Artykuł partnera
Po wejściu w życie w maju 2018 roku Rozporządzenia o Ochronie Danych Osobowych każdy sklep internetowy miał obowiązek zapoznać się z nowymi przepisami i wcielić je w życie. W praktyce oznaczało to zmiany regulaminu sklepu oraz wprowadzenie check-boxów służących do pozyskiwania zgód na przetwarzanie danych osobowych. Podpowiadamy, jak dostosować e-sklep do nowych przepisów.
Jak działać po wprowadzeniu RODO?
Wielu właścicieli sklepów internetowych lub administratorów danych osobowych działa w oparciu o konkurencję – popularnym zabiegiem jest kopiowanie regulaminów i dopasowywanie ich do własnych potrzeb. Nie jest to rozwiązanie bez wad – nie zawsze regulamin pasuje do branży, świadczonych usług lub rodzaju produktu. Niektóre, najczęściej średnie lub duże, e-sklepy posiadają własny dział prawny, który pomaga wdrożyć wszystkie nowelizacje. Z kolei inne podmioty wysyłają swoich pracowników na szkolenie RODO e-commerce. Bez względu na działanie – na własną rękę, przy wsparciu prawnika lub firmy szkoleniowej – najważniejsze, by sklep internetowy był dostosowany do obowiązujących przepisów.
Regulamin e-sklepu a RODO
Po wejściu w życie RODO każdy e-sklep był zobowiązany wprowadzić zmiany w regulaminie sklepu, a następnie poinformować o tym wszystkich swoich klientów. Takie maile w kwietniu, maju i czerwcu 2018 roku rozsyłane były masowo – niekiedy w liczbie nawet kilkudziesięciu lub kilkuset na osobę. W treści znajdowała się informacja o miejscach w regulaminie, w których wprowadzono zmiany. Były to przede wszystkim zapisy o celu i zakresie, w jakim dane będą przetwarzane – ich maksymalnym zakresie, podmiotach, którym dane są powierzane itp. Nie zabrakło wskazania dokładnej daty, od kiedy zmiany zaczną obowiązywać – mowa oczywiście o dniu 25 maja 2018 roku. Taką informację e-sklep mógł wysłać przed 18.05.2018 r., żeby użytkownik mógł wcześniej zapoznać się z regulaminem w nowym kształcie.
Pozyskiwanie zgód w świetle nowych przepisów
W jaki sposób, po wejściu w życie nowych przepisów, można pozyskiwać zgody od użytkowników e-sklepu? Powinno to być zrobione w sposób jawny i przejrzysty. Niekiedy check-boxy w sklepach internetowych są domyślnie zaznaczone – taka sytuacja nie powinna mieć miejsca. Zgodnie z założeniami RODO użytkownik powinien wyrazić zgodę w sposób aktywny, czyli samodzielnie oraz dobrowolnie zaznaczyć odpowiednie miejsce w check-boxie.
Zapisy znajdujące się w check-boxie nie mogą być zbyt ogólne, należy precyzyjnie wskazać, komu ta zgoda jest udzielana (nazwa sklepu, dane administratora i inne). Istotne jest również, by cel przetwarzania danych był konkretnie określony (np. przetwarzanie danych w celach marketingowych czy udostępnienie danych osobom trzecim).
W branży e-commerce nie każda sytuacja wymaga uzyskania od użytkownika zgody na przetwarzanie jego danych osobowych. Taką sytuacją jest na przykład realizacja zamówienia – istnieje grupa danych osobowych, które są do tego niezbędne. Takimi danymi jest imię i nazwisko, adres czy numer telefonu. Są potrzebne, gdy metodą dostawy jest poczta lub kurier. W przypadku innych sposobów, jak np. odbiór osobisty, sklep nie powinien zażądać danych, takich jak adres, bo nie są one niezbędne do realizacji zamówienia.
Inne zgody według RODO
Poza zgodą na przetwarzanie danych osobowych w branży e-commerce funkcjonują również inne zgody, które należy pozyskać od użytkownika, by osiągnąć zamierzony cel (np. opinię po zakupie lub kolejny rekord w bazie newsletterowej).
Pierwszą z nich jest zgoda na przekazywanie danych do zewnętrznych systemów zbierania opinii. Jeśli e-sklep korzysta z takich serwisów, to dla każdego wymagane jest stworzenie osobnej zgody. Ponieważ zewnętrzne systemy zbierania opinii to odrębne (niż e-sklep) podmioty, dlatego należy pozyskać również zgodę na przetwarzanie danych przez ten podmiot, czyli system zbierania opinii.
Drugą jest zgoda na przesyłanie wiadomości handlowych, czyli wysyłka newsletterów. Informacje handlowe nie są konieczne, by sfinalizować zamówienie, dlatego należy stworzyć osobny check-box ze zgodą na przetwarzanie danych do celów marketingowych. To tylko dwa przykłady zgód, jest ich znacznie więcej. Może to być również przetwarzanie danych wrażliwych i wiele innych sytuacji, gdy pozyskanie zgody będzie potrzebne.
Co ciekawe, jedna z najważniejszych zgód – mianowicie akceptacja regulamin sklepu internetowego – nie wynika z RODO, a innych zapisów: ustawy o prawach konsumenta oraz prawa cywilnego. Ponadto innym, istniejącym przed wprowadzeniem RODO obowiązkiem każdego e-sklepu, jest informowanie o stosowaniu plików cookies. Podobnie wygląda prawo do odstąpienia od umowy bez podania przyczyny w terminie 14 dni od dnia zawarcia umowy – opiera się na ustawie z 2014 roku o prawach konsumenta.