Partnerzy serwisu:
ecommerce Prywatność i bezpieczeństwo

Sklep internetowy a RODO. Jakie są najważniejsze obowiązki i jak je poprawnie zrealizować?

Paweł Mering
23.01.2023
Paweł Mering
Paweł Mering
23.01.2023
Sklep internetowy a RODO. Jakie są najważniejsze obowiązki i jak je poprawnie zrealizować?

Ochrona danych osobowych nie była szczególnie poważana ostatnimi laty, do czasu wejścia w życie RODO. Wtedy przesada nastąpiła w drugą stronę, co doprowadziło nawet do powstania swego rodzaju paniki. Za łamanie przepisów z zakresu ochrony danych osobowych grożą jednak prawdziwe kary. Sklep internetowy a RODO, o czym należy pamiętać, by spać spokojnie?

Sklep internetowy a RODO

Z prowadzeniem sklepu internetowego, czy w ogóle działając w przestrzeni ecommerce, nie jest możliwe nieprzetwarzanie danych osobowych. RODO chroni osoby fizyczne i ich dane osobowe, a więc zarówno dane klientów-konsumentów, jak i dane kontrahentów – jednoosobowych przedsiębiorców. Sklep internetowy wiąże się z przetwarzaniem danych osobowych klientów (imienia, nazwiska, adresu e-mail, numeru telefonu, adresu dostawy), którzy dokonują zakupów w sklepie, czy też nawet takich, którzy kontaktują się ze sklepem za pośrednictwem formularza kontaktowego.

Przetwarzanie danych osobowych przez sklep internetowy może także wiązać się z wykorzystywaniem mediów społecznościowych do kontaktu, czy też korzystaniem z newslettera, do którego mogą zapisać się przecież osoby niebędące facto klientami sklepu i nic w nim niekupujące. To oczywiście jedynie przykłady. Jeżeli już ustaliliśmy, że w sklepie internetowym zawsze będą przetwarzane dane osobowe, to pojawia nam się całe spektrum przepisów. Zaczynając od RODO, kończąc na krajowej ustawie o ochronie danych osobowych.

Zgodnie z RODO, samo przetwarzanie danych osobowych musi nastąpić na podstawie zgody. Warunki tej zgody wynikają z RODO i oznacza ona

dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Co istotne, administrator musi być w stanie wykazać, że do wyrażenia zgody doszło. Oznacza to, że nie wystarczy jedynie zabezpieczenie w kodzie strony, które „nie puści” klienta bez zaznaczenia odpowiedniego okienka, a system, który rejestruje, czy dany klient faktycznie zaznaczył pole ze zgodą.

Polityka prywatności

Polityka prywatności jest dokumentem, który z założenia powinien stanowić realizacje obowiązków administratora. O tym, jak stworzyć politykę prywatności w sklepie internetowym, pisaliśmy jakiś czas temu w oddzielnym artykule. Przypomnę jedynie, że w polityce prywatności należy poinformować co najmniej o takich kwestiach, jak:

  • tożsamość i dane kontaktowe (na stronie firmowej pełna nazwa z CEIDG, adres korespondencyjny, adres e-mail),
  • dane inspektora danych, o ile jego powołanie jest konieczne,
  • cel przetwarzania danych oraz podstawa prawna,
  • okres przechowywania danych, względnie kryteria określenia tego okresu, gdy nie można tego zrobić precyzyjnie,
  • informacja o prawie żądania dostępu po danych, ich sprostowania, usunięcia (ograniczenia przetwarzania), prawie wniesienia sprzeciwu oraz o prawie do przenoszenia danych,
  • informacja o prawie wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych,
  • komunikat o skutkach niewyrażenia zgody na przetwarzanie danych osobowych.

Polityka prywatności powinna być sporządzona poprawnie, z uwzględnieniem sytuacji konkretnego przedsiębiorcy. Warto jednak szczególnie utrwalić sobie to, że polityka prywatności to nie jest żadne zabezpieczenie przed odpowiedzialnością. Oprócz jej posiadania, administrator danych osobowych ma szereg innych obowiązków.

A co grozi za naruszenia?

Za naruszenia w zakresie RODO kary nakłada Prezes Urzędu Ochrony Danych Osobowych. Za naruszenie podstawowych regulacji (gdy dane są przetwarzane bezprawnie, nierzetelnie, nieprzejrzyście, nadmiernie, czy też bezpodstawnie), na administratora (najczęściej sklep internetowy) można nałożyć karę w kwocie do 20 000 000 EUR, czy też w kwocie do 4% całkowitego rocznego obrotu w wypadku przedsiębiorstwa.

Brak wdrożenia odpowiednich środków organizacyjnych i technicznych albo uchybienie obowiązkowi przeprowadzenia oceny skutków dla ochrony danych skutkuje karą do 10 000 000 EUR/2% rocznego obrotu w wypadku przedsiębiorstwa. Organ kieruje się pewnymi dyrektywami wymiaru kary. Chodzi tutaj o powagę naruszenia, zachowanie po naruszeniu, czy też ewentualne inne czynniki czy okoliczności.

Od nałożonej kary nie można się odwołać, ale można ją zaskarżyć do sądu administracyjnego. Wówczas należy wykazać, że nałożono ją z naruszeniem prawa. Sąd administracyjny nie bada bowiem słuszności kary, ale jej zgodność z prawem (chociaż pewne dyrektywy wymiaru kary w kontekście kar administracyjnych znajdują się w Kodeksie postępowania administracyjnego).

Ustawa o ochronie danych osobowych stanowi także o przestępstwie przetwarzania danych osobowych pomimo niedopuszczalności takiego przetwarzania lub braku odpowiedniego uprawnienia.