Jeżeli prowadzisz sprzedaż w serwisie Allegro.pl, również Ciebie dotyczą obowiązki związane z danymi osobowymi Twoich klientów, ustanowione przez Rozporządzenie RODO. W tym artykule opisujemy 6 najważniejszych kwestii, na które warto zwrócić uwagę, aby Twoja sprzedaż na tym popularnym portalu aukcyjnym odbywała się z poszanowaniem praw klientów w zakresie ich danych osobowych.
Sprawdź czy masz podstawę do przetwarzania danych klienta w określonym celu
Jakakolwiek forma wykorzystywania danych kupującego na Allegro (tzw. przetwarzanie danych) zgodnie z Rozporządzeniem RODO musi mieć określoną podstawę prawną. Poniżej wymieniamy najważniejsze podstawy prawne, które mogą dotyczyć Twojej sprzedaży na Allegro:
- wykonanie umowy sprzedaży np. wysyłka towaru do kupującego, kontakt z kupującym w celu wyjaśnienia szczegółów transakcji przed wysyłką towaru (art. 6 ust. 1 lit. b) Rozporządzenia RODO);
- obowiązek prawny ciążący na administratorze np. rozpatrzenie reklamacji czy prowadzenie ksiąg podatkowych lub rachunkowych (art. 6 ust. 1 lit. c) Rozporządzenia RODO w związku z odpowiednimi przepisami ustaw podatkowych lub ustawy o rachunkowości).
- prawnie uzasadniony interes administratora np. marketing bezpośredni albo dochodzenie roszczeń związanych z zawieranymi umowami sprzedaży lub obrona przed takimi roszczeniami (art. 6 ust. 1 lit. f) Rozporządzenia RODO).
Osobnej uwagi wymaga kwestia rozróżnienia pojęć marketingu i marketingu bezpośredniego. Jest to ważne z punktu widzenia przetwarzania danych przez sprzedającego – przetwarzanie danych w celach marketingowych wymaga bowiem zgody kupującego. Rozporządzenie RODO wyróżnia jednak rodzaj marketingu jakim jest marketing bezpośredni. Zgodnie z motywem 47 preambuły Rozporządzenia RODO, “za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.” Z kolei na przetwarzanie danych w prawnie uzasadnionym interesie administratora, nie jest potrzebna odrębna zgoda. Marketingiem bezpośrednim są takie działania, które mają charakter marketingowy, ale są związane bezpośrednio z danym zakupem i następują bezpośrednio po tym zakupie. Może to być zatem wysłanie gazetki reklamowej Twojego sklepu razem z przesyłką zawierającą zakupiony produkt. Rozporządzenie RODO nie definiuje marketingu bezpośredniego, ale warto zauważyć, że dotychczas marketing bezpośredni był dozwolony wyłącznie co do produktów i usług własnych administratora danych. Pamiętaj również, że marketing może być regulowany także innymi ustawami. W grę mogą wchodzić chociażby przepisy Prawa Telekomunikacyjnego, zgodnie z którymi należy uzyskać uprzednią zgodę na marketing z użyciem tzw. telekomunikacyjnych urządzeń końcowych (marketing telefoniczny, e-mailowy itp.). Zatem przesłanie gazetki reklamowej w przesyłce razem z produktem nie będzie wchodziło w zakres tego przepisu, ale marketing e-mailowy już tak. Pamiętaj więc, aby zawsze upewnić się, czy pomimo brak wymogu uzyskania zgody na przetwarzanie danych, nie potrzebujesz dla danej formy marketingu bezpośredniego zgody wynikającej z innych przepisów.
Jeżeli chodzi o przetwarzanie danych w celach marketingowych nie mieszczących się w pojęciu marketingu bezpośredniego lub w celu wysłania zaproszenia do wyrażania opinii o zakupie na takim portalu jak Ceneo czy Opineo, podstawą prawną była by w takim przypadku zgoda kupującego (art. 6 ust. 1 lit. a) Rozporządzenia RODO). Obecne funkcje Allegro nie umożliwiają jednak uzyskania takiej zgody przez Ciebie jako sprzedawcą podczas składania przez klienta zamówienia. Również skontaktowanie się z klientem, który dokonał zakupu na Allegro w celu uzyskania takiej zgody, będzie uznane za przetwarzanie jego danych w celu marketingowym. Wynika z tego, że o ile Allegro nie wprowadziło funkcji uzyskiwania przez sprzedającego zgody marketingowej od kupującego w trakcie składania zamówienia, co do zasady nie ma możliwości uzyskania odpowiedniej podstawy prawnej do prowadzenia marketingu na podstawie danych klientów uzyskanych w związku ze sprzedażą na Allegro.
Wszystkie podstawy prawne przetwarzania danych osobowych wymienia art. 6 Rozporządzenia RODO. Warto się z tym przepisem zapoznać w każdej sytuacji, kiedy nie wiesz czy dany cel, w jakim zamierzasz przetwarzać dane ma podstawę prawną.
Zawrzyj umowy powierzenia przetwarzania danych z ich odbiorcami
W przypadku sprzedaży na Allegro , w większości przypadku konieczne jest przekazanie danych kupujących podmiotom zewnętrznym wobec Twojej firmy. Najczęściej będą to firmy kurierskie, ale kupujących mogą być również potrzebne dostawcom usług, którzy zaopatrują Twoją firmę w rozwiązania techniczne, informatyczne itp. umożliwiające prowadzenie działalności (np. obsługują oprogramowanie do zarządzania sprzedażą). Może też zajść potrzeba przekazania danych niektórych kupujących zewnętrznemu księgowemu lub kancelarii prawnej.
W takich sytuacjach dochodzi do tzw. powierzenia przetwarzania danych osobowych przez Ciebie tym zewnętrznym podmiotom. Rozporządzanie RODO wymaga w takiej sytuacji, abyś z każdym podmiotem, który w Twoim imieniu będzie przetwarzał dane Twoich klientów zawarł umowę powierzenia przetwarzania danych. Kwestie, które taka umowa powinna regulować to między innymi: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa zarówno Twoje jako administratora jak i podmiotu, któremu powierzasz dane. Rozporządzenie RODO wymaga, aby przy powierzeniu danych móc każdorazowo wykazać zapewnienie należytej ochrony danych. Nie jest jednak realne ciągłe kontrolowanie każdego z podmiotów, którym powierzasz dane. Dlatego zawarcie umowy powierzenia danych jest dla Ciebie korzystne: poprzez jej postanowienia i wymagania, jakie możesz w niej ustanowić dla kontrahenta, możesz wykazać w razie ewentualnej kontroli, że przez jej zawarcie zapewniasz należytą ochronę danych.
Zadbaj o zapewnienie praw kupującego w związku z przetwarzaniem jego danych
Rozporządzenie RODO przyznaje osobom, których dane są przetwarzane szereg uprawnień z tym związanych. Dotyczy to również kupujących, których dane przetwarzasz w związku z zakupami dokonanymi przez nich na Allegro. Zgodnie z Rozporządzeniem RODO, kupujący ma wobec Ciebie następujące prawa:
- prawo żądania dostępu do jego danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jego danych;
- prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
- prawo do wniesienia przez klienta skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych);
- prawo do sprzeciwu w kwestii marketingu bezpośredniego – jeżeli dane kupującego są przetwarzane na potrzeby tzw. marketingu bezpośredniego, klient może się sprzeciwić wykorzystywaniu jego danych do tego celu.
Dodatkowo, powinieneś poinformować kupującego o powyższych jego prawach. Allegro umożliwia umieszczenie szeregu informacji na koncie sprzedającego na Allegro oraz w opisie każdej transakcji. Więcej o obowiązku informacyjnym piszemy w kolejnym punkcie.
Zadbaj o spełnienie obowiązków informacyjnych wobec kupujących
Rozporządzenie RODO określa szereg informacji, które powinna otrzymać osoba, której dotyczą dane, a więc w tym przypadku kupujący. Najłatwiej spełnić te obowiązku poprzez umieszczenie na swoim koncie Allegro odpowiedniego regulaminu zawierającego, oprócz postanowień dotyczących umowy sprzedaży i praw konsumenta, również zapisy dotyczące danych osobowych. Klient powinien w ten sposób otrzymać następujące informacje;
- dane administratora danych– nazwa Twojej firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia
- działalności/siedziby, adres e-mail;
- jeżeli wyznaczyłeś w firmie inspektora ochrony danych – dane kontaktowe tej osoby;
- cele i podstawy prawne przetwarzania danych
- osobowych;
- kategorie odbiorców danych osobowych;
- przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz
- Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej
- siedzibę poza EOG;
- konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
- prawa osoby, której dane są przetwarzane;
- czy wymóg podania danych osobowych podczas korzystania ze sklepu jest warunkiem koniecznym do zawarcia umowy sprzedaży oraz jakich danych i jakich sytuacji taki wymóg dotyczy.
Upewnij się, czy nie wykorzystujesz danych kupujących niezgodnie z regulaminem Allegro
Grupa Allegro w regulaminie swojego portalu aukcyjnego określa pewne dodatkowe wymogi, które nie wynikają bezpośrednio z Rozporządzenia RODO. Obowiązują one jednak Ciebie jako sprzedawcę, ponieważ zakładając konto na Allegro i prowadząc tam sprzedaż, zobowiązujesz się do przestrzegania zasad ustanowionych przez właściciela portalu. Zgodnie z pkt. 13.4 regulaminu Allegro:
„Zabronione jest wykorzystywanie informacji, o których mowa w art. 13.3, w celach komercyjnych polegających na promowaniu w jakiejkolwiek postaci działalności Użytkownika prowadzonej poza Allegro. W szczególności zabronione jest:
a) składanie propozycji zakupu lub sprzedaży Towaru poza Allegro (nie dotyczy to Ofert, o których mowa w art. 3.3);
b) dołączanie do wysyłanego Towaru lub dostarczanie w jakiejkolwiek innej formie treści zawierających informację o działalności komercyjnej prowadzonej poza Allegro (na przykład ulotek reklamujących sklep internetowy);
c) zakładanie Użytkownikom kont w sklepach internetowych.”
Pamiętaj zatem, aby powstrzymać się od wykorzystywania danych, które uzyskałeś w związku ze sprzedażą na Allegro w powyższych celach. W przeciwnym razie możesz ponieść konsekwencje związane z naruszeniem regulaminu Allegro, w tym takie jak zawieszenie Twojego konta.
Przygotuj wymaganą przez RODO dokumentację wewnętrzną
Warto wreszcie pamiętać, że odpowiedni regulamin sprzedaży na Allegro, to nie wszystko. Rozporządzenie RODO wymaga od każdej firmy przetwarzającej dane osobowe posiadania odpowiedniej dokumentacji wewnętrznej. Taka dokumentacja najczęściej składa się z szeregu istotnych dokumentów opisujących, na użytek ewentualnej kontroli, co się dzieje z danymi osobowymi, które są zbierane i przetwarzane w danej firmie. Są to m.in. takie dokumenty, jak:
- Polityka bezpieczeństwa zawierająca m.in. główne zasady przetwarzania danych osobowych w firmie, zasady przetwarzania danych przez personel, wykaz urządzeń stosowanych do przetwarzania danych, obowiązki administratora i personelu, prawa osób, których dane dotyczą i sposoby ich realizacji, określenie obszaru przetwarzania danych, środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych;
- Udzielone przez administratora upoważnienia do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności.
- Ewidencja upoważnień do przetwarzania danych;
- Ewidencja podmiotów, którym powierzono przetwarzanie danych.
- Rejestr czynności przetwarzania.
- Ewidencja incydentów naruszeń zasad prawidłowego przetwarzania danych;
- Analiza ryzyka związanego z przetwarzaniem danych wraz z oceną skutków dla przetwarzania danych osobowych;
- Zawarte przez administratora umowy powierzenia danych osobowych.
Poza posiadaniem dokumentacji, ważne jest aby rzeczywiście wdrożyć w firmie opisane w niej procedury i zabezpieczenia. Jeżeli zatrudniasz pracowników, powinieneś również przeszkolić ich z zawartych w dokumentacji zasad odpowiedniego postępowania z danymi osobowymi klientów.
Zapoznaj się ze stanowiskiem Allegro w kwestii przetwarzania przez Ciebie danych osobowych klientów
Allegro zajęło stanowisko co do niektórych kwestii dotyczących relacji pomiędzy Tobą jako sprzedającym a właścicielem portalu w kontekście danych osobowych kupujących. Zgodnie z artykułem opublikowanym na portalu Allegro.pl, nie musisz podpisywać z Allegro umowy powierzenia danych osobowych kupujących. Zgodnie z tym stanowiskiem, w przypadku zakupu na portalu Allegro nie dochodzi do powierzenia przetwarzania danych. Allegro udostępnia sprzedającemu dane swoich klientów w wyniku wcześniej przez nich zawartej umowy o korzystanie z konta. Ponieważ dokonywanie zakupów jest jedną z funkcji konta, przepływ danych kupującego pomiędzy Allegro a sprzedającym mieści się w zakresie celu, jakim jest wykonanie umowy o korzystanie z konta. W tym miejscu należy zaznaczyć, że ta kwestia nie jest jednoznaczna z punktu widzenia Rozporządzenia RODO i mogą pojawić się również takie interpretacje, zgodnie z którymi jednak dochodzi do powierzenia przetwarzania danych. Kwestia ta może zostać rozstrzygnięta dopiero w praktyce, w razie ewentualnej kontroli portalu przez Prezesa Urzędu Ochrony Danych Osobowych.
Allegro potwierdza również, że sam musisz zadbać o spełnienie obowiązków informacyjnych wobec kupujących. O szczegółach tego obowiązku informacyjnego pisaliśmy w rozdziale 4 tego artykułu. Zgodnie z informacją Allegro, portal nie bierze na siebie obowiązków, jakie w tym zakresie ciążą na Tobie jako administratorze danych osobowych kupujących. Allegro ze swojej strony spełnia wobec użytkowników obowiązki informacyjne co do kwestii dotyczących właściciela portalu. Ty natomiast musisz zadbać o dostarczenie informacji, jako administrator, którego rola wynika z faktu bycia sprzedającym.
Podsumowanie
Prowadząc sprzedaż na Allegro z pewnością nie da się ominąć wymogów Rozporządzenia RODO dotyczących przetwarzania danych kupujących. Warto zaopatrzyć się w odpowiedni regulamin sprzedaży uwzględniający wymogi informacyjne, który można umieścić na swoim koncie w portalu Allegro. Pamiętaj też o zapewnieniu realizacji praw klientów i przetwarzaniu danych tylko w takim zakresie, w jakim jest to konieczne do realizacji tych celów przetwarzania danych, do którym masz odpowiednią podstawę prawną. Wreszcie, pamiętaj o posiadaniu w firmie aktualnej dokumentacji wewnętrznej.
Jeżeli zastanawiasz się, jak dobrze przygotować opisany w tym artykule regulamin sprzedaży na Allegro, jak sformułować odpowiednie umowy powierzenia danych, czy też jak sporządzić kompleksową i do Twojej firmy dokumentację wewnętrzną – zachęcamy do skorzystania z usług naszych prawników specjalizujących się właśnie w takich zagadnieniach. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@regulaminowo.pl.