Obecnie każdy sklep internetowy w różnym zakresie przetwarza dane osobowe klientów rozpoczynając na realizacji złożonego zamówienia na wysyłce rozbudowanych informacji marketingowych kończąc. Polityka Prywatności w przeciwieństwie do regulaminu – nie jest dokumentem, który kształtuje prawa i obowiązki stron, jednak co należy podkreślić, stanowi wypełnienie obowiązków informacyjnych przez sprzedawcę, które wynikają z różnych aktów prawnych, w tym z RODO. Chociaż dokument ten ma charakter informacyjny, obecnie w większości przypadków jest praktycznie niezbędny, aby wykazać spełnienie obowiązków informacyjnych.
Dane osobowe, a właściwie kontrola nad ich przetwarzaniem i kwestia ochrony i bezpieczeństwa to obecnie temat bardzo popularny, głównie ze względu na szeroko komentowane i omawiane wejście w życie rozporządzenia RODO. Temat ten jest istotny zarówno dla osób, których przetwarzane dane dotyczą, ale także dla przedsiębiorców, którzy muszą mieć na uwadze szereg obostrzeń i obowiązków do spełnienia. Bez względu, czy mówimy o sklepie internetowym, serwisie, blogu, forum, czy nawet zwykłym newsletterze zawsze będzie się pojawiał temat danych osobowych oraz ich ochrony. Zauważmy, że zarówno usługodawcy, jak i użytkownicy bardzo dużą wagę przywiązują do ochrony danych osobowych. Wyrazem stosowania takiej ochrony ze strony usługodawcy jest m.in. przygotowanie i opublikowanie na stronie internetowej polityki prywatności.
Czym jest Polityka Prywatności oraz jaki ma charakter prawny
Polityka prywatności to dokument o charakterze informacyjnym, wskazujący zasady oraz podstawy przetwarzania i ochrony danych osobowych w danym sklepie internetowym bądź serwisie. Polityka Prywatności może stanowić odrębny dokument bądź czasami jest połączona z regulaminem w jeden dokument.
Oba rozwiązania są prawidłowe, aczkolwiek z naszej strony zalecamy przygotowanie Polityki Prywatności w taki sposób, aby stanowiła odrębny dokument od regulaminu. Wynika to nie tylko z zupełnie odmiennych kwestii, które są w tych 2 dokumentach wskazane, czy też innego charakteru prawnego, ale po prostu takie rozwiązanie jest zdecydowanie bardziej czytelne dla wszystkich usługobiorców sklepu czy serwisu. Co do odmienności między tymi dwoma dokumentami – podstawową różnicą jest to, że regulamin stanowi wzorzec umowny, zatem kształtuje prawa i obowiązki stron, z kolei polityka prywatności ma charakter wyłącznie informacyjny, czyli stanowi zbiór informacji i oświadczeń administratora wskazujących sposób i zasady przetwarzania danych osobowych.
Konsekwencją wyżej wskazanych różnic jest m.in. to, że regulamin podlega kontroli pod kątem klauzul niedozwolonych, a polityka prywatności teoretycznie takiej kontroli nie będzie podlegała. Użyliśmy słowa „teoretycznie”, gdyż samo zatytułowanie dokumentu „polityką prywatności” nie oznacza jeszcze, że w treści dokumentu nie będzie postanowień, które kształtują prawa i obowiązki stron, a jednocześnie stanowią klauzule niedozwolone – świadczy o tym chociażby jeden z wpisów w rejestrze klauzule niedozwolonych prowadzonym przez Prezesa UOKiK zamieszczony pod numerem 5482:
„Zastrzegamy sobie prawo do zmian w naszej polityce prywatności. Osoby odwiedzające nasz sklep obowiązuje zawsze aktualnie obowiązująca jej wersja, dostępna na tej stronie”.
Jakie informacje powinna zawierać Polityka Prywatności zgodna z RODO
Przed wejściem w życie RODO, Polityka Prywatności stanowiła znacznie mniej obszerny dokument, a dane osobowe przetwarzane były zgodnie z ustawą o ochronie danych osobowych z 29 sierpnia 1997 roku oraz ustawą o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 roku. Obecnie dane osobowe w sklepie internetowym czy serwisie przetwarzane są zgodnie z RODO. Rozporządzenie to zastąpiło poprzednie, krajowe rozwiązania w kwestii przetwarzania oraz ochrony danych osobowych.
Celem rozporządzenia dotyczącego ochrony danych osobowych, które weszło w życie 25 maja 2018 roku jest doprowadzenie do pełnej harmonizacji i ulepszenia kontroli przetwarzania danych osobowych w ramach Unii Europejskiej. Wejście w życie RODO wymusiło na wszystkich przetwarzających dane osobowe, w tym sprzedawców prowadzących sklepy internetowe dostosowanie się do nowych zasad. Istotne kwestie, które wynikają z RODO, a które należy uwzględnić to m.in. prawo do uzyskania informacji na temat sposobu przetwarzania danych osobowych, prawo do przeniesienia danych, prawo do żądania ograniczenia przetwarzanych danych, tzw. prawo do bycia zapomnianym, prawo do otrzymania kopii danych czy do dochodzenia odszkodowania w sądzie cywilnym.
Administrator danych osobowych powinien informować w polityce prywatności przede wszystkim o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania wraz ze wskazaniem imienia i nazwiska,
- danych kontaktowych inspektora danych wyznaczonego przez administratora ( jeżeli został wyznaczony),
- ogólnych podstawach przetwarzania danych ( m.in. wyrażenie zgody przez osobę, której dane dotyczą )
- celach, okresie oraz zakresie przetwarzanych w sklepie danych osobowych,
- odbiorcach lub kategoriach odbiorców danych w sklepie ( np. podmioty obsługujące płatności elektroniczne),
- profilowaniu ( o ile jest stosowane);
- praw osoby, której dane dotyczą ( m.in prawo do sprzeciwu, cofnięcia zgody czy wniesienia skargi do organu nadzorczego),
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Powyższe elementy to obowiązkowy „szkielet” Polityki Prywatności. Należy mieć na uwadze to, że tak jak regulamin – również polityka prywatności musi być każdorazowo dopasowana do danego sklepu internetowego. Indywidualnie powinny być przeanalizowane takie kwestie jak: cele, zakres przetwarzanych danych, kategorie odbiorców czy stosowanie profilowania i plików Cookies.
W jaki sposób powinien przebiegać proces przygotowania Polityki Prywatności sklepu internetowego
Każdy sklep internetowy posiada swoje odmienności w zakresie przetwarzania danych osobowych, a polityka prywatności każdego sklepu powinna być w pełni dostosowana do jego funkcjonowania oraz zakresu i celów przetwarzania danych.
Proces przygotowywania polityki prywatności powinien rozpoczynać się uzyskaniem od sprzedawcy maksymalnie wszystkich istotnych informacji, tak aby osoba tworząca ten dokument w pełni zrozumiała wprowadzone funkcjonalności, dane przetwarzane w ramach funkcjonalności, istotę czy zakres przetwarzanych danych.
Wszyscy zdajemy sobie sprawę, że na rynku świetnie funkcjonują darmowe wzory polityk prywatności, ale przy zdecydowaniu się na taką opcję, trzeba mieć na uwadze, że żaden z nich nie będzie w pełni odpowiadał naszym potrzebom oraz przedmiotowi działalności, a braki informacyjne w związku z wejściem w życiu RODO mogą skutkować różnego rodzaju sankcjami.
Posługując się dostępnymi na różnych stronach wzorkami nie uzyskamy także innych, istotnych informacji przykładowo dotyczących nieobowiązkowych narzędzi, które są coraz częściej stosowane przez sprzedawców jak: usługa Piksel Facebooka czy usługa Google Analitycs.
Polityka Prywatności, a pliki Cookies
Pliki Cookies są to niewielkie informacje tekstowe w postaci plików tekstowych, wysyłane przez serwer, które są zapisywane po stronie osoby odwiedzającej sklep Internetowy (np. na dysku twardym komputera czy też na karcie pamięci smartfona).
Obecnie, w zasadzie każdy sklep internetowy stosuje pliki Cookies, część z nich jest niezbędna do funkcjonowania sklepu, część natomiast wspomaga usługodawcę przy np. kierowaniu do użytkowników dopasowanych reklam.
W związku z tym usługodawca powinien zidentyfikować pliki Cookies używane w swoim sklepie internetowym, zamieścić informację dot. używanych plików Cookies w formie np. polityki Cookies oraz uzyskać zgodę i prawidłowo poinformować użytkowników o stosowanych plikach Cookies.
Polityka plików Cookies może przybrać formę odrębnego od Polityki Prywatności dokumentu informacyjnego lub być połączona w jeden dokument.
Zalecamy, aby informacje o plikach Cookies dodawać do Polityki Prywatności, ponieważ pod kątem prawnym polityka Cookies ma te same cechy co polityka prywatności, różni się jedynie celem i zakresem zawartych w niej informacji.
Jakie informacje odnośnie plików Cookies powinny się znaleźć w Polityce Prywatności? Przede wszystkim jasno należy określić cele przetwarzania danych zawartych w plikach Cookies ( np. identyfikacja, zapamiętywanie produktów dodanych do koszyka, remarketing), sposób wyrażenia zgody oraz wykorzystywanie narzędzi analitycznych.
Profilowanie w sklepie internetowym – nowy obowiązek informacyjny z RODO
Profilowanie przed wejściem w życie RODO nie było w polskim prawie kompleksowo uregulowane. Rozumiane było jako stosunkowe powszechne zjawisko zbierania informacji o usługobiorcy na podstawie określonych zachowań. RODO wprowadziło legalną definicję profilowania oraz nałożyło na administratora obowiązek informowania o tym zautomatyzowanym sposobie podejmowania decyzji ( art. 22 ust. 1 i 4 Rozporządzenia RODO).
Ponadto, oprócz obowiązku poinformowania o samym profilowaniu, zaleca się także wskazanie zasad, a także znaczenia i przewidywanych konsekwencji przetwarzania danych w wyniku profilowania.
Profilowanie, o którym mowa w RODO, to sytuacje, gdy decyzja dot. danej osoby jest podejmowana na skutek zautomatyzowanego przetwarzania danych osobowych i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. W takim wypadku pojawiają się dodatkowe obowiązki informacyjne.
W związku, iż na obecnym etapie stosowania przepisów RODO i braku jasnych wytycznych w tym zakresie oraz konkretnych decyzji – bezpieczniej przyjąć, że podane działania sklepu mogą być uznane za profilowanie, o którym mowa w RODO – stąd zalecamy dodanie takiego punktu do polityki prywatności w celach informacyjnych.
Jakie ryzyko niesie za sobą Polityka Prywatności niedostosowana do RODO
Polityka Prywatności to dokument informacyjny, który umożliwia jednocześnie usługodawcy skuteczne wykazanie spełnienia obowiązków informacyjnych względem usługobiorców.
Prawidłowe informowanie o sposobie i zasadach przetwarzania danych osobowych oraz o plikach Cookies to przede wszystkim wyraz dbałości usługodawcy o bezpieczeństwo i prywatność użytkowników odwiedzających sklep internetowy.
Nie mniej jednak RODO wprowadziło szereg procedur kontrolnych oraz możliwości nałożenia kar w przypadku stwierdzenia naruszeń w zakresie przetwarzania danych osobowych. Poza RODO innymi źródłami informacji na temat grożących sankcji jest także kodeks cywilny oraz kodeks karny.
W przypadku stwierdzenie naruszeń RODO, organ nadzorczy dysponuje szeregiem środków naprawczych oraz administracyjnych kar pieniężnych, które w zależności od stanu faktycznego mogą być stosowane oddzielnie lub łącznie. W ramach środków naprawczych możemy wskazać m.in. na: ostrzeżenia, upomnienia, nakaz spełnienia żądań, nakaz dostosowania operacji, nakaz sprostowania, usunięcia danych osobowych czy też cofnięcie certyfikacji. Środki te mogą być stosowane zamiast lub łącznie z karami pieniężnymi.
Kary pieniężne w zależności od charakteru i stopnia naruszeń mogą sięgać nawet do 20.000.000,00 euro, a w przypadku przedsiębiorstwa – do 4 % rocznego obrotu z poprzedniego roku obrotowego. Ponadto do wyżej wskazanych sankcji należy dodać także odpowiedzialność cywilną oraz karną.
Dlatego tak ważne jest posiadać dobrze dopasowaną do swoich potrzeb oraz swojej strony politykę prywatności. Jeżeli potrzebujesz pomocy w jej przygotowaniu, to skontaktuj się z nami, chętnie pomożemy.
