Podsumowanie
- Sformułowanie tzw. polityki prywatności jest realizacją obowiązku informacyjnego, o którym mowa w art. 13 RODO.
- Istotnym elementem klauzuli informacyjnej jest przekazanie klientowi informacji o wszystkich celach przetwarzania jego danych osobowych, jak i podstawach, które nas do tego upoważniają.
- Określenie czasu przetwarzania danych osobowych jest procesem złożonym, który może wynikać z przepisów prawa, okresu przedawnienia roszczeń, czy też z faktu wycofania zgody.
- Korzystanie z globalnych dostawców IT, a przede wszystkim z usług chmurowych, często wiąże się z transferem danych do krajów trzecich.
Przetwarzanie danych osobowych jest nieodłącznym elementem handlu elektronicznego. Właściciele platform, jak wszyscy administratorzy danych osobowych, mają przypisane ustawowe obowiązki z zakresu ochrony danych osobowych. W przypadku e-commerce jest to o tyle istotne, że ten obszar działalności skupia się przede wszystkim na klientach końcowych, będących osobami fizycznymi. Odpowiednie zabezpieczenie danych osobowych, poprawne zbieranie zgód na wysyłkę informacji handlowych, czy też poprawne użycie plików cookie, to tylko niektóre z obowiązków przypisanych administratorom. W niniejszym artykule przyjrzymy się jednak kwestii tzw. obowiązku informacyjnego.
Polityka prywatności w e-commerce
Stałym elementem sklepów internetowych, czy też różnego rodzaju platform internetowych, są tzw. polityki prywatności. Polityka prywatności, to nic innego, jak realizacja obowiązku informacyjnego, o którym mowa w art. 13 RODO. Praktyka umieszczania informacji o przetwarzaniu danych osobowych w ramach strony internetowej jest także potwierdzona brzmieniem art. 4a ustawy o prawach konsumenta z 30 maja 2014 roku. Ustawodawca precyzyjnie określił zakres informacji, które mają znaleźć się w ramach klauzuli informacyjnej. Elementy takie, jak wskazanie tożsamości administratora, danych kontaktowych inspektora ochrony danych, określenie celu przetwarzania danych osobowych, czy też pouczenie o przysługujących klientom prawach, nie powinno sprawiać większych problemów. Na tym niestety obowiązki informacyjne w e-commerce się nie kończą. Kilka z nich może stanowić wyzwanie.
Podstawa prawna przetwarzania danych w e-commerce
Określenie poprawnych podstaw prawnych przetwarzania danych w działalności e-commerce (tj. wymóg z art. 13 ust. 1 lit. c RODO), może nastręczać przedsiębiorcom pewnych trudności. Warto pamiętać, że tego typu działalność, to proces złożony, a zatem podstawy upoważniające do przetwarzania danych są wielorakie:
- realizacja umowy,
- realizacja obowiązków prawnych (np. rachunkowo-księgowych czy też wynikających z rękojmi),
- realizacja tzw. prawnie uzasadnionego interesu administratora (np. realizowanie działań niezbędnych dla utrzymania i rozwoju platformy sprzedażowej),
- zgoda podmiotu danych (np. w sytuacji, gdy zdecydujemy się wysyłać newsletter).
Odbiorca danych osobowych w polityce prywatności dla e-commerce
Kolejnym problemem, z jakim można się zderzyć podczas formułowania treści polityki prywatności w branży e-commerce, jest poprawne określenie odbiorców danych osobowych. Trzeba mieć świadomość, że odbiorcy, to podmioty spoza naszego przedsiębiorstwa, którym udostępniamy dane osobowe – zarówno inni administratorzy, jak i tzw. procesorzy. Zatem, by wskazać odbiorców danych osobowych, musimy przeprowadzić przynajmniej minimalną inwentaryzację naszych procesów przetwarzania. Musimy zastanowić się na przykład kto jest naszym dostawcą hostingu, z jakiego programowania chmurowego korzystamy, albo czy zewnętrzny zespół wsparcia IT może mieć dostęp do danych osobowych klientów w trakcie czynności serwisowych. Oprócz strefy IT, odbiorców danych znajdziemy np. przy wysyłce towarów do klientów (poczta i kurier), przy rozliczaniu transakcji (zewnętrzne biuro rachunkowe), czy też pośród podmiotów, które zbierają na naszą rzecz opinie od klientów.
Określając odbiorców danych osobowych musimy również pamiętać o kwestiach związanych z transferem danych osobowych do tzw. krajów trzecich. Ustawodawca wymaga od nas, byśmy informowali naszych klientów o takim transferze. Jeżeli korzystamy z usług globalnych dostawców oprogramowania chmurowego, w zasadzie nie jest możliwe, byśmy uniknęli transferu danych do tzw. krajów trzecich. Jednakże często element ten jest pomijany przez administratorów ze względu na brak świadomości, czy też brak znajomości treści umów zawartych z dostawcami.
Okres przetwarzania danych osobowych klientów w e-commerce
Część klauzuli informacyjnej, która także może sprawiać pewne kłopoty przy jej konstruowaniu, to przekazanie klientom informacji o okresie, w którym ich dane osobowe będą przez nas przetwarzane. Musimy zdać sobie sprawę z tego, że innym okresem przetwarzania będą objęte dane o kliencie i historii jego zakupów, które przetwarzamy np. w naszym systemie informatycznym, inny okres przechowania musimy wyznaczyć dla dokumentacji rachunkowo-księgowej z danymi klienta, a jeszcze inny dla procesu opartego na zgodzie klienta. Niekiedy wyznacznikiem będzie dla nas okres przedawnienia roszczeń, natomiast w innych sytuacjach okres przechowania będzie wynikał wprost z przepisów prawa.
Ciasteczka (pliki cookie) w polityce prywatności dla e-commerce
Kolejną często spotykaną składową polityki prywatności, która nie wynika już wprost ze wskazań art. 13 RODO, jest opis zastosowania plików cookie, czy też towarzyszących im narzędzi analitycznych. Nierzadko dokument taki przybiera osobną formę. Oprócz poprawnego opisu zastosowania, istotna jest w tym przypadku także poprawna konfiguracja plików, tj. oddzielenie tych niezbędnych dla poprawnego funkcjonowania strony od plików dodatkowych (np. analitycznych), które powinny być aktywowane dopiero po świadomej decyzji użytkownika naszego serwisu.
Szerzej o tematyce poprawnego realizowania obowiązku informacyjnego w e-commerce, plikach cookie, przetwarzaniu danych osobowych przy działaniach marketingowych, jak i ogólnie o bezpieczeństwie danych, opowiem podczas tegorocznego wydarzenia pt. Nowy Rok z Grant Thornton – zapraszam na spotkanie, które odbędzie się już 13 stycznia 2023 roku w formule on-line. Poprowadzę dla Państwa spotkanie o tematyce e-commerce w ramach bloku poświęconego trendom cyfrowym.
AUTOR: Kacper Rączkowiak
