Artykuły eksperckie

Wdrożenie RODO w sklepie internetowym. Poradnik krok po kroku dla branży e-Commerce

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Opublikowano:

Według danych ujawnionych przez Krajową Izbę Gospodarczą w czerwcu 2024 r. dochody w branży e-commerce przekroczyły 6,5 miliarda złotych, co stanowiło 8,2% całkowitej sprzedaży detalicznej w tym okresie. Obecnie założyć własny biznes e-commerce jest stosunkowo łatwo, dlatego branża przyciąga coraz więcej przedsiębiorców. Należy jednak pamiętać, że e-commerce jest silnie związane z RODO. O czym powinni pamiętać sprzedawcy on-line w kontekście rozporządzenia dotyczącego przetwarzania danych osobowych?

Czego dowiesz się z tego artykułu:

  • Sklepy internetowe powinny zadbać o przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami. Często oznacza to konieczność aktualizacji procesów.
  • Konsument może skorzystać z szeregu uprawnień i może zażądać ich spełnienia od administratora.
  • Prawidłowe wdrożenie RODO w e-commerce powinno obejmować audyt formalny i technologiczny, opracowanie dokumentacji i szkolenia pracowników.

Legalne przetwarzanie danych, czyli jakie?

Przede wszystkim sprzedawcy on-line powinni pamiętać, że przetwarzanie danych osobowych może odbywać się wyłącznie na podstawie przesłanek legalizacyjnych, o których mowa w art. 6 RODO. W praktyce najczęściej tą przesłanką będzie zgoda, o której mowa w art. 6 ust. 1 pkt a rozporządzenia albo też konieczność wykonania zawartej umowy, czyli art. 6 ust. 1 lit b.

Odbierając zgodę na przetwarzanie danych od konsumenta, warto zwrócić uwagę, czy spełnia ona warunki określone przez przepisy. Aby była prawie wiążąca, oświadczenie woli powinno być złożone w sposób:

  • dobrowolny,
  • świadomy,
  • konkretny,
  • jednoznaczny.

Sklep powinien zadbać o to, aby klient wiedział, na co konkretnie się decyduje i aby wyraził swoją zgodę w sposób bezpośredni, najlepiej poprzez zaznaczenie dobrze widocznego checkboxa. Dodatkowo zgoda musi być łatwa do odwołania, np. z poziomu ustawień profilu klienta.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Czy można przetwarzać dane osobowe klienta sklepu internetowego w oparciu o przesłankę uzasadnionego interesu?

Uzasadniony interes administratora danych osobowych może wydawać się wytrychem, który uzasadnia przetwarzanie danych osobowych zawsze, kiedy jest to potrzebne. Tak jednak nie jest. Wprawdzie RODO w motywie 47 dopuszcza możliwość realizowania marketingu bezpośredniego z odwołaniem się do tej przesłanki, ale nadal trzeba pamiętać o zgodzie na przesyłanie informacji handlowych. Dodatkowo administrator musi przeprowadzić test równowagi, czyli wykazać, że przetwarzanie danych osobowych nie prowadzi do naruszenia sytuacji osoby, której dane dotyczą.

Jakie informacje należy przekazać klientowi sklepu przed zawarciem umowy?

Przepisy RODO obligują administratora danych osobowych do realizacji obowiązku informacyjnego, o którym mowa w art. 13 i 14 RODO. Oświadczenie powinno zawierać wszystkie następujące informacje:

  • tożsamość i dane kontaktowe administratora oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe jego przedstawiciela,
  • dane kontaktowe inspektora ochrony danych, jeśli został on ustanowiony,
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, jeśli ta przesłanka legalizuje przetwarzanie danych osobowych,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją (np. firmy kurierskie),
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego (dotyczy głównie sklepów mających siedzibę w państwie trzecim, np. USA).

Dodatkowo należy podać informacje o okresie retencji danych osobowych, prawach osoby, której dane dotyczą oraz zautomatyzowanym podejmowaniu decyzji, jeśli takiego rodzaju narzędzia są wdrożone w sklepie internetowym. Wszystkie te informacje umieszcza się zwykle w polityce prywatności, która, podobnie jak regulamin sklepu internetowego, jest dokumentem obligatoryjnym, który powinien być łatwo dostępny dla klientów.

Sprawdź również: Dlaczego warto przeprowadzić audyt prawny sklepu internetowego?

Czego od sklepu internetowego może żądać klient?

Działania e-mail marketingowe to standardowa praktyka sklepów internetowych, które utrzymują w ten sposób zainteresowanie swoją ofertą i kuszą potencjalnych klientów atrakcyjnymi promocjami. Co jednak w sytuacji, kiedy klient nie życzy sobie dłużej, aby jego dane były przetwarzane?

Rozporządzenie RODO przyznaje osobom fizycznym szereg praw, których wykonania można żądać niezależnie od tego, czy dane osobowe są przetwarzane legalnie, czy też nie. Obejmują one m.in. możliwość żądania zaprzestania przetwarzania danych, jeśli nie jest to już niezbędne, prawo do korekty danych, ich przeniesienia lub ograniczenia przetwarzania. Naturalnie w każdym przypadku osobie fizycznej przysługuje prawo złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

W takiej sytuacji PUODO ma obowiązek zbadać zgłoszenie, a przedsiębiorca musi liczyć się z przeprowadzeniem kontroli.

W jaki sposób sklep internetowy powinien chronić dane osobowe?

Unijne przepisy dotyczące danych osobowych nakazują administratorowi wdrożenie rozwiązań, które zapewniają bezpieczeństwo i integralność danych osobowych. RODO wskazuje jedynie na przykładowe rozwiązania, jak anonimizacja i szyfrowanie, ale to od pomysłowości i budżetu administratora zależy, jakie technologie zostaną wdrożone. Oto przykłady dobrych praktyk zalecanych przez specjalistów IT:

  • szyfrowanie połączenia ze sklepem internetowym przy użyciu protokołu SSL,
  • korzystanie z bramek płatności spełniających wymagania PCI DSS,
  • konieczność ustawienia silnego hasła przy zakładaniu konta,
  • wdrożenie dwuskładnikowej weryfikacji tożsamości,
  • zarządzanie kontrolą dostępu do danych,
  • regularny backup informacji.

Duże sklepy powinny rozważyć także zlecanie testów penetracyjnych. W praktyce takie „testy polowe” to jedyny sposób na przekonanie się, że dane rozwiązania działają w praktyce. Niezależnie od rozwiązań technologicznych, warto edukować klientów sklepu w zakresie podstaw cyberbezpieczeństwa.

Co zrobić w przypadku incydentu RODO?

Pomimo najlepszych zabezpieczeń informatycznych, niekiedy dochodzi do wycieku danych osobowych. W takiej sytuacji należy zadbać o odpowiednią obsługę incydentu. Stosownie do brzmienia art. 33 RODO incydent powinien być zgłoszony do organu nadzoru niezwłocznie, nie później, niż w ciągu 72 godzin od stwierdzenia naruszenia. Jeśli incydent wystąpił po stronie procesora, ma on obowiązek niezwłocznie przekazać informacje administratorowi.

Zgłoszenie powinno być odpowiednio udokumentowane. Dodatkowo może pojawić się konieczność zawiadomienia osób fizycznych o incydencie, jeżeli naruszenie ochrony danych osobowych potencjalnie powoduje wysokie ryzyko naruszenia ich praw lub wolności.

Na czym polega wdrożenie RODO w e-commerce?

Wdrożenie RODO w sklepie internetowym należy poprzedzić szczegółowym audytem. Służy on zidentyfikowaniu stanu odpowiednich procedur. Takie badanie powinno być przeprowadzone przez multidyscyplinarny zespół składający się z prawników i specjalistów IT, którzy ocenią zarówno warstwę formalną, jak i technologiczną organizacji. Audyty compliance należy regularnie powtarzać, aby stale usprawniać procesy wewnętrzne.

Kolejny krok to opracowanie niezbędnej dokumentacji dla sklepu internetowego. Niezbędne minimum obejmuje regulamin sklepu internetowego, politykę prywatności i politykę cookies, rejestr czynności przetwarzania, rejestr incydentów oraz formularze zgód i obowiązku informacyjnego. Tych dokumentów może być znacznie więcej.

Trzeci etap obejmuje zwykle przygotowanie kadry – pracowników i osób zarządzających do świadomego zarządzania danymi osobowymi klientów. Szkolenia mogą objąć dowolne zagadnienia, od polityki czystego biurka po kwestie związane z cyberbezpieczeństwem.

Kiedy sklep internetowy nie musi zgłaszać incydentu RODO do organu nadzoru?

Incydentu RODO nie trzeba zgłaszać, jeśli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Oceny dokonuje administrator danych osobowych samodzielnie, ewentualnie po konsultacji z Inspektorem Ochrony Danych.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Jakie informacje powinny znaleźć się w rejestrze czynności przetwarzania danych?

Rejestr czynności przetwarzania danych powinien zawierać przede wszystkim określenie rodzaju przetwarzanych danych, wskazanie celu przetwarzania, podstawy prawnej przetwarzania, odbiorców danych i okresu retencji danych osobowych.

RODO w branży e-commerce – podsumowanie

Kancelaria After Legal realizuje kompleksowe wdrożenia RODO w sklepach internetowych. Przygotujemy dla Ciebie pakiet dokumentów i zajmiemy się opracowaniem niezbędnych procedur. Przeprowadzimy Twoją organizację przez proces implementacji RODO od początku do końca.