E-biznes

Kiedy należy stosować zgody na przetwarzanie danych według RODO

Na stronie sklepu internetowego sprzedawcy udostępniają wiele formularzy za pośrednictwem których, klient może podać swoje dane osobowe w różnych celach np. założenia konta klienta, złożenia zamówienie, zapisania na Newsletter, skontaktowania się ze sprzedawcą za pośrednictwem formularza kontaktowego, rejestracji na szkolenie online/webinar itp. Jak powinna wyglądać zgoda przy tego typu formularzach, jakie obowiązki musi spełnić sprzedawca, jak również czym kierować się przygotowując tego typu formularze?

Artykuł powstał we współpracy z firmą Rzetelna Grupa, która specjalizuje się w obsłudze podmiotów z branży e-commerce, nowoczesnych technologii IT oraz prowadzących działalność w internecie. Poznaj pełną ofertę wsparcia prawnego dla klientów home.pl pod adresem https://home.pl/pomoc-prawna

Kiedy i jakie dane możemy zbierać zgodnie z RODO?

Sprzedawca przy projektowaniu formularzy za pośrednictwem których może się z nim skontaktować klient, w tym za pośrednictwem których klient podaje swoje dane osobowe, powinien mieć na względzie kilka podstawowych zasad wynikających z RODO:

  • zasada zgodności z prawem, rzetelności i przejrzystości – oznacza że by przetwarzać dane osobowe musi istnieć podstawa prawna, a dane osobowe muszą być zbierane w sposób przejrzysty dla osoby, która je podaje.
  • zasada celowości – oznacza, że musimy zbierać dane osobowe w konkretnych, wyraźnych i prawnie uzasadnionych celach i co ważne, nie możemy ich przetwarzać w sposób niezgodny z tymi celami. Jeżeli klient składa zamówienie w sklepie internetowym, nie możemy jego danych wykorzystać do innych celów np. do marketingu – chyba, że wyraził na to zgodę.
  • zasada minimalizacji danych – oznacza, że nie możemy zbierać danych osobowych nadmiarowo. Zakres danych powinien być adekwatny do celu ich zbierania. Przykładowo w celu realizacji zamówienia potrzebujemy jedynie imię i nazwisko, adres e-mail, adres dostawy, numer telefonu. Zbieranie przy tej okazji danych dodatkowych np. daty urodzenia lub innych – nawet jeżeli nie są wymagane – nie będzie spełniało tej zasady.

Przy większości formularzy będzie również funkcjonowała tzw. zgoda na przetwarzanie danych osobowych. Ogólne rozporządzenie o ochronie danych osobowych (RODO) nie zmieniło w znacznym stopniu aktualnie obowiązującej definicji zgody na przetwarzanie danych osobowych. Wprowadziło natomiast obok dotychczas funkcjonującej zgody w formie oświadczenia woli – możliwość uznania za ważną zgody wyrażonej w sposób dorozumiany poprzez wyraźne działanie potwierdzające.

Wypracowane zostały także niezbędne elementy okazania zgody, a są nimi: dobrowolność, konkretność, świadomość i jednoznaczność. Co to dokładnie oznacza możesz przeczytać na blogu Polityka Bezpieczeństwa – TUTAJ.

Jak wdrożyć RODO w firmie – zarejestruj się na szkolenie internetowe

Zgody z jakimi najczęściej administratorzy sklepów/serwisów internetowych będą mieli do czynienia to:

  • akceptacja regulaminu;
  • założenie konta w sklepie przy okazji składania zamówienia;
  • zapis na newsletter;
  • formularz kontaktowy;
  • zapis na szkolenie on-line/webinar.

W zakresie danych osobowych zgodę na ich przetwarzanie powinniśmy zbierać w przypadku, gdy nie istnieje inna podstawa prawna do ich przetwarzania niż zgoda.

W przypadku, gdy klient składa jednorazowe zamówienie nie potrzebujemy zbierania od niego zgody na jego realizację ponieważ mamy prawo przetwarzać jego dane osobowe w celu realizacji umowy sprzedaży.

Jeżeli klient korzysta z formularza kontaktowego na stronie sklepu, tu również nie musimy zbierać zgody na przetwarzanie danych osobowych w celu udzielenia mu odpowiedzi – podstawą prawną jest podejmowanie działań na żądanie osoby, której dane dotyczą, w celu zawarcia umowy, z zastrzeżeniem, że nie musi dojść do zawarcia umowy, aby przetwarzać zgodnie z prawem. Tu istotnym jest fakt, że kontakt ze strony sprzedawcy następuje po wcześniejszej inicjatywnie osoby fizycznej, która kieruje do niego zapytanie.

W zakresie newslettera i informacji handlowych RODO nie odnosi się wprost. Ustawa o świadczeniu usług drogą elektroniczną oraz prawo telekomunikacyjne, wymagają zbieranie zgody od osób, którym chcemy wysyłać informacje handlowe. Podstawą prawną wynikającą z RODO będzie zgoda, udzielona na bazie w/w ustaw.

Jak dokładnie powinna wyglądać treść zgody opisujemy w osobnym artykule TUTAJ.

Obowiązki informacyjne w kontekście RODO

Bez względu za pośrednictwem jakiego formularza zbieramy dane osobowe, czy mamy zgodę na przetwarzanie danych, czy też nie musimy jej mieć należy pamiętać o obowiązkach informacyjnych jakie Administrator Danych Osobowych musi spełnić w stosunku do osoby, od której dane zbiera.

W praktyce należy zamieścić stosowne informacje w dokumencie jakim jest polityka prywatności, gdzie firma będzie spełniała w/w obowiązki informacyjne, których jest około 12 (w zależności od okoliczności).

Ważne, aby osoba która powierza nam swoje dane osobowe, miała łatwy dostęp do tego dokumentu. Najlepiej jest zamieścić link do polityki prywatności tuż pod formularzem – np. w okolicy przycisku wysłania formularza.

Jakie informacje są niezbędne do spełnienia wymagań RODO:

  • kto jest administratorem danych osobowych – nazwa firmy wraz z adresem i informacja jak można się z firmą skontaktować;
  • dane inspektora ochrony danych jest – podać imię i nazwisko lub kontakt np. e-mail (opcjonalnie jeżeli jest IOD w firmie);
  • cel przetwarzania danych zgodnie z 6 RODO;
  • wymienić kategorię odbiorców danych osobowych jeżeli istnieją – np. kurier, bank, ubezpieczyciel, pośrednik płatności elektronicznych;
  • informacje w przypadku, gdy dane osobowe będą przekazywane do państwa trzeciego;
  • czas przetwarzania danych osobowych – np. do czasu odwołania zgody, jeżeli nie ma możliwości wskazania okresu przechowywania należy podać kryterium ustalania tego okresu np. do czasu zakończenia rekrutacji itp.;
  • poinformować o prawa jakie przysługują osobom fizycznym tj. prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informację o prawie do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w zakresie naruszenia prawo do ochrony danych osobowych lub innych praw przyznanych na mocy RODO.
  • czy dane osobowe będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania.

Przygotowujesz swoją firmę do zmian związanych z RODO? Przeczytaj także:

Rozporządzenie RODO – czym jest pseudonimizacja?

Jakie zmiany przyniesie rozporządzenie RODO?

Rozporządzenie RODO a profilowanie klientów w sklepach internetowych