25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło obowiązywać ogólne rozporządzenie o ochronie danych osobowych - RODO. W tym artykule omówimy zgody na przetwarzanie danych dostosowane do RODO.

RODO redcart sklep internetowy


25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło obowiązywać ogólne rozporządzenie o ochronie danych osobowych - RODO. W tym artykule omówimy jedną z podstaw przetwarzania danych osobowych - wyrażenie zgody na przetwarzanie danych osobowych przez użytkownika sklepu internetowego. Jak dostosować do RODO zgody na przetwarzanie danych w swoim sklepie internetowym?

Czy mnie też dotyczy RODO?

Na wstępie przypomnijmy sobie kogo obowiązuje RODO . Jeśli przetwarzasz dane osobowe to musisz przestrzegać nowych przepisów. Rozporządzenie dotyczy bowiem każdego podmiotu przetwarzającego dane osobowe. A co oznacza przetwarzanie danych osobowych? Każda operacja na danych to ich przetwarzanie. W celu realizacji umowy sprzedawca musi posiadać informacje niezbędne do wystawienia rachunku, przesłania towaru do kupującego (imię i nazwisko, adres kupującego). Należy tutaj zaznaczyć, że RODO dotyczy również firm, które przetwarzają dane na zlecenie administratora (firm outsourcingowych). Nie ma znaczenia czy przetwarzania danych dokonuje się w celu wysyłki towarów, wystawienia imiennej faktury, czy w celu przesłania newslettera. Przetwarzanie oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

Co zaliczamy do danych osobowych?

WAŻNE:

Dane osobowe to takie dane, które pozwalają jednoznacznie zidentyfikować osobę fizyczną.

Dane osobowe to takie dane, które pozwalają jednoznacznie zidentyfikować osobę fizyczną. Mogą to być takie dane jak: imię, nazwisko, numer PESEL, płeć, adres e-mail, ale również dane mniej oczywiste takie jak: numer IP, dane o lokalizacji, kod genetyczny, poglądy polityczne, a nawet historia zakupów. Wszelkie informacje, które pozwalają na ustalenie tożsamości danej osoby są jej danymi osobowymi, niezależnie od tego, czy są przetwarzane w formie papierowej czy też cyfrowej.

Jak zgodnie z prawem przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje podstawa prawna do przetwarzania danych.

Dane osobowe możesz przetwarzać jeśli:

1. Posiadasz zgodę osoby, której dane chcesz przetwarzać,

2. Przetwarzanie danych jest niezbędne do przygotowania lub wykonania umowy (np. realizacja zamówienia w sklepie internetowym, sporządzanie umowy sprzedaży, wystawienie faktury),

3. Przetwarzanie jest niezbędne do wykonania obowiązku prawnego (np. przetwarzanie danych w celach związanych z rachunkowością),

4. Przetwarzanie jest niezbędne do realizacji prawnie uzasadnionych interesów (np. skierowanie pozwu o zapłatę przeciwko nieuczciwemu klientowi sklepu internetowego).

Firmy najczęściej przetwarzają dane osobowe na podstawie zgody np. w przypadku wysyłki newslettera, w celu realizacji zamówienia oraz celem wypełnienia obowiązku prawnego np. wystawienia faktury dokumentującej zakup. Wykonanie umowy i wypełnienie obowiązku prawnego nie budzą wątpliwości. Zawierasz umowę więc masz podstawę do przetwarzania danych w celu jej realizacji. Zrealizowałeś usługę lub otrzymałeś płatność – musisz wystawić fakturę i prawo pozwala Ci przetwarzać dane w tym celu. Pamiętaj, że jeśli przetwarzanie danych jest niezbędne do realizacji zamówienia i wykonania umowy – sprzedaży internetowej nie ma potrzeby prosić o zgodę na przetwarzanie danych. Przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży). Już samo kliknięcie w “zamawiam i płacę” jest jednoznacznie wyrażoną zgodą na przetwarzanie danych celem realizacji zamówienia.

Jakie zgody muszę zebrać w sklepie internetowym?

W standardowym sklepie internetowym będziemy potrzebowali uzyskania zgody na:

- wykorzystanie danych w celu przekazania ich podmiotom trzecim,

- zgody na profilowanie użytkowników,

- zgody na wykorzystanie danych w celach marketingowych,

- zgody na przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej np. reklam za pomocą poczty elektronicznej, - zgody na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego np. wysyłanie wiadomości SMS o treści reklamowej.

Zgody na przetwarzanie danych nie trzeba zbierać w szczególności wtedy, gdy:

1. Przetwarzanie danych jest niezbędne do wykonania umowy

Przykład: Sklep internetowy nie musi prosić o zgodę na przetwarzanie danych celem realizacji zamówienia, ponieważ będzie ono zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży),

2. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze

Przykład: Przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości,

3. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią

Przykład: Skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych, a podstawą przetwarzania danych w takim wypadku jest właśnie realizacja prawnie uzasadnionego interesu administratora danych.

Jakie informacje zawrzeć w zgodzie?

RODO poszerzyło obowiązki informacyjne związane z przetwarzaniem danych osobowych. Już w momencie pozyskiwania danych osobowych klientów powinieneś poinformować ich o celu pozyskiwania danych, o tym przez jaki czas będziesz je przetwarzać oraz komu będą te dane przesyłane dalej np firmie udostępniającej Ci system do wysyłki newslettera. Te rozbudowane obowiązki informacyjne w przypadku zgody na przetwarzanie danych osobowych będą przybierać najczęściej postać tzw. klauzuli zgody na przetwarzanie danych. Cała klauzula powinna zawierać okienka wyboru, czyli tzw. ,,checkboxy”. Istotne jest przejrzenie stosowanych treści zgód (checkboxów) na stronie naszego sklepu internetowego pod kątem RODO i w razie potrzeby dostosowanie ich do nowych wymogów informacyjnych.

JAKIE INFORMACJE PRZEKAZYWAĆ PRZY ZBIERANIU ZGÓD?

- o tożsamości administratora danych i o jego danych kontaktowych,

- w przypadku powołanie Inspektora Ochrony Danych (IOD) – jego dane kontaktowe

- o celach i podstawie przetwarzania danych, a jeżeli przetwarzanie odbywa się na tej podstawie, że jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – o tych prawnie uzasadnionych interesach,

- o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (odbiorcy danych to podmioty przetwarzające dane osobowe na zlecenie administratora danych - stąd konieczność poinformowania o tych podmiotach)

- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego,

- o okresie czasu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,

- o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania,

- o prawie do przenoszenia danych,

- o prawie do cofnięcia zgody w dowolnym momencie,

- o prawie wniesienia skargi do organu nadzorczego,

- o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,

- jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania – należy poinformować o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą

Klauzula zgodna z RODO może wyglądać tak:

Zgadzam się na przetwarzanie moich danych osobowych przez spółkę XYZ sp. z o. o. z siedzibą w ……….., ul. ……………., w celu ……………. [np. marketingowym].

Podanie danych jest dobrowolne. Podstawą przetwarzania danych jest moja zgoda. Odbiorcami danych mogą być ………….. [np. podmioty zajmujące się obsługą informatyczną administratora danych].

Mam prawo wycofania zgody w dowolnym momencie. Dane osobowe będą przetwarzane ………….. [np. do ew. odwołania zgody, a po takim odwołaniu, przez okres przedawnienia roszczeń przysługujących administratorowi danych i w stosunku do niego].

Mam prawo żądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania [o prawie do przenoszenia danych, jeżeli przysługuje], a także prawo wniesienia skargi do organu nadzorczego.

[Jeżeli dochodzi do profilowania, wówczas informacje dotyczące profilowania].

W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Inspektorem Ochrony Danych pod adresem ……………. [jeżeli został wyznaczony]

W jakich miejscach wymagać uzyskania zgody?

- przy realizacji zamówienia - ,,przy koszyku”

- przy zapisie koszyka klienta

- przy zapisach do newslettera

- przy formularzu ,,Zapytaj o produkt”

- przy formularzu ,,Powiadom o dostępności”

Zasady formułowania zgód 

Jedno okienko - jedna zgoda

Do tej pory zgody na przetwarzanie danych osobowych mogły być niezrozumiałe dla klientów i być przedstawione w dość niewyraźny sposób. Sprzedawcy podpinali często w jednym okienku „checkbox” zgody na przetwarzanie danych do kilku celów np zgodę marketingową i zgodę na przesyłanie danych podmiotom trzecim jednocześnie. RODO zabrania takich praktyk. Jeśli przetwarzanie służy różnym celom należy uzyskać zgodę na wszystkie te cele.

Jasno, wyraźnie, konkretnie

Ważne jest, aby użytkownik nie musiał się domyślać i kombinować. W ramach obowiązku informacyjnego trzeba pokazać w prosty i wyraźny sposób wszystkie informacje. Treść przekazywanych informacji nie może zawierać nieuczciwych warunków lub być ukryta w regulaminie, czy polityce prywatności, bez wiedzy klienta. Przez stosowanie takich rozwiązań mamy odzyskać kontrolę nad swoimi danymi.

Świadoma i dobrowolna zgoda

Bardzo ważnym założeniem związanym ze zgodami jest to, że muszą wynikać z jednoznacznej czynności, być świadome i wyrażone dobrowolnie. RODO zakazuje domyślnego oznaczania pól - uprzedniego zaznaczania checkboxów, lub używania opcji w stylu ,,zaznacz wszystkie" – użytkownik sam musi zaznaczyć takie zgody.

Informuj klienta o jego nowych prawach

W trakcie wyrażania zgody użytkownik musi otrzymać informację, że będzie mógł taką zgodę odwołać w każdym czasie. Klient będzie miał też prawo do przeniesienia danych do innej firmy, wglądu w historię przetwarzania swoich danych czy bycia zapomnianym, czyli usunięcia danych.

Prawo do bycia zapomnianym składa się z dwóch uprawnień:

- możliwości żądania usunięcia danych osobowych przez administratora
danych,

- możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.

Jest to jedno z najważniejszych praw wprowadzanych przez RODO. Użytkownik ma możliwość żądania usunięcia swoich danych osobowych, na przetwarzanie których wyraził kiedyś dobrowolną zgodę. Będzie to możliwe, gdy przetwarzanie danych nie będzie już niezbędne do celów, dla których zostały one zebrane przez administratora danych (np. celem realizacji umowy).

Jeśli taka osoba wystąpi ze stosowną prośbą jej dane będą musiały zostać niezwłocznie i w całości skasowanie z systemu administratora danych (danej firmy). Ale to nie wszystko. Będzie to dotyczyć także kopii, linków, skanów czy papierowej dokumentacji (ksero, wydruki e-maili, skany).

Więcej o prawie do bycia zapomnianym już niedługo w kolejnym artykule na naszym blogu

Zapewnij proste odwołanie zgody

Zgodę na przetwarzanie danych osobowych można zawsze odwołać. Odwołanie zgody powinno być równie łatwe, jak jej udzielenie. Użytkownik, który wyraził zgodę elektronicznie, nie może mieć jedynej możliwości wycofania jej poprzez np przesłanie rezygnacji drogą pocztową.

Odwołanie zgody wywołuje wyłącznie skutki na przyszłość – oznacza to, że od chwili otrzymania oświadczenia o odwołaniu zgody, nie można już się opierać na zgodzie przetwarzania danych. Jednak wszystkie czynności, które opierały się na takiej zgodzie pozostają ważne.

Pamiętaj o dodatkowej zgodzie na profilowanie klientów

Czym jest zgoda na profilowanie użytkowników? Profilowanie to szczególny rodzaj przetwarzania danych osobowych, który:

- odbywa się w sposób automatyczny,

- ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania.

Przykładem może być gromadzenie oraz analizowanie danych klienta takich jak jego wiek, płeć, data urodzenia, miejsce zamieszkania, zainteresowania, zachowanie na stronie czy ostatnio dokonane zakupy. Dzięki tym informacjom właściciel sklepu internetowego może przesyłać klientowi bardziej zindywidualizowaną ofertę. Przez to istnieje większe prawdopodobieństwo, że oferta go zainteresuje.

Zbieranie informacji o konsumencie takich jak wiek, płeć, miejsce zamieszkania i zainteresowania na podstawie jego zachowań w sieci było do tej pory częstym i naturalnym procesem, nie podlegającym restrykcyjnym regulacjom. Zgodnie z RODO, jeśli chcesz dzielić automatycznie użytkowników na grupy czyli segmentować klientów np. poprzez systemy marketing automation (grupować pewne informacje nt. klientów według np ich wieku, płci, miejsca zamieszkania), musisz poinformować o tym w regulaminie oraz dodać tą informację jako kolejną zgodę - zgodę na profilowanie.

Jak profilowanie w sklepach internetowych wygląda w praktyce?

Wiele sklepów działających w branży e-commerce stosuje profilowanie, ponieważ jest ono jednym ze sposobów na bardziej efektywną sprzedaż produktów, przy jednoczesnym zmniejszeniu nakładów finansowych na działania promocyjne.

Przykładem profilowania jest automatyczny dobór reklam na stronie internetowej w oparciu o wcześniejszą aktywność na tej stronie. Profilowanie to tworzenie profilu klientów na podstawie ich zachowań w sieci i dostępnych danych osobowych w celu zautomatyzowanego dopasowania oferty do poszczególnych klientów celem przyspieszenie ich decyzji zakupowej.

Bez względu jednak na to, jak bardzo zaawansowane metody profilowania wykorzystywane są w handlu internetowym, za każdym razem jego klient musi być tego świadom (a więc na właścicielu sklepu internetowego ciąży pełny obowiązek informacyjny o profilowaniu). Klient musi mieć możliwość wyrażenia dobrowolnej zgody na ten proces.

Zgody na przetwarzanie danych - o czym musimy pamiętać?

1. Rejestruj kto, kiedy, w jaki sposób i jaką zgodę wyraził

2. Informuj klienta o jego prawach - prawie do przeniesienia danych do innej firmy, wglądu w historię przetwarzania swoich danych, odwołania zgody, czy bycia zapomnianym, czyli usunięcia danych

3. Zapewnij łatwy sposób na odwołanie wyrażonej zgody

4. Pamiętaj o dodatkowej zgodzie na profilowanie klientów

5. Stosuj jedno okienko na jeden cel przetwarzania danych osobowych

6. Nie stosuj domyślnego oznaczania pól w checkboxach

7. Nie stosuj opcji w stylu ,,zaznacz wszystkie”

8. Nie stosuj nieuczciwych warunków i nie ukrywaj niczego w regulaminie ani w polityce prywatności

Nowe funkcjonalności w sklepach internetowych

Korzystanie z tych praw przez osoby, których dane przetwarzasz będzie wymagało wdrożenia nowych funkcjonalności w sklepie internetowym np. rozwiązań umożliwiających wycofanie udzielonej zgody. W sklepach internetowych Redcart zastosowaliśmy nowe funkcjonalności pozwalające naszym sklepom na przestrzeganie RODO. Dostosowanie sklepów do RODO umożliwia m.in. rozszerzony kreator checkboxów, który w prosty sposób pozwala na dodanie dodatkowych zgód wymaganych przez nowe przepisy.

Rejestruj udzielane zgody

Pamiętaj, że musisz być w stanie wykazać, że dana osoba faktycznie wyraziła stosowną zgodę – np. rejestrować w bazie danych kto, kiedy i w jaki sposób wyraził zgodę. Dzięki wprowadzonym zmianom w panelu administracyjnym sklepów Redcart, uzyskamy niezbędne informacje potrzebne do wykazania np akceptacji regulaminu sklepu przez użytkownika.

Każda zgoda w e-sklepie powinna:

1. Być dobrowolna - należy zapewnić możliwość dokonania rzeczywistego wyboru

2. Być konkretna - niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania

3. Być świadoma - zgoda powinna obejmować tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania

4. Być jednoznaczna - zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne

5. Być jednoznaczna - zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne

6. Zostać sformułowana jasnym i czytelnym językiem

7. Zawierać informacje o nowych prawach klienta

RODO, a dotychczasowe zgody

Świadczenie usług drogą elektroniczną, wliczając w to wysyłanie ofert, newsletterów wymaga ze strony klientów wyrażenia odpowiednich zgód. Czy RODO wymaga od nas zbierania zgód na nowo? RODO generalnie nie wymaga od nas zbierania nowych zgód, o ile były one zbierane w prawidłowy sposób.

Jako sklep internetowy możesz posiadać już bazę danych ze zgodą np. na otrzymywanie newslettera. Czy do takich osób możesz wysyłać wiadomości zawierające spersonalizowaną ofertę? Czy te osoby muszą ponownie wyrazić zgodę na wysyłanie oferty?

Zgody zbierane przed rozpoczęciem stosowania RODO i zgodnie z krajowymi przepisami o ochronie danych osobowych nie muszą być automatycznie zbierane ponownie po 25 maja 2018 r. W ocenie Ministra Cyfryzacji zgodnie z zasadą aktualności nie mamy też obowiązku uzupełniania wcześniej wyrażonej zgody o obowiązkowe zgodnie z RODO informacje.

Kiedy należy zebrać nowe zgody?

W sytuacji, kiedy dane zbierane były w oparciu o zgodę wyrażoną np w formie milczenia, okienek zaznaczanych domyślnie lub poprzez niepodjęcie działania - należy zebrać nowe zgody. Mimo, że prawo nie działa wstecz, to jeśli taka zgoda nie była zgodna z prawem, powinniśmy uzyskać nową zgodę. Wszelkiego rodzaju zgody wcześniej „dorozumiane” lub wyrażone w sposób niejednoznaczny, powinny więc zostać zaktualizowane. Będzie to trudne zadanie, bo klient, który kiedyś zrobił u nas zakupy raczej nie będzie miał ochoty wczytywać się jeszcze raz w przesyłane regułki. Jak więc to zrobić?


Jak zebrać nowe zgody?

Możemy przesłać e-mail informujący użytkowników o zmianach w regulaminie z możliwością wyrażenia nowych zgód poprzez kliknięcie w link w emailu. Możemy sprytnie wykorzystać sytuację i przesłać do klienta jasną informację o konieczności wyrażenia przez niego odpowiednich zgód, a w zamian zaproponować atrakcyjny rabat na swoją ofertę. Jeśli natomiast pozyskanie odpowiednich pozwoleń jest niemożliwe, jako sklep masz obowiązek przestać przetwarzać dane klienta. W innym przypadku złamiesz przepisy i narazisz się na odpowiedzialność.

Kiedy nie trzeba zbierać zgody?

Pamiętaj, że jeśli przetwarzanie danych jest niezbędne do realizacji zamówienia i wykonania umowy – sprzedaży internetowej nie ma potrzeby prosić o zgodę na przetwarzanie danych. Przetwarzanie danych będzie zgodne z RODO ponieważ jest niezbędne do wykonania umowy (sprzedaży).

Musimy więc rozdzielać zgodę od umowy. W sytuacji, gdy przetwarzamy czyjeś dane osobowe zgodnie z umową i na podstawie zaakceptowanego przez taką osobę regulaminu – nie mamy obowiązku otrzymania od niej dodatkowej zgody.

Nie zwalnia nas to jednak z obowiązku informacyjnego i określenia okresu, przez który będziemy dane osobowe przetwarzać, poinformowania o prawie do cofnięcia zgody, wniesienia skargi do organu nadzorczego, prawie żądania dostępu do swoich danych osobowych, ich sprostowania, ograniczenia lub usunięcia itd. O prawach klienta mamy obowiązek poinformować w przeciągu miesiąca od momentu pozyskania jego danych. Informacje można przekazywać w różny sposób. Ważne, aby wszystkie kategorie z art. 13 RODO były przedstawione w prostej w odbiorze i zrozumiałej formie.

Jak przetwarzać szczególne kategorie danych osobowych?

RODO – inaczej, niż to ma miejsce na gruncie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych – nie wymaga, aby zgoda na przetwarzanie danych zaliczonych do szczególnych kategorii danych osobowych była wyrażona na piśmie. Na gruncie RODO taka zgoda powinna być zgodą „wyraźną” – oznacza to, że zgoda może zostać udzielona np. w Internecie, poprzez zaznaczenie odpowiedniego pola wyboru. Oczywiście zbieranie zgód na piśmie w dalszym ciągu będzie dopuszczalne.

Zgody wyrażane przez dzieci

Zgodnie z RODO możesz przetwarzać dane dziecka, które ukończyło 16 lat. W przypadku młodszych dzieci konieczne jest wyrażenie zgody przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Na Tobie, jako administratorze, spoczywa obowiązek zweryfikowania tego czy właściwa osoba wyraziła zgodę. RODO nie wskazuje dokładnie jak to zrobić, ale z rozporządzenia wynika, że należy podjąć w tym celu rozsądne starania mając na uwadze dostępną technologię.