Jako że z dniem 25 maja 2018 roku w całej Unii Europejskiej wchodzi nowe rozporządzenie o ochronie danych osobowych warto przypomnieć właścicielom sklepów co w związku z tym powinni zrobić, aby uniknąć kar. Te mogą wynieść nawet 20 mln euro, albo 4% rocznego obrotu firmy, więc jest o co walczyć.
Co powinien wiedzieć właściciel sklepu?
Profilowanie i cookies
RODO ma na celu przede wszystkim ułatwić życie użytkownikom, więc spójrzmy na sklep internetowy oczami klienta.
Już od pierwszego załadowania witryny osoba odwiedzająca nas sklep jest poddawana profilowaniu. Może to być zarówno funkcja wbudowana naszego sklepu, może ona wynikać z wgranych rozszerzeń (AdWords remarketing, Facebok Pixel) albo prowadzonych działań marketingowych. Pozostaje faktem, że już od pierwszych chwil nasza strona zbiera o użytkowniku pewne dane.
Rzecz jasna wykorzystujemy do tego albo wgrane aplikacje w przypadku posiadaczy smartfonów, albo pliki cookies. Co za tym idzie nasz użytkownik sklepu jako pierwsza informację powinien zobaczyć powiadomienie o plikach cookies.
To nic nowego zważywszy, że od jakiegoś czasu istnieje obowiązek informowania użytkownika o ciasteczkach. Problem zaczyna się gdy przechowują one dane osobowe.
Oczywiście nie wszystkie informacje są danymi osobowymi. Tym terminem określamy to, co może posłużyć do bezpośredniej identyfikacji klienta, czyli adres IP, imię, nazwisko, email, adres zamieszkania i wiele innych.
RODO w artylule 4 określa tego typu dane jako:
(art. 4 ust. 1)
„(…)możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak:
– imię i nazwisko,
– numer identyfikacyjny,
– dane o lokalizacji,
– identyfikator internetowy
– jeden bądź kilka szczególnych czynników określających: fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;”
W przypadku przechowywania w cookies danych osobowych RODO narzuca na administratora dodatkowe obowiązki informacyjne, ale o tym nieco później.
Jeżeli użytkownik podlega profilowaniu na sklepie musimy go o tym poinformować oraz pozwolić mu na podjęcie decyzji – czy nadal chce być poddawany tym działaniom. Innymi słowy właściciel sklepu ma obowiązek zapewnić użytkownikowi możliwość wyrażenia braku zgody i wykluczenia go z dalszego profilowania.
(art. 22, pkt 1)
“1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.”
(art. 22 fragment motywu 71)
“(71) Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się „profilowanie” – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa. (…)”
Zobacz również inne informacje o profilowaniu według RODO:
4 pkt 4 – definicja profilowania;
13 ust. 4 pkt f – objęcie profilowania obowiązkiem informacyjnym;
15 ust. 1 lit h – prawo do informacji o dokonywanym profilowaniu;
21 – prawo do sprzeciwu względem profilowania
22 – prawo do żądania niepodlegania procesom automatycznym profilowaniu.
Dane potrzebne do zamówienia
Kolejnym etapem, w których użytkownik może się spotkać to oczywiście sam zakup produktu lub usługi. Nawet kupując jako gość musimy w pewnym momencie podać dane które w jakiś sposób nas zidentyfikują. To oczywiste, że sklep zbiera i przechowuje te dane, jako że są one wymagane prawnie. Za przykład dajmy tu reklamację, którą przeprowadzić można jedynie w oparciu o historię zakupu.
RODO i tutaj wprowadza pewne ograniczenia i nakazy. Po pierwsze nie możemy wykorzystywać pozyskanych w ten sposób danych do żadnych innych działań, jak tych na które użytkownik zgodził się podając je podczas wypełniania formularza. Innymi słowy to, że np. podał swój adres email na który przyjdzie potwierdzenie faktury nie oznacza, że możemy wysyłać mu newsletter. Takie działania podlegają karze (chyba że, jak wspomniałem użytkownik wyraził na to zgodę)
Co więcej istnieje obowiązek po stronie administratora na skasowanie tych danych w momencie, kiedy nie będą one więcej potrzebne (np. upłynął czas kiedy można było podjąć jakieś działania prawne) Odzwierciedla to zapis prawny:
(art. 6 pkt. 1)
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
f. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Marketing na sklepie w świetle RODO
Inaczej sprawa ma się przy trzecim scenariuszu, kiedy użytkownik podaje swoje dane osobowe. Mowa tu o wszelkich dodatkowych działaniach marketingowych. Zapisanie się na newsletter, wysyłkę kodów rabatowych, pobrania dodatkowych materiałów i wszystkich tych rzeczy, za które zrewanżujemy się swoim mailem albo większa liczbą danych. W takich przypadkach Administrator jest zobowiązany przez RODO do Obowiązku Informacyjnego. W jego skład wchodzi przymus informowania użytkownika o:
- Danych ADO, czyli pełnych danych Administratora Danych Osobowych (osoby kontaktowej odpowiedzialnej za dane);
- Celu, czyli do czego potrzebujemy danej informacji (każdy cel wymaga osobnej zgody)
- Podstawie prawnej – zgoda, interes Administratora ect.
- Możliwości cofnięcia zgody, w dowolnym momencie, jeśli wcześniej użytkownik taką zgodę wyraził
- Przekazaniu anych, jesli dane będa dostepne podmiotom trzecim
- Okresie przetwarzania, czyli czasie przechowywania i przetwarzania podanych danych
- Prawie do sprostowania, ograniczenia, usunięcia lub przeniesienia danych
- Prawie do wniesienia skargi do organu nadzorczego;
- Profilowaniu automatycznym, jeśli takowe ma miejsce.
Brzmi nieco skomplikowanie. Spójrzmy zatem na przykład zgód, jakie użytkownik powinien napotkać podczas podawania swoich danych w formularzu na stronie:
– Wyrażam zgodę na przetwarzanie podanych powyżej danych w celu otrzymywania newslettera (art. 6 ust. 1 lit. a RODO).
– Wyrażam zgodę na otrzymywanie informacji handlowych w formie newslettera np. o ofertach, nowościach, aktualnościach, promocjach itp.
Dodatkowo musimy zamieścić kilka informacji:
– podanie przeze mnie danych zamieszczonych w poniższym formularzu jest dobrowolne;
– wyrażenie poniższych zgód jest dobrowolne;
– moje dane mogą zostać udostępnione podmiotom trzecim: Firmie XYZ Warszawa, 32-200, ul. Przykładowa, NIP 111222333;
– mam prawo zażądać dostępu do moich danych osobowych;
– mogę zażądać, sprostowania, przeniesienia i usunięcia moich danych osobowych;
– każdym momencie mogę cofnąć zgodę na przetwarzanie moich danych osobowych;
– przysługuje mi prawo do wniesienia skargi do organu nadzorczego w przypadku naruszenia prawa;
– Administratorem moich danych osobowych będzie: Projekt-Net. Warszawa, 32–200, ul. Uliczna 12, NIP: 123123123.
Oczywiście to tylko przykład i te informacje mogą przyjąć inną postać, albo zostać pominięte, jeśli nie dotyczą podmiotu (jak w przypadku udostępniania danych podmiotom trzecim)
Chcesz wiedzieć więcej? Zobacz również przewodnik po RODO Ministerstwa Przedsiębiorczości i Technologii
lub przeczytaj również Najważniejsze kwestie RODO
Wszystkie przedstawione informacje służą wyłącznie do celów edukacujnych. Firma Projekt-Net nie bierze odpowiedzialności branej za błędy wynikające z interpretacji treści.
