Prowadzenie sklepu internetowego wiąże się z licznymi obowiązkami, w tym znajomością prawa dotyczącego, chociażby obrotu dokumentów, księgowości, plików cookies czy też tzw. RODO. W każdym sklepie internetowym przetwarzasz dane osobowe dotyczące klientów, co stwarza wysokie ryzyko. Właściwa ochrona danych osobowych jest więc nie tylko elementem zapewniającym bezpieczeństwo, ale także wpływającym na budowanie pozytywnego wizerunku przedsiębiorcy. Czym właściwie jest RODO i jak należy go przestrzegać, prowadząc działalność w Internecie?
Czym są dane osobowe?
Dane osobowe to informacje, które mogą prowadzić do zidentyfikowania konkretnej osoby. Od 25 maja 2018 roku przepisy uległy zmianie (w całej Unii Europejskiej zaczęło obowiązywać Rozporządzenie o Ochronie Danych Osobowych, czyli tzw. RODO, co miało na celu ujednolicenie przepisów całej wspólnoty i lepsze zabezpieczenie danych osobowych). RODO weszło w skład polskiego prawa bez konieczności implementacji krajową ustawą. Na mocy unijnego rozporządzenia za dane osobowe uznaje się obecnie także np.: adres IP, adres e-mail, informacje o odwiedzanych stronach i preferencjach w sieci, przynależność do danej grupy religijnej czy nawet przebyte choroby. Przepisy RODO odnoszą się także do sklepów internetowych, które przechowują znaczne ilości danych na temat swoich użytkowników.
Na jakiej podstawie dane osobowe podlegają ochronie?
Do 2018 roku obowiązywały polskie przepisy dotyczące ochrony danych osobowych jak np.: ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (Dz. U. z 2014 poz. 1182) czy rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745). Obecnie wiodącym dokumentem jest RODO. Treść nowej ustawy o ochronie danych osobowych RODO zawiera jedynie pomocnicze i dodatkowe informacje m.in., wskazuje podmioty publiczne, które są zobowiązane do wyznaczenia IOD oraz trybu zawiadomienia o jego wyznaczeniu, organ nadzorczy w sprawie ochrony danych osobowych, jak organ nadzorczy może kontrolować przestrzeganie przepisów o ochronie danych, odpowiedzialność cywilną za naruszenie o ochronie danych, odpowiedzialność karną za naruszenie przepisów o ochronie danych.
Jakie warunki należy spełnić, aby właściwie chronić dane osobowe klientów sklepu online?
Wybierz podstawę przetwarzania danych osobowych
Ochrona danych zawarta w RODO dotyczy przetwarzania danych osób fizycznych przez inne osoby fizyczne, przedsiębiorstwa oraz organizacje działające w ramach UE. Aby właściwie przetwarzać dane uwzględnij w regulaminie sklepu, zasadach wysyłania newslettera oraz — oczywiście w praktyce podejmowanych działań jedną z najważniejszych zasad ochrony danych — każde przetwarzanie danych musi być oparte na jednej ze wskazanych podstaw przetwarzania danych osobowych (inne to np. legalność, świadomość, zabezpieczenia, obowiązki względem UODO, prawa osób, których dane są przetwarzane) i tym samym:
- Należy uzyskać zgodę osoby, której dane będą przetwarzane;
- Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
- Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Prawa osób, których dane dotyczą
RODO sugeruje również tzw. minimalizację, czyli przechowywanie tylko tych danych osobowych klientów, które są rzeczywiście niezbędne. W przypadku sklepów internetowych mowa tu o danych potrzebnych do realizacji zamówienia. Ponadto administrator danych, czyli w tym przypadku sklep internetowy powinien zapewnić swoim klientom:
1. Prawo dostępu – możliwość wglądu do swoich danych oraz informacji, w jakim celu są przechowywane i jakie podmioty mają do nich dostęp.
2. Prawo do sprostowania – możliwość edycji nieprawdziwych danych.
3. Prawo do bycia zapomnianym – możliwość usunięcia danych w pewnych okolicznościach, np. gdy dane nie są już konieczne do realizacji celów, w jakich zostały pobrane czy cofnięcie zgody przez osobę, której dotyczyły.
Przeczytaj także: Jak skutecznie wdrożyć RODO w sklepie internetowym? (klik)
Jak prawidłowo skonstruować newsletter i zgody marketingowe?
Aby móc wysyłać do klientów newsletter należy skonstruować go zgodnie z prawem. Z jednej strony newsletter związany jest ze zgodą na otrzymywanie informacji handlowych, z drugiej zaś na marketing bezpośredni. Tworząc newsletter, należy wziąć pod uwagę 3 przepisy:
1. Art. 6 ust. 1 lit RODO – przetwarzanie danych osoby jest możliwe, jeśli wyraziła ona na to zgodę (możliwe jest to poprzez checkbox na stronie internetowej).
2. Art. 10 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – (wystarczy, jeśli internauta podaje adres e-mail i jednocześnie zgadza się na otrzymywanie informacji o charakterze handlowym).
3. Art. 172 ustawy z 16 lipca 2004 r. prawo telekomunikacyjne – dotyczący przesyłania poprzez wiadomości sms czy e-mail wiadomości związanych z marketingiem bezpośrednim, pod warunkiem że abonent lub użytkownik końcowy wyrazi na to zgodę.
Aby więc newsletter był zgodny z prawem, zdarza się, że zawiera nawet 3-4 pola wyboru, w których użytkownik może zaznaczyć swoje preferencje. W świetle RODO kluczowe jest potwierdzenie swojego maila przez użytkownika. Przykładowe zgody na otrzymywanie newslettera mogą wyglądać w następujący sposób:
- Wyrażam zgodę na przetwarzanie danych osobowych przez (nazwa i adres firmy) w celu otrzymywanie informacji handlowych i marketingowych;
- Wyrażam zgodę na wysyłanie informacji handlowej drogą elektroniczną na podany adres e-mail przez (nazwa i adres firmy).
- Tak, chcę otrzymywać informacje o nowościach i promocjach Sklepu.
Zob. także: Marketingowa baza danych zgodnie z prawem – legalny mailing/ calling sprzedażowy (klik)
Co grozi za brak właściwej ochrony danych osobowych?
Za naruszenie RODO grozi odpowiedzialność karna – ograniczenia lub pozbawienia wolności do 2 lat (na mocy polskiej ustawy z 10 maja 2018 r. o ochronie danych osobowych) oraz pieniężna, która nakłada Prezes UODO. Warto, więc przestrzegać przepisów o ochronie danych osobowych.
Jeżeli temat ochrony danych osobowych w codziennej praktyce Twojego biznesu wydaje się trudny — zachęcamy do kontaktu z naszą Kancelarią. Chętnie odpowiemy na wszelkie Twoje pytania dotyczące ochrony danych osobowych w Twoim sklepie internetowym.
Umów się z nami na e-spotkanie (klik) lub uzupełnij poniższy formularz kontaktowy.