/ Niezbędnik

RODO w 7 krokach – Poradnik dla właścicieli sklepów internetowych

RODO to hasło, które przewija się w mediach od kilku miesięcy. Chociaż nowe przepisy o ochronie danych osobowych obowiązują od 25 maja 2018 r., czyli już prawie pół roku, wciąż budzą wiele wątpliwości i obaw. Trzeba się nimi zainteresować i warto śledzić, co się o nich pisze, ale nie trzeba się przy tym bać. Jak przeczytasz poniżej, RODO jest możliwe do okiełznania.

Czy dotyczy Cię RODO?

Pierwsze i najważniejsze pytanie, które zadaje sobie każdy przedsiębiorca, to:

Czy dotyczy mnie RODO?

Odpowiedź brzmi: dwa razy tak.

Po pierwsze, jesteś nie tylko przedsiębiorcą, ale też zwykłą osobą, której dane osobowe są przetwarzane przez różne firmy. Odbierasz telefony z ofertami, dostajesz mailem newslettery, których nigdy nie zamawiałeś… RODO chroni Cię tak, jak każdą inną osobę i ma ukrócić różne nadużycia w przetwarzaniu danych.

Z drugiej strony, jeśli prowadzisz sklep, to również wysyłasz oferty, newslettery, chcesz docierać do klientów. I dalej możesz to robić, a RODO nie jest wcale takie trudne do opanowania.

Pamiętaj jednak, że dane Twoich znajomych i rodziny, takie, które są Ci potrzebne do wysyłania kartek z wakacji czy umawiania się na imprezy, oczywiście pod RODO nie podlegają.

Dla porządku przypomnijmy sobie krótko, czym właściwie RODO jest. W zagranicznych artykułach spotkasz je pod nazwą GDPR, a jest to po prostu rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, zwane ogólnym rozporządzeniem o ochronie danych.

Co to jest “ustawa RODO”?

Przy większości unijnych aktów prawnych jest tak, że trzeba je „przepisać” do polskiego prawa, czyli uchwalić odpowiednią ustawę. W przypadku RODO jest inaczej, musisz stosować się bezpośrednio do jego przepisów. To RODO otwierasz, jeśli chcesz coś sprawdzić (oficjalny tekst znajdziesz tutaj link). RODO obowiązuje od 25 maja 2018 r. i polskie ustawy nie mają tu nic do rzeczy.

Przed RODO mieliśmy ustawę o ochronie danych osobowych z 1997 r. Teraz też mamy ustawę, która się tak nazywa: ustawa o ochronie danych osobowych z 11 maja 2018 r. Ta ustawa ma głównie funkcje techniczne: mówi o Prezesie Urzędu Ochrony Danych Osobowych, karach za nieprzestrzeganie RODO itp.

Polska ustawa jest jednak dla Ciebie ważna, jeśli zatrudniasz pracowników. W nawiązaniu do RODO wprowadziła przepisy dotyczące monitoringu pomieszczeń czy poczty elektronicznej. Przepisy mówią, kiedy można wprowadzić monitoring, co należy przy tym wziąć pod uwagę i nakładają na pracodawców obowiązek wyraźnego oznaczenia miejsc monitorowanych. To oznacza, że jeśli masz magazyn sklepu, a w nim pracowników i kamery, to w magazynie powinna wisieć tabliczka z napisem, na przykład, „Pomieszczenie monitorowane”. Polska ustawa wprowadziła te przepisy, a teraz znajdziesz je w kodeksie pracy.

Podsumowując, najważniejszy dla Ciebie jest tekst RODO i to z niego będziesz przede wszystkim korzystać. Polskie przepisy przydadzą Ci się głównie, jeśli będziesz się zastanawiał nad kontaktem z Prezesem Urzędu Ochrony Danych Osobowych: żeby zgłosić swojego inspektora ochrony danych, skargę na kogoś lub jeśli będziesz mieć (niestety) kontrolę i zechcesz dowiedzieć się, jak ona będzie wyglądać. Na szczęście Urząd Ochrony Danych Osobowych ma przejrzystą stronę internetową, z której dowiesz się wielu ciekawych rzeczy. link.

Czy RODO to rewolucja?

I tak, i nie. Tak naprawdę już poprzednie polskie przepisy o ochronie danych osobowych kazały odpowiednio chronić te dane, prowadzić dokumentację (politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym). Definicja danych osobowych czy ich przetwarzania, obowiązki administratora – to wcale aż tak się nie różni. Największa zmiana polega na tym, że RODO daje większą swobodę w wyborze środków, jakimi będziesz chronić dane osobowe.

Z drugiej strony, przed RODO mało kto przejmował się ochroną danych osobowych. Ucięcie telefonów z ofertami było prawie niemożliwe, a teraz wystarczy poprosić o ich nieprzetwarzanie w tym celu. Większe zainteresowanie danymi osobowymi oznacza więcej artykułów w prasie, więcej programów telewizyjnych, generalnie – więcej wskazówek na temat tego, jak chronić dane.

Wbrew pozorom więc RODO może być pomocne. A wysokie kary, których wszyscy się boją? Tak, są w RODO, ale za drobne błędy nie dostaniesz maksymalnej kary. Do ochrony danych trzeba podejść z głową i pokazać, że robisz wszystko, żeby przestrzegać zasad ich ochrony z RODO. Wtedy powinno być w porządku.

Co musisz zrobić z RODO?

Przede wszystkim – nie bać się! RODO nie jest takie skomplikowane, jak się wydaje.  Na pewno wymaga uwagi, zaplanowania, jak będziesz chronić dane osobowe w swojej firmie. Przy dużej działalności warto się zastanowić nad profesjonalną pomocą we wdrożeniu RODO.

Przypomnijmy trzy podstawowe pojęcia RODO.

Dane osobowe – to wszystkie informacje o osobie fizycznej zidentyfikowanej lub możliwej do zidentyfikowania. Chodzi o to, czy – wykorzystując dane – możemy ustalić, do kogo należą. A więc imię, nazwisko, adres mailowy, nick internetowy, PESEL czy nawet informacje o lokalizacji – to wszystko mogą być dane osobowe. To samo dotyczy numeru telefonu czy wizerunku.
Przetwarzanie danych – to wszystko, co robisz z danymi osobowymi. A więc ich zbieranie, porządkowanie, usuwanie, a nawet już samo przechowywanie, zmiana, przesyłanie – wszystko, co można zrobić z danymi.
Administrator – to jest osoba, która decyduje o celach i sposobach przetwarzania danych. Jeśli masz jednoosobową działalność, to jesteś administratorem jako osoba fizyczna. Jeśli Twój sklep działa jako spółka, to administratorem danych jest sama spółka.

Kolejna ważna kwestia, to znalezienie podstawy przetwarzania danych i wiedza, jakich danych osobowych klientów używasz. W swojej działalności będziesz przetwarzać raczej zwykłe dane osobowe, a więc nie dane o zdrowiu czy poglądach politycznych, dlatego  skupimy się na danych takich, jak imię, nazwisko, e-mail, adres czy numer telefonu.          

UWAGA – dwie najważniejsze podstawy przetwarzania danych. Pierwsza z nich to przetwarzanie danych niezbędne w celu wykonania umowy, której stroną jest  klient lub do podjęcia działań na żądanie klienta, przed zawarciem umowy. Tę podstawę wykorzystasz przy realizowaniu zamówień w Twoim sklepie. Drugą  jest zgoda klienta – ta podstawa przyda Ci się przy wysyłaniu newslettera.  

Kiedy już wiesz, jakich danych i na jakiej podstawie używasz, dopasuj środki bezpieczeństwa w sklepie tak, aby dane były chronione. W tym celu:

·        zastanów się, jakie masz możliwości techniczne i jaki jest ich koszt,

·        określ zakres, kontekst i cele przetwarzania (możesz dla ułatwienia je spisać, np. w dokumentach, o których przeczytasz niżej),

·        pomyśl, jakie jest ryzyko naruszenia praw lub wolności klientów przy przetwarzaniu i jakie jest jego prawdopodobieństwo i waga (jeśli od dawna planujesz aktualizację używanego oprogramowania, to może być dobry moment),

·        wybierz, jakie środki organizacyjne wdrożysz, żeby zabezpieczyć dane.

UWAGA – zastosuj np. szyfrowanie danych osobowych, aktualizuj używane oprogramowanie i sprzęt, regularnie sprawdzaj i testuj, czy nie musisz poprawić zabezpieczeń. Oceniając, czy stopień bezpieczeństwa w Twoim sklepie jest odpowiedni, uwzględnij w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Na koniec pamiętaj, że RODO to przede wszystkim nowa filozofia ochrony danych. Nie  wystarczy tylko reagować na naruszenia danych, musisz spróbować im zapobiec.  

UWAGA – pamiętaj o dwóch ważnych zasadach z RODO: privacy by default (prywatność w ustawieniach domyślnych) i privacy by design (prywatność w fazie projektowania).

Privacy by default oznacza, że ochrona prywatności powinna być domyślnym ustawieniem systemu, z którego korzystasz. Zatem, jeśli klient chciałby podać więcej swoich danych, np. zapisując się na newsletter, musi podjąć w tym kierunku aktywne działanie, nie można domyślne zaznaczyć zgody na newsletter czy automatycznie przy zamówieniu wypełnić danych klienta w formularzu zapisu.

Privacy by design oznacza konieczność wbudowania ochrony danych w system, którego używasz. Pamiętaj o tym, aktualizując czy projektując swój sklep czy system do wysyłki newslettera.

Jakie musisz mieć dokumenty?

Jeśli prowadzisz sklep internetowy musisz mieć przede wszystkim REGULAMIN, który określa zasady świadczenia przez Ciebie usług drogą elektroniczną.

UWAGA ! Musisz w nim uwzględnić szczególne prawa konsumentów – określone oddzielną ustawą, które są szersze niż zagwarantowane przepisami prawa osób kupujących w związku z prowadzoną działalnością gospodarczą przedsiębiorców  

Obowiązek jego posiadania wynika z ustawy o świadczeniu usług drogą elektroniczną- ale możesz w nim uwzględnić elementy wymagane przez RODO – m.in. określić politykę przetwarzania danych osobowych w Twoim sklepie, poinformować klientów o rodzaju, celu i podstawie przetwarzania ich danych osobowych, o tym czy i komu je przekazujesz.  

Kolejny dokument, który powinieneś mieć to INFORMACJA O PLIKACH COOKIES. Jeśli nie uwzględniłeś w regulaminie sklepu kwestii danych osobowych – powinieneś także stworzyć tzw. politykę prywatności, która określi zasady ich przetwarzania. Obowiązek informowania i uzyskiwania zgody na użycie cookies wynika z art. 173 prawa telekomunikacyjnego, który stanowi m.in., że informacja o nich musi być jednoznaczna, łatwa i zrozumiała oraz określa dokładny zakres tej informacji.    

Informacja o cookies może być wyskakującym okienkiem, który użytkownik zobaczy natychmiast po wejściu na stronę i wyrazi zgodę na ich używanie, w którym jednocześnie znajdzie link do szerszego wyjaśnienia w jaki sposób i w jakim celu używasz cookies.      

KLAUZULA OBOWIĄZKU INFORMACYJNEGO – to dokument związany stricte z RODO, które mówi, że Administrator- w tym wypadku osoba prowadząca sklep internetowy zbierająca dane osobowe od klientów – musi ich poinformować o szeregu kwestii wskazanych w art. 13 RODO[1].  

Obowiązek ten musisz wykonać przy pierwszej czynności pozyskiwania danych. Można to zrobić na różne sposoby. Pierwszym z nich jest pojawianie się klauzuli przy pierwszym wejściu klienta na stronę internetową sklepu. Klient oświadcza, że zapoznał się z klauzulą i dopiero po potwierdzeniu tej kwestii przechodzi do właściwej strony. Drugi sposób to zamieszczenie obowiązku informacyjnego przy formularzu kontaktowym czy formularzu składania zamówienia, zakładania konta – jednym słowem przy pierwszej czynności, przy której klient podaje dane.

Obowiązkiem wynikającym z RODO jest także stworzenie REJESTRU CZYNNOŚCI PRZETWARZANIA. Chociaż brzmi skomplikowanie – tak naprawdę nie jest to uciążliwy obowiązek. Wystarczy stworzyć plik – tabelę, w której opisane zostaną m.in. kategorie danych osobowych, cel, podstawa przetwarzania, kategorie odbiorców, okres przechowywania danych. Wzór takiego rejestru możesz znaleźć na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych link.

UWAGA- w rejestrze czynności przetwarzania nie chodzi o to, by wpisywać do niego dane poszczególnych klientów – lecz kategorie danych i procesy  jakie na nich są wykonywane oraz inne elementy wskazane w art. 30 RODO.

Co istotne, stworzenie rejestru nie jest obowiązkowe dla jednoosobowych przedsiębiorców ani dla podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych. W praktyce- warto taki rejestr stworzyć, by móc się nim okazać w razie ewentualnej kontroli oraz by rzeczywiście panować nad zakresem przekazywanych nam danych osobowych.

Jakie dokumenty musisz mieć w sklepie internetowym zgodnie z RODO

Czy przekazujesz dane osobowe podmiotom trzecim, np. Księgowej, obsłudze informatycznej, prawnej?

W większości przypadków z pewnością tak. W takim razie potrzebujesz umowy powierzenia przetwarzania danych osobowych. Na jej podstawie możesz te dane legalnie przekazywać, o ile zawiera ona wszystkie elementy wskazane w art. 28 RODO. Elementy te są jasno określone- można zatem stworzyć wzór, który z małymi modyfikacjami może być stosowany przy każdej okazji przekazania danych.

UWAGA! W obowiązku informacyjnym musisz wskazać odbiorców danych – osoba, której dane dotyczą musi wiedzieć o tym, że dane są przekazywane innym podmiotom.

Jako że z całą pewnością przekazujesz dane różnym  firmom kurierskim, ma do nich dostęp także sam kurier – każdorazowe sporządzanie i podpisywanie umów powierzenia byłoby trudne i uciążliwe, jeśli w ogóle możliwe. RODO daje nam alternatywę – podstawą powierzenia może być nie tylko umowa, lecz także inny instrument prawny, określające zasady powierzenia. Co to oznacza? Otóż możesz kwestie związane z powierzeniem zawrzeć w regulaminie swojego sklepu internetowego.

Warto także zapoznać się z polityką przetwarzania danych firmy kurierskiej, z usług której korzystasz- zazwyczaj przedstawione są one na stronie internetowej firmy.

Jeśli zatrudniasz pracowników, którzy pomagają Ci w prowadzeniu sklepu i mają dostęp do danych (np. Kategoryzują zamówienia, nadają przesyłki, zajmują się tworzeniem i wysyłką newslettera) powinieneś nadać im UPOWAŻNIENIE do tego, by w Twoim imieniu i na Twoje polecenie, w określonym w upoważnieniu zakresie, przetwarzał dane osobowe. Zasadą jest to, by do danych osobowych miały dostęp wyłącznie osoby upoważnione przez administratora.    

Jeśli pracowników jest kilku, a każdy z nich jest upoważniony do dostępu do innego zakresu danych ( np. jeden z nich ma dostęp tylko do adresów e-mail, inny – tylko do imion, nazwisk oraz adresu do korespondencji) możesz stworzyć REJESTR UPOWAŻNIEŃ, którym w razie kontroli będzie mógł bez problemu wykazać, który pracownik ma dostęp do jakiego zakresu danych.    

ZGODA NA WYSYŁKĘ NEWSLETTERA – to odrębna od RODO kwestia, ale niezbędna dla tych usługodawców, którzy w ten sposób chcą reklamować swoje produkty. Przeczytasz o niej poniżej- poświęciłyśmy jej oddzielny, 6 KROK.  

Co może Twój klient?

Twój klient – jeśli jest osobą fizyczną ( konsumentem lub przedsiębiorcą prowadzącym działalność gospodarczą) ma określone prawa, które realizować musi Administrator. Są to:

  • Prawo do informacji i przejrzystej komunikacji,
  • Prawo dostępu do danych,
  • Prawo do sprostowania danych,
  • Prawo do usunięcia danych,
  • Prawo do ograniczenia przetwarzania,
  • Prawo do przenoszenia danych,
  • Prawo do sprzeciwu,
  • Prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.

Na czym one polegają?

Prawo do informacji – realizujesz je poprzez przekazanie obowiązku informacyjnego, opisanego powyżej. Osoba, której dane dotyczą ma prawo do tego by w przystępnej formie, jasnym i zrozumiałym językiem otrzymać informacje o tym kto, w jakim celu, na jakiej podstawie przetwarza jej dane oraz do tego, by zostać poinformowana o przysługujących jej uprawnieniach.

Prawo dostępu do danych – Twój klient ma prawo żądać od Ciebie potwierdzenia, czy przetwarzane są jego dane osobowe, a jeżeli ma to miejsce, jest uprawniony do uzyskania dostępu do nich oraz do wskazanych w art. 15 RODO informacji- takich jak cel przetwarzania, kategorie przetwarzanych danych. Jeśli klient tego zażąda – musisz przekazać mu kopię przetwarzanych danych, które go dotyczą ( np. w formacie PDF). Pierwsza kopia jest bezpłatna – za kolejne możesz pobrać opłatę, przy czym musi ona być rozsądna i jej wysokość wynikać musi z kosztów administracyjnych- o ile takie ponosisz przy tworzeniu kopii.

Prawo do sprostowania danych – Twój klient ma prawo żądania od Ciebie niezwłocznego sprostowania jego danych osobowych, które są nieprawidłowe (np. omyłki w nazwisku).  Może także żądać uzupełnienia niekompletnych danych osobowych.

Prawo do usunięcia danych ( czyli prawo do bycia zapomnianym) – chyba najbardziej popularny aspekt RODO. Jeśli nie życzę sobie dalszego przetwarzania moich danych osobowych, żądam od administratora  niezwłocznego usunięcia moich danych. Administrator musi wówczas bez zbędnej zwłoki usunąć dane. Czy zawsze? Na szczęście RODO przewiduje wyjątki. Z prawa tego Twój klient może skorzystać, jeżeli zachodzi jedna z następujących okoliczności:

a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane (czyli jeśli np. nie są już niezbędne do wykonania umowy sprzedaży, dostawy towarów, umowa została w pełni wykonana)

b) dane były przetwarzane na podstawie zgody (np. adres e-mail do wysyłki newsletter) i klient cofnął zgodę oraz nie ma innej podstawy prawnej przetwarzania (dane niezbędne do wysyłki przetwarzasz nie na podstawie zgody, lecz z uwagi na to, że są one niezbędne do wykonania zawartej umowy)

c) klient wnosi sprzeciw wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania

d) dane osobowe były przetwarzane niezgodnie z prawem

e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator

f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.

A co jeśli Twój klient nie zapłacił Ci za dostarczony mu towar i korzysta z prawa do bycia zapomnianym?

Jeśli usuniesz jego dane – nie będzie mógł skutecznie dochodzić roszczeń na drodze sądowej. Na szczęście i tu RODO przychodzi z pomocą – prawa tego nie trzeba realizować, jeśli m.in. są niezbędne dla ustalenia czy dochodzenia roszczeń.

Prawo do ograniczenia przetwarzania – klient może zażądać od Ciebie ograniczenia przetwarzania, jeśli kwestionuje prawidłowość swoich danych osobowych – na okres pozwalający Ci sprawdzić ich prawidłowość, jeśli przetwarzanie jest niezgodne z prawem, a Klient  sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, jak również jeśli   nie potrzebujesz już danych osobowych Klienta do celów przetwarzania, ale są one potrzebne samemu Klientowi, do ustalenia, dochodzenia lub obrony roszczeń ( jeśli np. będzie od Ciebie dochodził roszczeń z tytułu gwarancji czy rękojmi) oraz jeśli Klient wniósł sprzeciw wobec przetwarzania- do czasu ustalenia, czy rzeczywiście ma podstawy do wniesienia sprzeciwu.

Prawo do przenoszenia danych – Twój klient ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego  (np. PDF) swoje dane osobowe, które Ci przekazał np. rejestrując się lub składając zamówienie, oraz ma prawo przesłać te dane osobowe innemu administratorowi (np. do innego sklepu), jeżeli:

a) przetwarzanie odbywa się na podstawie zgody  lub na podstawie umowy ( w przypadku sklepów internetowych zazwyczaj podstawą przetwarzania będzie właśnie ta druga podstawa – konieczność wykonania zawartej umowy sprzedaży)

b) przetwarzanie odbywa się w sposób zautomatyzowany (zautomatyzowany – czyli pozbawiony ludzkiej ingerencji, niektórzy twierdzą, że każde przetwarzanie które nie następuje w formie papierowej jest przetwarzaniem zautomatyzowanym).

Co więcej, Twój klient może żądać, żebyś to Ty przesłał jego dane do innego administratora (np. do innego sklepu), o ile w danym przypadku będzie to technicznie możliwe.

Prawo do sprzeciwu – Prawo to można wykonać tylko, jeśli przetwarzanie odbywa się w interesie publicznych lub gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora – w praktyce przy sklepach internetowych będzie to rzadka podstawa, niemniej warto pamiętać, że takie prawo istnieje, nie zawsze można z niego skorzystać i jeśli przetwarzanie odbywa się na podstawie zgody lub w związku z koniecznością realizacji zawartej umowy- nie trzeba go realizować.

Polega na tym, że w razie zgłoszenia sprzeciwu danych nie można w dalszym ciągu przetwarzać.

Wyjątek wprowadzono w zakresie prawa do sprzeciwu jak chodzi o marketing bezpośredni (np. wysyłkę newslettera). Otóż jeśli dane osobowe są przetwarzane na potrzeby takiego marketingu, Twój klient, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jego danych, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Z drugiej strony, jak już wiesz, RODO chroni również Ciebie. Możesz wykorzystać ten sprzeciw, żeby pozbyć się niechcianych telefonów z ofertami.

Prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu – Każda osoba fizyczna ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Chodzi tu o decyzje podejmowane bez ingerencji ludzkiej. Są jednak wyjątki. Prawa tego nie stosuje się, jeśli  ta decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem, jeśli jest dozwolona prawem UE, prawem państwa członkowskiego oraz jeśli opiera się na wyraźnej zgodzie Twojego Klienta.

Jak wysyłać newsletter?

Newsletter nie możesz wysyłać do dowolnych osób czy też do bazy osób – nawet jeśli są to osoby, które stale kupują w Twoim sklepie. Warunkiem jest uzyskanie zgody. Czy obowiązek ten wprowadziło RODO ? Nie, istniał on już wcześniej. Wynika z ustawy o świadczeniu usług drogą elektroniczną. Newsletter to zazwyczaj nic innego jak informacja handlowa, a przesyłanie niezamówionej informacji handlowej jest niezgodne z prawem i może zostać uznane za czyn nieuczciwej konkurencji.

Zgodę klienta na przesyłanie mu newslettera możesz uzyskać, tworząc np. checkbox  z odpowiednią treścią zgody, który Twój klient może zaznaczyć przy składaniu zamówienia, zakładaniu konta czy też w każdym innym momencie poruszając się po stronie sklepu. Nie może to być jednak checkbox zaznaczony domyślnie - to klient sam decyduje, czy go zaznaczyć i tym samym czy chce otrzymywać na maila Twój newsletter, zgoda nie może być dorozumiana.  

UWAGA! Odwołanie zgody musi być tak samo łatwe jak jej wyrażenie.          

Podsumowanie

Temat RODO jest bardzo szeroki i nie możemy wyczerpać go do końca w tym poradniku. Jednak teraz już znasz podstawy i wiesz, że nie takie RODO straszne, jak je malują.    

Jeżeli masz jakiekolwiek pytania, skontaktuj się z nami link.


[1] Art. 13 wymaga, by Administrator podczas pozyskiwania danych osobowych podał osobie, której one dotyczą swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela, gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych, cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania, jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) (dot. interesów administratora) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią, informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych; okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych; jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; informacje o prawie wniesienia skargi do organu nadzorczego;informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.        


 

Ten wpis jest efektem współpracy

Katarzyna Więcek, Martyna Czapska

  • Katarzyna Więcek

    Katarzyna Więcek

    Aplikant adwokacki We współpracy z Selesto zajmuje się kwestiami prawnymi związanymi z usługami świadczonymi na rzecz użytkowników

    Więcej wpisów autorstwa Katarzyna Więcek.

    Katarzyna Więcek
  • Martyna Czapska

    Martyna Czapska

    Radca prawny W swojej praktyce zajmuje się szeroko pojętym prawem własności intelektualnej, ze szczególnym uwzględnieniem prawa nowych technologii.

    Więcej wpisów autorstwa Martyna Czapska.

    Martyna Czapska
RODO w 7 krokach – Poradnik dla właścicieli sklepów internetowych
Share this
MENU