utworzone przez Rafał | kwi 28, 2021 | RODO |
Konieczność zapewnienia pełnej ochrony danych podczas ich przekazywania stanowi jeden z obowiązków nakładanych przez RODO na podmioty przetwarzające te dane i przekazujące je do państw trzecich. Określenie jednak, czy w danym przypadku zapewniono ich pełną ochronę może w praktyce okazać się problematyczne i nakładać na podmiot przekazujący konieczność zapoznania się również z odpowiednimi aktami prawnymi państwa do którego dane te przekazuje.
Przekonała się o tym niemiecka firma wydawnicza, która wykorzystywała platformę MailChimp do wysyłania biuletynu swoim subskrybentom.
Przekazywanie danych do USA – Schrems II
MailChimp to platforma online do wysyłania maili do masowego odbiorcy. Dostarczana jest przez amerykańską firmę, co wiąże się z przekazywaniem danych osób do których kierowane są maile (a więc subskrybentów), do USA. Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 16 lipca 2020 r. w sprawie C-311/18 (Schrems II), orzekł że przekazywanie danych do USA opierające się wyłącznie na standardowych klauzulach umownych może okazać się niewystarczające.
Podmioty przekazujące powinny bowiem również ocenić, czy podmiot do których dane są przekazywane nie podlega przepisom dotyczącym nadzoru, czyli takim które umożliwiają organom nadzorczym danego państwa na uzyskanie dostępu do danych na podstawie przepisów prawa.
Bez znaczenia bowiem dla stosowania RODO, a tym samym dla zapewnienia ochrony danych osobowych, ma fakt, czy dane te byłyby przetwarzane przez organy władzy w celach związanych z bezpieczeństwem publicznym, obronnością czy też bezpieczeństwem państwa.
Wymagane przez przepisy RODO odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii przez to rozporządzenie (RODO). W sprawie Schrems II, która dotyczyła przekazywania danych do USA, znaczenie miała amerykańska ustawa dotycząca możliwości nadzoru nad dostawcami usług internetowych.
Nowe zalecenia Europejskiej Rady Ochrony Danych
Po wspomnianym orzeczeniu w sprawie Schrems II, Unia Europejska doszła do wniosku że dotychczasowe zalecenia mogą okazywać się niewystarczające. Z tego względu w listopadzie 2020 r. opublikowała w celu konsultacji zalecenia, w których wyjaśniono kiedy mogą być wymagane dodatkowe środki obok dotychczasowych standardowych klauzul umownych.
To jaki kształt przyjmą ostatecznie wytyczne nie jest jeszcze wiadome. W grudniu 2020 r. zakończył się bowiem okres konsultacji i obecnie oczekujemy na rozpatrzenie opinii i sformułowanie decyzji, która zostanie ostatecznie przyjęta przez Komisję. W tym momencie możemy jedynie spróbować zastanowić się czy nowe wytyczne będą w stanie jednoznacznie zapewnić, aby przekazywane dane osobowe były objęte poziomem ochrony równoważnym z poziomem ochrony wynikającym z RODO, a tego przecież wymaga się na gruncie tego rozporządzenia, i zgodnie ze wspomnianym orzeczeniem Schrems II. Ostateczna forma decyzji i sama praktyka pokaże, czy dodatkowe postanowienia będą mogły zagwarantować wymaganą ochronę, czy po prostu będą jedynie stanowić pomoc dla podmiotów przekazujących w sformułowaniu odpowiednich umów, zawierających klauzule, które w jak największym stopniu będą zapewniać ochronę danych równoważną z RODO.
Decyzja bawarskiego urzędu ochrony danych w sprawie MailChimp
Jak wspomniano wyżej, pewna niemiecka firma przesyłała biuletyn swoim subskrybentom przy pomocy platformy MailChimp. Jedna z osób której dane były przetwarzane przez tę firmę, wniosła skargę na to działanie do bawarskiego organu ochrony danych. Organ ten skierował się do pozwanego, wskutek czego podmiot ten zrezygnował z dalszego używania platformy.
W wydanej decyzji organ wskazał, że w przedmiotowej sprawie doszło do naruszenia przepisów o ochronie danych. Ustalono, że poza standardowymi klauzulami ochrony danych nie stosowano innych, dodatkowych środków, które mogłyby okazać się niezbędne dla ochrony przekazywanych danych.
Stwierdzono bowiem, że MailChimp jako dostawca usług łączności elektronicznej, podlega przepisom prawa amerykańskiego, które pozwalają organom nadzorczym USA na uzyskanie dostępu do danych przetwarzanych przez ten podmiot. Pomimo więc orzeczenia Schrems II jakie zapadło w lipcu 2020 r., firma nie oceniła czy należy wprowadzić dodatkowe środki zapewniające dodatkową ochronę tych danych – w związku z czym środków takich nie wprowadzono.
MailChimp, a RODO – podsumowanie
Powyższa decyzja informuje nas jedynie o przyczynach niezgodności z prawem używania MailChimp w konkretnym stanie faktycznym. Przedstawiona decyzja nie wskazuje bowiem na ogólną nielegalność MailChimpa, ale na to, że jest to podmiot wobec którego należy zastosować dodatkowe środki ochronne w związku z przekazywaniem danych.
Niestety z uwagi na to że pozwany nie podjął żadnych dodatkowych środków, nadal nie wiemy jakie działania mogłyby okazać się wystarczające do zagwarantowania wymaganej ochrony danych w niniejszej sprawie (w tym względzie możemy oczekiwać na wytyczne Europejskiej Rady Ochrony Danych). Gdyby bowiem jakieś działania podjęto, bawarski organ ochrony danych oceniłby wówczas ich skuteczność, co stanowiłoby niezwykle cenną informację dla wszystkich podmiotów przekazujących dane poza EOG/UE, a które jak widać na gruncie tej decyzji, zobowiązane są do dokonania oceny czy odbierający dane podlega przepisom dotyczącym nadzoru, które są niezgodne z prawem Unii Europejskiej.
Decyzja ta stanowi więc teraz cenną wskazówkę dla podmiotów przekazujących dane poza EOG/UE w ogólności, i ostrzeżenie dla tych korzystających z platform typu MailChimp. W niniejszej sprawie z uwagi na niską wrażliwość przekazywanych danych, na które składały się wyłącznie adres e-mail, oraz z uwagi na to że do działań tych doszło jedynie kilka razy, urząd odstąpił od wymierzenia kary grzywny. Pomimo tego, podmioty przekazujące dane powinny zachować ostrożność i pamiętać, że kolejne oceny mogą być mniej pobłażliwe, szczególnie po nadaniu ostatecznego kształtu decyzji zawierających wytyczne w sprawie dodatkowych środków ochrony.
utworzone przez Rafał | lut 20, 2021 | Inne Regulaminy, Polityka prywatności, Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, Regulamin i polityka prywatności, RODO |
Z pewnością każdy z nas poszukując w Internecie różnego rodzaju firm, usług czy produktów korzystał niejednokrotnie ze stron, które omówimy w dzisiejszym wpisie. Mowa bowiem o wyszukiwarkach i porównywarkach, które ze względu na szybkość wyszukiwania informacji oraz nieskomplikowaną strukturę, cieszą się obecnie dużą popularnością. W dzisiejszym artykule umówimy właśnie ten rodzaj serwisu oraz wspólnie przeanalizujemy najważniejsze aspekty ich funkcjonowania mając na uwadze wymogi prawne jak i praktyczne. Zarówno jeżeli jesteś użytkownikiem tego typu stron, jak ich właścicielem, temat regulamin i polityka prywatności wyszukiwarek i porównywarek powinien cię zainteresować.
Ogólna charakterystyka oraz rodzaje wyszukiwarek
Wyszukiwarki i porównywarki są to nierozbudowane pod kątem świadczonych usług elektronicznych serwisy internetowe, których dominującą funkcjonalnością jest możliwość wyszukania określonej informacji po wybraniu filtrów i naciśnięciu dedykowanego pola akcji. W związku z dużą popularnością tego typu stron, wyróżniamy wiele rodzajów wyszukiwarek i porównywarek. Z pewnością można wyróżnić wyszukiwarki, które są dedykowane danym rodzajom branż, jak też wyszukiwarki poświęcone konkretnym usługom oraz produktom. Co więcej, nie można w tym zakresie pominąć wyszukiwarek, poprzez które możliwe jest wyszukanie ogólnych informacji, stron, portali oraz treści dostępnych w sieci.
Porównywarki z kolei oprócz wyszukania informacji, interesującej nas treści, umożliwiają automatyczne porównanie wybranej usługi/ produktu dostępnego w danym sklepie internetowym wraz z analogiczną usługą / produktem dostępnym w innym sklepie. Porównanie może być dokonywane pod różnym kątem: najczęstszym kryterium będzie cena, natomiast porównanie może także obejmować cechy, właściwości, dostępność czy opinie klientów.
Standardowy model wyszukiwarki/porównywarki nie umożliwia zawarcia docelowej umowy
W każdym serwisie, będącym wyszukiwarką mogą być udostępniane specyficzne funkcjonalności, których struktura została stworzona pod konkretną branżę lub specyfikę produktów. Poza tym, tak jak wskazaliśmy wyżej, należy odróżnić wyszukiwarki np. ofert pracy z danej branży od ogólnej, internetowej wyszukiwarki, z której korzystamy każdego dnia.
Standardowa wyszukiwarka / porównywarka opiera się z jednej strony na możliwości dodawania treści, adresów, innych informacji, których poszukują użytkownicy, przez różnego rodzaju podmioty w ramach danej branży lub tematycznie, a z drugiej strony korzystającym z niego usługobiorcom na skuteczne wyszukanie treści przy użyciu filtrów i kryteriów. Porównywarka oprócz powyższych funkcjonalności, umożliwia dodatkowo uzyskanie porównawczej informacji odnośnie ceny, dostępności czy cech wyszukiwanego produktu, usługi.
Wyszukiwarka / porównywarka pozwala jedynie na wyszukanie/ porównanie określonych treści, zatem wyświetlone treści na tego typu stronach mają charakter wyłącznie informacyjny i pomocniczy.
Celem zawarcia umowy sprzedaży, umowy o świadczenie usług należy skontaktować się bezpośrednio z podmiotem, którego usługami lub produktami jesteśmy zainteresowani, już poza serwisem. Tym samym, właściciel strony będącej wyszukiwarką nie jest stroną zawieranych umów sprzedaży, jego rola ogranicza się tak naprawdę do udostępnienia platformy, usług elektronicznych jak konto czy Newsletter, pełnienia funkcji administratora danych osobowych oraz bieżącego kontaktu z usługobiorcami serwisu. Bardzo ważne jest zawarcie takiej informacji w regulaminie i wyraźne wskazanie, że właściciel serwisu nie jest autorem treści zamieszczanych w serwisie, w ramach bazy firm czy usług, a tym samym nie będzie stroną zawieranych już poza serwisem umów sprzedaży. O tym co powinno się znaleźć w regulaminie wyszukiwarki dowiesz się w dalszej części artykułu.
Usługi Elektroniczne udostępniane w wyszukiwarce/porównywarce
Podstawową funkcją tego typu stron jest wyświetlenie, znalezienie określonych treści, zatem najważniejszą usługą elektroniczną udostępnianą na takich stronach jest wyszukiwarka, mniej lub bardziej rozbudowana. Wyszukiwarka może się ograniczać jedynie do określonego miejsca, w którym należy wpisać frazę i pola akcji, którego kliknięcie skutkuje wyszukaniem dopasowanych do informacji danych, natomiast bardzo często wyszukiwarki są rozbudowane o różnorodne filtry. Korzystanie z filtrów, kryteriów i zakresów w ramach wyszukiwarki pozwala na skuteczniejsze i bardziej dopasowane wyszukanie interesujących nas danych.
Jeżeli chodzi o sposób dodawania treści, danych, które podlegają następnie wyszukaniu przez użytkowników, wyróżniamy kilka opcji. Przede wszystkim bazy np. firm, adresów czy usług mogą być tworzone przez samych właścicieli stron. Dodanie pozycji do takiej bazy najczęściej wiąże się z koniecznością uiszczenia opłaty. Zasady takiej współpracy, sposoby i formy płatności mogą być każdorazowo określane przez właściciela strony. Oprócz takiej bazy, która jest tworzona nie jako na potrzeby danej wyszukiwarki, wyróżniamy także strony, na których można wyszukać informacje i dane, nie tworzące żadnej odrębnej bazy danych. W tym zakresie należy każdorazowo przeanalizować wady i zalety każdego rozwiązania i zadbać o określenie warunków współpracy z podmiotami trzecimi.
Poza samą wyszukiwarką jako funkcjonalnością, najczęściej występujące funkcjonalności w wyszukiwarkach to formularz zapytania/ kontaktowy, opcjonalnie konto oraz newsletter. Oczywiście, w bardziej rozbudowanych serwisach np. poświęconych wyłącznie wyszukiwaniem ofert pracy, możemy spotkać się jeszcze z takimi funkcjonalnościami jak: blog czy forum.
Jakie wymogi wiążą się z wszystkimi funkcjonalnościami w serwisie? Otóż, każda z nich to świadczona przez właściciela serwisu usługa elektroniczna, a poprzez np. zapis na Newsletter czy rejestrację Konta zawierana jest między usługodawcą, a użytkownikiem tzw. umowa o charakterze ciągłym. W regulaminie serwisu należy każdą z usług wyraźnie wskazać poprzez jej zdefiniowanie oraz opisanie sposobu w jaki usługobiorca może z niej korzystać, kroków jakie są wymagane, aby skorzystanie z usługi było skuteczne oraz sposobu rezygnacji z danej usługi.
Przykład: opisując usługę elektroniczną „Wyszukiwarkę” najbardziej w tym zakresie istotną – należy poruszyć następujące kwestie: moment rozpoczęcia korzystania z wyszukiwarki ( np. przejście na stronę główną serwisu), kroki niezbędne do skutecznego z niej korzystania ( np. wpisanie wyszukiwanej frazy, wybranie kategorii i kliknięcie pola akcji) oraz wskazanie sposobu zakończenia korzystania z wyszukiwarki (np. skorzystanie z wyszukiwarki ma charakter jednorazowy i ulega zakończeniu po skorzystaniu z niej).
W taki sposób należy opisać każdą z usług elektronicznych. Oprócz określenia i opisania usług elektronicznych, szczególną uwagę należy poświęcić na zabezpieczenie właściciela serwisu przed zamieszczeniem bezprawnych treści przez użytkowników strony. Zalecamy wyraźnie podkreślić, iż usługobiorcy zobowiązani są zamieszczać w serwisie jedynie prawdziwe, rzetelne i niewprowadzające w błąd informacje, a zamieszczone treści powinno być zgodne z prawem i dobrymi obyczajami mając na uwadze poszanowanie dóbr osobistych, praw autorskich oraz prawa własności intelektualnej zarówno usługodawcy jak i osób trzecich.
Po czym poznać kompleksowy i rzetelny regulamin serwisu – wyszukiwarki?
Kompleksowy regulamin wyszukiwarki/porównywarki powinien składać się z kilkunastu punktów, w których powinny zostać w sposób czytelny i uporządkowany uregulowane takie kwestie jak: ogólne warunki korzystania z serwisu wraz ze wskazaniem administratora danych osobowych, szczegółowe wskazanie i opisanie usług elektronicznych, reklamacje dot. działania serwisu. W przypadku, gdy użytkownikami serwisu będą konsumenci, oczywiście nie można zapomnieć o szeregu obowiązków informacyjnych do spełnienia, a tym samym konieczności zawarcia zapisów m.in. dot. pozasądowych sposobach rozwiązywania sporów.
Oprócz wyżej wskazanych elementów, regulamin powinien zawierać zapisy odnośnie praw autorskich oraz odrębne regulacje znajdujące zastosowanie w przypadku przedsiębiorców. Co do zasady serwis będzie skierowany zarówno do podmiotów profesjonalnych – przedsiębiorców jak i do konsumentów, warto natomiast odrębnie przeanalizować każdą sytuację i dopasować regulamin do grupy docelowej w serwisie. Kolejna kwestia, która jest szczególnie ważna w przypadku wyszukiwarek o ch. ogólnym, to wyraźne określenie zakresu przedmiotów i usług, które nie mogą być przedmiotem dodawanych do bazy treści. Zalecamy, aby zamieścić taką listę w formie załącznika do samego regulaminu. Przykładem takich ograniczeń są m.in. treści, które naruszają prawa autorskie, przedmioty takie broń, amunicja czy też treści nawołujące do nienawiści na tle narodowościowym, wyznaniowym.
Polityka Prywatności wyszukiwarki zgodna z RODO
Szczegółowe kwestie związane z przetwarzaniem danych osobowych klientów w serwisie powinny być ujęte w odrębnym od regulaminu dokumencie – Polityce Prywatności. W dokumencie tym wyraźnie powinien być wskazany administrator danych osobowych – najczęściej będzie to po prostu właściciel serwisu czyli usługodawca.
Administrator danych osobowych powinien informować w polityce prywatności przede wszystkim o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania wraz ze wskazaniem imienia i nazwiska,
- danych kontaktowych inspektora danych wyznaczonego przez administratora ( jeżeli został wyznaczony),
- ogólnych podstawach przetwarzania danych ( m.in. wyrażenie zgody przez osobę, której dane dotyczą )
- celach, okresie oraz zakresie przetwarzanych w sklepie danych osobowych,
- odbiorcach lub kategoriach odbiorców danych w sklepie ( np. podmioty obsługujące płatności elektroniczne),
- profilowaniu ( o ile jest stosowane);
- praw osoby, której dane dotyczą ( m.in prawo do sprzeciwu, cofnięcia zgody czy wniesienia skargi do organu nadzorczego),
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Powyższe elementy to obowiązkowy „szkielet” Polityki Prywatności. Należy mieć na uwadze to, że tak jak regulamin – również polityka prywatności musi być każdorazowo dopasowana do danego serwisu i stopnia skomplikowania wyszukiwarki. Indywidualnie powinny być przeanalizowane takie kwestie jak: cele, zakres przetwarzanych danych, kategorie odbiorców czy stosowanie profilowania i plików Cookies.
Kwestii, które należy wziąć pod uwagę jest wiele – warto skorzystać z profesjonalnej pomocy prawnika
Chociaż kwestii, które należy wziąć pod uwagę tworząc dokumenty dedykowane takie jak regulamin i polityka prywatności dla internetowych wyszukiwarek jest wiele – nawet wszystkie wskazane powyżej aspekty mogą okazać się niewystarczające. Zalecamy w przypadku rozbudowanych wyszukiwarek skorzystanie z pomocy doświadczonego prawnika, który indywidualnie przeanalizuje funkcjonowanie danego serwisu i stworzy w pełni dopasowane dokumenty. Ponadto, w przypadku, gdy grupą docelową serwisu są konsumenci, w grę wchodzą także ewentualne kary za m.in. klauzule niedozwolone czy niespełnienie obowiązków informacyjnych nałożone przez UOKiK. Oprócz sankcji pieniężnych nałożonych przez UOKiK nie można zapominać o karach wynikających z RODO.
Korzystając z gotowych wzorów dostępnych w Internecie czy też próbując bez doświadczenia w materii E-Commerce samodzielnie stworzyć dokumenty dla serwisu możemy się narazić na dotkliwe sankcje. Szczególnie w przypadku serwisów internetowych warto rozważyć zwrócenie się do prawnika i posiadanie w pełni dopasowanego regulamin i polityka prywatności dla internetowych wyszukiwarek i porównywarek.
Regulamin i polityka prywatności dla internetowych wyszukiwarek – zachęcamy do kontaktu
Jeżeli jesteś właścicielem rozbudowanej wyszukiwarki/ porównywarki z wieloma funkcjonalnościami lub zamierzasz uruchomić taką platformę zachęcamy Cię do skorzystania z usług naszych prawników. Przeanalizują i przeprowadzą kompleksowy audyt Twoich dokumentów lub od podstaw stworzą w pełni dopasowany regulamin i polityka prywatności dla internetowych wyszukiwarek i porównywarek.
utworzone przez Rafał | gru 21, 2020 | Polityka prywatności, Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, Regulamin i polityka prywatności, regulamin serwisu ogłoszeniowego, Regulamin Sklepu Internetowego |
Dużą popularnością cieszą się wszelkiej maści serwisy internetowe o charakterze ogłoszeniowym. Zazwyczaj są to miejsca, gdzie użytkownicy z jednej strony zamieszczają np. oferty sprzedaży konkretnych przedmiotów albo świadczenia usług, a pozostali oferty ich kupna. Serwis taki może jednak być poświęcony także nieruchomościom, ogłoszeniom o pracę czy innym, bardziej specyficznym branżom. Serwis ogłoszeniowy jest zatem dedykowanym serwisem internetowym, w którym znajdzie się wiele funkcjonalności. W takim serwisie nie obejdzie się jednak bez odpowiednio dopasowanych pod kątem prawnym dokumentów. Regulamin i polityka prywatności dla serwisu ogłoszeniowego, co powinno się w nich znaleźć?
Odpowiedzialność właściciela oraz zawieranie umów w serwisie
W regulaminie serwisu internetowego przede wszystkim należy uregulować kwestie odpowiedzialności jej właściciela, tak aby nie budziło to żadnych wątpliwości. Zasadniczo serwis ogłoszeniowy nie będzie umożliwiać zawarcia bezpośrednio za jego pomocą umowy sprzedaży, świadczenia usług czy zlecenia – w zależności od tematyki i charakteru danego serwisu. Właściciel serwisu internetowego powinien wyjaśnić zatem osobom go odwiedzającym, na czym on polega.
Właściciel serwisu pełnić będzie zatem rolę pośrednika, który wyłącznie udostępnia swoim usługobiorcom (ogłoszeniodawcom i tym, do których ogłoszenia te są kierowane) możliwość znalezienia potencjalnych kontrahentów, pracowników czy zleceniobiorców. Ważne jest zatem, aby tę specyficzną funkcję właściciela serwisu ująć odpowiednio w zapisach samego regulaminu. Należy zastrzec wyraźnie, że za pośrednictwem serwisu nie dochodzi do zawarcia umowy, a sam właściciel serwisu nie jest tutaj stroną. Udostępnia on wyłącznie narzędzia i środki techniczne pozwalające na skojarzenie ze sobą potencjalnych stron przyszłej umowy.
Dlatego w regulaminie wskazane jest zastrzeżenie, że wszelkie ewentualne cenniki, reklamy i opisy produktów lub usług widniejące w ogłoszeniach, które opublikowano w serwisie internetowym, mają charakter informacyjny i nie mogą być traktowane jako oferta (w rozumieniu przepisów Kodeksu cywilnego). Tym samym przedsiębiorca prowadzący serwis zabezpiecza swoje interesy. Zawarcie np. umowy sprzedaży czy świadczenia usług będzie możliwe przez usługobiorców jedynie poza serwisem, w co jej właściciel już nie ingeruje.
Oczywiście, wszelkie tego typu zapisy nie będą skuteczne, a stanowić będą klauzule niedozwolone, jeżeli nastąpi istotna rozbieżność między tym, co twierdzi regulamin, a prawdziwymi funkcjami serwisu internetowego.
Serwis ogłoszeniowy będzie pozwalał jednak na zawarcie umów o świadczenie usług elektronicznych, których stroną – usługodawcą – będzie rzecz jasna właściciel serwisu. Wynika to z możliwości wprowadzenia w serwisie niektórych usług elektronicznych, takich jak konto użytkownika czy newsletter. Właściciel serwisu powinien wówczas informować o zasadach zgłaszania reklamacji na te usługi. A jeżeli usługi te dostępne są dla konsumentów i mają charakter odpłatny, to kluczowe będzie również spełnienie obowiązku informacyjnego co do pozasądowych sposobów dochodzenia roszczeń oraz konsumenckim prawie odstąpienia od umowy.
Usługi elektroniczne świadczone przez właściciela serwisu, jak wspomniano wyżej, mogą być odpłatne. Dotyczy to zwłaszcza konta w serwisie, które zazwyczaj za odpowiednimi opłatami może dawać usługobiorcy dodatkowe funkcjonalności, zwłaszcza opcję promowania czy wyróżniania ogłoszeń. Wszelkie takie odpłatne umowy zawierane z usługodawcą powinny być wskazane i uregulowane w samym regulaminie. W szczególności warto zawrzeć informacje o sposobach i terminach płatności, a także terminie wykonania odpłatnych usług, aby nie tworzyć następnie niedomówień mogących prowadzić do konfliktów z usługobiorcami. W interesie usługodawcy będzie w tej sytuacji zamieszczenie przed zakupem płatnej usługi elektronicznej (takiej jak odpłatne wyróżnienie ogłoszenia) także właściwego checkboxa, który usługobiorca będący konsumentem będzie musiał zaznaczyć, aby rozpocząć świadczenie usługi przed upływem 14-dniowego terminu do odstąpienia od umowy. Konieczne będzie wówczas pouczenie o tym, że zgoda ta i wcześniejsze rozpoczęcie świadczenia usługi pozbawia możliwości ustawowego odstąpienia od umowy bez podawania przyczyn i ponoszenia kosztów.
Zasady korzystania z usług elektronicznych
Każdy serwis internetowy może zawierać wiele mniej lub bardziej złożonych usług elektronicznych. Usługi te powinny być odpowiednio opisane w samym regulaminie serwisu. Usługa elektroniczna to zasadniczo każda funkcjonalność serwisu internetowego, która wiąże się z pewną interaktywnością czy koniecznością podawania danych i dokonywania jakichś działań przez osobę odwiedzającą stronę. W przypadku usług elektronicznych takich jak newsletter czy konto użytkownika, o których wspomnieliśmy wcześniej, można w dodatku mówić o zawarciu umowy między usługobiorcą a usługodawcą o świadczenie usługi o charakterze ciągłym W takiej sytuacji oczywiście powinny w regulaminie znaleźć się informacje o możliwości i sposobach rezygnacji z usługi.
W regulaminie serwisu nie może zabraknąć informacji o tym, czy dane usługi są odpłatne, czy też nieodpłatne, na jakich zasadach odbywa się korzystanie z nich, podawania jakich danych wymaga określona usługa oraz czy ma ona charakter jednorazowy, czy też ma charakter ciągły.
Usługami elektronicznymi, które najczęściej spotykamy w serwisie ogłoszeniowym, są zwykle formularze pozwalające dodawać swoje ogłoszenia, często bez konieczności zakładania konta w serwisie. Usługa ta wymaga podania przez usługobiorcę określonych danych osobowych czy treści tekstowych oraz naciśnięciu odpowiedniego pola akcji. Ma ona też zasadniczo charakter jednorazowy, a zatem trwa, dopóki usługobiorca nie zrezygnuje (np. poprzez opuszczenie serwisu internetowego) albo nie zakończy korzystania z niej (poprzez wysłanie formularza i tym samym dodania odpowiedniej treści na stronie serwisu).
W przypadku takich usług elektronicznych, które wymagają podania swoich danych osobowych w określonym celu, niezbędne będzie umieszczenie odpowiednich checkboxów, które osoba korzystająca z usługi obowiązana będzie zaznaczyć. Formularz dodania ogłoszenia wymagać będzie na pewno oświadczenia o zapoznaniu się z polityką prywatności oraz zgodą na postanowienia regulaminu serwisu. Podobne wymogi spełnić będzie musiał formularz rejestracji konta, jeżeli oczywiście serwis przewidywać będzie możliwość zakładania konta z dodatkowymi funkcjonalnościami.
Inną jednorazową usługą, która znajdzie się w każdym tego rodzaju serwisie, jest wyszukiwarka, która polega na odnalezieniu i przeglądaniu dostępnych ofert, jakie zamieścili wcześniej pozostali usługobiorcy.
Obowiązkiem usługodawcy będzie także informowanie w regulaminie o ewentualnych zagrożeniach i niebezpieczeństwach, jakie wiązać się mogą z korzystaniem z usług elektronicznych w jego serwisie internetowym.
Każda usługa elektroniczna serwisu powinna zostać w regulaminie wymieniona oraz opisana – zgodnie z wyżej przedstawionymi wskazówkami.
Pouczenia i zastrzeżenia prawne
Dla serwisu internetowego najważniejszym punktem regulaminu będą warunki zamieszczania w nim ogłoszeń. Jest to szczególnie ważne ze względu na możliwość publikowania treści niepozostających pod kontrolą usługodawcy, które mogą naruszać cudze prawa czy po prostu być nieprawdziwe. Już z tego powodu usługodawca powinien pomyśleć o wdrożeniu odpowiednich automatycznych środków filtrowania treści czy też manualnej moderacji przez wyznaczone osoby.
W regulaminie serwisu ogłoszeniowego powinny zatem znaleźć się liczne pouczenia co do treści, jakich nie wolno zamieszczać na jego łamach. Ogłoszenia muszą być oczywiście zgodne z rzeczywistością i niewprowadzające w błąd co do przedmiotu i warunków ogłoszenia. Dobrze jest w tym miejscu upomnieć także usługobiorców, w ślad za obowiązkiem płynącym z przepisów o świadczeniu usług drogą elektroniczną, że zabronione jest dostarczanie przez nich treści o charakterze bezprawnym czy mogących zakłócać prawidłowe działanie serwisu. Dotyczy to w szczególności wszelkich miejsc w serwisie, gdzie możliwe jest wpisywanie jakichś danych i treści tekstowych. Korzystanie z serwisu powinno także odbywać się z poszanowaniem ogólnych przepisów prawa, a w szczególności dóbr osobistych osób trzecich, ochrony danych osobowych oraz praw własności intelektualnej. Są to kwestie pozornie oczywiste, jednak na właścicielu serwisu, jako usługodawcy, ciąży obowiązek spełnienia tych obowiązków informacyjnych i pouczenia swoich usługobiorców o tych zasadach.
Usługodawca powinien w tym celu dołączyć do regulaminu odpowiedni załącznik, który będzie w miarę precyzyjnie i wyczerpująco wymieniał przedmioty i usługi, które nie mogą stanowić przedmiotu ogłoszenia w ramach serwisu internetowego albo w stosunku do których wprowadza on stosowne ograniczenia.
Regulamin nie powinien także pomijać kwestii technicznych. Należy wskazać, jakie wymagania powinna spełniać osoba odwiedzająca serwis, aby korzystać z niego w sposób prawidłowy i w pełni funkcjonalny.
Serwis internetowy zawierać może z pewnością wiele treści i elementów graficznych, które stanowią własność intelektualną, szczególnie jego usługobiorców, które zamieszczają różne materiały w swoich ogłoszeniach. Odpowiednio opracowane materiały tekstowe i marketingowe, ale też różne wzory czy znaki towarowe, które zostaną zamieszczone na stronie, będą chronione prawem autorskim oraz przemysłowym. W takiej sytuacji również o tym należy wspomnieć w regulaminie, aby uniknąć wszelkich wątpliwości co do charakteru tych treści oraz zakazu ich rozpowszechniania i korzystania z nich poza serwisem internetowym, bez zgody uprawnionych podmiotów.
W razie jakichkolwiek problemów czy pytań dotyczących serwisu usługobiorcy powinni mieć możliwość skontaktowania się z właścicielem strony. Dlatego nie bez znaczenia jest, aby regulamin zawierał w szczególności dane identyfikacyjne właściciela serwisu oraz dane kontaktowe takie jak adres poczty elektronicznej, numer telefonu czy adres do doręczeń pocztą tradycyjną.
Dane osobowe w serwisie internetowym
Regulamin i polityka prywatności idą ze sobą w parze, ale skoro regulamin za nami to teraz poruszmy drugą kwestię. W końcu dochodzimy do ostatniej kwestii, którą należy uregulować, gdy sporządza się dokumenty dla każdego serwisu internetowego. W świetle rozporządzenia RODO przejrzystość w zakresie przetwarzania danych osobowych nabrała jeszcze większego znaczenia niż dawniej. Dlatego właśnie każdy serwis internetowy, nawet jeżeli nie udostępnia swoim użytkownikom wielu podstron czy formularzy, w których mogą podawać swoje dane osobowe, powinien posiadać dostosowaną politykę prywatności.
Polityka prywatności spełnia obowiązki informacyjne, jakie ciążą na administratorze danych osobowych, którym będzie w większości przypadków sam właściciel serwisu i usługodawca. Powinna ona precyzować, kto jest administratorem danych gromadzonych w ramach serwisu internetowego oraz jak nawiązać z nim kontakt. Jeżeli dana firma wyznaczyła inspektora ochrony danych osobowych, to również jego dane identyfikacyjne muszą znaleźć się w regulaminie.
Ponadto nie może zabraknąć informacji o sposobie przetwarzania danych osobowych usługobiorców. Każda polityka prywatności powinna precyzować:
- Cele, dla których gromadzi się dane osobowe w ramach strony;
- Podstawę prawną celu przetwarzania danych;
- Zakres danych, czyli jakiego typu dane są w określonym celu gromadzone;
- Okres przetwarzania, czyli przez jaki czas określone dane będą w tym celu przetwarzane.
Są to podstawowe informacje, na jakie należy zwrócić uwagę, tworząc politykę prywatności serwisu internetowego. Poza tym należy pouczyć osoby, których dane dotyczą, o ich prawach (w szczególności do sprostowania i zmiany danych, usunięcia danych, ograniczenia ich przetwarzania oraz sprzeciwu).
W polityce prywatności powinny się znaleźć informacje o wszelkich wykorzystywanych metodach analitycznych (takich jak narzędzie Google Analytics albo Facebook Pixel) oraz o profilowaniu i remarketingu, jeżeli są przez administratora w serwisie stosowane. Usługobiorcy powinni być świadomi, jakie narzędzia i dlaczego stosuje się do śledzenia ich aktywności w ramach serwisu internetowego.
Polityka prywatności jest również dobrym miejscem na spełnienie obowiązku informacyjnego dotyczącego plików cookies. W zasadzie każdy serwis internetowy z tego rodzaju plików korzysta, aby zapamiętywać preferencje użytkowników co do wyglądu serwisu, podawane przez nich dane (np. logowania do konta) czy ostatnio dodane produkty do koszyka (gdy serwis posiada funkcję sklepu). Jako że nie ma możliwości wyłączenia używania plików cookies domyślnie dla każdego użytkownika, serwis internetowy powinien informować osoby odwiedzające stronę, najlepiej poprzez widoczny komunikat na stronie głównej, o korzystaniu z plików cookies. Komunikat taki zawierać może odnośnik do polityki prywatności, w której z kolei zagadnienie zostanie omówione szerzej. Powinno znaleźć się tam pouczenie o możliwości ręcznego wyłączenia oraz usunięcia plików cookies przez każdego użytkownika z perspektywy jego przeglądarki internetowej.
Dlaczego warto zainwestować w regulamin i polityka prywatności serwisu ogłoszeniowego?
Regulamin serwisu internetowego powinien być zgodny z przepisami obowiązującego prawa, w szczególności z Kodeksem cywilnym oraz Ustawą o świadczeniu usług drogą elektroniczną. W przypadku serwisu ogłoszeniowego, który w większości przypadków będzie skierowany do konsumentów, najważniejsze będzie jednak przestrzeganie obowiązków wynikających z Ustawy o prawach konsumenta. Polityka prywatności wiąże się natomiast z uwzględnieniem wielu wymogów, jakie nakłada na administratora danych osobowych rozporządzenie RODO.
Jak zatem widać, regulamin i polityka prywatności to złożona dokumentacja prawna. Właściciel serwisu, nie znając dobrze prawa, może więc napotkać na swej drodze sporo przeszkód.
Chociaż kuszące jest skopiowanie jednego z dostępnych w sieci wzorów regulaminów, ich jakość zazwyczaj pozostawia wiele do życzenia, a poza tym nie ma pewności, że nie naruszamy wtedy czyichś praw własności intelektualnej. Dlatego lepiej nie ryzykować i zwrócić się z tym problemem do prawnika. Profesjonalny regulamin i polityka prywatności to coś więcej niż działalność zgodna z prawem – jego wysoki poziom merytoryczny oraz przejrzystość budują wiarygodność serwisu ogłoszeniowego. Odpowiednio zredagowany przez prawnika regulamin i polityka prywatności zapewni pozytywny odbiór serwisu oraz będzie dobrze prezentować się na jego stronie.
utworzone przez Doradca Sprzedawcy | lip 10, 2018 | Obowiązki Informacyjne Sprzedawcy, RODO |
Fanpage na Facebooku – dane osobowe ostatnimi czasy są niezwykle gorącym tematem — i to nie tylko w środowiskach prawniczych — co jest zasługą szumu wokół rozporządzenia RODO. Wprowadziło ono zaostrzenie odpowiedzialności za przetwarzanie danych oraz uchyliło dyrektywę 95/46, która wcześniej regulowała tę kwestię. Dawne przepisy unijne potrafią jednak nadal zaskakiwać i dają okazje do rozważań, czego dowodem jest czerwcowy wyrok europejskiego Trybunału Sprawiedliwości. Czy wnioski te znajdą jeszcze zastosowanie na gruncie RODO?
W sprawie między niemieckim organem ochrony danych osobowych a podmiotem prowadzącym fanpage na Facebooku o charakterze dydaktycznym TSUE orzekł, że administrator fanpage’a ponosi odpowiedzialność za przetwarzanie danych osobowych użytkowników razem z Facebookiem. W jaki sposób Trybunał doszedł do tego rozstrzygnięcia?
Od czego się zaczęło?
Spór miał swój początek w 2011 roku, kiedy Wirtschaftsakademie, wspomniana spółka prowadząca fanpage na Facebooku w celach edukacyjnych, otrzymała nakaz dezaktywacji swojej strony od lokalnego organu zajmującego się ochroną danych osobowych na podstawie przepisów wdrożonej do prawa krajowego dyrektywy unijnej 95/46.
Zdaniem organu nadzorczego naruszenie polegało na nieinformowaniu użytkowników fanpage’a, że ich dane są gromadzone za pomocą plików cookies i przetwarzane w celach statystycznych przez administratora strony za pomocą narzędzia zwanego Facebook Insights. Pliki cookies przesyłane przez Facebooka zawierają niepowtarzalny kod użytkownika, który można powiązać z danymi użytkowników zarejestrowanych na portalu. Jest on pobrany z urządzenia użytkownika i przetwarzany przy każdorazowym odwiedzeniu przez niego fanpage’a.
W możliwy do przewidzenia sposób Wirtschaftsakademie podjęła próbę obrony, odwołując się od decyzji organu ochrony danych osobowych poprzez zarzucenie mu, że błędnie przypisuje jej odpowiedzialność za narzędzia i rozwiązania techniczne, które są pod kontrolą samego Facebooka.
Ponownie odbił piłeczkę niemiecki organ ochrony danych, wskazując, że w świetle przepisów spółka ponosi odpowiedzialność, ponieważ spełnia kryteria administratora danych osobowych jako podmiot, który zleca innej instytucji (w omawianym przypadku Facebookowi) gromadzenie i przetwarzanie danych użytkowników. Podnoszono, że zakładając i prowadząc fanpage Wirtschaftsakademie przyczyniła się do poszerzania bazy danych osobowych gromadzonych przez Facebooka, a sama korzystała ze statystyk opracowanych na podstawie tych danych za pomocą narzędzi przez niego udostępnionych.
„Administrator danych oznacza każdą osobę lub każdy podmiot, który gromadzi, przetwarza lub wykorzystuje dane osobowe na swój rachunek lub zleca to innym podmiotom”
— § 3 ust. 7 BDSG (federalnej ustawy o ochronie danych osobowych)
Rzecz jasna Wirtschaftsakademie nie zgodziła się ze stanowiskiem organu, zarzucając w szczególności, że spółka ma wgląd jedynie do anonimowych statystyk użytkowników odwiedzających jej fanpage na Facebooku, których nie może powiązać z konkretnymi osobami. Sprawa ostatecznie trafiła do sądu administracyjnego. W korzystnym dla spółki wyroku stwierdzono, że administrator fanpage’a na Facebooku nie jest „administratorem danych” w rozumieniu § 3 ust. 7 BDSG, co oznacza, że wydany nakaz usunięcia jej strony był bezzasadny.
Sprawa w Trybunale
Oczywiście, sprawa wskutek środków zaskarżenia składanych przez organ ochrony danych została przekazana w końcu sądowi federalnemu, który z kolei zwrócił się do Trybunału Sprawiedliwości z kluczowymi pytaniami odnośnie wykładni niektórych przepisów dyrektywy 95/46. Najważniejszym zagadnieniem, które miało zostać poddane interpretacji TSUE, była właśnie kwestia definicji administratora danych osobowych w kontekście portali społecznościowych.
Trybunał powołał się w swoim orzeczeniu na motywy stojące za wspomnianą dyrektywą, w szczególności natomiast podkreślił konieczność zapewnienia wysokiego poziomu ochrony prawa do prywatności. Nie bez przyczyny na mocy przepisów dyrektywy pojęcie administratora danych jest szeroko definiowane. Celem szerokiego zakresu interpretacji jest skuteczna i pełna ochrona osób, których dane dotyczą.
Za administratora danych należy uważać podmiot, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Oznacza to, że jednocześnie w roli administratora, odpowiedzialnego za przetwarzanie określonego typu danych, występować może nie jeden, lecz kilka podmiotów, które wspólnie tej czynności dokonują. Wówczas każdy z nich ponosi odpowiedzialność za przetwarzanie, jednak w zakresie, który rzeczywiście odpowiada stopniowi zaangażowania w czynności przetwarzania. Oznacza to, że rozmiar tej odpowiedzialności należy oceniać indywidualnie i przy uwzględnieniu wszystkich okoliczności danej sprawy.
Nie było wątpliwości co do tego, że Facebook jest we wskazanej sytuacji głównym podmiotem określającym cele i sposoby przetwarzania danych osobowych swoich użytkowników, także tych, którzy odwiedzali fanpage spółki. Trybunał jednak ustalił, że Wirtschaftsakademie uczestniczył w tym procesie, ponieważ jako administrator fanpage’a podejmował działania, bez których nie doszłoby do przetwarzania określonych rodzajów danych osób odwiedzających jego fanpage — w szczególności natomiast danych demograficznych takich jak płeć, wiek czy stan cywilny. Chociaż przyjmują one postać anonimowych statystyk, to ich sporządzanie opiera się na wcześniejszym gromadzeniu i przetworzeniu danych osobowych za pomocą wspomnianych plików cookies. A te, jak podkreśla TSUE, Facebook instaluje na urządzeniach osób odwiedzających fanpage, co nie miałoby miejsca, gdyby fanpage na Facebooku nie został w pierwszej kolejności założony dobrowolnie przez określony podmiot. Tym samym staje się on współodpowiedzialny za ich gromadzenie i przetwarzanie.
Fakt, że administrator fanpage’a jedynie korzysta z usług oferowanych przez Facebooka, nie zwalnia go z odpowiedzialności, zwłaszcza że fanpage odwiedzony może być nie tylko przez użytkowników portalu, ale także osoby nieposiadające na nim konta. Jak słusznie dostrzegł Trybunał: „W tym przypadku odpowiedzialność administratora fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo wejście na fanpage’a przez osoby odwiedzające skutkuje automatyczne przetworzeniem ich danych osobowych.”
Trybunał zaznaczył zatem konieczność uwzględnienia współodpowiedzialności portalu społecznościowego oraz administratora fanpage’a jako podmiotu niewątpliwie wnoszącego swój wkład w gromadzenie danych osobowych przez Facebooka. Tylko taka perspektywa może bowiem zapewnić ochronę prawa do prywatności, na którą powoływano się w motywach do dyrektywy 95/46.
RODO a orzeczenie
Powyższe rozważania doprowadziły ostatecznie TSUE do istotnego wniosku, że „pojęcie administratora danych obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.” To doprecyzowanie wcześniej spornej definicji nie traci wcale znaczenia mimo uchylenia dyrektywy 95/46. Może ono znaleźć zastosowanie w interpretacji przepisów obecnie obowiązującego RODO. Pojęcie „administratora danych” pojawia się również na gruncie nowego rozporządzenia, dlatego orzeczenie TSUE, mimo że dotyczące wykładni poprzednich przepisów, nie musi stracić na aktualności.
W praktyce oznacza to, że prowadząc fanpage powinieneś m.in. spełniać obowiązki informacyjne wynikające z RODO (np. w ramach polityki prywatności fanpage). A tych obowiązków jest całkiem sporo – niezbędne minimum zawiera artykuł 13 RODO, zgodnie z którym:
Artykuł 13
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
Informacje te najlepiej zawrzeć w polityce prywatności fanpage i zamieścić je bezpośednio w jednej z zakładek informacyjnych na fanpage lub umieścić tam link z odesłaniem do polityki prywatności.
Jeśli jesteś zainteresowany przygotowaniem odpowiednich dla Ciebie dokumentów lub masz dodatkowe pytania związane z prowadzeniem fanpage na Facebooku – nasi prawnicy służą pomocą. Możesz skontaktować się z nami pod adresem email: kontakt@prokonsumencki.pl.
utworzone przez Doradca Sprzedawcy | kwi 16, 2018 | Obowiązki Informacyjne Sprzedawcy, Ochrona Danych Osobowych (GIODO), Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, RODO |
W ostaniach miesiącach RODO jest odmieniane przez wszystkie przypadki. Przez ten cały szum medialny trudno wyłapać jednak istotę RODO i co ono faktycznie oznacza dla Sprzedawcy Internetowego. Na tym skupimy się w tym artykule tak aby ułatwić Wam dostosowanie swojego sklepu internetowego do wymogów stawianych przez RODO.
Co to właściwie jest RODO
RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej „RODO” lub „Rozporządzenie RODO”.
RODO jest rozporządzeniem PE i Rady UE. Rozporządzenia takie są bezpośrednio stosowane w państwie – członku UE, a więc odróżnieniu od dyrektyw nie wymagają implementacji (wdrożenia) do jego systemu prawnego. Są one narzędziem harmonizacji, uwspólniania pewnych kwestii na terenie całej Unii. Dla przykładu obowiązująca jeszcze dziś ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych stanowi implementację dyrektywy 95/46/WE Parlamentu Europejskiego i Rady 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Oficjalny tekst Rozporządzenia RODO dostępny jest tutaj.
Czy RODO oznacza rewolucję w sklepie internetowym
Dla osoby, która dotychczas niewiele robiła w zakresie ochrony danych osobowych, nie dokonała zgłoszenia zbiorów danych do GIODO oraz nie posiałada stosownej dokumentacji wewnętrznej dotyczącej przetwarzania danych osobowych, to tak – RODO może oznaczać małą rewolucję i konieczność podjęcia szeregu kroków celem dostosowania się do jego wymogów.
Natomiast osoby, które rzetelnie wykonywały obowiązki ciążące na nich na mocy ww. ustawy o ochronie danych osobowych, nie powinny obawiać się nadejścia 25 maja 2018 r. . Przepisy wprowadzają oczywiście nowe regulacje, nowe obowiązki informacyjne oraz nowe prawa osób, których dane dotyczą. Jednak dużą część dotychczasowej pracy.
Dotychczasowa ustawa o ochronie danych osobowych przykładowo określała, że administrator danych osobowych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności ma zapewnić, aby dane te były przetwarzane zgodnie z prawem (zasada legalności), zbierane dla oznaczonych, zgodnych z prawem celów i, co do zasady, niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (zasada celowości), merytorycznie poprawne i adekwatne w stosunku do celów przetwarzania (zasada merytorycznej poprawności i adekwatności), czy przechowywane nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania (zasada ograniczenia czasowego).
Do tych zasad RODO wprost dodaje zasadę integralności i poufności (zgodnie z nią dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych) oraz zasadę rozliczalności – zgodnie z którą to na administratorze ciąży obowiązek przestrzegania zasad przetwarzania danych i wykazania ich przestrzegania zarówno w stosunku do osób, których dane przetwarza jak i organowi nadzoru (według projektu nowej ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych).
Ta ostatnia zasada – rozliczalności – najlepiej pokazuje, jak RODO ma zmienić nasze dotychczasowe myślenie o danych osobowych. Formułuje trzy podstawy dotyczące ochrony danych: relatywizm, neutralność technologiczną oraz podejście oparte na ryzyku. Mówiąc w skrócie – obecnie nie wystarczy już raz przygotowana dokumentacja, którą przechowujemy w szufladzie. Administrator danych ma stale myślec o ochronie danych i na bieżąco minimalizować ryzyka związana z naruszeniem ich ochrony.
Czy RODO dotyczy każdego sprzedawcy internetowego
Tak, do RODO musi się stosować każdy sprzedawca internetowy. Warto wspomnieć, że dotychczas obowiązująca ustawa o ochronie danych osobowych także powinna być stosowana przez każdego sprzedawcę internetowego.
W celu realizacji umowy sprzedawca musi posiadać informacje niezbędne do wystawienia rachunku, przesłania towaru do kupującego (imię i nazwisko, adres kupującego). Na pewno nie dotyczy Cię wyjątek z artykułu 23 RODO – nie jesteś np. sądem, policją. Na 99% masz siedzibę w UE, a na 100% oferujesz towary lub usługi znajdującym się w Unii osobom.
Dostosowanie sklepu internetowego do RODO – od czego zacząć
RODO może być rewolucją lub ewolucją – wszystko zależy od tego, co do tej pory było zrobione w temacie ochrony danych osobowych w naszej firmie. Dostosowanie sklepu internetowego do RODO należy przeprowadzić dwutorowo – pierwszy etap dotyczy dostosowanie samej strony sklepu internetowego, czyli to co widoczne dla jego klientów. Drugi etap natomiast dotyczy spraw wewnętrznych sklepu internetowego, czyli tego co jest niewidoczne dla klientów sklepu internetowego. Obie te strefy wzajemnie się przenikają i powinny być spójne ze sobą.
RODO na zewnątrz sklepu internetowego – czyli to, co widać
Dostosowanie sklepu na zewnątrz wydaje się prostsze. W tym zakresie należy zadbać przede wszystkim o:
- regulamin sklepu internetowego i politykę prywatności zgodną z RODO
- sprawdzenie i dostosowanie checkboxów stosowanych na stronie sklepu tak aby były one zgodne z RODO
- zapewnienie ew. innych informacji, jeżeli ich podanie okaże się konieczne zgodnie z RODO
O polityce prywatności zgodnej z RODO pisaliśmy już tutaj: Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych – zachęcamy do lektury tego wpisu, są tam wskazane obowiązki informacyjne, które należy spełnić aby stosowana przez nas polityka prywatności była zgodna. Polityka prywatności po wejściu w życie RODO stanie się bardzo ważnym miejscem, w którym możliwe będzie spełnienie stawianych obowiązków informacyjnych.
Sam regulamin w zależności od jego konstrukcji i dotychczasowej zawartości może wymagać mniej lub większej ingerencji z uwagi na konieczność dostosowania do RODO.
Istotne na pewno będzie przejrzenie stosowanych przez nas treści zgód (checkboxów) na stronie sklepów pod kątem RODO i w razie potrzeby dostosowanie ich do nowych wymogów informacyjnych.
RODO wewnątrz sklepu internetowego – czyli to, czego nie widać
Teraz przechodzimy ze strony internetowej sklepu do siedziby sklepu. To co jest na stronie sklepu, to tak naprawdę wierzchołek góry lodowej, której reszta powinna być właśnie wewnątrz prowadzonej działalności przez Sprzedawcę. Nie ma jednej złotej recepty dostosowania się do RODO – przepisy te są na tyle nowe, że trudno tutaj mówić o jakiejś wypracowanej praktyce. Będzie się ona dopiero tworzyła na podstawie kolejnych decyzji i wytycznych organu nadzorczego, którym będzie dotychczasowe GIODO. Brak jednoznacznych wytycznych nie zwalania nas jednak z podjęcia próby dostosowania się do RODO i wdrożenia go we własnej firmie.
Tutaj ważna informacja – RODO nie dotyczy tylko sklepu internetowego. Jeżeli w naszej firmie poza sklepem internetowym prowadzimy także inną działalność – chociażby sklep stacjonarny, to wdrożenie RODO powinno obejmować także tę dodatkową działalność.
W zakresie sposobu wdrożenia warto na pewno odesłać do przydatnego naszym zdaniem poradnika – Przewodnik po RODO dla małych i średnich przedsiębiorców przygotowanego przez Ministerstwo Przedsiębiorczości i Technologii (link). Wyróżnia on poniższe etapy wdrożenia RODO w firmie – naszym zdaniem od tego warto zacząć:
- Identyfikacja procesów przetwarzania danych osobowych (w skrócie jakie dane i w jakich celach przetwarzamy)
- Weryfikacja podstawowych parametrów procesów przetwarzania danych (określamy podstawy przetwarzania, zakres oraz treść obowiązków z tym związanych)
- Wdrożenie podejścia opartego na ryzyku (określamy poziom ryzyka związanego z przetwarzaniem danych)
- Przeprowadzenie procedury oceny skutków dla ochrony danych (nie zawsze jest to obowiązkowe, ale zalecamy jej przeprowadzenie)
- Powierzenie przetwarzania danych (ustalamy komu przekazujemy dane i podpisujemy z tymi podmiotami umowy dot. powierzenia )
- Nowe prawa osób, których dane dotyczą (zapewniamy możliwość korzystania z nowych prawa – np. prawa do bycia zapomnianym)
- Incydenty bezpieczeństwa (wdrażamy zasady zgłaszania naruszeń)
Większość z tych informacji będzie zawarta w wewnętrznej dokumentacji firmy – np. w polityce bezpieczeństwa (nie mylić z polityką prywatności). Zadaniem sprzedawcy jest przygotować i wdrożyć taką dokumentację w swojej firmie.
Czy warto czekać z wdrożeniem RODO do uchwalenia krajowych ustaw
Jak zapewne wiesz wciąż trwają prace nad polską ustawą o ochronie danych osobowych, która ma wdrożyć niektóre zapisy RODO do polskiego systemu prawnego. Naszym zdaniem jednak zdecydowanie nie warto czekać – jak wyżej napisaliśmy RODO zacznie być stosowane od 25 maja 2018 r. I od tego dnia musisz przetwarzać dane zgodnie z zasadami, a więc również wykazać, że przestrzegasz tych zasad.
Za łamanie podstawowych zasad przetwarzania danych osobowych organ nadzoru może nałożyć karę pieniężną w wysokości do 20 mln EURO lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, przy decydowaniu o nałożeniu kary powinien zwrócić uwagę m. in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także na szereg czynników (szer. art. 83 RODO).
Podsumowanie
O RODO usłyszył pewnie jeszcze nie jeden raz. Szczególnie interesujący będzie pierwszy rok obowiązywania nowych przepisów – z pewnością poznamy nowe wytyczny organu nadzoru, które pozwolą lepiej dostosować się do nowych przepisów. Warto na bieżąco śledzić stronę internetową GIODO na której są publikowane ważniejsze informacje dotyczące stosowania RODO. Kwestią czasu pozostaje wydanie stosowanych wytycznych dotyczących branży ecommerce.
Pamiętajmy jednak aby nie czekać, aż „się samo wdroży” – RODO wymaga od nas aktywnego podejścia do ochrony danych osobowych. Jeżeli potrzebujesz pomocy we wdrożeniu, to skontaktuj się z nami – chętnie pomożemy:
- mail: kontakt@prokonsumencki.pl
- tel: 61 847 55 18
