Nowe przepisy dotyczące sposobu gromadzenia, przetwarzania i przechowywania danych osobowych nastręczają przedsiębiorcom wielu problemów. Na baczności szczególnie muszą się mieć właściciele sklepów internetowych. Jak stworzyć regulamin, politykę prywatności, by była ona zgodna z obowiązującymi przepisami? Sprawdzamy.
RODO to Rozporządzenie o Ochronie Danych Osobowych, czyli unijny akt prawny, który dotyczy zasad gromadzenia, przetwarzania i przechowywania danych osobowych. Od maja 2018 roku przepisy zawarte w tym dokumencie są obowiązkowe dla wszystkich przedsiębiorców, którzy wykorzystują dane osób fizycznych.
Do nich należą m.in. właściciele sklepów internetowych, którzy, aby móc zrealizować zamówienie, zbierają wrażliwe dane, takie jak imię i nazwisko klienta powiązane z jego adresem zamieszkania, numerem telefonu. Dlatego tak ważne jest dostosowanie się do nowych wymagań stawianych przez prawo oraz stworzenie regulaminu, polityki prywatności, które nie będą naruszać tych zasad.
Właściciel sklepu internetowego powinien zbierać tylko takie informacje o swoich klientach, które są niezbędne do realizacji zamówienia. Ponadto mogą być one udostępniane tylko ściśle określonej grupie osób, które zajmują się wykonaniem zlecenia (np. pakują i wysyłają towar).
Dane osobowe muszą być zabezpieczone przed wyciekiem, nieuprawnionym dostępem. Kupujący powinien zostać poinformowany, w jaki sposób są one przetwarzane i przechowywane. Nie można wykorzystywać tych informacji w inny sposób, niż do realizacji zamówienia, o ile klient nie wyraził na to zgody.
Ponadto każda osoba, której dotyczą przetwarzane dane, ma prawo dostępu do nich, a także, w niektórych sytuacjach, może żądać ich usunięcia (mówi o tym „prawo do bycia zapomnianym”).
Sklepy internetowe mają obowiązek precyzyjnego określenia, jaki jest maksymalny czas przechowywania danych osobowych, kto ma do nich dostęp oraz jaka jest polityka bezpieczeństwa.
Jak wdrożyć wszystkie te postanowienia? Przyznajemy, nie jest to proste i nierzadko nawet doświadczeni prawnicy mają problem z interpretacją poszczególnych zapisów RODO. W skrócie jednak opiszemy, jak to powinno przebiegać.
W pierwszej kolejności należy ustalić, jakie dane są pozyskiwane oraz jak są przechowywane i przetwarzane – czyli w praktyce, co się z nimi dzieje. Następnie wszystkie te informacje należy zabezpieczyć (np. kilkuetapowa weryfikacja dostępów, zaawansowane rozwiązania technologiczne chroniące przed kradzieżą, wyciekiem danych). W czasie, gdy zmieniało się prawo, konieczne było także uzyskanie zgody od klientów na przetwarzanie danych osobowych (teraz powinno to już być standardową procedurą, podczas pozyskiwania danych od nowych klientów). Natomiast jeśli klient nie wyraził na to zgody, koniecznością jest niezwłoczne usunięcie jego danych.
Sporządzona musi zostać polityka przetwarzania danych, a także regulamin, w którym zawarte zostaną wszystkie informacje przedstawione powyżej. Ponadto, jeśli sklep internetowy w ramach realizacji zamówień współpracuje z innymi partnerami (dostawcą platformy internetowej, firmą kurierską) i przekazuje im część danych, konieczne jest stworzenie odpowiednich umów pomiędzy nimi oraz poinformowanie o tym fakcie klientów w regulaminie sklepu. Jeśli nie zostanie to dopełnione, to nawet jeśli wyciek danych nastąpi np. z winy kuriera, odpowiedzialność za to poniesie sklep internetowy.
Oprócz tego należy stworzyć także politykę wykorzystania plików cookies, służących do profilowania klientów, umożliwiających wyświetlanie im pasujących reklam, remarketing.
Jak stworzyć taki regulamin? Samodzielnie? A może skorzystać z gotowego wzoru? My mamy trzecie rozwiązanie, ale o nim za chwilę.
Nie polecamy konstruowania regulaminu sklepu internetowego przez pracowników spoza działu prawnego, ponieważ jest więcej niż prawdopodobne, że nie będzie on uwzględniać wszystkich najważniejszych kwestii. Można w nim też nieświadomie zawrzeć klauzule niedozwolone, będące potem podstawą do roszczeń ze strony klientów.
Gotowe wzory regulaminów sklepów w internecie mogą być poprawne, pod względem prawnym, a także uwzględniać aktualne przepisy RODO, aczkolwiek są to dokumenty uniwersalne, niedostosowane do twojej konkretnej sytuacji. Będą więc niewystarczające, a wszelkie ingerencje w nie mogą skutkować niepoprawnymi zapisami.
Trzecim, rekomendowanym przez nas rozwiązaniem, jest zlecenie stworzenia regulaminu sklepu internetowego, polityki prywatności i polityki cookies prawnikom mającym doświadczenie w sprawach przedsiębiorców w internecie. Mogą to być adwokaci pracujący w twoim dziale prawnym bądź też prawnicy z zewnętrznej kancelarii.
Zacznijmy od kar – co grozi za naruszenie przepisów RODO? Na przedsiębiorców nakładane są wysokie grzywny finansowe, ich wymiar określany jest indywidualnie. Najwyższa, przewidziana przez RODO kara wynosi 20 mln euro lub 4% obrotu światowego.
A czy zgodność z przepisami RODO jest sprawdzana i w razie konieczności – nakładane są grzywny? Tak, mimo iż jest to stosunkowo nowy akt prawny, jego zapisy są już egzekwowane.
Przykładowo, na sklep internetowy w Łotwie została nałożona kara w wysokości 7 tys. euro za naruszenie „prawa do bycia zapomnianym” (mimo żądania o usunięcie danych osobowych, sklep dalej wysyłał SMS-y reklamowe na numer telefonu poszkodowanego).
Problemem, który często można zauważyć, jest także niepozyskiwanie zgody klienta na profilowanie oraz brak aktualizacji regulaminów i polityki bezpieczeństwa – należy to robić za każdym razem m.in. wtedy, gdy zmieni się administrator danych czy sposób ich przetwarzania.
jedna odpowiedź do “Regulamin sklepu internetowego a RODO – kary i przykłady naruszeń RODO przez sklepy internetowe”
Z drugiej strony ludzie nie za bardzo mają pojęcie o co chodzi z tym całym RODO, co otwiera sklepom wiele ścieżek do różnego rodzaju naruszeń.