Co musisz wiedzieć o RODO? RODO w praktyce


Sklep internetowy

Obawa przed karami za nieprzestrzeganie przepisów określonych przez RODO sprawiła, że wiele przedsiębiorstw zdecydowało się na wprowadzenie ogromnych ilości dokumentów i dodatkowych zgód, które nie są niezbędne. To, co musisz wiedzieć o RODO jako właściciel sklepu internetowego, nie obejmuje wszystkich przepisów zawartych w rozporządzeniu. Zapoznaj się z RODO w praktyce i zobacz, jakie działania obejmuje RODO w sklepie internetowym.

  • Przetwarzanie danych osobowych konieczne do wywiązania się z zawartej umowy nie wymaga dodatkowej zgody klienta.
  • Zdecydowana większość usługodawców (np. Sky-Shop, firmy kurierskie), automatycznie zawiera ze swoimi klientami Umowę o Powierzeniu Przetwarzania Danych, toteż nie musisz zaprzątać sobie nią głowy.
  • Jeśli zgromadzone dane o kliencie są potrzebne do realizacji ewentualnych roszczeń, nie masz obowiązku ich usuwania nawet jeśli żąda tego osoba zainteresowana.

Spis treści artykułu

  1. Czego potrzebujesz by przetwarzać dane osobowe zgodnie z RODO?
  2. Kiedy klient musi wyrazić zgodę na przetwarzanie danych?
  3. Przetwarzanie danych wrażliwych
  4. Aktualizacja danych osobowych
  5. Kiedy nie musisz usuwać danych osobowych klientów?
  6. Powołanie Inspektora Danych Osobowych

Czego potrzebujesz by przetwarzać dane osobowe zgodnie z RODO?


Przepisy RODO jednoznacznie wskazują, że do przetwarzania danych osobowych konieczna jest podstawa prawna. Jeśli nie występuje taka konieczność, ich gromadzenie jest niezgodne z obowiązującym prawem europejskim. Zbierać i przechowywać informacje o kliencie można na podstawie:

  • uzyskanej od niego bezpośredniej zgody np. na przetwarzanie danych w celach marketingowych, która została wyrażona przez zaznaczenie odpowiedniego pola. Nie można zawierać zgód marketingowych w regulaminie sklepu, a także w sposób domyślny zaznaczać checkboxa, w którym zgoda jest zawarta,
  • na podstawie umowy sprzedaży,
  • podczas wywiązywania się z warunków zawartej umowy np. w przypadku procedury reklamacyjnej,
  • w odpowiedzi na żądania osoby, której dane są przetwarzane np. w przypadku odpowiadania na wysłane pytania,
  • wypełnienie obowiązków prawnych takich jak odprowadzanie składek.

O tym, jakie czynności obejmuje przetwarzanie danych osobowych i czym są dane osobowe dowiesz się stąd.

Kiedy klient musi wyrazić zgodę na przetwarzanie danych?


Szczegółowe przepisy RODO sprawiły, że częstą praktyką jest nadgorliwość w stosowaniu rozmaitych zgód, zwłaszcza w sklepach internetowych. Wiele checkboxów, które pojawiają się podczas zakupu mogłoby zostać pominiętych, bowiem przetwarzanie danych odbywa się na mocy zawieranej umowy sprzedaży. Nie musisz więc stosować dodatkowej zgody, kiedy czynności wiążą się z wypełnieniem zawartej umowy np. dostarczeniem towarów do kupującego. Jednocześnie jesteś zobowiązany do poinformowania o fakcie, że zebrane informacje zostaną przekazane firmie kurierskiej lub bramce płatniczej takiej jak Sky-Pay. Wprowadzenie dodatkowych pól ze zgodą na przetwarzanie danych jest konieczne w przypadku:

  • zgody marketingowej,
  • zgody na przetwarzanie danych wrażliwych,
  • zgody na przekazywanie danych osobowych innym organom w celach niezwiązanych z zawieraną umową,
  • jeśli profilowanie (np. dostosowanie kategorii produktów do użytkownika) niesie za sobą konsekwencje prawne. Tu stanowisko prawników nie jest zgodne. Jedne grupy uważają, że wystarczy zawarcie informacji o prowadzeniu takich działań, podczas gdy inne wskazują na konieczność pozyskania dodatkowej zgody,
  • oraz wszystkich czynności dodatkowych podejmowanych jako niezwiązane z zawieraną umową sprzedaży.

Stosując dodatkowe zgody pamiętaj o tym, żeby:

  • każda z nich została zawarta w osobnym punkcie,
  • nie była zaznaczona domyślnie,
  • została sformułowana jednoznacznie, w sposób w pełni zrozumiały dla każdego z klientów,
  • była równie łatwa w cofnięciu, jak w wyrażeniu np. wycofanie zgody marketingowej nie może odbywać się poprzez osobistą wizytę w siedzibie firmy bądź wysłanie listu poleconego.

checbox rodo przy rejestracji

Z webinaru prowadzonego przez prawniczkę dowiesz się jeszcze więcej o RODO w sklepie internetowym!

Przetwarzanie danych wrażliwych


Dane wrażliwe obejmują kategorie takie jak: seksualność, stan zdrowia, przynależność etniczną i religijną, a także wiele innych danych szczegółowych. Z zasady nie wolno ich przetwarzać. W przypadku gdy ich gromadzenie jest bezpośrednio związane z prowadzoną działalnością i niezbędne do poprawnego wywiązywania się z obowiązków, obowiązywać Cię będą liczne obostrzenia. W myśl RODO, dane wrażliwe można przetwarzać w przypadku gdy:

  • osoba udostępniła je publicznie,
  • wiąże się to z wywiązaniem się z umowy np. dopasowaniem środków medycznych. Administratora obowiązuje wtedy bezwzględna tajemnica zawodowa,
  • kiedy czynności są niezbędne do dochodzenia roszczeń klienta,
  • w dziedzinach prawa pracy.

Zbierane dane wrażliwe należy chronić w sposób specjalny i usuwać natychmiastowo po osiągnięciu celu, w jakim zostały zebrane. Zdecydowana większość osób nie będzie miała takiej potrzeby. Wyjątek mogą stanowić sklepy z akcesoriami medycznymi, które oferują doradztwo i mogą otrzymywać informacje o stanie zdrowia swoich klientów.

Aktualizacja danych osobowych


RODO nakłada na administratora danych osobowych obowiązek ich aktualizacji. Nie oznacza to, że w określonych okresach czasu konieczny jest przegląd danych i sprawdzenie ich aktualności. W praktyce RODO nakazuje aktualizowanie informacji zawsze wtedy, kiedy dotrą do nas jakiekolwiek informacje np. o zmianie miejsca zamieszkania, adresu e-mail, numeru telefonu.

Kiedy nie musisz usuwać danych osobowych klientów?


Usuwanie danych osobowych stanowi jedną z najbardziej rozpoznawalnych regulacji, jakie podkreśla RODO. Kasowanie zgromadzonych informacji odbywa się w dwóch przypadkach: na życzenie klienta oraz po upływie czasu, kiedy przechowywanie danych było niezbędne. 

Warto wiedzieć, że nie zawsze masz obowiązek usuwać wszystkie dane klienta na jego życzenie! Niejednokrotnie skutkowałoby to konsekwencjami prawnymi spowodowanymi niewywiązywaniem się z obowiązków bądź zawartych umów.

Prawo do bycia zapomnianym nie jest bezwzględne i nie ma zastosowania gdy:

  • dalsze przetwarzanie danych jest niezbędne do obrony roszczeń klienta np. z tytuły rękojmi lub postępowania reklamacyjnego,
  • występują wątpliwości co do tożsamości osoby proszącej o usunięcie danych (należy dołożyć wszelkich starań, że osoba składająca wniosek jest do tego uprawniona),
  • konieczne jest wykazanie, że działania w przeszłości były prowadzone na podstawie wyrażonej przez klienta zgody np. przesyłanie informacji marketingowych nastąpiło na mocy zgody wyrażonej w określonym dniu. Posłużą do tego logi.

Logi są zapisywane w panelu administratora, dzięki czemu szybko i sprawnie odszukamy dzień, w którym klient wyraził zgodę na określone czynności. Jest to zabezpieczenie na wypadek gdyby któryś z klientów sugerował, że newsletter wysyłany jest do niego pomimo braku wyrażenia chęci. To nad administratorem danych ciąży obowiązek wykazania, że wszystkie jego działania są podejmowane zgodnie z prawem.

logi rodo

Prawo do zapomnienia przysługuje wtedy, gdy dalsze przetwarzanie danych nie jest konieczne do wywiązywania się z nałożonych na ich administratora obowiązków względem organów państwowych oraz klientów. Istnieje możliwość stopniowego usuwania danych wraz z wygasaniem kolejnych obowiązków.

Powołanie Inspektora Danych Osobowych


W sieci można znaleźć informacje o konieczności powołania Inspektora Danych Osobowych. Jest to osoba posiadająca odpowiednie kwalifikacje zawodowe obejmujące wiedzę i działania praktyczne z zakresu ochrony danych osobowych. W firmie miałaby być odpowiedzialna za przestrzeganie wprowadzonych regulacji i działać w sposób niezależny. Błędna interpretacja stanowiska Inspektora Danych Osobowych spowodowała przestrach w licznych, zwłaszcza małych, firmach, które obawiały się zatrudnienia dodatkowej osoby czuwającej nad bezpieczeństwem informacji o klientach. Powołanie Inspektora Danych Osobowych jest konieczne:

  • w przypadku organizacji publicznych,
  • gdy główną działalnością podmiotu jest przetwarzanie danych na dużą skalę np. agencje ochrony,
  • gdy główną działalność podmiotu stanowi przetwarzanie konkretnych kategorii danych na dużą skalę.

W rezultacie zatrudnianie Inspektora Danych Osobowych nie dotyczy sklepów internetowych oraz zdecydowanej większości osób, które prowadzą stacjonarną działalność gospodarczą.

Dla rozwiania wszelkich wątpliwości związanych z poszczególnymi regulacjami wprowadzanymi przez RODO, warto zapoznać się z poradnikiem o RODO, w którym zostały zawarte wszelkie najważniejsze informacje.

5.00 avg. rating (99% score) - 9 votes 5

Senior Marketing Specialist

Powiązane posty

Migracja sklepu internetowego na Sky-Shop – wszystko, co musisz wiedzieć
Jak i gdzie sprzedawać gry w Internecie?

Wypróbuj platformę Sky-Shop bezpłatnie.

Przez 14 dni bez zobowiązań z pełną funkcjonalnością platformy.