zgody rodo w sklepie internetowym - Prokonsumencki.pl

RODO w sklepie internetowym – wszystko co musisz wiedzieć!

utworzone przez Doradca Sprzedawcy | mar 22, 2019 | Obowiązki Informacyjne Sprzedawcy, RODO, RODO sklep internetowy | 0 komentarzy

Szukasz informacji na temat RODO w sklepie internetowym? Po raz kolejny przeczytałeś artykuł, który nie dał Ci żadnej praktycznej wiedzy? Nie wiesz, jak w praktyce wprowadzić RODO w swojej firmie? Czy RODO to tylko dokumenty? Jeśli stawiasz sobie powyższe pytania – trafiłeś w odpowiednie miejsce, Drogi Sprzedawco! Poniżej wyjaśniamy główne zagadnienia i zasady przetwarzania danych osobowych zgodnie z RODO. Jednak w przeciwieństwie do wielu ogólnych artykułów, nie będziemy po raz kolejny tłumaczyć Ci, czym jest „prawo do bycia zapomnianym” lub „pseudoanimizacja”, ale pokażemy Ci, jak wprowadzić RODO w Twojej firmie i co możesz zrobić, aby podnieść bezpieczeństwo danych (nie tylko osobowych!).

Na początek – czym jest RODO?

RODO to ogólne rozporządzenie o ochronie danych osobowych wydane przez Parlament i Radę Europy. Są to przepisy, które regulują przetwarzanie danych osobowych na terenie Unii Europejskiej (a raczej EOG) i wymagają od nas:

podania osobie, od której zbieramy dane osobowe zestawu informacji (np. przy składaniu zamówienia, zakładaniu konta czy zapisie na newsletter),
przetwarzania danych osobowych zgodnie z zasadami:
- ograniczenia celu – czyli zbierania i przetwarzania danych tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach,
- minimalizacji danych – czyli zbierania danych tylko w zakresie niezbędnym do osiągnięcia założonego celu,
- prawidłowości – przetwarzać możemy tylko dane prawidłowe (w razie konieczności należy je uaktualnić),
- ograniczenia czasowego – czyli przetwarzania danych nie dłużej, niż jest to niezbędne do osiągnięcia celu,
- zachowania danych w poufności i zadbania o ich integralność – czyli zabezpieczenia danych przed nieuprawnioną modyfikacją i dostępem,
udokumentowania tego, że podjęliśmy odpowiednie kroki w celu realizacji powyższych zasad,
przeprowadzenia analizy ryzyka, czyli określenia jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie zabezpieczenia powinniśmy podjąć w związku z tym.

RODO w sklepie internetowym – od czego zacząć?

infografika – RODO w sklepie internetowym

Na samym początku dostosowywania naszej firmy do RODO musimy ustalić z jakimi danymi osobowymi mamy właściwie do czynienia. Ale jak to zrobić? Bardzo prosto – wystarczy zastanowić się nad tym, czym właściwie zajmuje się nasza firma.

W całym procesie pomoże Ci także przygotowana przez nas infografika – znajdziesz ją z prawej strony artykułu oraz na końcu.

Twoją główną działalnością jest sprzedaż w Internecie? To świetnie, z pewnością będziesz miał do czynienia z danymi osobowymi podczas:

realizowania zamówienia w Twoim sklepie,
wysyłki newslettera,
prowadzenia akcji marketingowych,
sprzedaży w serwisach typu Allegro, Amazon czy eBay,
prowadzenia księgowości

Dodatkowo jeśli zatrudniasz pracowników – będziesz przetwarzać ich dane w celu przeprowadzenia rekrutacji i samego zatrudnienia.

Wymienione powyżej czynności to tak naprawdę procesy biznesowe, a w kontekście ochrony danych osobowych – procesy przetwarzania danych osobowych.

Jak pewnie zauważyłeś, wymienione powyżej operacje wykraczają poza prowadzenie samego sklepu internetowego (np. przy rekrutacji pracowników lub też prowadzeniu księgowości). Wynika to z tego, że RODO dotyczy całej firmy i wszystkich przetwarzanych w jej ramach danych. Jeśli więc oprócz sklepu internetowego zajmujesz się również np. pośrednictwem pracy – konieczne będzie uwzględnienie procesów, jakie są w jego ramach prowadzone.

Rejestr czynności przetwarzania – o co chodzi?

Kiedy już wiesz jakie operacje przetwarzania danych są prowadzone w Twojej firmie pora na utworzenie Rejestru czynności przetwarzania. Dokument ten jest wymagany przez RODO i możesz prowadzić go w dowolnej formie.

Warto przy tym pamiętać, że rejestr taki należy uaktualniać, dobrze więc aby łatwo można było go edytować (dlatego zalecana forma to np. plik Excel). Dokładne informacje na temat tego, co musi znaleźć się w rejestrze znajdziesz w art. 30 RODO.

Pamiętaj o tym, że w rejestrze należy uwzględnić wszystkie prowadzone operacje przetwarzania danych osobowych w Twojej firmie – również te niezwiązane ze sklepem internetowym.

Zastanawiasz się pewnie teraz, czy musisz prowadzić rejestr czynności przetwarzania?

RODO wymaga, aby Rejestr czynności przetwarzania był prowadzony w firmach, które zatrudniają powyżej 250 pracowników. Mniejsze podmioty muszą go jednak prowadzić również wtedy gdy przetwarzanie:

może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
nie ma charakteru sporadycznego
obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

W przypadku sklepu internetowego przetwarzanie danych osobowych praktycznie nigdy nie będzie sporadyczne (nawet jeśli mamy jednego klienta w roku) i zawsze będzie się wiązało z ryzykiem naruszenia praw i wolności osób, których dane dotyczą (chodzi o to, że dane są przetwarzane w systemie informatycznym oraz przy pomocy Internetu). Rejestr czynności będzie więc zawsze konieczny.

Przykładowy wpis w Twoim rejestrze powinien wyglądać mniej więcej tak:

RODO to przede wszystkim analiza ryzyka

RODO w sklepie internetowym jest neutralne technologicznie. Oznacza to, że próżno szukać w nim konkretnych urządzeń, programów czy sposobów przetwarzania danych, jakie powinniśmy stosować, aby przetwarzać dane zgodnie z prawem. Musimy skorzystać za to z bardzo praktycznego narzędzia, jakim jest analiza ryzyka.

Jest to – mówiąc najprościej – dokument, w którym zastanawiamy się, jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie działania powinniśmy podjąć, aby je zniwelować lub ograniczyć. Aby przeprowadzić taką ocenę, musimy wiedzieć, jakie operacje prowadzimy. Właśnie dlatego na pierwszym etapie utworzyliśmy Rejestr czynności.

Przeprowadzając analizę ryzyka należy określić kontekst przetwarzania dla każdej operacji, który powinien obejmować:

urządzenia, jakie są używane do przetwarzania danych (np. komputer, serwer, telefon) oraz sposoby przetwarzania (np. w formie cyfrowej, przez internet)
osoby, jakie mają dostęp do danych w ramach procesu (czy są one upoważnione do przetwarzania? Ile osób posiada dostęp i w jakiej formie – np. zdalnie lub w siedzibie firmy)
jakiego rodzaju dane przetwarzamy (np. dane zwykłe, dane wrażliwe etc.)
jakie dokumenty, wpisy, pliki zawierające dane osobowe generowane są w ramach procesu?

Im lepiej i dokładniej określimy kontekst przetwarzania, tym łatwiej będzie nam dobrać odpowiednie zabezpieczenia. Kiedy znamy już kontekst pora na zastanowienie się nad tym, jakie zagrożenia będą związane z przetwarzaniem danych w naszej sytuacji.

Typowe zagrożenia, jakie występują przy przetwarzaniu danych w ramach sklepu internetowego to np.:

zarażenie komputera złośliwym oprogramowaniem (wirus, trojan, sniffing etc.)
złamanie zabezpieczeń (np. nieuprawnione logowanie, ataki brute force, ataki słownikowe)
inżynieria społeczna, podsłuchy, skanowanie
utrata danych (np. uszkodzenie dysku serwera, napisanie danych, usunięcie)
czynniki ludzkie (nieprzestrzeganie procedur, brak wiedzy, naruszenie przepisów, zaniedbanie)
wypadki losowe (np. zalanie serwerowni, awarie sprzętu, awarie łącz)

To że określiliśmy zagrożenia, nie oznacza od razu, że mogą one wystąpić w naszej firmie. Dlatego mając przed sobą listę ryzyk, jakie mogą wystąpić w naszej firmie w związku z przetwarzaniem danych określamy jakie podatności są z nimi związane. Podatnościami takimi mogą być:

kradzież lub utrata sprzętu, co samo w sobie nie jest podatnością, ale staje się nią np. kiedy przewozimy niezaszyfrowanego laptopa na przednim siedzeniu auta i pozostawiamy go w nim
brak wiedzy na temat należytej ochrony danych
brak fizycznej ochrony pomieszczeń, w których przetwarzamy dane
niewykonywanie kopii zapasowych danych,
możliwy dostęp do danych przez osoby nieuprawnione etc.

Po ustaleniu zagrożeń i podatności, jakie występują w naszej organizacji należy dobrać odpowiednie zabezpieczenia, tak aby je zniwelować. Przykładowe zabezpieczenia, jakie możemy wdrożyć to:

oprogramowanie antywirusowe oraz firewall
przeszkolenie pracowników z zasad bezpiecznego przetwarzania danych
wykonywanie kopii zapasowych posiadanych danych
podpisanie umów powierzenia danych osobowych z wymagającymi tego podmiotami
wprowadzenie procedur i zasad przetwarzania danych (np. procedury czystego biurka, procedury zmiany haseł i logowania do systemu
szyfrowanie dysków komputerów (np. tych wynoszonych poza biuro)
szyfrowanie protokołem SSL (dla strony naszego sklepu).

Przygotowanie pozostałej dokumentacji dot. RODO

Po Rejestrze czynności przetwarzania i analizie ryzyka możemy przystąpić do utworzenia pozostałej dokumentacji, która pozwoli nam na wywiązanie się z zasady rozliczalności (czyli możliwości udowodnienia, że podjęliśmy odpowiedni kroki w celu zabezpieczenia danych).

Dokumenty takie mogą zawierać:

zasady przetwarzania danych dla pracowników (np. regulamin przetwarzania danych)
procedury służące bezpiecznemu przetwarzaniu danych (np. instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych)
dodatkowe rejestry i ewidencje (np. ewidencję stosowanego sprzętu, wykaz zabezpieczeń, ewidencję podmiotów, którym powierzono przetwarzanie danych, ewidencję osób upoważnionych)
dokument wymagany przez RODO czyli Rejestr incydentów i naruszeń w ochronie danych, w którym uwzględniać będziemy sytuacje powodujące i mogące powodować naruszenie bezpieczeństwa danych

Zakres koniecznej dokumentacji zależy od Administratora danych osobowych i skali jego działalności oraz prowadzonych operacji przetwarzania. Nie ma więc jednego wykazu dokumentów, jaki powinniśmy posiadać, jednak pamiętajmy, że RODO w sklepie internetowym wymaga od nas co najmniej

rejestru czynności przetwarzania,
analizy ryzyka, wraz z oceną skutków dla przetwarzania danych,
rejestru incydentów i naruszeń,
pozostałej dokumentacji niezbędnej do realizacji zasady rozliczalności.

Pozostałe obowiązki związane z RODO w sklepie internetowym

Po przeprowadzeniu analizy ryzyka, dobraniu odpowiednich zabezpieczeń i przygotowaniu dokumentów możemy dopiąć pozostałe kwestie, które uzupełnią system ochrony danych w naszej firmie, czyli:

wydajemy upoważnienia dla pracowników naszej firmy, którzy mają dostęp do danych osobowych.

Upoważnienie powinno zawierać informacje, do jakich danych (operacji) dostęp ma pracownik (np. realizacja zamówienia w sklepie internetowym, prowadzenie księgowości, rekrutacja pracowników itd.), w jakim okresie (np. przez 3 miesiące lub – jeśli nie jesteśmy w stanie ustalić tego przedziału – do czasu rozwiązania umowy o pracę czy też zakończenia współpracy).

podpisujemy umowy powierzenia z firmami, którym przekazujemy dane osobowe,

Umowa zawierana jest pomiędzy Administratorem danych osobowych (ADO) a tzw. procesorem, czyli podmiotem, który „procesuje” (przetwarza) dane w imieniu procesora. Inaczej mówiąc jest to relacja pomiędzy firmą, która zleca wykonanie określonych czynności na danych osobowych innemu podmiotowi (np. biurze księgowemu – w celu prowadzenia księgowości, kurierowi – w celu dostawy produktu, hostingodawcy – w celu świadczenia usługi hostingowej).

Umowa taka nie musi być zawarta w formie papierowej (równie dobrze może to być np. akceptacja regulaminu świadczenia usługi), jednak powinna zawierać ona co najmniej:

cel i zakres powierzenia danych,
czas trwania,
zobowiązania procesora do przetwarzania danych zgodnie z prawem i zgłaszania Administratorowi naruszeń w ochronie danych,
zastrzeżenie prawa do kontroli procesora (przez Administratora) w zakresie przetwarzania danych,
kwestię podpowierzenia danych (czyli przekazania danych przez procesora innej firmie),
zakres odpowiedzialności procesora
co stanie się z przekazanymi danymi po wygaśnięciu umowy.

Najczęściej umowa powierzenia danych osobowych jest powiązana (komparycja) z umową o świadczenie podstawowej usługi (np. świadczenia usług kurierskich, prowadzenia księgowości, wykonania określonych prac) i jest od niej zależna np. w zakresie trwania (czyli jeśli rozwiązujemy umowę z hostingodawcą umowa powierzenia również przestaje obowiązywać).

podajemy wymagane informacje osobom, od których zbieramy dane osobowe (obowiązki informacyjne) – również w miejscach poza sklepem internetowym (np. w sklepie stacjonarnym).

Sposób i forma przekazania informacji określonych w art. 13 i 14 RODO jest dowolna, warto jednak pamiętać o zachowaniu zasady rozliczalności – czyli możliwości wykazania, że faktycznie zostały one przekazane. Nie musimy tutaj zbierać podpisów (czy też checkboxów) od osób, którym przekazujemy dane, wystarczy określenie w dokumentacji, że obowiązki są spełniane np. poprzez umieszczenie zakładki na stronie internetowej czy też procedurę odczytywania informacji przez telefon (jeśli dane zostają pozyskane w ten sposób). W sklepie stacjonarnym obowiązek informacyjny może być umieszczony na tablicy powieszonej na ścianie czy też w formie wydruku na ladzie.

Ważne!

Dopełniając obowiązki informacyjne warto pamiętać o kilku kwestiach:

Informacje jakie musimy podać określone są w art. 13 i 14 RODO, informacje te obejmują między innymi:
- tożsamość i dane kontaktowe Administratora,
- dane Inspektora ochrony danych (tylko jeśli został powołany),
- cel (lub cele) przetwarzania danych,
- komu dane zostają przekazane / ujawnione,
- czy dane są przekazywane poza Unię Europejską,
- okres przechowywania danych (lub kryteria ustalenia tego okresu),
- prawa osoby, od której zbierane są dane (np. dostępu do danych czy prawie wniesienia skargi do urzędu),
- czy dochodzi do profilowania osoby, której dane dotyczą lub podejmowania zautomatyzowanych decyzji niosących skutek prawny wobec takiej osobowy.
Nie ma określonej formy przekazania tych informacji. Nie jest więc konieczny masowy mailing do wszystkich klientów, czy wyskakujące okna na stronie sklepu.
Ponieważ informacje, jakie musimy przekazać są dość rozległe dopuszczalne jest przekazanie tylko ich części w miejscu zbierania danych, wraz z odesłaniem do dedykowanej strony zawierającej pełną treść obowiązku.
Nie jest konieczne umieszczanie checkboxa o zapoznaniu się z tymi informacjami, aczkolwiek jest to zalecane z uwagi na ułatwienie spełnienia obowiązku informacyjnego.
Obowiązek informacyjny nie jest zgodą na przetwarzanie danych! Musimy przekazać go zawsze wtedy, kiedy po raz pierwszy pozyskujemy dane osobowe bez względu na podstawę ich przetwarzania (czyli np. realizację umowy). Z kolei zgoda jest przesłanką legalizującą przetwarzanie danych (na podstawie art. 6, ust. 1 lit. A RODO) i przy jej pozyskaniu również należy przekazać wspomniane informacje (nie należy pozyskiwać zgody na przetwarzanie danych jeśli pozyskujemy je w celu realizacji umowy – czyli np. sprzedaży produktu poprzez sklep internetowy).

Na koniec – pamiętajmy o prawach, jakie przysługują osobom, od których zbieramy dane osobowe

Powyżej opisaliśmy, w jaki sposób stworzyć system ochrony danych w naszej firmie. Powinien on funkcjonować w odniesieniu do wszystkich danych, jakie będziemy przetwarzać, a więc w razie potrzeby – powinniśmy uaktualniać informacje w dokumentach (np. dodając nowe operacje do Rejestru czynności, czy też przeprowadzając analizę ryzyka w wypadku zmiany sposobów przetwarzania danych).

Cały czas musimy też pamiętać o tym, że osobom których dane przetwarzamy przysługuje szereg praw, które musimy realizować. Będą to:

prawo do informacji czy przetwarzamy dane osobowe tej osoby,
prawo do sprostowania danych (czyli ich poprawienia, jeśli są błędne) oraz
prawo do bycia zapomnianym (prawo do usunięcia danych)

Ważne! W przypadku wniesienia żądania usunięcia danych osobowych należy pamiętać o tym, że nie zwalnia to Administratora danych z przetwarzania danych, które wynika z przepisów prawa, np. w związku z obowiązkami podatkowymi. Nie możemy np. usunąć faktur zawierających dane osobowe na żądanie, jeśli mamy prawny obowiązek je przechowywać. W takiej sytuacji usuwamy dane jedynie z miejsc, w których były one przetwarzane w określonych celach, które wygasły. Czyli możemy pozostawić dane np. w systemie księgowym (ze względu na prawo podatkowe), ale nie w oprogramowaniu CRM czy sklepu internetowego.

prawo do ograniczenia przetwarzania (czyli zaprzestania wykonywania czynności na danych, jednak bez ich usuwania),
prawa do przenoszenia danych (czyli dostarczenia osobie, której dane dotyczą ustrukturyzowanego pliku zawierającego jej dane – uwaga to prawo mamy obowiązek realizować tyko wtedy, kiedy jest to technicznie wykonalne),
prawo do sprzeciwu i niepodleganiu zautomatyzowanemu podejmowaniu decyzji (np. przy profilowaniu).

Zamiast podsumowania – infografika

rodo w sklepie internetowym wszystko

Obowiązkowe checkboxy w każdym sklepie

utworzone przez Doradca Sprzedawcy | wrz 27, 2018 | Obowiązki Informacyjne Sprzedawcy, Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, RODO | 0 komentarzy

Obowiązkowe checkboxy ze zgodami klientów stanowią ważny element sklepu internetowego. To dzięki nim możesz jako sprzedawca odebrać zgodę klienta o określone działania, na które jest wymagana zgoda. Dzięki zapisaniu zgody w systemie informatycznym sklepu, uzyskujesz również w łatwy sposób dowód, że klient zaakceptował warunki regulaminu lub zapoznał się w określonymi dokumentami i zasadami. Wraz z rozpoczęciem stosowania rozporządzenia RODO, zmiany nastąpiły również w sposobie formułowania komunikatów i zgód w checkboxach, a także w ich rodzajach. W artykule opisujemy w jaki sposób należy formułować obowiązkowe checkboxy, aby były zgodne z nowymi przepisami, a także zasady odbierania zgód od klientów.

Jakie obowiązkowe checkboxy są obowiązkowe w każdym sklepie

Jednym z najważniejszych checkboxów w każdym sklepie internetowym jest checkbox ze zgodą na regulamin. Ten checkbox nie jest wymagany przez rozporządzenie RODO – obowiązek jego posiadania wynika z ustawy o prawach konsumenta oraz z przepisów kodeksu cywilnego. Ustawa o prawach konsumenta wymaga, aby sprzedawca podał konsumentowi szereg informacji przez zawarciem z nim umowy. Sprzedawca powinien poinformować konsumenta m.in. o :

swoich danych takich jak nazwa firmy, organ który zarejestrował firmę, numerze REGON, NIP lub KRS, dane kontaktowe – adres prowadzenia działalności i do doręczeń, adres e-mail, numer telefonu;
adresie do składania reklamacji;
sposobie i terminie płatności;
sposobie oraz terminie dostarczenia towaru;
możliwości odstąpienia od umowy bez podania przyczyny w terminie 14 dni od dnia otrzymania towaru;
obowiązku dostarczenia towaru bez wad;
możliwości złożenia reklamacji z tytułu rękojmi w przypadku wadliwości towaru oraz procedurze reklamacyjnej stosowanej przez sprzedawcę.

Regulamin zawierający te wszystkie informacje, stanowi wzorzec umowny. Zgodnie z kodeksem cywilnym, taki wzorzec umowny powinien być przez stronę umowy, która go przygotowała udostępniony drugiej stronie, jeszcze przed zawarciem umowy. Wówczas wchodzi on w skład zawartej umowy. Również tę funkcję spełnia umieszczony w odpowiednim miejscu checkbox.

Checkbox ze zgodą na regulamin powinien zawierać oświadczenie klienta, że zapoznał się on z regulaminem oraz że akceptuje postanowienia regulaminu. W treści checkboxa powinien znajdować aktywny odnośnik (link) do regulaminu na stronie sklepu. Checkbox nie powinien być domyślnie zaznaczony – klient powinien wyrazić zgodę w aktywny sposób, a więc właśnie poprzez zaznaczenie checkboxa. Ta zasada dotyczy wszystkich checkboxów, jakie znajdują się w sklepie – niezależnie od tego, czy ich zaznaczenie jest wymagane, aby dokonać w sklepie jakichś działań, czy też są one fakultatywne. Jeżeli chodzi o miejsca w sklepie, w jakich powinien znajdować się ten checkbox, jest on wymagany w przypadku składania zamówienia i zakładania konta. Powinien on znajdować się zatem na dowolnym etapie formularza zamówienia lub rejestracji, ale przed przyciskiem potwierdzającym złożenie zamówienia lub założenie konta. W przypadku checkboxa ze zgodą na regulamin, powinien on być obowiązkowy – jego zaznaczenie powinno zatem z technicznego punktu widzenia konieczne do założenia konta lub złożenia zamówienia.

Kolejnym checkboxem, który jest wymagany w każdym sklepie internetowym jest checkbox potwierdzający zapoznanie się z polityką prywatności. Ten checkbox jest wypełnieniem obowiązków informacyjnych stanowionych przez rozporządzenie RODO. Z punktu widzenia rozporządzenia RODO w zdecydowanej większości przypadków sprzedawca będzie administratorem zbieranych przez siebie danych osobowych klientów. Rozporządzenie RODO w art. 13 nakłada na administratora obowiązek poinformowania użytkownika strony sklepu o kwestiach takich jak:

dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
jeżeli administrator wyznaczył inspektora ochrony danych – dane kontaktowe tej osoby;
cele i podstawy prawne przetwarzania danych osobowych;
kategorie odbiorców danych osobowych – jeżeli administrator przekazuje dane klientów jakimś podmiotom zewnętrznym (np. firmy kurierskie);
przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
prawo do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
czy wymóg podania danych osobowych podczas korzystania ze sklepu jest warunkiem koniecznym do zawarcia umowy (np. umowy sprzedaży) w sklepie oraz jakich danych i jakich sytuacji taki wymóg dotyczy;
zautomatyzowane podejmowanie decyzji w stosunku do klientów w tym tzw. profilowanie klientów oraz zasady działania tego typu mechanizmów, jeżeli są stosowane w sklepie.

Dobrze napisana polityka prywatności sklepu internetowego spełnia funkcję informacyjną w stosunku do powyższych treści. Administrator danych powinien wykazać, że poinformował klienta o w/w kwestiach. Funkcję tę pełni checkbox z potwierdzeniem zapoznania się z polityką prywatności.

Zgody marketingowe w sklepie internetowym

W przypadku, gdy zamierzasz zbierać dane klientów, aby wykorzystać je później w celu marketingu a więc np. wysyłania materiałów reklamowych na adres e-mail podany przy rejestracji konta, potrzebne jest odebranie od klientów zgody na ten rodzaj przetwarzania jego danych. Ta sytuacja różni się od przetwarzania danych np. w celu prowadzenia konta klienta lub w celu realizacji zamówienia złożonego w sklepie internetowym. W tamtych przypadkach podstawą do przetwarzania danych jest konieczność realizacji umowy zawieranej z klientem. W przypadku marketingu, podstawą do przetwarzania danych może być wyraźna zgoda klienta. Checkbox, który umożliwia wyrażenie tej zgody ma więc nie tylko charakter informacyjny – jego zaznaczenie jest również podstawą przetwarzania danych. W związku z tym, wymagania co do treści takiego checkboxa są również bardziej restrykcyjne. Zalecane jest, aby najważniejsze informacje związane z przetwarzaniem danych zawrzeć już w treści checkboxa a dopiero dodatkowo odesłać do polityki prywatności. W checkboxie warto zawrzeć m.in. następujące informacje:

oświadczenie o zgodzie na przetwarzanie danych w celu marketingowym;
wymienienie danych jakie mogą być przetwarzane w tym celu;
dobrowolność zgody;
możliwość wycofania zgody w każdej chwili oraz w jaki sposób można wycofać zgodę;
w jaki sposób będzie wyglądało przetwarzanie danych klienta np. że będzie otrzymywał cykliczny newsletter z informacjami o nowościach w sklepie internetowym;
dane rejestrowe administratora danych (przynajmniej nazwa i adres firmy) oraz dane kontaktowe np. adres e-mail;
jakie podmioty mogą być odbiorcami danych przetwarzanych w celu marketingowym;
jeżeli stosujesz profilowanie w sklepie, to także podstawowe informacje o tym, na czym polega takie profilowanie w Twoim sklepie;
wskazanie, że dane będą przetwarzane zgodnie z polityką prywatności oraz odesłanie do tego dokumentu w formie aktywnego linku.

Zgoda musi być aktywnie wyrażona, zatem tak samo jak w przypadku regulaminu i polityki prywatności, checkbox ze zgodą nie powinien być domyślnie zaznaczony. Inaczej niż w przypadku regulaminu i polityki prywatności, zgoda nie może być warunkiem założenia konta czy złożenia zamówienia. Musi ona być w pełni dobrowolna, nie może być zatem wymuszona jako warunek przejścia do następnego kroku formularza rejestracji czy zamówienia.

Na marginesie można dodać, że w przypadku prowadzenia marketingu bezpośredniego możemy opierać się nie na zgodzie, a na tzw. usprawiedliwionym interesie administratora danych – sygnalizujemy jedynie to zagadnienia i na pewno do niego wrócimy w osobnym wpisie.

Inne zgody w sklepie internetowym

Opisane w tym artykule obowiązkowe checkboxy pojawiają się prawie we wszystkich sklepach internetowych. W niektórych przypadkach możesz potrzebować również innych checkboxów. Niektóre inne zgody, jakie mogą być wymagane w sklepie internetowym to:

zgoda na tzw. marketing zewnętrzny, a więc marketing produktów lub usług Twoich partnerów handlowych;
zgoda na przekazanie danych portalom typu Ceneo/Opineo i na ich przetwarzanie przez te portale w celu wysłania klientowi zaproszenia do wyrażenia opinii o zakupie;
zgoda na przekazanie danych osobowych Twoim partnerom handlowym w celu prowadzenia bezpośrednio przez nich marketingu ich produktów i usług – tutaj przede wszystkim zalecane jest, aby wymienić podmioty, którym zamierzasz w taki sposób przekazywać dane;
zgoda na przetwarzanie danych wrażliwych (np. dane dotyczące zdrowia przez apteki internetowe)
zgoda na dostarczanie treści cyfrowych (np. przy sprzedaży ebooków lub plików mp3) – brak tej zgody może umożliwić bezpłatne korzystanie z treści

Każda z tych zgód musi być dobrowolna oraz wyraźna. Stąd również powinny one być wyrażone w formie odrębnych checkboxów. Tak samo jak opisana wyżej zgoda marketingowa, checkboxy te nie mogą być obowiązkowe, nie powinny też być domyślnie zaznaczone.

Podsumowanie

Założeniem RODO w przypadku zbierania i przetwarzania danych osobowych klientów jest przede wszystkim, aby klient wiedział jakie dane i w jakich celach są od niego zbierane. Ważne jest również, aby przetwarzanie opierało się na właściwych podstawach. Tam gdzie jest to realizacja umowy, trzeba wykazać, że klient taką umowę zawarł i otrzymał wszystkie jej szczegóły – tutaj ważny jest checkbox ze zgodą na regulamin oraz z potwierdzeniem zapoznania się z polityką prywatności. Z kolei tam, gdzie przetwarzanie opiera się na zgodzie klienta, odpowiedni checkbox pozwala wykazać, że klient wyraził taką świadomą, dobrowolną i szczegółową zgodę na dany rodzaj przetwarzania jego danych. Warto pamiętać, że przetwarzanie danych niezgodnie z RODO może prowadzić do nałożenia przez Prezesa UODO na właściciela sklepu kary finansowej do 4% całkowitego, rocznego światowego obrotu firmy z poprzedniego roku obrotowego lub do 20 mln euro. Odpowiednio sformułowane obowiązkowe checkboxy są więc świetnym sposobem na wykazanie w razie ewentualnej kontroli, że przetwarzasz dane zgodnie z RODO oraz na podstawie odpowiednich zgód.

Jeżeli masz jakiekolwiek pytania związane z checkboxami w Twoim sklepie internetowym, skorzystaj z pomocy naszych doświadczonych prawników np. pisząc do nas na adres: kontakt@prokonsumencki.pl.

Tworzymy zespół doświadczonych prawników specjalizujących się w kwestiach prawnych związanych z prowadzeniem sklepu internetowego.

Pomagamy sprzedawcom sprawdzając i pisząc dla nich bezpieczny regulamin sklepu internetowego. Przeprowadzamy audyty stron sklepu pod kątem obowiązków informacyjnych oraz zapewniamy wsparcie przy reklamacjach i zwrotach.

Kliknij tutaj i POBIERZ komplet wzorów pism dla sprzedawcy internetowego od prawników (10 pism)

Poniżej opinie naszych klientów:

Michał Wojtczak

09:42 19 Jan 26

Zleciłem pracę, wykonano szybko i solidnie. Poza tym współpracuje dłuższy czas i nie mam zastrzeżeń, więc polecam !

Marcin Ćwiertnia

05:16 17 Oct 25

Szczerze polecam współpracę z podmiotem prowadzącym portal regulaminowo.pl. Kilka lat temu zleciliśmy firmie Netlibre przygotowanie regulaminu dla naszego serwisu. Sporządzona dokumentacja okazała się być przygotowana bardzo fachowo i w rozsądnym terminie. Od tamtego czasu raz w roku zlecamy tej firmie audyt i aktualizację naszej dokumentacji i jeszcze nigdy się nie zawiedliśmy. Szczerze polecam JCHost.pl