Przeprowadzenie transakcji i realizacja umów sprzedaży zawartych w wyniku prowadzonych transakcji – artykuł 6 ust. 1 lit. b) Rozporządzenia RODO (wykonanie umowy).
- Prowadzenie ksiąg podatkowych (KPiR) lub rachunkowych – artykuł 6 ust. 1 lit. c) Rozporządzenia RODO w zw. z art. 86 § 1 Ordynacji podatkowej tj. z dnia 17 stycznia 2017 r. (Dz.U. z 2017 r. poz. 201) lub art. 74 ust. 2 ustawy o rachunkowości tj. z dnia 30 stycznia 2018 r. (Dz.U. z 2018 r. poz. 395).
- Ustalenie, dochodzenie lub obrona roszczeń jakie może podnosić sprzedawca lub jakie mogą być podnoszone wobec sprzedawcę – art. 6 ust. 1 lit. f) Rozporządzenia RODO.
- Marketing bezpośredni – artykuł 6 ust. 1 lit. f) Rozporządzenia RODO (prawnie uzasadniony interes administratora)
Zatem na chwilę obecną, w związku z brakiem możliwości dodania checkboxów i jednocześnie brakiem możliwości uzyskania odrębnej zgody, nie ma podstawy prawnej do prowadzenia marketingu poprzez platformę Allegro. Przypominamy – jeżeli chodzi o marketing bezpośredni omówiony w poprzednim punkcie, tutaj zgoda klienta nie jest konieczna.
Pamiętaj, że jeżeli przetwarzasz dane również w innych celach, każdorazowo konieczne jest upewnienie się, że takie przetwarzanie danych również ma określoną podstawę prawną. W niektórych przypadkach konieczna będzie wyraźna zgoda klienta na takie przetwarzanie.
[ Numer 3 ] Jeżeli przekazujesz dane klientów podmiotom zewnętrznym – musisz zawrzeć umowy powierzenia
W przypadku, w którym przekazujesz dane osobowe klientów innym podmiotom – dokonujesz tzw. powierzenia danych osobowych. Obecnie w różnym zakresie, w celu sprawnego i efektywnego prowadzenia sprzedaży, praktycznie każdy sprzedawca, również na platformie Allegro będzie przekazywał dane osobowe klientów innym firmom.
Zastanawiasz się w praktyce jakim firmom możesz przekazywać dane osobowe klientów – zakres i branże mogą być rozmaite: firmy dostarczające usługi księgowe, prawne, doradcze, firmy kurierskie czy spedytorskie.
Przepisy o ochronie danych osobowych dopuszczają możliwość przekazywania danych osobowych, jeżeli spełnione są 2 warunki:
- musisz poinformować klientów, że ich dane mogą być powierzane określonym podmiotom zewnętrznym, z którymi sami klienci nie będą zawierać umów. Nie musisz podawać określonym nazw firm i innych szczegółów dotyczących tych podmiotów, powinieneś jednak określić jakim kategoriom firm będziesz przekazywał dane oraz w jakich sytuacjach może to nastąpić.
- rozporządzenie RODO nakłada obowiązek zawierania z każdym podmiotem przetwarzającym w Twoim imieniu dane osobowych klientów umowy powierzenia przetwarzania danych. Umowa ta powinna określać m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.
Z każdym podmiotem, któremu będziesz przekazywał dane osobowe musisz zawrzeć umowę powierzenia. RODO podaje też szereg dodatkowych zapisów, które taka umowa powinna zawierać. Brak takiej umowy stanowi naruszenie przepisów Rozporządzenie RODO. Zawarcie takiej umowy jest także w Twoim interesie – w razie kontroli na jej podstawie będziesz mógł wykazać zapewnienie należytej ochrony danych.
[ Numer 4 ] Pamiętaj o szeregu uprawnień klientów, które masz obowiązek realizować
Jako administrator danych osobowych klientów musisz zapewnić przestrzeganie i realizację uprawnień klientów w związku z ich danymi osobowymi.
RODO bardzo duży nacisk w porównaniu z poprzednimi rozwiązaniami położyło na konieczność realizacji praw osób, których dane osobowe są przetwarzane.
Każda osoba, której dane osobowe są przetwarzane, ma do dyspozycji szereg uprawnień. Dotyczy to oczywiście również Twoich klientów, których dane będziesz przetwarzać. Zgodnie z Rozporządzeniem RODO, Twój klient ma następujące prawa:
- prawo żądania przez klienta dostępu do jego danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jego danych;
- prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
- prawo do wniesienia przez klienta skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych);
- prawo do sprzeciwu w kwestii marketingu bezpośredniego – jeżeli dane klienta są przetwarzane na potrzeby tzw. marketingu bezpośredniego, klient może się sprzeciwić wykorzystywaniu jego danych do tego celu.
Oprócz samego zapewnienia realizacji tych praw, ciąży na Tobie również obowiązek informacyjny.
[ Numer 5 ] Spełnij obowiązki informacyjne poprzez regulamin sprzedaży na Allegro
Po zapoznaniu się z poprzednimi punktami artykułu może nasunąć się pytanie: „Mam do spełnienia tyle obowiązków informacyjnych. W jaki sposób mam skutecznie poinformować klienta o wszystkich niezbędnych kwestiach?”
Zdecydowanie najlepszym rozwiązaniem jest stworzenie regulaminu sprzedaży poprzez Allegro wraz z informacjami odnośnie danych osobowych, zawierającego wszystkie ważne kwestie, o których klient powinien być informowany.
W treści takiego regulaminu należy również ująć informacje, jakie powinieneś przekazać klientowi będącemu konsumentem o jego prawach wynikających z przepisów o rękojmi oraz z ustawy o prawach konsumenta. Podsumujmy zatem, jakie informacje wymagane przez Rozporządzenie RODO powinien otrzymać klient, a które powinny się znaleźć w regulaminie:
- dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm
- jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia
- działalności/siedziby, adres e-mail;
- jeżeli wyznaczyłeś w firmie inspektora ochrony
- danych – dane kontaktowe tej osoby;
- cele i podstawy prawne przetwarzania danych osobowych;
- kategorie odbiorców danych osobowych;
- przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem
- Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz
- Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej
- siedzibę poza EOG;
- konkretny okres przechowywania określonych danych
- osobowych lub kryteria ustalenia takiego okresu;
- prawa osoby, której dane są przetwarzane;
- czy wymóg podania danych osobowych jest warunkiem koniecznym do zawarcia umowy w sklepie oraz jakich danych i jakich sytuacji taki wymóg dotyczy.
Regulamin sprzedaży na Allegro wraz z informacjami dot. danych osobowych klientów to tak naprawdę złożony dokument, którego poszczególne treści należy dodać do odpowiadających zakładek w ramach konta sprzedawcy. Wszystkie informacje odnośnie przetwarzania danych osobowych należy zamieścić w zakładce „Pozostałe informacje”.
[ Numer 6 ] Zadbaj o dokumentację wewnętrzną firmy
Wreszcie, poprzez ostatni, jednak nie mniej ważny od pozostałych punkt – chcemy zwrócić Twoją uwagę na konieczność posiadania właściwej dokumentacji wewnętrznej.
Warto pamiętać, że odpowiednie zorganizowanie działalności oraz przekazanie klientowi wszystkich wymaganych informacji to nie wszystko. Rozporządzenie RODO wymaga od każdej formy przetwarzającej dane osobowe posiadania odpowiedniej dokumentacji wewnętrznej. Taka dokumentacja najczęściej składa się z szeregu istotnych dokumentów opisujących, na użytek ewentualnej kontroli, co się dzieje z danymi osobowymi, które są zbierane i przetwarzane w danej firmie. Są to m.in. takie dokumenty, jak:
- Polityka bezpieczeństwa zawierająca m.in. główne zasady przetwarzania danych osobowych w firmie, zasady przetwarzania danych przez personel, wykaz urządzeń stosowanych do przetwarzania danych, obowiązki administratora i personelu, prawa osób, których dane dotyczą i sposoby ich realizacji, określenie obszaru przetwarzania danych, środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych;
- Udzielone przez administratora upoważnienia do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności.
- Ewidencja upoważnień do przetwarzania danych;
- Ewidencja podmiotów, którym powierzono przetwarzanie danych.
- Rejestr czynności przetwarzania.
- Ewidencja incydentów naruszeń zasad prawidłowego przetwarzania danych;
- Analiza ryzyka związanego z przetwarzaniem danych wraz z oceną skutków dla przetwarzania danych osobowych;
- Zawarte przez administratora umowy powierzenia danych osobowych.
Poza posiadaniem dokumentacji, ważne jest aby rzeczywiście wdrożyć w firmie opisane w niej procedury i zabezpieczenia. Jeżeli zatrudniasz pracowników, powinieneś również przeszkolić ich z zawartych w dokumentacji zasad odpowiedniego postępowania z danymi osobowymi klientów.
Stanowisko Allegro i obowiązki sprzedawcy związane z RODO
Wyżej wskazane kwestie, na które chcemy zwrócić Twoją uwagę wynikają zarówno z rozporządzenia RODO jak i z naszego długoletniego doświadczenia i praktyki. Zachęcamy jednak do zapoznania się ze stanowiskiem Allegro w kontekście omawianych w tym artykule kwestii.
Allegro zajęło ostatnio stanowisko w sprawie m.in. obowiązków wynikających RODO czy umów powierzenia w artykule dostępnym w serwisie.
Jeżeli chodzi o konieczność zawarcia umowy powierzenia przetwarzania danych osobowych z Allegro, spółka stoi na stanowisku, że jako sprzedawca nie masz takiego obowiązku. Klient serwisu zdaniem Allegro przekazuje spółce swoje dane osobowe w celu wykonania umowy tj. realizacji przez Allegro usług związanych z możliwością korzystania z tej platformy i w tej sytuacji nie dochodzi do powierzenia przetwarzania danych osobowych.
Ponadto, Allegro wyraźnie wskazało – nie wspiera sprzedawców w wypełnianiu obowiązków informacyjnych wynikających z RODO, jesteś jako administrator danych osobowych klientów odpowiedzialny za ich prawidłowe przetwarzanie. Szczegóły w tym zakresie znajdziesz w pkt. 5 poniższego artykułu.
Stanowisko Allegro z jednej strony potwierdza omówione przez nas w tym opracowaniu kwestie, w tym konieczność spełnienia obowiązków informacyjnych samodzielnie, z drugiej strony wskazujemy, że pomimo zaleceń Allegro zawsze należy być ostrożnym i samodzielnie zadbać o zgodność prawem prowadzonej sprzedaży.
Podsumowanie
Przepisy o ochronie danych osobowych ustanawiają wiele wymogów związanych z przetwarzaniem danych, które mogą dotyczyć Twojej działalności i sprzedaży poprzez Allegro.
Musisz przeanalizować jakie dane osobowe, w jakich sytuacjach i na jakich podstawach są przetwarzane w Twoim przypadku. Najlepszym sposobem na wykazanie spełnienia wszystkich ciążących na Tobie obowiązków informacyjnych jest stworzenie regulamin sprzedaży na Allegro oraz dodanie właściwych treści do zakładek w ramach konta sprzedawcy. Dobry regulamin skonstruowany pod Allegro powinien także zawierać szczegółową instrukcję umieszczenia określonych treści do odpowiednich zakładek na Allegro. Możliwość wykazania, że wypełniasz te wymagania jest niezwykle istotna, szczególnie mając na uwadze grożące za naruszenia RODO sankcje pieniężne.
Jeżeli nadal zastanawiasz się, jak przygotować opisany w tym artykule regulamin sprzedaży na Allegro, jak sformułować odpowiednie umowy powierzenia danych, czy też jak sporządzić kompleksową i do Twojej firmy dokumentację wewnętrzną – zachęcamy do skorzystania z usług naszych prawników specjalizujących się właśnie w takich zagadnieniach. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@prokonsumencki.pl
a w 2022 roku od maja Allegro bezprawnie zasłaniając się regulaminem własnym będzie przekazywać dane osobowe bez zgody sprzedawców za granicę do Irlandii USA i Anglli. Ten portal aukcyjny to porażka.