RODO w e-commerce – jakie obowiązki musisz spełnić i gdzie najczęściej popełniasz błędy

Sklep internetowy to nie tylko strona www. Każdy e-commerce musi spełniać wymagania dotyczące ochrony danych osobowych wynikające z RODO i innych ustaw. Jak pokazuje raport „RODO w e-commerce", ponad połowa sklepów online łamie przepisy – najczęściej w obszarze zgód na pliki cookies i obowiązku informacyjnego. Poniżej znajdziesz konkretne błędy, ich konsekwencje i kroki, które warto podjąć.

Dlaczego RODO dotyczy każdego sklepu internetowego

Handel online jest dziś standardem, nie wyjątkiem. Dynamiczny rozwój e-commerce – przyspieszony przez pandemię – sprawił, że sklepy internetowe stały się powszechną formą prowadzenia działalności.

Z tego wynika prosty wniosek: jeśli prowadzisz sprzedaż online, podlegasz pełnemu zakresowi obowiązków wynikających z RODO i przepisów o ochronie prywatności. Nie ma znaczenia, czy masz 100 czy 100 000 klientów.

Raport „RODO w e-commerce" – skala problemu

Raport powstał we współpracy z DaVinci i jest dostępny do pobrania w tym miejscu.

Najważniejsze wnioski z raportu:

• 58% badanych e-commerców narusza przepisy dotyczące zgód na pliki cookies

• Większość sklepów korzysta z gotowych wzorów polityk prywatności z internetu – bez dostosowania do swojego biznesu

• Przedsiębiorcy pomijają podstawowe elementy obowiązku informacyjnego, takie jak dane kontaktowe administratora czy cele przetwarzania danych

Zgody na pliki cookies – najczęstszy błąd w e-commerce

Sklepy internetowe korzystają z plików cookies, które zbierają m.in. historię przeglądania strony i innych odwiedzanych witryn. Nawet jeśli cookies nie zawierają danych osobowych i nie pozwalają zidentyfikować użytkownika, obowiązek uzyskania zgody na ich stosowanie wynika z ochrony prywatności (art. 215 ustawy Prawo komunikacji elektronicznej).

Pliki cookies „śledzą użytkownika", dlatego ustawodawca uregulował zasady ich stosowania – żeby użytkownicy wiedzieli, jakie technologie działają na odwiedzanych stronach.

Dwa najczęstsze błędy przy cookies

1. Brak mechanizmu zgody – na stronie pojawia się jedynie informacja o stosowaniu cookies, ale użytkownik nie ma możliwości wyrażenia lub odmowy zgody

2. Domyślnie zaznaczony checkbox – zgoda jest „udzielona" automatycznie, zanim użytkownik cokolwiek kliknie. Z prawnego punktu widzenia taka zgoda jest nieważna

Jakie warunki musi spełniać prawidłowa zgoda na cookies

Każda zgoda zbierana od użytkownika musi być:

• Świadoma – użytkownik wie, na co się zgadza

• Jednoznaczna – nie ma wątpliwości co do zakresu zgody

• Konkretna – dotyczy określonego celu

• Dobrowolna – użytkownik sam zaznacza checkbox, nic nie jest zaznaczone z góry

Jeśli Twój sklep wyświetla jedynie informację o cookies bez mechanizmu zgody lub stosuje domyślnie zaznaczone checkboxy – naruszasz przepisy. Sprawdź to dziś.

Polityka prywatności – jak prawidłowo spełnić obowiązek informacyjny

Obowiązek informacyjny wynika z art. 13 i 14 RODO. Najprostszy sposób na jego realizację to dobrze przygotowana polityka prywatności.

Polityka prywatności nie jest dokumentem obowiązkowym jako taka, ale pozwala w jednym miejscu zebrać wszystkie informacje, których wymaga prawo. Dzięki temu spełniasz obowiązek informacyjny wobec użytkowników.

Problem: wzory z internetu zamiast dokumentu dopasowanego do biznesu

Większość przedsiębiorców pobiera gotowy wzór polityki prywatności z sieci. Efekt – mimo że dokument istnieje, nie spełnia swojej roli.

Najczęściej pomijane elementy w politykach prywatności

• Dane kontaktowe administratora – podstawowy wymóg, a mimo to często brakujący

• Cele przetwarzania danych – użytkownik nie wie, po co zbierasz jego dane

• Okres przetwarzania danych – brak informacji, jak długo dane są przechowywane

Co zrobić

• Przejrzyj swoją politykę prywatności i sprawdź, czy zawiera wszystkie wymagane elementy

• Jeśli korzystasz z wzoru z internetu – dostosuj go do faktycznych procesów w Twoim sklepie

• Upewnij się, że polityka prywatności jest łatwo dostępna z poziomu każdej podstrony

Audyt RODO – jak często go przeprowadzać i co sprawdzać

RODO nie „wdraża się" raz i zapomina. Ochrona danych osobowych wymaga cyklicznych działań. Przepisy nakładają na Ciebie obowiązek wprowadzania i dostosowywania środków technicznych i organizacyjnych tak, aby przetwarzać wyłącznie te dane, które są niezbędne do osiągnięcia konkretnego celu.

Co obejmuje audyt RODO w e-commerce

Warstwa zewnętrzna (widoczna dla użytkowników):

• Aktualna analiza ryzyka

• Ocena skutków dla ochrony danych (jeśli jest wymagana)

• Zgody na cookies i ich mechanizm

• Polityka prywatności i obowiązek informacyjny

Warstwa wewnętrzna (organizacja):

• Procedury ochrony danych

• Środki bezpieczeństwa (techniczne i organizacyjne)

• Szkolenia pracowników

• Dokumentacja przetwarzania danych

• Dostosowanie procedur do zmian personalnych i przedmiotu działalności

Jak często przeprowadzać audyt

Oceny ryzyka i procedury nie pozostają aktualne na zawsze. Przeprowadzaj audyt RODO:

• Po każdej istotnej zmianie – nowy proces sprzedażowy, zmiana dostawcy, nowe narzędzie marketingowe

• Po zmianach kadrowych – nowi pracownicy mający dostęp do danych

• Regularnie, co najmniej raz w roku – nawet jeśli nic się nie zmieniło

Ochrona konsumencka dla jednoosobowych firm – co się zmieniło

Od stycznia 2021 roku część przedsiębiorców prowadzących jednoosobową działalność gospodarczą objęto ochroną konsumencką. To obowiązujące prawo, które bezpośrednio wpływa na sposób prowadzenia sprzedaży w e-commerce.

Co sprawdzić i zaktualizować w związku z tą zmianą

• Wzory umów zawieranych z kontrahentami

• Procedury reklamacyjne – czy uwzględniają nowe uprawnienia

• Wzory oświadczeń o odstąpieniu od umowy i informacje podawane na podstawie Ustawy o prawach konsumenta

• Klauzule niedozwolone – przejrzyj postanowienia umowne pod kątem abuzywności

• Rękojmia za wady rzeczy – zweryfikuj, czy Twoje wzorce umów są zgodne z aktualnymi przepisami

• Mechanizm identyfikacji – opracuj sposób rozpoznawania, czy umowa zawierana przez jednoosobowego przedsiębiorcę ma „charakter zawodowy" (co wyłącza ochronę konsumencką) czy nie

Checklist – wdrożenie RODO w e-commerce krok po kroku

1. Sprawdź mechanizm zgód na cookies – użytkownik musi mieć możliwość świadomego wyrażenia zgody (bez domyślnie zaznaczonych checkboxów)

2. Przejrzyj politykę prywatności – upewnij się, że zawiera dane administratora, cele przetwarzania i okres przechowywania danych

3. Dostosuj politykę do swojego biznesu – nie kopiuj gotowych wzorów bez weryfikacji

4. Przeprowadź analizę ryzyka – oceń, jakie dane przetwarzasz i jakie zagrożenia się z tym wiążą

5. Wdróż procedury wewnętrzne – zabezpieczenia techniczne, szkolenia, dokumentacja

6. Zweryfikuj wzory umów i procedury reklamacyjne – uwzględnij ochronę konsumencką dla jednoosobowych przedsiębiorców

7. Zaplanuj cykliczny audyt RODO – minimum raz w roku lub po każdej istotnej zmianie w firmie

Podsumowanie – nie musisz robić tego sam

Obowiązki wynikające z RODO i innych ustaw są trudne do samodzielnego wdrożenia. Dotychczas jedyną drogą była pomoc prawników. Dziś na rynku dostępne są narzędzia – takie jak RodoBox – które automatyzują ten proces i obniżają koszty obsługi prawnej.

Zachęcam do pobrania darmowego raportu „RODO w e-commerce" – opisane tam błędy i braki pomogą Ci zweryfikować, czy Twój sklep spełnia wymagania przepisów.

Najczęściej zadawane pytania

Jakie obowiązki RODO musi spełnić sklep internetowy? Sklep internetowy musi wdrożyć prawidłowy mechanizm zgód na pliki cookies, spełnić obowiązek informacyjny (najczęściej przez politykę prywatności dopasowaną do biznesu), przeprowadzić analizę ryzyka oraz wdrożyć procedury wewnętrzne – zabezpieczenia techniczne, szkolenia pracowników i dokumentację przetwarzania danych. Do tego dochodzi obowiązek cyklicznego audytu RODO – minimum raz w roku lub po każdej istotnej zmianie w firmie, np. nowym narzędziu marketingowym czy zmianie dostawcy.

Kiedy zgoda na cookies w sklepie internetowym jest nieważna? Zgoda na cookies jest nieważna w dwóch sytuacjach: gdy na stronie pojawia się jedynie informacja o stosowaniu cookies bez możliwości wyrażenia lub odmowy zgody, oraz gdy checkbox zgody jest domyślnie zaznaczony – czyli „udzielony" automatycznie, zanim użytkownik cokolwiek kliknie. Prawidłowa zgoda musi być świadoma, jednoznaczna, konkretna i dobrowolna – użytkownik sam zaznacza checkbox, nic nie może być zaznaczone z góry.

Co musi zawierać polityka prywatności w e-commerce, żeby spełniała obowiązek informacyjny? Polityka prywatności musi zawierać co najmniej dane kontaktowe administratora, cele przetwarzania danych oraz okres przechowywania danych – to trzy elementy najczęściej pomijane przez sklepy internetowe. Nie kopiuj gotowego wzoru z internetu – dostosuj dokument do faktycznych procesów w Twoim sklepie i upewnij się, że polityka jest łatwo dostępna z poziomu każdej podstrony.

Jak często trzeba robić audyt RODO w e-commerce? Audyt RODO przeprowadzaj co najmniej raz w roku, nawet jeśli nic się nie zmieniło. Dodatkowo rób go po każdej istotnej zmianie – nowy proces sprzedażowy, zmiana dostawcy, nowe narzędzie marketingowe – oraz po zmianach kadrowych, gdy nowi pracownicy uzyskują dostęp do danych osobowych.

Co zmieniło się w e-commerce po objęciu jednoosobowych działalności ochroną konsumencką? Od stycznia 2021 roku część jednoosobowych przedsiębiorców objęto ochroną konsumencką, co oznacza konieczność zaktualizowania wzorów umów, procedur reklamacyjnych, wzorów oświadczeń o odstąpieniu od umowy oraz weryfikacji klauzul umownych pod kątem abuzywności i rękojmi za wady rzeczy. Musisz też opracować mechanizm identyfikacji, czy umowa zawierana przez jednoosobowego przedsiębiorcę ma „charakter zawodowy" (co wyłącza ochronę konsumencką) czy nie.