Zaloguj się

RODO i zabezpieczenia w sklepie internetowym. Na co zwrócić uwagę?

Przepisy związane z przetwarzaniem danych osobowych znajdziemy głównie w Rozporządzeniu Ogólnym o Ochronie Danych Osobowych z 25 maja 2018 roku (RODO). Dotyczą wszystkich przedsiębiorców, obciążając również podmioty działając w branży e-commerce. W ich przypadku dodatkowo mogą wymagać wdrożenia pewnych procedur, aby zapewnić realizację przepisów RODO. W tekście omawiamy najważniejsze procedury, na które należy zwrócić uwagę.

RODO i wynikające z niego obowiązki dla branży e-commerce

RODO to Rozporządzenie Ogólne o Ochronie Danych Osobowych obowiązujące w Polsce od 25 maja 2018 roku, czyli już kilka dobrych lat. Można więc uznać, że przedsiębiorcy będą zaznajomieni z ogólnymi zasadami związanymi z ochroną danych osobowych. Jednak dla pełnej implementacji tego rozporządzenia nie wystarczy tylko ogólne poznanie założeń RODO. Przedsiębiorcy muszą mieć świadomość swoich obowiązków w sposób szczegółowy – dzięki temu będą w stanie konsekwentnie wypełniać je w ramach swojej codziennej działalności.

Najważniejsze obowiązki wynikające z RODO dla sklepów internetowych to przede wszystkim:

  • konieczność wyznaczenia i informowania konsumentów o Administratorze Danych Osobowych (ADO),
  • możliwość przetwarzania danych niezbędnych, w minimalnym zakresie, w oparciu o konkretne przepisy prawa,
  • uprawnienia i dane Inspektora Ochrony Danych, jeśli główna działalność podmiotu obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę,
  • uprawnienia podmiotu, którego dane są przetwarzane (np. prawo do bycia zapomnianym),
  • transparentność w zakresie transferu danych (zwłaszcza poza EOG),
  • zgłaszanie wycieku danych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Jakie dokumenty są wymagane według RODO?

W przepisach rozporządzenia nie znajdziemy żadnej minimalnej, wymaganej listy dokumentów, które wystarczą, aby zapewnić sobie zgodność z RODO. Dlatego podczas sporządzania kompletu dokumentacji warto skorzystać z porady doświadczonego eksperta. Specjalista, po przeanalizowaniu sytuacji faktycznej danej firmy, może przedstawić konkretny, indywidualnie dopasowany pakiet dokumentów, który zagwarantuje pełne bezpieczeństwo sklepu internetowego.

Poza koniecznością uwzględnienia konkretnego stanu faktycznego, można jedynie przykładowo przedstawić rodzaje dokumentów, które są typowe dla RODO w większości sklepów sprzedających online.

Każdy sklep internetowy musi mieć własną politykę prywatności. Z reguły jest to najistotniejszy dokument, który pozwala przedstawić całokształt podstawowych zasad związanych z przetwarzaniem danych. Polityka prywatności powinna zawierać przede wszystkim:

  • dane Administratora Danych,
  • Informacje dot. miejsca i zakresu przetwarzanych danych,
  • pouczenia o przysługujących prawach,
  • informację, jak można skontaktować się z Administratorem,
  • informacje o okresie przetwarzania danych,
  • podstawy prawne przetwarzania danych.

Z kolei Polityka cookies musi uwzględniać podstawowe, skrótowo przedstawione informacje – głównie np. z jakich narzędzi śledzących korzysta sklep internetowy, powiadomienie o braku obowiązku wyrażenia zgody na przetwarzanie cookies, a także, że dane użytkownika mogą zostać w każdej chwili usunięte z bazy. Jednocześnie warto dodać ostrzeżenie, że jeśli cookies nie zostaną zaakceptowane, to niektóre funkcjonalności strony przestaną działać, m.in. wtyczki społecznościowe.

Oba te dokumenty – Polityka cookies i Polityka prywatności – muszą uwzględniać specyfikę działalności konkretnego sklepu. Tylko wtedy będą realnie przydatne i skuteczne. Dlatego dokumenty należy sporządzać tylko dla danego sklepu, najlepiej przez podmiot wyspecjalizowany w obsłudze RODO, np. przez kancelarię prawną. Wszelkie gotowe wzorce pobrane z sieci nie będą spełniać tego celu. Dla pełnej ochrony lepiej postawić na dokument tworzony specjalnie pod nasz sklep.

Poza tym przetwarzanie danych osobowych powinno odbywać się w oparciu o podstawę prawną, którą będzie np. zgoda na przetwarzanie danych osobowych. Należy zastanowić się, w jaki sposób pobierana i przechowywana będzie owa zgoda udzielona przez użytkowników na przetwarzanie ich danych osobowych. Jest to ważne nie tylko z perspektywy prawa, ale również z technicznego punktu widzenia. Wyrażenie takiej zgody nie powinno być problematyczne dla użytkownika końcowego, a informacja na ten temat musi być przechowywana w razie ewentualnej kontroli PUODO. Dzięki temu podmiot szybko wykaże, że dane są przetwarzane zgodnie z obowiązującym prawem, w oparciu o określoną podstawę.

Jeśli sklep ma działać zgodnie z RODO, klient musi wyrazić również zgodę na przesyłanie newslettera. Z reguły zgoda na przesyłanie treści marketingowych obejmuje też maila z prośbą o wystawienie opinii po zakupie – tego typu wiadomość również stanowi formę przetwarzania danych osobowych. Trzeba więc pamiętać o tych kwestiach przy projektowaniu dokumentacji RODO.

ecommerce 3082813 750x500

Gdy struktura biznesowa jest dość skomplikowana, a zwłaszcza gdy uwzględnia udział w procesie sprzedażowym i posprzedażowym kilku podmiotów (również tych niepowiązanych kapitałowo czy osobowo), to wymagana może być także umowa o przetwarzaniu danych. Trzeba pamiętać, że do przetwarzania danych ma prawo tylko administrator, któremu owej zgody udzielono. Dlatego powierzenie przetwarzania podmiotom trzecim nakłada wymóg podpisania osobnej umowy.
Co więcej, dokumentacja RODO dla sklepu internetowego może również wymagać sporządzenia:

  • polityki bezpieczeństwa informacji,
  • instrukcji zarządzania systemem informatycznym,
  • Polityki plików cookies,
  • rejestru czynności przetwarzania danych osobowych,
  • rejestru incydentów związanych z naruszeniami danych osobowych,
  • upoważnienia do przetwarzania danych osobowych,
  • rejestru osób upoważnionych do przetwarzania danych osobowych,
  • wzoru oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych.

To jedynie przykłady standardowych dokumentów, które zazwyczaj są niezbędne, aby zapewnić zgodność sklepu sprzedającego online z RODO. Precyzyjne wskazanie, jakie dokumenty są potrzebne w przedsiębiorstwie, musi być dokonane konkretnie dla danej firmy.

Co jeszcze ma znaczenie dla przedsiębiorców?

Poza pracami związanymi z przystosowaniem sklepu internetowego do wymogów RODO, musimy pamiętać również, że sklep online powinien spełniać inne regulacje – zwłaszcza te z kodeksu cywilnego. Dlatego do zapewnienia szeroko pojmowanej zgodności z prawem, poza dokumentami RODO, może wymagać sporządzenia:

  • Regulaminu sklepu wolnego od klauzul niedozwolonych (abuzywnych) w obrocie z konsumentami. Regulamin dodatkowo powinien określać kwestie techniczne takie jak warunki płatności, moment przejścia odpowiedzialności, moment zawarcia umowy czy sposoby dostawy.
  • Regulaminu zwrotów, który realizuje przede wszystkim przepisy prawa konsumenckiego (w tym np. zasady realizowania prawa do odstąpienia od umowy bez podania przyczyny w terminie 14 dni) oraz wskazuje adres do odsyłki i inne kwestie szczególne (takie jak chociażby wyłączenie odbioru przesyłek za pobraniem).
  • Procedur rozpatrywania reklamacji uwzględniających problematykę rękojmi i gwarancji. Jest to bardzo ważne, gdyż przepisy dotyczące rękojmi w sprzedaży konsumenckiej zawierają cztery typy uprawnień konsumenta w razie wystąpienia wady. Każdy z nich wiąże się z wystąpieniem pewnych okoliczności, które rozpatrujący reklamację musi uwzględnić.

Według RODO, administrator powinien wdrożyć właściwe środki techniczne i organizacyjne, które zapewnią ochronę danych osobowych. Śródki organizacyjne opisaliśmy częściowo we wcześniejszych akapitach i będzie to właśnie np. dokumentacja RODO. Co należy do omawianych środków technicznych? Tutaj oceny również dokonuje się w zależności od przedsiębiorstwa. Czasem będzie to np. obowiązek stosowania skomplikowanych haseł lub zabezpieczeń sieciowych sklepu. Istotne, że obowiązek ten jest zawsze po stronie administratora.
Konsekwencje naruszenia przepisów RODO

W RODO przewidziano dwa rodzaje sankcji za naruszenie przepisów. Jednocześnie wielu przedsiębiorców jako najbardziej dotkliwą karę wskazuje utratę renomy sklepu internetowego. Informacje o nałożonej karze z reguły są publikowane przez PUODO i mogą być jawne. Dlatego w sytuacji naruszenia danych, klient sklepu internetowego może dowiedzieć się o naruszeniu od PUODO. A takie działania z pewnością wpłyną na wiarygodność sklepu w oczach konsumentów i może prowadzić do utraty renomy na rynku.

Pierwszą z przewidzianych w RODO sankcji jest sankcja karna. Podlega jej ten, kto przetwarza dane osobowe, mimo że ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony. Taki przedsiębiorca podlega karze ograniczenia wolności lub pozbawienia wolności do lat dwóch.

Druga to administracyjna kara pieniężna za naruszenie. Tutaj wysokość kary jest uzależniona od skali i rodzaju naruszenia, jednak trzeba wskazać, że w poszczególnych przypadkach może wynieść ona nawet do 20 mln euro albo 4% obrotu przedsiębiorstwa za rok poprzedni – zależnie od tego, która kwota jest wyższa. Karze tej podlega Administrator Danych Osobowych. Zazwyczaj taka kara jest niższa, jednak jej dotkliwość dla przedsiębiorstwa nadal znaczna.

Jako przykład kary pieniężnej nałożonej przez Prezesa UODO w wyniku wycieku danych osobowych jest kara nałożona na stronę internetową Morele.net. Spółka obsługująca ten sklep internetowy otrzymała niemal 3 miliony zł kary w 2019 roku za naruszenie RODO. Trochę niższą karę, o wysokości 2 miliony zł, otrzymał za nieprzestrzeganie zasad RODO operator telefonii komórkowej Virgin Mobile.

Biorąc pod uwagę przewidziane kary, na pewno warto poświęcić trochę czasu na zapewnienie e-sklepowi zgodności z RODO. Powinno się to opierać na przygotowaniu specjalnej dokumentacji, w której nieocenioną pomocą będzie wsparcie ze strony adwokata lub radcy prawnego wyspecjalizowanego w prawie e-commerce.

 

Marcin Staniszewski

Radca prawny, absolwent Uniwersytetu im. Adama Mickiewicza oraz Uniwersytetu Ekonomicznego w Poznaniu, od ponad 15 lat zajmujący się obsługą prawną przedsiębiorców. Na przestrzeni lat nadzorował liczne przekształcenia i fuzje spółek prawa handlowego. Specjalizuje się w zagadnieniach związanych z funkcjonowaniem spółek z branży IT, prawem telekomunikacyjnym, własnością intelektualną i prawem transportowym. Entuzjasta świadczenia usług w ramach rozwiązań Legal Tech, a prywatnie miłośnik motoryzacji i nowych technologii.


rpms small


Kancelaria Prawna RPMS Staniszewski & Wspólnicy specjalizuje się w kompleksowej obsłudze podmiotów gospodarczych, ze szczególnym uwzględnieniem e-commerce oraz sektora IT. Doświadczona i szeroka kadra pozwala na świadczenie pełnego wsparcia prawnego, od ochrony właśności intelektualnej, ochrony marki, przez przekształcenia spółek, koordynowanie procesów windykacyjnych, po realizacje z zakresu prawa mediów oraz prawa transportowego. RPMS działa w wymiarze ogólnopolskim i posiada placówki w największych polskich miastach, a także międzynarodowym, pracując z zagranicznymi klientami z państw członkowskich Unii Europejskiej, a także wspomagając prawnie przedsiębiorców działających w skali międzynarodowej.

 

Zaloguj się by skomentować