Na myśl o przepisach z zakresu przetwarzania danych menedżerowie e-commerce dostają zimnych potów. Wizja wielostronicowych przepisów i konieczność zapoznania się z nimi może przerażać, dlatego postanowiliśmy ułatwić to zadanie i wybraliśmy 11 najważniejszych kwestii, o których trzeba pamiętać, jeśli chcesz przetwarzać dane w sklepie online zgodnie z prawem.
1. Czy dla domeny sklepu internetowego zarejestrowany jest certyfikat SSL?
Masz sklep internetowy, a w nim formularze, poprzez które użytkownicy mogą przesyłać dane osobowe, np. zakładając konto, składając zamówienie czy zapisując się na newsletter? Twoi klienci chcieliby mieć pewność, że dane które podają będą przesyłane z wykorzystaniem bezpiecznego połączenia. Dlatego ważne jest, żeby domena sklepu była wyposażona w certyfikat SSL. Jest to wymóg związany z ochroną danych osobowych. Jak kupić certyfikat? Skontaktuj się z hostingodawcą.
2. Jak powinien wyglądać regulamin e-sklepu?
Użytkownik składając zamówienie w sklepie internetowym, zawiera umowę sprzedaży. Procedura, chwila zawarcia umowy oraz sposób jej realizacji wynikają z regulaminu, dlatego to podstawowy dokument prawny, który powinien znaleźć się w Twoim e-sklepie.
Dzięki regulaminowi jako sprzedawca internetowy spełniasz ciążące na Tobie obowiązki informacyjne, które wynikają z ustawy o prawach konsumenta oraz ustawy o świadczeniu usług drogą elektroniczną. Oczywiście nie wystarczy, że jedynie posiadasz taki regulamin, dlatego nie polecamy powielać wzoru, lecz dopasować go do Twojego sklepu. Pamiętaj, żeby uważać w regulaminie na klauzule niedozwolone, czyli postanowienia krzywdzące dla konsumenta. Niedozwolone klauzule umowne to, zgodnie z art. 385(1) kodeksu cywilnego, postanowienia umowy zawieranej z konsumentem, nieuzgodnione indywidualnie, kształtujące jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszające jego interesy. Mogą występować jedynie w przypadku umów zawieranych między przedsiębiorcą i konsumentem. Klauzule niedozwolone to zapisy, które są niezgodne z prawem i których umieszczać w regulaminie nie można. Zidentyfikowane klauzule niedozwolone znajdują się w jawnym i ogólnodostępnym rejestrze prowadzonym przez Urząd Ochrony Konkurencji i Konsumenta, który jest dostępny pod tym linkiem: https://www.rejestr.uokik.gov.pl/
Najlepiej w takiej sytuacji skonsultować albo zlecić przygotowanie regulaminu przez radcę prawnego zajmującego się tą tematyką.
Jak wygląda akceptacja regulaminu? W procesie składania zamówienia powinien znajdować się checkbox, po naciśnięciu którego użytkownik akceptuje regulamin. Gdzie powinien się on znaleźć? Najlepiej na samym końcu zamówienia, dodatkowo pamiętaj, że musi być domyślnie odznaczony, jednak złożenie zamówienia bez akceptacji regulaminu nie powinno być możliwe.
Ten sam checkbox powinien znaleźć się w formularzu założenia konta w sklepie. W ten sposób użytkownik zawiera umowę o prowadzenie konta w sklepie, więc musi zaakceptować regulamin, w którym znajdują się informacje o tej umowie.
Samo zapewnienie użytkownikowi możliwości złożenia zamówienia jest świadczeniem usługi drogą elektroniczną. Podobnie jest z założeniem i utrzymywaniem konta użytkownika w sklepie. W związku z tym, regulamin sklepu powinien również obejmować wątek świadczenia usług drogą elektroniczną. Może być to jeden krótki paragraf, ale powinien się znaleźć. O czym należy pamiętać? Trzeba przede wszystkim zdefiniować procedurę oraz chwilę zawarcia nieodpłatnej umowy o prowadzenie konta w sklepie. Chodzi o wskazanie, że zakładając konto, użytkownik zawiera umowę o prowadzenie i założenia konta w sklepie. Tak zawarta umowa jest chociażby podstawą prawną przetwarzania danych użytkownika i sprawia, że nie należy zbierać oddzielnej zgody na przetwarzanie danych osobowych w celu założenia konta.
3. Czy sklep posiada politykę prywatności?
Polityka prywatności może stanowić część regulaminu, ale coraz częściej przybiera postać oddzielnego dokumentu. W polityce prywatności powinny zostać opisane procedury postępowania z danymi osobowymi oraz plikami cookies. Gdzie najlepiej umieścić politykę prywatności? Większość serwisów czy sklepów internetowych umieszcza podstronę z polityką prywatności w stopce strony lub sklepu.
4. Czy użytkownicy informowani są o wykorzystywaniu cookies?
Posiadanie polityki prywatności to nie wszystko. Należy jeszcze do polityki prywatności skierować użytkownika, informując go o stosowaniu plików cookies. Jak to zrobić? Najłatwiej poprzez informację wyskakującą przy pierwszej wizycie na stronie, np.
„Wykorzystujemy pliki cookies do prawidłowego działania sklepu, personalizowania treści i reklam, aby oferować funkcje społecznościowe i analizować ruch w sklepie. Szczegóły znajdziesz w naszej polityce prywatności. Czy zgadzasz się na wykorzystywanie plików cookies?”
W ramach takiej informacji powinien zostać dodany przycisk „Tak, zgadzam się”, który pozwoli zamknąć okno z informacją. Obecnie trwają dyskusje czy zasady dotyczące cookies nie powinny zostać zaostrzone, m.in. poprzez konieczność odbierania zgody na poszczególne rodzaje cookies i domyślne wyłączenie cookies.
5. Czy w stopce sklepu prezentowane są pełne dane identyfikacyjne?
Dobrą praktyką jest, by w jakimś stałym miejscu strony, np. stopka, znajdowały się pełne dane identyfikacyjne jako dane sprzedawcy, tj. pełna nazwa firmy, adres siedziby, NIP, adres e-mail, numer telefonu.
Nie jest to wprawdzie bezpośredni wymóg prawny, ale przejaw należytego wypełnienia obowiązków informacyjnych, pośród których znajduje się poinformowanie o danych identyfikacyjnych. Dodatkowo ułatwienie dostępu do danych identyfikacyjnych Twojego e-sklepu zwiększa zaufanie użytkownika i ma dla Ciebie pozytywny efekt wizerunkowy.
6. Czy w ramach formularza zamówienia występuje klauzula informacyjna?
W formularzu zamówienia użytkownik robiący zakupy w Twoim e-sklepie podaje swoje dane osobowe. W związku z tym, jako właściciel sklepu stajesz się administratorem danych osobowych. Oznacza to, że na Tobie, jako na właścicielu sklepu internetowego ciąży szereg obowiązków wynikających z przepisów o ochronie danych osobowych. Jednym z kluczowych obowiązków administratora danych osobowych jest obowiązek informacyjny (art. 13 i 14 RODO). Polecamy się z nimi zapoznać.
7. Czy występuje klauzula informacyjna w formularzu założenia konta?
Formularz zamówienia i formularz założenia konta to zupełnie dwie oddzielne rzeczy.
Jeżeli chodzi o formularz założenia konta to rządza tutaj dokładnie te same zasady przetwarzania danych osobowych, co w przypadku składania zamówienia.
Analogicznie do rozwiązania przyjętego w formularzu zamówienia należy zastosować również w odniesieniu do formularza założenia konta, gdy chodzi o klauzule informacyjne.
8. Czy występuje odpowiednio oznaczony zapis do newslettera?
Jeśli posiadasz sklep internetowy, prawdopodobnie chcesz wysyłać klientom bądź nowym użytkownikom kupony rabatowe lub informacje o nowych produktach czy usługach. W większości sklepów internetowych użytkownik może podjąć decyzję o zapisie do newslettera, co wymaga odebrania od użytkownika odpowiedniej zgody. Obecnie konieczność posiadania zgody na działania marketingowe pojawia się w RODO, ustawie o świadczeniu usług drogą elektroniczną oraz w prawie telekomunikacyjnym.
9. Czy kupujący jest informowany o obowiązku zapłaty związanym ze złożeniem zamówienia?
Przepisy nakładają obowiązek poinformowania konsumenta, że złożenie zamówienia pociąga za sobą obowiązek zapłaty.
Chodzi tutaj po prostu o odpowiedniej treści przycisk finalizujący zamówienie. Najłatwiej rozwiązać tę sytuację, przewidując następującą jego treść: „Zamawiam z obowiązkiem zapłaty”.
Jeżeli z jakiś względów powyższa treść przycisku nie odpowiada, można samą treść przycisku nazwać inaczej, np. „Składam zamówienie”, a pod przyciskiem dodać informację „Złożenie zamówienia pociąga za sobą obowiązek zapłaty”.
Sławomir Mazur
Data Protection Officer
