Przetwarzanie danych w sklepach internetowych. 11 pytań, które musisz sobie zadać [Checklista]

Na myśl o przepisach z zakresu przetwarzania danych menedżerowie e-commerce dostają zimnych potów. Wizja wielostronicowych przepisów i konieczność zapoznania się z nimi może przerażać, dlatego postanowiliśmy ułatwić to zadanie i wybraliśmy 11 najważniejszych kwestii, o których trzeba pamiętać, jeśli chcesz przetwarzać dane w sklepie online zgodnie z prawem.


1. Czy dla domeny sklepu internetowego zarejestrowany jest certyfikat SSL?


Masz sklep internetowy, a w nim formularze, poprzez które użytkownicy mogą przesyłać dane osobowe, np. zakładając konto, składając zamówienie czy zapisując się na newsletter? Twoi klienci chcieliby mieć pewność, że dane które podają będą przesyłane z wykorzystaniem bezpiecznego połączenia. Dlatego ważne jest, żeby domena sklepu była wyposażona w certyfikat SSL. Jest to wymóg związany z ochroną danych osobowych. Jak kupić certyfikat? Skontaktuj się z hostingodawcą.


2. Jak powinien wyglądać regulamin e-sklepu?


Użytkownik składając zamówienie w sklepie internetowym, zawiera umowę sprzedaży. Procedura, chwila zawarcia umowy oraz sposób jej realizacji wynikają z regulaminu, dlatego to podstawowy dokument prawny, który powinien znaleźć się w Twoim e-sklepie.

Dzięki regulaminowi jako sprzedawca internetowy spełniasz ciążące na Tobie obowiązki informacyjne, które wynikają z ustawy o prawach konsumenta oraz ustawy o świadczeniu usług drogą elektroniczną. Oczywiście nie wystarczy, że jedynie posiadasz taki regulamin, dlatego nie polecamy powielać wzoru, lecz dopasować go do Twojego sklepu. Pamiętaj, żeby uważać w regulaminie na klauzule niedozwolone, czyli postanowienia krzywdzące dla konsumenta. Niedozwolone klauzule umowne to, zgodnie z art. 385(1) kodeksu cywilnego, postanowienia umowy zawieranej z konsumentem, nieuzgodnione indywidualnie, kształtujące jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszające jego interesy. Mogą występować jedynie w przypadku umów zawieranych między przedsiębiorcą i konsumentem. Klauzule niedozwolone to zapisy, które są niezgodne z prawem i których umieszczać w regulaminie nie można. Zidentyfikowane klauzule niedozwolone znajdują się w jawnym i ogólnodostępnym rejestrze prowadzonym przez Urząd Ochrony Konkurencji i Konsumenta, który jest dostępny pod tym linkiem:https://www.rejestr.uokik.gov.pl/

Najlepiej w takiej sytuacji skonsultować albo zlecić przygotowanie regulaminu przez radcę prawnego zajmującego się tą tematyką.

Jak wygląda akceptacja regulaminu? W procesie składania zamówienia powinien znajdować się checkbox, po naciśnięciu którego użytkownik akceptuje regulamin. Gdzie powinien się on znaleźć? Najlepiej na samym końcu zamówienia, dodatkowo pamiętaj, że musi być domyślnie odznaczony, jednak złożenie zamówienia bez akceptacji regulaminu nie powinno być możliwe.

Ten sam checkbox powinien znaleźć się w formularzu założenia konta w sklepie. W ten sposób użytkownik zawiera umowę o prowadzenie konta w sklepie, więc musi zaakceptować regulamin, w którym znajdują się informacje o tej umowie.

Samo zapewnienie użytkownikowi możliwości złożenia zamówienia jest świadczeniem usługi drogą elektroniczną. Podobnie jest z założeniem i utrzymywaniem konta użytkownika w sklepie. W związku z tym, regulamin sklepu powinien również obejmować wątek świadczenia usług drogą elektroniczną. Może być to jeden krótki paragraf, ale powinien się znaleźć. O czym należy pamiętać? Trzeba przede wszystkim zdefiniować procedurę oraz chwilę zawarcia nieodpłatnej umowy o prowadzenie konta w sklepie. Chodzi o wskazanie, że zakładając konto, użytkownik zawiera umowę o prowadzenie i założenia konta w sklepie. Tak zawarta umowa jest chociażby podstawą prawną przetwarzania danych użytkownika i sprawia, że nie należy zbierać oddzielnej zgody na przetwarzanie danych osobowych w celu założenia konta.


3. Czy sklep posiada politykę prywatności?


Polityka prywatności może stanowić część regulaminu, ale coraz częściej przybiera postać oddzielnego dokumentu. W polityce prywatności powinny zostać opisane procedury postępowania z danymi osobowymi oraz plikami cookies. Gdzie najlepiej umieścić politykę prywatności? Większość serwisów czy sklepów internetowych umieszcza podstronę z polityką prywatności w stopce strony lub sklepu.



4. Czy użytkownicy informowani są o wykorzystywaniu cookies?

Posiadanie polityki prywatności to nie wszystko. Należy jeszcze do polityki prywatności skierować użytkownika, informując go o stosowaniu plików cookies. Jak to zrobić? Najłatwiej poprzez informację wyskakującą przy pierwszej wizycie na stronie, np.

„Wykorzystujemy pliki cookies do prawidłowego działania sklepu, personalizowania treści i reklam, aby oferować funkcje społecznościowe i analizować ruch w sklepie. Szczegóły znajdziesz w naszej polityce prywatności. Czy zgadzasz się na wykorzystywanie plików cookies?”

W ramach takiej informacji powinien zostać dodany przycisk „Tak, zgadzam się”, który pozwoli zamknąć okno z informacją. Obecnie trwają dyskusje czy zasady dotyczące cookies nie powinny zostać zaostrzone, m.in. poprzez konieczność odbierania zgody na poszczególne rodzaje cookies i domyślne wyłączenie cookies.



5. Czy w stopce sklepu prezentowane są pełne dane identyfikacyjne?


Dobrą praktyką jest, by w jakimś stałym miejscu strony, np. stopka, znajdowały się pełne dane identyfikacyjne jako dane sprzedawcy, tj. pełna nazwa firmy, adres siedziby, NIP, adres e-mail, numer telefonu.

Nie jest to wprawdzie bezpośredni wymóg prawny, ale przejaw należytego wypełnienia obowiązków informacyjnych, pośród których znajduje się poinformowanie o danych identyfikacyjnych. Dodatkowo ułatwienie dostępu do danych identyfikacyjnych Twojego e-sklepu zwiększa zaufanie użytkownika i ma dla Ciebie pozytywny efekt wizerunkowy.


6. Czy w ramach formularza zamówienia występuje klauzula informacyjna?


W formularzu zamówienia użytkownik robiący zakupy w Twoim e-sklepie podaje swoje dane osobowe. W związku z tym, jako właściciel sklepu stajesz się administratorem danych osobowych. Oznacza to, że na Tobie, jako na właścicielu sklepu internetowego ciąży szereg obowiązków wynikających z przepisów o ochronie danych osobowych. Jednym z kluczowych obowiązków administratora danych osobowych jest obowiązek informacyjny (art. 13 i 14 RODO). Polecamy się z nimi zapoznać.

7. Czy występuje klauzula informacyjna w formularzu założenia konta?


Formularz zamówienia i formularz założenia konta to zupełnie dwie oddzielne rzeczy.

Jeżeli chodzi o formularz założenia konta to rządza tutaj dokładnie te same zasady przetwarzania danych osobowych, co w przypadku składania zamówienia.

Analogicznie do rozwiązania przyjętego w formularzu zamówienia należy zastosować również w odniesieniu do formularza założenia konta, gdy chodzi o klauzule informacyjne.


8. Czy występuje odpowiednio oznaczony zapis do newslettera?


Jeśli posiadasz sklep internetowy, prawdopodobnie chcesz wysyłać klientom bądź nowym użytkownikom kupony rabatowe lub informacje o nowych produktach czy usługach. W większości sklepów internetowych użytkownik może podjąć decyzję o zapisie do newslettera, co wymaga odebrania od użytkownika odpowiedniej zgody. Obecnie konieczność posiadania zgody na działania marketingowe pojawia się w RODO, ustawie o świadczeniu usług drogą elektroniczną oraz w prawie telekomunikacyjnym.


9. Czy kupujący jest informowany o obowiązku zapłaty związanym ze złożeniem zamówienia?


Przepisy nakładają obowiązek poinformowania konsumenta, że złożenie zamówienia pociąga za sobą obowiązek zapłaty.

Chodzi tutaj po prostu o odpowiedniej treści przycisk finalizuj

ący zamówienie. Najłatwiej rozwiązać tę sytuację, przewidując następującą jego treść: „Zamawiam z obowiązkiem zapłaty”.

Jeżeli z jakiś względów powyższa treść przycisku nie odpowiada, można samą treść przycisku nazwać inaczej, np. „Składam zamówienie”, a pod przyciskiem dodać informację „Złożenie zamówienia pociąga za sobą obowiązek zapłaty”.


10. Czy przekazywane są konsumentowi informacje o potwierdzenie zawarcia umowy na odległość na trwałym nośniku?


Art. 21 ustawy o prawach konsumenta nakłada na sprzedawcę obowiązek dostarczenia kupującemu potwierdzenia zawarcia umowy na odległość na trwałym nośniku.

Trwałym nośnikiem może być wydrukowany dokument dołączany do przesyłki z zamówieniem lub wiadomość e-mail.

Część sprzedawców dokłada do paczek potwierdzenia zawarcia umowy na odległość, a część wykorzystuje automatycznie generowane potwierdzenie zamówienia, by zrobić z niego również potwierdzenie zawarcia umowy.


Co powinno znaleźć się w potwierdzeniu zawarcia umowy na odległość?


Najpóźniej w chwili wyrażenia przez konsumenta woli związania się umową na odległość lub poza lokalem przedsiębiorstwa przedsiębiorca ma obowiązek poinformować konsumenta w sposób jasny i zrozumiały o:

1) głównych cechach świadczenia z uwzględnieniem przedmiotu świadczenia oraz sposobu porozumiewania się z konsumentem;

2) swoich danych identyfikujących, w szczególności o firmie, organie, który zarejestrował działalność gospodarczą, a także numerze, pod którym został zarejestrowany;

3) adresie przedsiębiorstwa, adresie poczty elektronicznej oraz numerach telefonu lub faksu jeżeli są dostępne, pod którymi konsument może szybko i efektywnie kontaktować się z przedsiębiorcą;

4) adresie, pod którym konsument może składać reklamacje, jeżeli jest inny niż adres, o którym mowa w pkt 3;

5) łącznej cenie lub wynagrodzeniu za świadczenie wraz z podatkami, a gdy charakter przedmiotu świadczenia nie pozwala, rozsądnie oceniając, na wcześniejsze obliczenie ich wysokości - sposobie, w jaki będą one obliczane, a także opłatach za transport, dostarczenie, usługi pocztowe oraz innych kosztach, a gdy nie można ustalić wysokości tych opłat - o obowiązku ich uiszczenia; w razie zawarcia umowy na czas nieoznaczony lub umowy obejmującej prenumeratę przedsiębiorca ma obowiązek podania łącznej ceny lub wynagrodzenia obejmującego wszystkie płatności za okres rozliczeniowy, a gdy umowa przewiduje stałą stawkę - także łącznych miesięcznych płatności;

6) kosztach korzystania ze środka porozumiewania się na odległość w celu zawarcia umowy, w przypadku gdy są wyższe niż stosowane zwykle za korzystanie z tego środka porozumiewania się;

7) sposobie i terminie zapłaty;

8) sposobie i terminie spełnienia świadczenia przez przedsiębiorcę oraz stosowanej przez przedsiębiorcę procedurze rozpatrywania reklamacji;

9) sposobie i terminie wykonania prawa odstąpienia od umowy na podstawie art. 27, a także wzorze formularza odstąpienia od umowy, zawartym w załączniku nr 2 do ustawy;

10) kosztach zwrotu rzeczy w przypadku odstąpienia od umowy, które ponosi konsument; w odniesieniu do umów zawieranych na odległość - kosztach zwrotu rzeczy, jeżeli ze względu na swój charakter rzeczy te nie mogą zostać w zwykłym trybie odesłane pocztą;

11) obowiązku zapłaty przez konsumenta poniesionych przez przedsiębiorcę uzasadnionych kosztów zgodnie z art. 35, jeżeli konsument odstąpi od umowy po zgłoszeniu żądania zgodnie z art. 15 ust. 3 i art. 21 ust. 2;

12) braku prawa odstąpienia od umowy na podstawie art. 38 lub okolicznościach, w których konsument traci prawo odstąpienia od umowy;

13) obowiązku przedsiębiorcy dostarczenia rzeczy bez wad;

14) istnieniu i treści gwarancji i usług posprzedażnych oraz sposobie ich realizacji;

15) kodeksie dobrych praktyk, o którym mowa w art. 2 pkt 5 ustawy z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym oraz sposobie zapoznania się z nim;

16) czasie trwania umowy lub o sposobie i przesłankach wypowiedzenia umowy - jeżeli umowa jest zawarta na czas nieoznaczony lub jeżeli ma ulegać automatycznemu przedłużeniu;

17) minimalnym czasie trwania zobowiązań konsumenta wynikających z umowy;

18) wysokości i sposobie złożenia kaucji lub udzielenia innych gwarancji finansowych, które konsument jest zobowiązany spełnić na żądanie przedsiębiorcy;

19) funkcjonalności treści cyfrowych oraz technicznych środkach ich ochrony;

20) mających znaczenie interoperacyjnościach treści cyfrowych ze sprzętem komputerowym i oprogramowaniem, o których przedsiębiorca wie lub powinien wiedzieć;

21) możliwości skorzystania z pozasądowych sposobów rozpatrywania reklamacji i dochodzenia roszczeń oraz zasadach dostępu do tych procedur.

Większość podanych wyżej informacji wynika z art. 12 ust. 1 ustawy z dnia 30 maja 2014 r. o prawach konsumenta i jest zawarta w regulaminie sklepu. Jak rozwiązać problem potwierdzenia zawarcia umowy na odległość? Możesz na przykład całą treść regulaminu wkleić na samym końcu wiadomości z potwierdzeniem zamówienia. Ponieważ wiadomość e-mail jest trwałym nośnikiem, to w ten sposób kupujący otrzymuje wszystkie informacje wymagane w ramach potwierdzenia zawarcia umowy na odległość w ramach jednego maila.

Oczywiście potwierdzenie zawarcia umowy na odległość może przybrać również inną, dowolną formę. Może być to np. fajnie napisana wiadomość e-mail, byle zawierała wszystkie elementy, o których mowa powyżej.


11. Czy wdrożono ochronę danych osobowych w sklepie?


Przed przygotowaniem dokumentów (lub przed ich aktualizacją) jako właściciel e-sklepu powinieneś przeprowadzić szczegółowy audyt, którego celem jest zbadanie, jakie zabezpieczenia danych osobowych są już wdrożone, a jakie wymagają przygotowania.

Przykładowy katalog dokumentów dotyczących przepisów RODO w sklepie internetowym winien zawierać:

• Regulamin sklepu internetowego;

• Politykę prywatności;

• Politykę bezpieczeństwa;

• Instrukcję zarządzania systemem informatycznym;

• Politykę dotyczącą plików cookies;

• Wzory formularzy przeznaczonych dla klientów sklepu, w tym wzór odstąpienia od umowy i wzór reklamacji;

• Rejestr czynności przetwarzania danych osobowych;

• Rejestr incydentów związanych z naruszeniami danych osobowych;

• Upoważnienia do przetwarzania danych osobowych;

• Rejestr osób upoważnionych do przetwarzania danych osobowych;

• Wzór oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych.


Zadbanie o prawidłowy proces przetwarzania danych w sklepach internetowych jest kluczowy, żeby prowadzić biznes zgodnie z prawem, dobrze wypaść w oczach użytkowników, a przede wszystkim spać spokojnie – pieniądze zaoszczędzone wskutek uniknięcia kar można lepiej zainwestować, np. w rozwój biznesu.


Potrzebujesz wsparcia we wdrożeniu sklepu internetowego szytego na miarę? Skontaktuj się z nami.


Artykuł powstał we współpracy z radcą prawnym Wojciechem Wawrzakiem.



Inne artykuły