Wymogi dotyczące przetwarzania danych osobowych, które ustanowiło Rozporządzenie RODO, dotyczą nie tylko działalności w internecie. Jeżeli decydujesz o celach i sposobach przetwarzania zebranych w Twoim sklepie stacjonarnym danych osobowych klientów, na gruncie przepisów o ochronie danych osobowych jesteś wówczas administratorem danych. Zatem również w sytuacji, gdy prowadzisz sklep stacjonarny, nie unikniesz konieczności  uregulowania kwestii związanych z danymi osobowymi klientów i wprowadzenia standardów postępowania z danymi, jakich wymagają nowe przepisy unijne.

W tym artykule wskazujemy kilka podstawowych kwestii, na które warto zwrócić na RODO w sklepie stacjonarnym.

 

Sprawdź w jakich sytuacjach RODO w sklepie stacjonarnym ma zastosowanie

Od odpowiedzi na pytanie, a jakich sytuacjach są przetwarzane dane klientów Twojego sklepu stacjonarnego zależy, jakie środki trzeba będzie podjąć, aby przetwarzanie tych danych było zgodne z prawem i jakie obowiązki informacyjne będą wiązały się z tym przetwarzaniem. Najczęstsze sytuacje, w których może dojść do przetwarzania przez Ciebie danych klientów są następujące:

  • klient korzysta z postępowania reklamacyjnego i w jego ramach podaje swoje dane osobowe;
  • klient chce otrzymać rachunek lub fakturę i w tym celu podaje swoje dane osobowe;
  • klient lub sprzedawca kieruje do drugiej strony roszczenia wynikające z umowy sprzedaży inne niż w ramach postępowania reklamacyjnego (np. w związku z brakiem zapłaty ceny za towar) i w tym zakresie przetwarzane są dane osobowe klienta;
  • stosujesz monitoring sklepu stacjonarnego – w tym zakresie mogą być przetwarzane wizerunek oraz cechy szczególne wyglądu lub ubioru.

 

Zawsze miej podstawę prawną do przetwarzania danych klientów

Każdy cel przetwarzania przez Ciebie danych osobowych klientów musi mieć określoną podstawę prawną. Przed rozpoczęciem używania danych osobowych do konkretnych celów, upewnij się, że jesteś w stanie wykazać w razie ewentualnej kontroli działanie na konkretnej podstawie prawnej. Podstawy te co do zasady znajdują się w art. 6 Rozporządzenia RODO, mogą być też uzupełniane o podstawy wynikające z innych aktów prawnych. Poniżej podajemy najważniejsze podstawy prawne przetwarzania danych osobowych klientów w sklepie stacjonarnym. Są one dostosowane do najczęstszych celów przetwarzania danych osobowych w sklepie stacjonarnym, które wymieniliśmy w pierwszym punkcie tego artykułu:

  • rozpatrzenie reklamacji klienta: artykuł 6 ust. 1 lit. b) Rozporządzenia RODO (wykonanie umowy);
  • wystawienie rachunku lub faktury na żądania klienta – art. 6 ust. 1 lit. c) Rozporządzenia RODO w związku z odpowiednimi przepisami ustaw podatkowych lub ustawy o rachunkowości (prowadzenie ksiąg podatkowych lub rachunkowych  – obowiązek prawny ciążący na administratorze);
  • ustalenie, dochodzenie lub obrona roszczeń jakie może podnosić sprzedawca wobec klienta lub klient wobec sprzedawcy – artykuł 6 ust. 1 lit. f) Rozporządzenia RODO;
  • monitoring sklepu stacjonarnego – artykuł 6 ust. 1 lit. f) Rozporządzenia RODO (ochrona bezpieczeństwa osób i mienia w sklepie stacjonarnym; utrwalanie materiału dowodowego na wypadek popełnienia przestępstwa na terenie sklepu stacjonarnego).

Są to najbardziej popularne cele przetwarzania danych w sklepie stacjonarnym. Pamiętaj, że jeżeli przetwarzasz dane również w innych celach, każdorazowo konieczne jest upewnienie się, że takie przetwarzanie danych również ma określoną podstawę prawną. W niektórych przypadkach np. przetwarzania danych w celu prowadzenia marketingu, konieczna będzie wyraźna zgoda klienta na takie przetwarzanie np. w formie pisemnego oświadczenia.

 

 Zawrzyj umowy powierzenia przetwarzania danych

Jeżeli przekazujesz dane klientów jakimkolwiek podmiotom zewnętrznym, dokonujesz tzw. powierzenia danych osobowych. Bardzo często takie powierzenie danych jest konieczne do prawidłowego prowadzenia sklepu. Dane są przez sprzedawców powierzane np. firmom dostarczającym usługi księgowe, prawne czy doradcze, a sytuacji, gdy sprzedawca klientowi oferuje dostawę niektórych produktów zakupionych w sklepie – dane mogą być powierzone np. firmie kurierskiej.

Przepisy o ochronie danych osobowych dopuszczają takie działania pod dwoma głównymi warunkami:

Po pierwsze, musisz poinformować klientów, że ich dane mogą być powierzane określonym podmiotom zewnętrznym, z którymi sami klienci nie będą zawierać umów. Nie musisz podawać określonym nazw firm i innych szczegółów dotyczących tych podmiotów, powinieneś jednak określić jakim kategoriom firm będziesz przekazywał dane oraz w jakich sytuacjach może to nastąpić.

Po drugie, Rozporządzenie RODO nakłada obowiązek zawierania z każdym podmiotem przetwarzającym w Twoim imieniu dane osobowych klientów umowy powierzenia przetwarzania danych. Umowa ta powinna określać m.in. przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. RODO podaje też szereg dodatkowych zapisów, które taka umowa powinna zawierać. Brak takiej umowy stanowi naruszenie przepisów Rozporządzenie RODO. Zawarcie takiej umowy jest także w Twoim interesie – w razie kontroli na jej podstawie będziesz mógł wykazać zapewnienie należytej ochrony danych.

 

Zapewnij realizację praw klienta w związku z jego danymi  

Jak administrator danych osobowych będzie musiał zapewnić, przestrzeganie praw klientów związanych w ich danymi osobowymi. Każda osoba, której dane są przetwarzane, ma określone prawa z tym związane. Dotyczy to oczywiście również Twoich klientów, których dane będziesz przetwarzać. Zgodnie z Rozporządzeniem RODO, Twój klient ma następujące prawa:

  • prawo żądania przez klienta dostępu do jego danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jego danych;
  • prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
  • prawo do wniesienia przez klienta skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych);
  • prawo do sprzeciwu w kwestii marketingu bezpośredniego – jeżeli dane klienta są przetwarzane na potrzeby tzw. marketingu bezpośredniego, klient może się sprzeciwić wykorzystywaniu jego danych do tego celu.

Oprócz samego zapewnienia realizacji tych praw klient, masz również obowiązek poinformowania klienta o posiadaniu przez niego tych praw. O obowiązku informacyjnym i sposobach jego realizacji piszemy więcej pod koniec tego artykułu.

 

Upewnij się, że prawidłowo stosujesz monitoring

W wielu sklepach stacjonarnych znajduje się monitoring w celach bezpieczeństwa. Monitoring jest sam w sobie zgodny z RODO w sklepie stacjonarnym jeżeli prowadzisz go w celach zwiększenia bezpieczeństwa w Twoim sklepie oraz w celu zapobiegania kradzieżom. Monitoringu nie powinno z kolei być w takich miejscach jak toalety czy przebieralnie, jeżeli takie miejsca istnieją w Twoim sklepie.

Klientowi należy przekazać odpowiednią informację o stosowaniu monitoringu. Powinien on wiedzieć, że jego dane osobowe są w wyniku prowadzenie monitoringu przetwarzane. W grę wchodzą tutaj takie dane jak: wizerunek, szczególne cechy wyglądu czy ubioru. Poza tym klient powinien wiedzieć w jakim celu dane te mogą być przetwarzane oraz jak długo będą one przechowywane. Z punktu widzenia ochrony danych osobowych, im krótszy okres przechowywania nagrań, tym lepiej. Trzeba to jednak oczywiście wyważyć z celami korzystania z monitoringu.

 

Zadbaj o RODO w sklepie stacjonarnym

Podczas lektury tego artykułu, może nasuwać się pytanie, w jaki sposób najłatwiej spełnić te wszystkie obowiązki informacyjne, o których pisaliśmy? Najprościej będzie ująć je w formie tablicy informacyjnej, zawierającej wszystkie ważne kwestie, o których klient powinien wiedzieć z punktu widzenia jego danych osobowych. W treści takiej tablicy można również ująć informacje, jakie powinieneś przekazać klientowi będącemu konsumentem o jego prawach wynikających z przepisów o rękojmi oraz z ustawy o prawach konsumenta. Podsumujmy zatem, jakie informacje wymagane przez Rozporządzenie RODO powinien otrzymać klient:

  • dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm
    jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia
    działalności/siedziby, adres e-mail;
  • jeżeli wyznaczyłeś w firmie inspektora ochrony
    danych – dane kontaktowe tej osoby;
  • cele i podstawy prawne przetwarzania danych
    osobowych;
  • kategorie odbiorców danych osobowych;
  • przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem
    Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz
    Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej
    siedzibę poza EOG;
  • konkretny okres przechowywania określonych danych
    osobowych lub kryteria ustalenia takiego okresu;
  • prawa osoby, której dane są przetwarzane;
  • czy wymóg podania danych osobowych podczas
    korzystania ze sklepu jest warunkiem koniecznym do zawarcia umowy w sklepie
    oraz jakich danych i jakich sytuacji taki wymóg dotyczy.

 

Przygotuj wymaganą dokumentację wewnętrzną

Warto wreszcie pamiętać, że odpowiednie zorganizowanie działania sklepu oraz przekazanie klientowi wszystkich wymaganych informacji to nie wszystko. Rozporządzenie RODO w sklepie stacjonarnym wymaga od każdej formy przetwarzającej dane osobowe posiadania odpowiedniej dokumentacji wewnętrznej. Taka dokumentacja najczęściej składa się z szeregu istotnych dokumentów opisujących, na użytek ewentualnej kontroli, co się dzieje z danymi osobowymi, które są zbierane i przetwarzane w danej firmie. Są to m.in. takie dokumenty, jak:

  • Polityka bezpieczeństwa zawierająca m.in. główne zasady przetwarzania danych osobowych w firmie, zasady przetwarzania danych przez personel, wykaz urządzeń stosowanych do przetwarzania danych, obowiązki administratora i personelu, prawa osób, których dane dotyczą i sposoby ich realizacji, określenie obszaru przetwarzania danych, środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych;
  • Udzielone przez administratora upoważnienia do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności.
  • Ewidencja upoważnień do przetwarzania danych;
  • Ewidencja podmiotów, którym powierzono przetwarzanie danych.
  • Rejestr czynności przetwarzania.
  • Ewidencja incydentów naruszeń zasad prawidłowego przetwarzania danych;
  • Analiza ryzyka związanego z przetwarzaniem danych wraz z oceną skutków dla przetwarzania danych osobowych;
  • Zawarte przez administratora umowy powierzenia danych osobowych.

Poza posiadaniem dokumentacji, ważne jest aby rzeczywiście wdrożyć w firmie opisane w niej procedury i zabezpieczenia. Jeżeli zatrudniasz pracowników, powinieneś również przeszkolić ich z zawartych w dokumentacji zasad odpowiedniego postępowania z danymi osobowymi klientów.

 

Podsumowanie

Przepisy o ochronie danych osobowych ustanawiają wiele wymogów związanych z przetwarzaniem danych, które mogą dotyczyć Twojego sklepu stacjonarnego. Możliwość wykazania, że wypełniasz te wymagania jest bardzo ważna, szczególnie w sytuacji kontroli, ponieważ Rozporządzenie RODO w sklepie stacjonarnym umożliwia również nakładanie na przedsiębiorców nieprzestrzegających zasad w nim zawartych wysokich kar finansowych.

Jeżeli zastanawiasz się, jak przygotować opisaną w tym artykule tablicę informacyjna, jak sformułować odpowiednie umowy powierzenia danych, czy też jak sporządzić kompleksową i dostosowaną do Twojej firmy dokumentację wewnętrzną – zachęcamy do skorzystania z usług naszych prawników specjalizujących się właśnie w takich zagadnieniach. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@prokonsumencki.pl

 

5.00 avg. rating (98% score) - 4 votes

Zapisz się na nasz bezpłatny newsletter prawny dla Sprzedawców i otrzymaj poradnik

Przygotuj się do zmian przepisów od 2023 - ponad 35 stron treści od doświadczonych prawników dla Ciebie!

SUKCES - zapisałeś się!