Regulamin w działalności e-commerce cz. 2 / Polityka prywatności

W dzisiejszej odsłonie znów o regulaminach słów kilka. W poprzednim artykule dostępnym pod tym linkiem https://kancelaria-kaminska.pl/regulamin-w-dzialalnosci-e-commerce-cz-i/ prawiłyśmy głównie o obowiązkach informacyjnych przedsiębiorców wobec konsumentów. Tym razem skupimy się na innych uwarunkowaniach prawnych sklepów internetowych, w szczególności zaś na obowiązkach informacyjnych związanych z przetwarzaniem danych osobowych.

O czym jeszcze powinien pamiętać przedsiębiorca tworzący regulamin sklepu internetowego?

Przy zawieraniu umów oprócz ogólnych przepisów kodeksu cywilnego, zastosowanie znajdują reguły obrotu elektronicznego dookreślone w następujących przepisach:

– ustawa o świadczeniu usług drogą elektroniczną

– ustawa o ochronie niektórych usług świadczonych drogą elektroniczną

Przetwarzanie danych osobowych zgodne z RODO

Najwięcej trudności i obaw sprzedających w e-obrocie wiąże się z rozporządzeniem Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).

Dziś już chyba nie ma osoby, która nie słyszałaby o RODO… Co więcej chyba nikogo już nie powinno dziwić, że RODO obowiązuje absolutnie każdego i nie ma tu żadnego znaczenia czy jesteś dużym przedsiębiorcą, małą firmą czy początkującym blogerem ;) Wyjątek stanowią jedynie osoby fizyczne przetwarzające dane osobowe w celach stricte osobistych czy rodzinnych.

Generalnie administrator danych osobowych jest zobowiązany informować użytkownika/osobę o przetwarzaniu jej danych w dwóch wariantach, w zależności od tego, skąd masz dane, które przetwarzasz tj.:

• obowiązek informacyjny w przypadku zbierania danych od osoby, której dane dotyczą (art. 13 RODO), – np. wypełnienie formularza kontaktowego, newsletter,
• obowiązek informacyjny w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą (art. 14 RODO), – zakup bazy danych,

Ponadto pamiętaj (!) o obowiązku informacyjnym gdy zmienia się cel Twojego przetwarzania danych albo gdy dochodzi nowa okoliczność związana z przetwarzaniem tych danych.

Reguły przetwarzania danych osobowych

Wdrażając RODO w naszej działalności pamiętajmy przede wszystkim o następujących regułach przetwarzania danych osobowym:

• Przetwarzanie danych zgodnie z prawem:
  • klient musi wyrazić zgodę na przetwarzanie danych osobowych w drodze jednoznacznej, potwierdzającej czynności;
  • kiedy realizujesz łączącą Cię z klientem umowę lub wykonujesz, na jego prośbę, czynności przed jej zawarciem;
  • kiedy np. do ujawnienia danych zobowiąże Cię organ ścigania;
  • kiedy realizujesz zadania w interesie publicznym;
  • kiedy działasz w interesie klienta dla ratowania jego zdrowia i przekazujesz dane osobowe służbom ratunkowym;
• Rzetelność i przejrzystość, tj. wszelkie informacje związane z przetwarzaniem danych osobowych powinny być zrozumiałe, ujęte w sposób prosty i jednoznaczny, łatwo dostępne;
• Minimalizacja danych i ograniczenie celu – tu trzeba mieć na uwadze, żeby dane osobowe zbierać w konkretnych i prawnie uzasadnionych celach;
• Poprawność danych – aktualizuj na bieżąco dane osobowe służące Ci w celach handlowych i innych;
• Ograniczenie przechowywania – tzn. masz prawo przechowywać dane nie dłużej niż jest to potrzebne dla realizacji założonych przez Ciebie celów, a także w celu zadośćuczynienia obowiązkom prawa pracy, prawa podatkowego i ustawy o rachunkowości;
• Integralność i poufność – ochrona przed zmianą lub zniszczeniem, a także udostępnieniem danych w sposób nieautoryzowany;
  • (tu warto pamiętać o zabezpieczeniu komputerów hasłami oraz programami antywirusowymi, nieudostępnianiu danych komputerowych osobom trzecim, trzymaniu dokumentów papierowych w zamkniętych szafkach).

Obowiązki informacyjne

Spełnienie obowiązków informacyjnych o przetwarzaniu danych osobowych z RODO służy przede wszystkim umożliwieniu osobom, których dane są przetwarzane, realizacji praw wynikających z rozporządzenia, czyli np. żądania usunięcia danych czy też sprostowania danych osobowych.

Każdy, kto choć pobieżnie śledzi doniesienia medialne związane z działalnością Prezesa UODO nie ma już wątpliwości, że niedochowanie tych obowiązków może słono kosztować…

Jak się mają wspomniane obowiązki do działalności w branży e-commerce? W zasadzie nie ma tu wielkich różnić pomiędzy treścią obowiązku informacyjnego w przypadku przetwarzania danych osobowych w sposób elektroniczny oraz tradycyjny.

Regulamin sklepu/polityka prywatności mogą nam  posłużyć do zrealizowania obowiązków informacyjnych (art. 13 RODO):

Osoba, której dane mają być przetworzone, powinna otrzymać od Was następuje informacje:

• tożsamość i dane kontaktowe administratora danych oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
• gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
• cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
• informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
• okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
• informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
• informacje o prawie wniesienia skargi do organu nadzorczego;
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
• informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeśli pozyskujemy dane osobowe w sposób inny niż od osoby, której dane dotyczą (np. poprzez wspomniane bazy danych), dodatkowo należy podać (art. 14 RODO):

• źródła pochodzenia tych danych,
• kategorie danych, które przetwarzamy.

Co do praktycznych wskazówek w jaki sposób ująć informacje dotyczące przetwarzania danych osobowych – co kto lubi😊 niektórzy przedsiębiorcy tworzą odrębne polityki prywatności, do których odnoszą się w swoich regulaminach, inni zaś wpisują postanowienia dot. ochrony danych osobowych bezpośrednio w treści regulaminu. Dla większej przejrzystości i jasności komunikatu polecam stworzenie polityki prywatności.

W celu stworzenia regulaminu/polityki prywatności „szytych” na potrzeby prowadzonej przez Was działalności, uwzględniającego jej charakter oraz specyfikę – zapraszamy do kontaktu z Kancelarią.