Okres przedświąteczny wiąże się ze zwiększoną intensywnością zakupów w sklepach internetowych. Specyfika takich sklepów wiąże się z dużą liczbą przetwarzanych danych osobowych przez podmioty je prowadzące. W związku z tym dla administratora danych osobowych prowadzącego sklep internetowych bardzo istotne jest prawidłowe ustalenie podstawy przetwarzania danych, a jeśli tą podstawą stanie się zgoda klienta – umożliwienie mu wyrażenia tej zgody zgodnie z przepisami RODO. Sprawdź, z jakich podstaw przetwarzania danych możesz skorzystać, przetwarzając je w związku z obsługą sklepu internetowego. Dowiedz się też, jak wystąpić z zapytaniem o zgodę na przetwarzanie tych danych do klienta sklepu. Szczegóły poniżej.
W temacie tygodnia znajdziesz odpowiedzi m.in. na następujące pytania:
Administrator danych osobowych prowadzący sklep internetowy powinien zwrócić szczególną uwagę na konieczność przetwarzania tych danych zgodnie z prawem, a więc w oparciu o konkretną podstawę prawną. Zgodnie bowiem z zasadą rozliczalności wyartykułowaną w art. 5 RODO administrator powinien być gotowy do wykazania legalności procesów przetwarzania danych osobowych. wykazać działanie zgodnie z ich treścią.
Administrator danych powinien ustalić podstawy prawne, w oparciu o które przetwarza dane osobowe użytkowników swojego sklepu internetowego oraz w sposób zrozumiały przekazać o tym informację osobom, których dane dotyczą.
W przepisach art. 6 ust. 1 RODO wymienione zostały przesłanki legalizujące przetwarzanie danych osobowych „zwykłych”. Oprócz tego RODO w art. 9 wskazuje odrębne przesłanki przetwarzania danych wrażliwych. Są to dane inne niż należące do jednej ze szczególnych kategorii, którymi są:
Jako że szczególne kategorie danych osobowych przetwarzane są przez sklepy internetowe stosunkowo rzadko, należy skoncentrować się na przesłankach przetwarzania danych osobowych „zwykłych”.
Najczęściej stosowaną podstawą przetwarzania danych w związku z obsługą sklepu internetowego jest zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO). Zgoda podmiotu danych na ich przetwarzanie stanowi podstawę takiego przetwarzania jeśli przyjęła kształt dobrowolnego, konkretnego, świadomego i jednoznacznego okazania woli, którym podmiot danych przyzwala na przetwarzanie tych danych (art. 7 ust. 1-2 RODO). Co istotne zgoda, powinna przybrać formę oświadczenia lub wyraźnego działania potwierdzającego.
Jakie ma to znaczenie dla administratora danych osobowych, który prowadzi sklep internetowy? Otóż w praktyce administrator nie powinien odbierać zgody w sposób dorozumiany.
Spółka prowadząca sklep internetowy ze sprzętem fotograficznym opublikowała na stronie internetowej w widocznym miejscu nowy regulamin sklepu internetowego. Oprócz tego regulamin ten udostępniany jest podczas procesu zamówienia – w związku z czym klient może pobrać regulamin na swój dysk twardy, a żeby sfinalizować zamówienie, musi zaznaczyć okienko dialogowe celem potwierdzenia, że zapoznał się z regulaminem. W regulaminie widnieje zapis, że akceptacja regulaminu jest równoznaczna z wyrażeniem zgody na przetwarzanie danych osobowych w celu zawarcia umowy sprzedaży.
Takie rozwiązanie jest nieprawidłowe, ponieważ akceptacji regulaminu nie można utożsamiać z jednoznaczną i świadomą zgodą na przetwarzanie danych osobowych.
Powyższe oznacza, że wyrażenie zgody na przetwarzanie danych powinno być świadome i jednoznaczne, ale także konkretne – co w przypadku pozyskiwania zgody na etapie składania zamówienia w trybie elektronicznym wiąże się z koniecznością stosowania odrębnych okien dialogowych, bądź checkbox’ów. Nie można łączyć zgody na przetwarzanie danych osobowych z treścią innych zgód np. z akceptacją regulaminu sklepu internetowego (jak w przedstawionym przykładzie), czy też ze zgodą na dostarczenie informacji handlowej lub na kontakt telefoniczny lub mailowy. Oczywiście takie zgody podmiot prowadzący sklep internetowy może pozyskiwać od klientów, ale co istotne zgoda na przetwarzanie jego danych powinna być wyartykułowana odrębnie.
To jednak nie wszystko. Wymóg konkretności zgody na przetwarzanie danych osobowych wiąże się z tym, że w formularzu takiej zgody należy z największą możliwą precyzją, ale jednocześnie transparentnością określić cel przetwarzania danych. Jeśli więc administrator stosuje wskazane wyżej checkbox’y lub okienka dialogowe, to przy każdym z nich winien widnieć cel przetwarzania danych, na które ma być udzielona zgoda.
Jeżeli dane osobowe klienta będą przetwarzane w kilku celach, to należy zapewnić mu możliwość udzielenia odrębnej zgody na każdy z nich. Oznacza to, że dla każdego celu przetwarzania danych powinno się stosować odrębny checkbox (okienko dialogowe). Nie jest prawidłowym rozwiązaniem stosowanie jednej uniwersalnej zgody.
Nie możemy także zapominać o tym, że zgoda podmiotu danych na ich przetwarzanie powinna mieć charakter dobrowolny. Jak zapewnić taką dobrowolność w związku z przetwarzaniem danych w sklepie internetowym? Otóż przede wszystkim wszelkie checkbox’y lub okna dialogowe, które mają służyć do wyrażenia zgody, nie powinny być zaznaczone domyślnie. Ponadto nie wolno uzależniać wykonania usługi od zgody na przetwarzanie danych, chyba że przetwarzanie to jest niezbędne do jej wykonania (art. 7 ust. 4 RODO).
Podmiot prowadzący sklep internetowy stosuje rozwiązanie, zgodnie z którym, jeśli klient nie zaznaczy okienek dialogowych dotyczących zgody na przetwarzanie danych w celu dokonania transakcji a także w celach marketingowych, wówczas nie może dokonać zakupu. Rozwiązanie to jest częściowo nieprawidłowe. O ile bowiem jest oczywiste, że administrator potrzebuje danych osobowych klienta takich jak imię i nazwisko, nr PESEL czy jego adres do dokonania transakcji (bez tych danych jej dokonanie byłoby niemożliwe) o tyle dokonanie transakcji byłoby możliwe nawet bez przetwarzania danych klienta w celach marketingowych. Administrator danych osobowych powinien więc uniezależnić dokonanie transakcji od zgody na przetwarzanie danych osobowych klienta w celach marketingowych.
Należy mieć na względzie, że podmiot danych może cofnąć zgodę na przetwarzanie danych osobowych (art. 7 ust. 3 RODO). W takim przypadku należy niezwłocznie zaprzestać ich przetwarzania podobnie zresztą jak w momencie zrealizowania celu przetwarzania, na które została udzielona zgoda.
Jak już wskazano, zgoda podmiotu danych na ich przetwarzanie jest dość często stosowaną podstawą przetwarzania danych osobowych w związku z prowadzeniem sklepu internetowego – co nie znaczy, że jedyną dopuszczalną. Otóż jeśli stroną umów zawieranych w sklepie internetowym jest administrator danych, wówczas może on przetwarzać dane osobowe klientów, opierając się o przesłankę konieczności ich przetwarzania w celu wykonania takich umów (art. 6 ust. 1 lit. b RODO). W takiej sytuacji nie jest potrzebna zgoda podmiotu danych na ich przetwarzanie. Dane można wówczas przetwarzać aż do zakończenia transakcji.
Należy jednak mieć na względzie, że rozwiązanie to nie może być zastosowane do przetwarzania danych w celach marketingowych. Nie można bowiem uznać, że realizacja tych celów stanowi wykonanie łączącej administratora z klientem umowy.
Na podstawie wskazanej w art. 6 ust. 1 lit. b RODO można przetwarzać dane osobowe klienta także przed zawarciem z nim umowy. Dotyczy to przypadków, gdy potencjalny klient zwraca się z pytaniem odnośnie przedmiotu sprzedaży, bądź jej warunków. Należy przy tym mieć na względzie, że dane osobowe na tej podstawie można przetwarzać nie dłużej niż przez okres niezbędny do udzielenia odpowiedzi albo negocjacji przed sprzedażą.
Czy istnieją inne przesłanki pozwalające na przetwarzanie danych w sklepie internetowym? Na tak postawione pytanie należy odpowiedzieć twierdząco. Administrator może bowiem powołać się na przesłankę realizacji celu wynikającego z prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO. Opierając się o preambułę RODO, należy wskazać, że taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należy jednak w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (motyw 47 preambuły RODO). W preambule wskazano jednocześnie, że przetwarzanie danych w celu realizacji prawnie uzasadnionego interesu administratora jest dopuszczalne w przypadku:
Co istotne, prawnie uzasadniony interes administratora musi być nadrzędny względem interesów oraz podstawowych praw i wolności podmiotu danych. W przeciwnym razie przetwarzanie danych osobowych w oparciu o tę podstawę będzie niedopuszczalne.
W przypadku przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO podmiot danych może skorzystać z prawa sprzeciwu względem przetwarzania danych na te cele. Sprzeciw ten jest dla administratora danych wiążący, w związku z czym należy natychmiast zaprzestać przetwarzania danych osobowych zgłaszającego.
Niekiedy administrator może opierać przetwarzanie danych osobowych w związku z prowadzeniem sklepu internetowego na przesłance konieczności realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO). Należy bowiem mieć na względzie, że sprzedaż towaru może wiązać się z obowiązkiem wystawienia faktury VAT albo rachunku. Przepisy obligują zaś do przechowywania dokumentacji księgowej przez 5 lat od końca roku, w którym doszło do transakcji. W związku z tym administrator, przechowując te dokumenty, przetwarza dane osobowe klientów w nich zawarte. W takiej sytuacji do przetwarzania tych danych nie jest wymagana zgoda klienta. Jednakże po upływie ww. okresów, dokumentacja ta powinna być usunięta.
Skorzystaj z listy kontrolnej, dzięki której sprawdzisz, czy prawidłowo pozyskujesz zgody na przetwarzanie danych osobowych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
