Każdy przedsiębiorca prowadzący działalność e-commerce musi zadbać o wdrożenie przepisów wynikających z RODO. To nie jest jedynie obowiązek prawny, gdyż coraz bardziej rośnie świadomość użytkowników internetu i oczekują oni, że sklepy, w jakich robią oni zakupy już nie tylko zaoferują im atrakcyjne ceny i szeroki wybór przedmiotów lub usług, ale również liczą na to, że ich prywatność w sieci będzie szanowana. W skrócie – po sieci poruszamy się chcąc bezpieczeństwa także dla swoich danych osobowych. Firmy sprzedające w internecie, które zgodnie z przepisami wdrożą RODO, budują w ten sposób swoją markę godną zaufania. Nie chodzi tu już jedynie o uniknięcie niepotrzebnych kar, ale o zbudowanie więzi z klientami opartej na zaufaniu.
Każda firma, która sprzedaje cokolwiek przez internet, w jakiś sposób dokonuje operacji przetwarzania danych, co chcąc nie chcąc jest terenem, na jakim rządzi RODO.
Zgodnie z art. 4 RODO pojęcie przetwarzania danych jest bardzo szerokie. Oznacza ono operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Jak widać od razu w działalności e-commerce wykonujemy przynajmniej część z nich, licząc choćby podstawowe działania, jak np. przechowywanie danych klientów, czy pobieranie danych dotyczących płatności itd.
Danych, jakie są zbierane w sklepie internetowym, nie da jednoznacznie sklasyfikować, ponieważ wszystko zależy tu od działalności, jaka jest prowadzona oraz od samego przedsiębiorcy. Dane osobowe przetwarzane są przede wszystkim podczas procesów, które wiążą się z sama sprzedażą (rachunkowością, księgowością, wysyłką) oraz marketingiem, czyli ofertami, jakie przesyłane są do klientów. Działalność e-commerce opiera operacje przetwarzania głównie na podstawach prawnych wskazanych art. 6 ust. 1 lit. a) oraz lit. b) RODO.
Przetwarzanie danych, gdzie podstawą jest umowa między sprzedawcą a klientem (lit. b), wiążę się umożliwieniem wysyłki i płatności za towar lub usługę. Dane takie jak: imię, nazwisko, adres, numer telefonu są konieczne do wykonania zawartej pomiędzy stronami umowy. Musimy jednak uważać, aby nie zbierać danych nadmiarowych – tj. takich, które nie są niezbędne z punktu widzenia danego procesu. Żadna księgarnia internetowa nie powinna zbierać od konsumenta np. numeru PESEL wysłania do niego towaru. Nie ma żadnego wzorca, a każdy przedsiębiorca kieruje się swoją działalnością i musi do niej dostosować zakres zbieranych danych. Należy przy tym pamiętać o dwóch rzeczach. Po pierwsze zawsze kierować się zasada minimalizacji danych, czyli zbierać tyle danych, ile jest niezbędnych do osiągnięcia celu – im mniej danych zbierzemy, tym mniejsze wiąże się z tym ryzyko. Oraz po drugie – zbieranie od klientów nawet samego adresu e-mail będzie już uznawane za przetwarzanie danych osobowych.
Drugą podstawą przetwarzania danych osobowych przez sklepy internetowe jest zgoda klienta (lit. a). Administrator danych musi tu pamiętać, że zgoda musi być dobrowolna, jednoznaczna, świadoma i nie może zależeć od niej zawarcie umowy. Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (art. 7 ust. 2 RODO). Zgoda wykorzystywana jest tu przede wszystkim do działalności marketingowej.
Administrator sklepu internetowego spełnia obowiązek informacyjny poprzez wprowadzenie na stronę internetowa polityki prywatności. Informacje, jakie powinien on tam zawrzeć, znajdują się w art. 13 RODO, lecz dobra polityka prywatności nie jest jedynie spełnieniem tych wytycznych. Musi być przejrzysta, napisana w prosty sposób, aby osoba, której dane dotyczą, nie może mieć problemów ze znalezieniem najpotrzebniejszych wiadomości. Prostota również tutaj będzie najlepszym drogowskazem.
Co zatem powinno znaleźć się w dokumencie polityki prywatności?
Zgoda jest jedną z głównych podstaw przetwarzania danych osobowych wykorzystywanych w internecie przez przedsiębiorców. W branży e-commerce bywa ona najczęściej wykorzystywana do działań marketingowych. Opisane przez mnie powyżej warunki prawidłowo przeprowadzonej zgody – dobrowolność, jednoznaczność, wyrażenie jej w pełni świadomie – mimo że klarownie zawarte w art. 7 RODO, często nie są przestrzegane przez administratorów. W szczególności w przypadku plików cookies, czyli popularnych ciasteczek, stosowane są nielegalne praktyki w postaci utrudniania użytkownikom cofnięcia zgody na śledzenie ich ruchu w internecie. Domyślne zaznaczanie zgody na wszystkie warunki czy ukrywanie co ważniejszych opcji to tylko jedne ze stosowanych praktyk. Wiele w tej sprawie zmieniły jednak rozporządzenia DSA (Digital Services Act) oraz DMA (Digital Market Act).
Pliki cookies są niewielkimi plikami tekstowymi, które stanowią swoisty ślad obecności na stronie internetowej konkretnej osoby. Innymi słowy są to pliki wysyłane do przeglądarki przez witrynę, w chwili naszych odwiedzin na niej. Służą do zapamiętaniu danych z odwiedzenia tej strony, dzięki czemu kiedy odwiedzimy ją ponownie będzie działać sprawniej „pod nas”, dostosowując się pod nasze preferencje. Dosyć wygodne, a jednocześnie jest to element profilowania osób, których dane dotyczą. Wyrażając zgodę na to otrzymujemy np. reklamy rzeczy, które faktycznie nas interesują, gdyż po prostu chwilę wcześniej szukaliśmy ich w sieci. Nic dziwnego, że tak chętnie korzystają z tego sklepy internetowe.
Od dnia 17 lutego 2024 r. w całej UE zaczął obowiązywać akt o usługach cyfrowych (wspominany DSA), natomiast chwilę wcześniej, bo w maju 2023 r., wszedł w życie akt o rynkach cyfrowych (DMA). Obydwa rozporządzenia nieco unormowały wykorzystywanie plików cookies.. Wprowadzane zasady nie dotyczą jedynie technologicznych gigantów, choć o nich jest najgłośniej. Właściwie każdy przedsiębiorca z branży e-commerce musi dostosować sposób uzyskiwania zgody na wykorzystywanie „ciasteczek”. Wymagania sprowadzają w sumie do jednego – uproszczenia i większej przejrzystości podanych informacji, tak aby osoba, której dane dotyczą, mogła wyrazić świadomą i dobrowolną zgodę. Belka z informacjami na temat wykorzystania plików cookie, która wyświetla się w momencie odwiedzenia witryny internetowej musi zawierać na jednym banerze możliwość jasnej zgody lub odmowy, informacje jak wykorzystywane są pliki cookies i dokładne opisanie ich oraz zgód. Ponadto domyślnie te zgody powinny być wyłączone, tak aby nie wpływać na wydaną zgodę. Należy także pamiętać, że na stronie sklepu internetowego powinna być także aktualna polityka plików cookies, w której użytkownik będzie w stanie znaleźć wszystkie niezbędne informacje.
Profilowanie ma na celu jak najlepsze poznanie klienta, aby być w stanie przewidywać jego potrzeby. Cechą immanentną profilowania jest to, że polega ono na dowolnym zautomatyzowanym przetwarzaniu danych osobowych, które pozwala ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą. Często jest ono wykorzystywane właśnie do działań marketingowych.
Podstawą takich działań wykorzystywanych w programach lojalnościowych, z których osoby, których dane dotyczą, czerpią korzyści (w zasadzie taka jest ich idea) jest najczęściej uzasadniony interes administratora lub umowa. Na potrzeby marketingowych kontaktów mailowych czy smsowych potrzebna będzie natomiast zgoda klienta, co wynika z ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego.
Bardzo ważne jest w wypadku profilowania, aby uczestnicy programów lojalnościowych mieli klarownie przedstawione zasady – za co otrzymują specjalne, indywidualne oferty. Przypomnijmy, że osoba, której dane dotyczą, ma prawo do sprzeciwu, czyli do tego, żeby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych (art. 22). Poza tym przedsiębiorcy wykorzystujący profilowanie w działaniach marketingowych muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapobiec ewentualnej dyskryminacji osób fizycznych. Ryzyko opiera się na wyciąganiu nieprawdziwych wniosków z uzyskanych wyników opartych wyłącznie na zautomatyzowanym przetwarzaniu danych.
Poza zewnętrzną dokumentacją, czyli tą udostępnianą klientowi, sklep internetowy musi również posiadać dokumentację wewnętrzną. Tworzy się ją z myślą o współpracujących z przedsiębiorstwem firmach czy pracownikach, w celu zapewnienia zgodnej z RODO działalności firmy. Do takiej dokumentacji należą m.in.:
Powyższy katalog ma częściowo charakter przykładowy. Dokumentacja wewnętrzna powinna być dostosowana do konkretnego przedsiębiorstwa i jego specyfiki. Zakres dokumentacji może być nieco inny w zależności od branży, w jakiej działa firma, a także skali tej działalności. Z tego względu warto jest przeprowadzić tzw. audyt ochrony danych osobowych w firmie.
Audyt RODO
Audyt RODO w firmie, czyli audyt ochrony danych osobowych, polega na kompleksowym zbadaniu całości działania firmy pod kątem bezpieczeństwa przetwarzania danych osobowych. W trakcie audytu należy przeanalizować poszczególne elementy działalności i zbadać, w jaki sposób zbierane są dane osobowe i w jaki sposób następnie są one przetwarzane czy wprowadzone są odpowiednie okresy retencji danych i czy dane osobowe są po tych okresach usuwane. W ramach audytu konieczne jest przeanalizowanie dokumentów stosowanych w firmie – zarówno dokumentów z zakresu ochrony danych osobowych, ale także innych, dotyczących ogólnych kwestii, a także sprawdzenie strony internetowej firmy oraz weryfikacja stosowanych w firmie narzędzi i praktyk. Celem audytu jest ocena całości działalności firmy pod kątem zapewnienia należytej ochrony danych osobowych. Dopiero po przeprowadzeniu audytu można stwierdzić, jaką dokumentację RODO (zarówno wewnętrzną, jak i skierowaną do klientów i kontrahentów) dana firma powinna wdrożyć.
Zapewnić klientowi komfort
W całej operacji wdrażania RODO w witrynie internetowej, jaką jest sklep internetowy, chodzi nie tylko o samo przestrzeganie przepisów, ale przede wszystkim o to, do czego to ono prowadzi, a mianowicie do poczucia bezpieczeństwa klienta, który odwiedza naszą stronę. Dlatego tak istotna jest jasność komunikatu, unikanie zgubienia się w bełkotliwej treści przepisu, a w jej miejsce oferowanie klarownych i zrozumiałych informacji. Klient musi z łatwością móc odnaleźć się na stronie – nie tylko w celu znajdowania interesujących go towarów, ale także w wypadku, jeśli szuka informacji o administratorze, wzoru reklamacji czy odstąpienia od umowy. Musi mieć jasny przekaz na co się zgadza oraz wprost podaną możliwość braku wyrażenia zgody. Administrator sklepu internetowego musi nie tylko zadbać o obecność na stronie wszystkich wymaganych przepisów, lecz przede wszystkim zapewnić, formą przekazania, ich użyteczność i dostępność.