Wpisz poszukiwane słowo i wciśnij Enter.

Czy polityka prywatności jest obowiązkowa w sklepie internetowym – Podcast Mistrzowie eCommerce home.pl #10

Czy polityka prywatności jest obowiązkowa w sklepie internetowym – Podcast Mistrzowie eCommerce home.pl #10

W trakcie analizy naszego bloga natknęliśmy się na ciekawą statystykę – okazało się, że w tym roku co setny użytkownik odwiedził podstronę polityki prywatności! Czy w erze RODO przedsiębiorcy powinni obawiać się konsekwencji, wynikających z braku takiej podstrony w swoich serwisach WWW? Co w sytuacji, gdy strona z polityką prywatności zawiera również nieprawidłowe informacje? Rozmawiamy na ten temat z prezesem zarządu Rzetelna Grupa Rafałem Stępniewskim, który jest ekspertem od prawa handlowego, prawa gospodarczego oraz ochrony danych osobowych.

Z 10 odcinka podcastu dowiesz się m.in.:

  • jak prawo reguluje kwestię posiadania Polityki Prywatności,
  • co powinna zawierać Polityka Prywatności,
  • jakie konsekwencje czekają przedsiębiorców, którzy nie dopełnili obowiązków informacyjnych.

Podcast Mistrzowie eCommerce #10 – Czy polityka prywatności jest obowiązkowa w sklepie internetowym

Kliknij na poniższy przycisk i dodaj do obserwowanych nasz kanał na Youtube, aby otrzymywać informacje o nowych odcinkach podcastu w pierwszej kolejności!

 

Dodaj nasz podcast do obserwowanych w serwisie lub aplikacji:

10 odcinek – słuchaj lub pobierz gotowe notatki


Przeczytaj i posłuchaj również:

Odcinek #1 10 kroków do uruchomienia sklepu internetowego

Odcinek #2 Co to jest Allegro Smart?

Odcinek #3 Jak przygotować sklep internetowy na rynek zagraniczny?

Odcinek #4 Jak dzięki opakowaniom zwiększyć sprzedaż w sklepie internetowym?

Odcinek #5 Jak stworzyć regulamin sklepu?

Odcinek #6 Jakie metody płatności wybrać w sklepie internetowym?

Odcinek #7 Jak zwiększyć sprzedaż przed świętami?

Odcinek #8 Analiza konkurencyjnego sklepu internetowego

Odcinek #9 Jak budować wizerunek sklepu internetowego na Facebooku?


Zapis z odcinka podcastu

Marcin:  Cześć, słuchasz podcastu Mistrzowie eCommerce home.pl, ja nazywam się Marcin Kowalik. Dzisiejszy temat będzie troszkę przewrotny, bo nazwaliśmy odcinek takim tytułem: Czy potrzebna ci jest polityka prywatności? Jest to tak złożony prawnie i merytorycznie temat, że powinniśmy wysłuchać opinii eksperta. My staramy się takimi ekspertami, specjalistami i doświadczonymi praktykami otaczać w home.pl, dlatego też moim i Twoim gościem drogi słuchaczu jest Rafał Stępniewski – prezes zarządu Rzetelnej Grupy. Cześć Rafał!

 

Rafał: Cześć, witaj.

 

Marcin: Dziękuję, że ponownie znalazłeś czas, bo jest to już kolejny odcinek z Twoim udziałem. Bardzo się cieszę, że nas wspierasz w naszym podcaście. Rafał, jedno zdanie wprowadzenia jest potrzebne z mojej strony. Razem z Adamem Kaczmarkiem, który prowadzi blog.home.pl, przeglądaliśmy ostatnio statystyki tego bloga i zauważyliśmy, że 1% nowych użytkowników, którzy wchodzą na nasz blog, klika w link Polityka prywatności. Link, który jest w powiadomieniu, który trzeba zaakceptować, jeśli chce się dalej świadomie korzystać z bloga. Dla nas są to zaskakujące wyniki, ponieważ one wskazują, że aż 1% użytkowników chce się dowiedzieć, jaka jest tak naprawdę polityka prywatności na danej stronie. Powiedz, czy to jest zaskoczenie dla Ciebie? Jak byś odbierał ten wynik?

 

Rafał: Sam wynik nie jest dla mnie zaskakujący, bo w mojej ocenie – Ty mówisz „aż”, ja mówię „tylko” 1%. Natomiast są to bez wątpienia osoby, które są świadome pewnych rzeczy i szukają tam informacji. Bardzo podobnie – taka mała dygresja – jest z regulaminami. Też niewiele osób czyta te regulaminy na początku – czy to w sklepie internetowym, czy też w serwisie. Natomiast jak robiliśmy badania – ludzie zaczynają czytać, kiedy faktycznie robi się problem i oczekują, że znajdą tam jakieś rozwiązanie swojego problemu. I takowe oczywiście dobrze przygotowany dokument – czy to polityka prywatności, czy też regulamin – powinny dawać takie rozwiązania.

Jaka jest rola polityki prywatności?

Marcin: Do tego za chwilę dojdziemy, jak powinien wyglądać dobrze przygotowany taki dokument. Ja jeszcze wyjaśnię czemu to jest dla mnie aż 1%. Jeżeli w skali miesiąca mamy na naszej stronie internetowej – czy sklepu, czy bloga – stu odwiedzających, to powiedzmy, że ten jeden jest zainteresowany Polityką prywatności. Ale im większy traffic jest na naszej stronie, tym więcej osób automatycznie czyta tę Politykę prywatności czy też jest nią zainteresowanych. I też jeżeli takiej Polityki prywatności nie mamy, to rośnie ryzyko problemów formalno-prawnych.

 

Rafał: Tak, tak może być. Ale żeby była jasność – o ile na przykład ustawa o świadczeniu usług drogą elektroniczną wprost wskazuje na to, że musimy posiadać na swojej stronie internetowej regulamin, to żadne przepisy prawa nie regulują czegoś takiego jak Polityka prywatności, czyli nie jest to formalno-prawnie dokument, który jest wymagany przepisami. Natomiast oczywiście jest taka praktyka, że stosujemy Politykę prywatności i za jej pośrednictwem spełniamy szereg obowiązków informacyjnych, wynikających z wielu różnych ustaw i przepisów – to jest jeden aspekt. Drugi jest taki, że oczywiście jest to pewna norma, taki standard, gdzie na stronie internetowej, która przetwarza jakieś dane osobowe, powinna być Polityka prywatności i tutaj też firmy trzecie wymagają od nas, żeby taka Polityka prywatności była na naszej stronie – np. Google czy też Facebook, jeżeli jakieś konkursy organizujemy. Więc formalno-prawnie nie ma wymogów, żeby był dokument o nazwie Polityka prywatności, natomiast jest to pewien standard i też bardzo dobre miejsce i narzędzie do tego, aby spełnić wymogi formalno-prawne.

 

Marcin: Tak, możemy pokazać też w ten sposób, że szanujemy użytkownika, potencjalnego klienta. Jest to taka – jeżeli dobrze rozumiem – dobra praktyka, tak?

 

Rafał: Tak. Jest to kolejny aspekt – pokazanie użytkownikowi, że dba się o jego dane osobowe i udzielenie mu wszelkich podstawowych informacji na temat tego w jaki sposób te dane osobowe są przetwarzane, po co, w jakim celu itd.

 

Marcin: Faktycznie, tak jak wspomniałeś – jest wiele firm w branży marketingu internetowego, z którymi nie można wejść w jakąś współpracę czy też nie można korzystać z ich narzędzi, jeżeli nie mamy na naszej stronie faktycznie tego dokumentu jak strona Polityka prywatności. Dobrze, ale gdyby ktoś Ci zadał pytanie, jadąc windą przez kilkadziesiąt pięter – damy trochę więcej czasu – co powinna taka polityka prywatności zawierać? To jak byś najkrócej potrafił na to odpowiedzieć?

Co powinna zawierać polityka prywatności?

Rafał: Tutaj powinniśmy wyjść z punktu widzenia przepisów prawa, które nakładają na przedsiębiorcę obowiązki informacyjne. Patrząc przez ten pryzmat mamy po pierwsze RODO – rozporządzenie z zakresu ochrony danych osobowych i ustawę o ochronie danych osobowych. I tam jest cała masa obowiązków informacyjnych, jakie my musimy spełnić w stosunku do osoby, która odwiedza nasza stronę, gdzie już możemy pewne rzeczy profilować pod taką osobę czy też zostawania swoje dane osobowe w jakimś formularzu – czy to kontaktowym, czy to zapisuje się na newsletter, czy też składa zamówienie w naszym sklepie internetowym bądź rejestruje konto w serwisie.

 

W związku z tym, wychodząc jakby od podstawy, od samego RODO, powinniśmy po pierwsze podać informacje o tym kim jesteśmy, czyli pełne dane kto jest administratorem danych osobowych, że jest to nasza firma, podać pełne dane rejestrowe. Kolejny aspekt to jest wskazanie jakiego typu dane zbieramy w jakich celach, w jakim zakresie te dane będą zbierane. I tutaj, aby być zgodnym z RODO, należy też wskazać podstawę prawną takiego przetwarzania. Czy jest to zgoda, czy jest to niezbędność wykonania umowy o świadczenie na przykład usług, czy też umowy sprzedaży. Więc tego typu informacje z podstawami prawnymi z zakresem danych, powinny się w takim dokumencie znaleźć.

 

Kolejny aspekt to jest poinformowanie komu takie dane osobowe zamierzamy udostępniać bądź komu dane osobowe powierzamy. Tutaj w zakresie udostępnień możemy mieć bardzo wiele różnych sytuacji, gdzie udostępniamy dane osobowe – na przykład firmie, która obsługuje nam płatności. Nomen omen często też firmy, które integrują się z naszym sklepem internetowym właśnie w celu usługi płatności, też mogą wymagać od nas, abyśmy zamieścili w Polityce prywatności odpowiednie zapisy, regulujące kwestie przekazywania tych danych osobowych do operatora płatności, który staje się administratorem tych danych osobowych. Powinniśmy też wskazać informacje komu dane osobowe powierzamy – przykładowo firmie hostingowej, firmom kurierskim. Tutaj możemy też odwoływać się do konkretnych kategorii podmiotów, bądź wskazywać konkretne firmy z imienia i nazwiska, którym te dane osobowe będą powierzane. I też warto wskazać w jakim celu te dane osobowe są powierzane. Ma to przede wszystkim za zadanie zaprezentowanie użytkownikowi czy klientowi, co z jego danymi osobowymi się dzieje, jakie on ma prawa. I jednocześnie spełniamy też obowiązki informacyjne wynikające z RODO.

Polityka prywatności, a RODO

Jeżeli jesteśmy już przy tych prawach, to tutaj oczywiście samo też RODO nakłada na przedsiębiorcę obowiązek poinformowania o prawach osób fizycznych jakie one mają. Czyli tutaj musimy napisać wręcz o tym, że mamy prawo do cofnięcia zgody, jeżeli taką zgodę zbieramy, że mamy prawo do wyrażenia sprzeciwu wobec przetwarzania danych osobowych, prawo do usunięcia tych danych, ograniczenia przetwarzania danych, sprostowania. Tych praw jest cała masa, które RODO daje osobom fizycznym, a przedsiębiorca ma obowiązek poinformować tę osobę, że ona ma takie prawa i dodatkowo w jaki sposób z tych praw może ona skorzystać. Jeżeli na przykład mamy w firmie Inspektora danych osobowych, to również w Polityce prywatności powinno być wskazane w jaki sposób z takim Inspektorem można się skontaktować – na jakiego maila wysłać wiadomość czy też jaką inną drogą taki kontakt może nastąpić. I tutaj podstawą prawną tworzenia zapisów Polityki prywatności jest RODO.

 

Drugim elementem takiej podstawy prawnej jest Prawo telekomunikacyjne, które również nakłada na przedsiębiorców, stosujących te popularne ciasteczka, gdzie mamy belkę informacyjną z odwołaniem do Polityki prywatności, bądź też do Polityki cookies – tutaj jest pełna dowolność. Natomiast po wejściu RODO w życie, też warto te informacje o cookiesach zamieścić również w Polityce prywatności. Gdzie po pierwsze będziemy spełniali obowiązki Polityki prywatności, wynikające z RODO jak i również z Prawa telekomunikacyjnego, gdzie musimy wskazać, jakie cookiesy są stosowane na stronie internetowej, w jakim celu i w jaki sposób użytkownik może je zablokować czy też je wyłączyć. I też co się stanie, gdy na przykład z pewnych cookiesów zrezygnuje – bo może być tak, że część funkcjonalna naszej strony internetowej przestanie działać w przypadku całkowitego zablokowania takich ciasteczek. Więc ten dokument świetnie się nadaje właśnie na spełnienie wszelkich tych obowiązków informacyjnych.

 

Marcin: Jak tak słucham Ciebie, to wygląda na to, że powstaje taka spora – nazwijmy to – check lista do odhaczenia z poszczególnymi punktami. Jeżeli ktoś dobrze zna wszystkie procesy, które zachodzą w jego sklepie internetowym, wszystkie procesy, które dotykają danych osobowych, wszystkie procesy marketingowe, to mniej lub bardziej, łatwiej lub trudniej sobie poradzi ze stworzeniem takiej check listy. Ale podejrzewam, że jeżeli chcemy mieć spokojny sen – który występuje co noc, jeżeli chodzi o tę Politykę prywatności – to dobrze byłoby sięgnąć po rady ekspertów właśnie Rzetelnej Grupy. Rozumiem, że wy możecie wesprzeć właściciela takiego sklepu internetowego w stworzeniu od zera takiej Polityki prywatności, zgodnej faktycznie z tymi wszystkimi procesami, które zachodzą w sklepie. Ale też pytacie – właścicielu sklepu, czy masz newsletter? Czy prowadzisz działania internetowe? Czy masz metody płatności?

 

Rafał: To działa w ten sposób, że oczywiście, jeżeli mamy klienta, który zwraca się do nas z prośbą o przygotowanie takiego dokumentu, to z reguły taki dokument przygotowujemy dla konkretnej strony internetowej. Więc zapoznajemy się ze wszystkimi funkcjonalnościami, jakie on udostępnia za pośrednictwem tej strony internetowej i przez pryzmat tych przepisów, jakie stoją przed przedsiębiorcą, opisujemy wszystkie te elementy, zamieszczając je właśnie w Polityce prywatności. Analogicznie robimy też z cookiesami – korzystamy z popularnych wtyczek, narzędzi, które pozwalają nam zidentyfikować z jakich cookiesów korzysta dany przedsiębiorca. Mamy rozeznanie jakiego typu narzędzia funkcjonują na rynku i też na tej podstawie przygotowujemy odpowiednie zapisy, przedstawiając odpowiedni, dedykowany dokument, dla danej strony internetowej. Więc tu oczywiście, jeżeli klient ma dodatkowe rzeczy, których nam się nie uda wykryć, to jak najbardziej może wnieść takie uwagi do takiego dokumentu. Natomiast każdy dokument jest przygotowany przez nas i jest dedykowany.

Kary za brak polityki prywatności

Marcin: Dobrze, a jeżeli – nazwijmy to – popełnię błąd i nie mam Polityki prywatności, sprzedaję poprzez mój sklep internetowy towary albo usługi, to według Twojej wiedzy – z jakimi karami albo z jakimi konsekwencjami musiałbym się liczyć, jako właściciel sklepu internetowego?

 

Rafał: Tutaj – jak mówiłem parę chwil temu – nie jest to dokument wymagany formalnie, więc za sam brak polityki nic Ci nie grozi. Natomiast pojawia się kwestia gdzie i w jaki sposób spełniasz te obowiązki informacyjne, o których sobie mówiliśmy. Bo jeżeli ich nie spełniasz, to tutaj faktycznie poważnie naruszasz Prawo telekomunikacyjne, gdzie zdarzyły się już nałożone przez UKE grzywny na przedsiębiorców, którzy nie informowali odpowiednio, o tym jakie cookiesy stosują i w jakim celu.

 

Marcin: O jakich kwotach mówimy?

 

Rafał: Najwyższy pułap kary, to jest 3% przychodu. Wiadomo, że taka grzywna nie będzie aż tak duża, ale może się pojawić.

 

Marcin: Ale zaboli każdego.

 

Rafał: Oczywiście, każda tego typu rzecz boli, bo jest to po pierwsze niepotrzebny stres, a po drugie wydatek. Drugi aspekt to jest oczywiście RODO. Tutaj szybciej jesteśmy w stanie się narazić na jakieś konsekwencje, gdzie nie będziemy spełniali tych obowiązków informacyjnych w stosunku do osoby fizycznej czy klientów, których dane zbieramy przez stronę internetową. Tutaj wachlarz tych kar jest dosyć szeroki i też jednym z elementów wprost wskazanych w rozporządzeniu jest – jeżeli mówimy o karach – niespełnianie tych obowiązków informacyjnych. Więc jest to wprost wskazany element, bardzo ważny i istotny z punktu widzenia przepisów, który przedsiębiorca powinien spełniać, a za niespełnienie tego odpowiednio wpada w próg kar – albo do 2%, albo do 4% przychodu za rok poprzedni. Wiec kary są dość konkretne.

Błędy w tworzeniu dokumentu polityki prywatności

Marcin: Podejrzewam, że świadomość potrzeby posiadania Polityki prywatności stopniowo rośnie w narodzie – oby, mam nadzieję. Podejrzewam też, że jest wiele prób – wśród właścicieli stron internetowych czy też sklepów internetowych – na samodzielne tworzenie Polityki prywatności. Na pewno przeglądacie wiele stron i z racji specjalizacji, pewnie też przeglądacie Polityki prywatności. Powiedz, jakie widziałeś, jakie spotykasz najczęściej błędy – takie podstawowe – przy tworzeniu Polityki prywatności?

 

Rafał: Pierwsza sprawa to jest brak takiego kompleksowego spojrzenia na stronę internetową, które wynika też trochę z braku świadomości.

 

Marcin: Na przykład właściciel skupia się tylko na procesie zakupowym?

 

Rafał: Na przykład na procesie zakupowym, a zapomina o wielu innych elementach, jak newsletter czy na przykład jakiś formularz opinii, gdzie ktoś podaje swojego maila. Albo chociażby bardzo często spotykana funkcja jak „poleć znajomemu”, gdzie też udostępniamy maila jakiegoś naszego znajomego poprzez stronę internetową. Więc tego typu elementów jest bardzo wiele, plus jeszcze odpowiednie opisanie tych praw, które wynikają z RODO. Nie da się przekleić konkretnych zapisów z rozporządzenia na stronę internetową, trzeba to odpowiednio zredagować i też czasami niezbyt precyzyjnie takie zapisy umieszczają osoby, próbujące samodzielnie pisać dokument.

 

Kolejnym błędem – bardzo często spotykanym – jest nieprawidłowe poinformowanie kto jest administratorem danych osobowych, wiec tutaj powinna być pełna informacja jaka to jest firma, gdzie się mieści. Często spotykaną praktyką jest po prostu zamieszczenie, że administratorem danych osobowych jest właściciel strony internetowej – to nie jest konkretna informacja. Często też brakuje informacji w jaki sposób mogę się skontaktować w aspektach związanych z ochroną danych osobowych. Często też zapominana jest ta sekcja, o której mówiliśmy sobie wcześniej, czyli komu i w jakim celu dane powierzamy, komu i w jakim celu dane udostępniamy. Więc to są takie najbardziej poważne błędy.

 

Marcin: No dobrze Rafale, to są błędy, których możemy i powinniśmy unikać, jeżeli jesteśmy właścicielem strony internetowej albo sklepu internetowego. Bo też właściciel na przykład bloga powinien mieć Politykę prywatności, jeżeli oczywiście realizuje te działania, o których wspominałeś. Miejmy nadzieję, że ta świadomość odnośnie potrzeby posiadania Polityki prywatności będzie większa wśród naszych słuchaczy po tym odcinku podcastu.

 

Rafał: Jeszcze uzupełnię Twoją wypowiedź, bo tak naprawdę każdy właściciel strony internetowej powinien mieć jakiś dokument, który reguluje tę kwestię, ponieważ chociażby mamy Prawo telekomunikacyjne. Dzisiaj nie mamy strony internetowej, która nie korzystałaby z cookiesów, więc takie informacje powinny tam się znaleźć. I na bardzo wielu stronach internetowych – takich „czystych wizytówkach firmowych”, gdzie nie ma koszyka, nie ma zakładania konta, nie ma newslettera – bardzo często pojawia się formularz kontaktowy, gdzie ktoś może składa zapytania czy prosi o kontakt z danej firmy i tu już wchodzimy w ten rygor rozporządzenia danych osobowych i też pod rygor Prawa telekomunikacyjnego. Także nie tylko sklepy internetowe czy też blogi – tak jak wspomniałeś – ale bardzo szeroko należy na to spojrzeć i można powiedzieć, że każda strona internetowa powinna taki dokument posiadać.

 

Marcin: No właśnie, drogi słuchaczu, pomyśl sobie o tym w taki sposób – jeden na stu odwiedzających Twoją stronę jest zainteresowany tym, co zamieściłeś w Polityce prywatności. I ja i Rafał życzymy Ci, żeby to był prawdziwy odwiedzający, a nie jakiś audytor. A jeżeli drogi słuchaczu stwierdzisz, że chcesz pomocy profesjonalistów, ekspertów i praktyków w tworzeniu takich dokumentów w tym dokumentów Polityki prywatności, to takie wsparcie od Rzetelnej Grupy jak najbardziej możesz otrzymać. Wystarczy, że wejdziesz na home.pl/sklepy i tam już dalej pomożemy Ci i pokierujemy Cię za rękę jak to dalej wszystko przeprowadzić. Moim i waszym gościem był dzisiaj Rafał Stępniewski – prezes zarządu Rzetelnej Grupy. Dziękuję Ci bardzo Rafale za czas.

 

Rafał: Dziękuję, do usłyszenia.