W związku z pandemią COVID-19, która zawładnęła światem kilka lat temu wiele firm, które dotąd prowadziły sprzedaż w sklepach stacjonarnych, zmuszonych zostało do szybkiej adaptacji i przeniesienia swojego biznesu do internetu. Lockdown, ograniczenia w poruszaniu się, zamknięcie centrów handlowych oraz obawy związane z bezpieczeństwem zdrowotnym zmusiły przedsiębiorców do szukania nowych kanałów sprzedaży, a internet stał się kluczowym (i jak się okazało) tańszym rozwiązaniem.
Konsumenci, którzy wcześniej preferowali zakupy stacjonarne, coraz chętniej zaczęli korzystać z opcji online, doceniając wygodę i dostępność. Dla wielu sklepów internet stał się głównym kanałem sprzedaży, a po zakończeniu pandemii trend ten się utrzymał.
Zmiana modelu sprzedaży wymagała dostosowania do obowiązujących przepisów prawa, w tym do przepisów o ochronie danych osobowych. Prowadzenie sklepu w internecie nieuchronnie wiąże się bowiem z przetwarzaniem danych osobowych i to nie tylko klientów, ale również innych kategorii osób (np. osób wskazanych przez kupujących do odbioru zakupionych produktów).
Jak przygotować się do sprzedaży internetowej
Przede wszystkim, zgodnie z art. 25 RODO należy zastosować zasadę Privacy by Design, a więc uwzględnić ochronę danych w fazie projektowania – czyli jeszcze zanim zacznie przetwarzać się dane. Zdecydowanie łatwiej i taniej jest właściwie zaplanować procesy, niż później wprowadzać poprawki czy też narażać się na różnego rodzaju sankcje w związku z nieprzestrzeganiem przepisów.
Należy zwrócić uwagę, że zastosowanie zasady PbD nie jest fakultatywne, ale obowiązkowe – wynika bezpośrednio z RODO.
Kluczowe decyzje i wybory w związku ze sprzedażą w internecie
Właściciel sklepu internetowego jeszcze przed jego założeniem musi podjąć szereg decyzji, które w przyszłości wpłyną zarówno na sukces biznesowy jak i ocenę zgodności działania z obowiązującymi przepisami prawa.
Podstawowe decyzje będą dotyczyć:
- wyboru dostawcy oprogramowania, na którym sklep będzie działać (chociażby pod kątem bezpieczeństwa danych) – w tym kontekście istotne jest miejsce posadowienia serwerów, należy mieć bowiem na uwadze, że przepisy nakładają dodatkowe obowiązki, gdy dane są przetwarzane poza Europejskim Obszarem Gospodarczym
- wyboru dostawcy poczty elektronicznej.
- obsługi płatności on-line – podjęcia decyzji co do rodzaju płatności i wybór dostawcy usług,
- wyboru przewoźnika/przewoźników,
- doboru odpowiednich zabezpieczeń fizycznych i organizacyjnych dla przetwarzanych danych, w tym zabezpieczeń elektronicznej bazy klientów (ochrona przed atakami hakerskimi czy nieautoryzowanym dostępem do danych osobowych),
- wyboru metod kontaktu z Klientem – jeżeli będą to formularze kontaktowe na www, podjęcie decyzji o zakresie zbieranych danych wraz z informacją o celu i zasadach ich przetwarzania.
Spełnienie wymogów art. 5 RODO
Art. 5 RODO wyraźnie wskazuje w jaki sposób dane muszą być przetwarzane, aby to przetwarzanie odbywało się w zgodzie z przepisami prawa, w związku z tym należy:
- ustalić zakres danych jakie będą pobierane od klientów w celu realizacji usługi (zakupów) – dane obowiązkowe i dane opcjonalne (np. data urodzenia) – wyjaśnienie celu pobierania danych opcjonalnych (np. realizacja bonów urodzinowych),
- ustalić czas retencji danych, w tym zasady usuwania kont klientów/danych klientów po upływie czasu przechowywania,
- jednoznacznie wskazać wszystkie cele i podstawy przetwarzania danych osobowych (dane są często przetwarzane przez sprzedawców również w celach innych, niż sama sprzedaż (np. na potrzeby wysyłki newslettera czy prowadzenia programu lojalnościowego).
Rejestracja działalności online i e-sklepu – podstawowa dokumentacja
Właściciel sklepu powinien oczywiście zadbać o zarejestrowanie go zgodnie z przepisami prawa. W przypadku sprzedaży online należy spełnić wymogi nie tylko przepisów o ochronie danych osobowych , ale również (a może przede wszystkim), ustawy o świadczeniu usług drogą elektroniczną. Sprzedawca zobowiązany jest zatem do wdrożenia regulaminu sprzedaży i polityki prywatności, w której powinny znaleźć się m.in. informacje o:
- rodzaju przetwarzanych danych osobowych
- celach przetwarzania danych (np. realizacja zamówienia, obsługa reklamacji),
- podstawie prawnej przetwarzania (np. zgoda klienta, konieczność realizacji umowy),
- okresie przechowywania danych,
- prawach osób, których dane dotyczą (np. prawo do dostępu do danych, prawo do ich poprawiania, prawo do usunięcia danych),
- informacji o podmiotach, którym dane mogą być przekazywane (np. firmy kurierskie, systemy płatności online).
Jeśli zbierane dane osobowe będą oparte o zgodę (np. na przesyłanie informacji o charakterze marketingowym na wskazany adres-mail) należy zapewnić odpowiedni mechanizm, który umożliwi klientom wyrażenie zgody w sposób dobrowolny, świadomy i jednoznaczny, a także mechanizm, który umożliwi wycofanie tej zgody.
Jeżeli e-sklep będzie zbierał pliki cookies, konieczne jest wdrożenie zgodnych z prawem mechanizmów zarządzania tymi plikami, transparentne poinformowanie Użytkowników (najlepiej w Polityce cookies) e-sklepu o przetwarzaniu ich danych przez cookies oraz możliwość zmiany ustawień plików.
Dokumentacja wewnętrzna
Dokumentacja wewnętrzna sklepu internetowego dotycząca spełnienia obowiązków wynikających z RODO powinna odpowiadać wcześniej zidentyfikowanym ryzykom związanym z prowadzeniem sklepu internetowego. Jej zakres może być zatem bardzo różny w zależności od skali przedsięwzięcia i realizowanych procesów, uwzględniając takie aspekty jak gromadzenie, przetwarzanie i przechowywanie danych osobowych klientów, bezpieczeństwo tych danych, zarządzanie zgodami użytkowników, a także procedury w zakresie ochrony danych przy współpracy z podmiotami trzecimi.
System ochrony danych osobowych powinien uwzględniać regularne szkolenia dla pracowników w kontekście przetwarzania danych Klientów, ich zabezpieczania, a także reagowania na incydenty i naruszenia ochrony danych.
Ponadto, w przypadku międzynarodowych transferów danych należy uwzględnić procedury związane z przekazywaniem danych poza Unię Europejską, w tym wdrożenie standardowych klauzul umownych lub innych mechanizmów zapewniających odpowiedni poziom ochrony danych oraz oczywiście poinformować Klientów o takim przekazywaniu.
Podsumowanie
Uruchomienie sklepu internetowego zgodnie z przepisami o ochronie danych osobowych wymaga staranności i przygotowania odpowiedniej dokumentacji oraz wdrożenia procedur ochrony danych osobowych. Kluczowe kroki to: określenie celu przetwarzania danych, zapewnienie odpowiednich zgód użytkowników, stworzenie polityki prywatności i regulaminu, a także wdrożenie ścisłych środków bezpieczeństwa chroniących dane przed nieautoryzowanym dostępem. Należy także pamiętać o prawach użytkowników, takich jak prawo dostępu do danych, ich poprawiania czy usuwania oraz o zawieraniu umów z podmiotami trzecimi, które przetwarzają dane na rzecz sklepu. Dbałość o te aspekty nie tylko zapewni zgodność z przepisami RODO, ale również pomoże budować zaufanie klientów, co w dobie rosnącej świadomości w zakresie konieczności ochrony prywatności może być kluczowe dla sukcesu sklepu.
Autorka
Natalia Dzieciuchowicz
Data Protection Expert w LexDigital
