0 0
dni
0 0
godz
0 0
min
0 0
sek

Dane osobowe w e-commerce i zasady ich przetwarzania – stanowisko TSUE

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Obowiązki wobec użytkowników sieci w aspekcie ochrony danych osobowych mają niemal wszyscy właściciele stron internetowych. Najbardziej skrupulatne w tej kwestii powinny być jednak podmioty prowadzące sklepy online. To ich działalność bowiem wymaga zbierania i przetwarzania największej ilości danych konsumentów. Co więcej, to oni również przekazują najczęściej zebrane informacje innym podmiotom, jak na przykład firmom kurierskim i biurom rachunkowym. Pod koniec roku 2024 wydany został wyrok Trybunału Sprawiedliwości Unii Europejskiej, który w niektórych branżach może wiele namieszać. Warto zatem zapoznać się z jego treścią i zbadać jak owo orzeczenie wpłynęło na dane osobowe w e-commerce i zasady ich przetwarzania.

Każdy sprzedawca w sieci przetwarza dane osobowe 

Niezależnie od tego, czy dany przedsiębiorca prowadzi mały sklepik, czy też ogromną platformę sprzedażową, czy sprzedaje produkty wirtualne, czy „fizyczne” towary i usługi, musi zadbać o dostosowanie swojej strony do RODO. Czym rozporządzenie o ochronie danych jest, nie ma sensu tłumaczyć, każdy bowiem już z nim zetknął i wie, czego ono dotyczy. 

Dlaczego każdy sprzedawca online musi działać w zgodzie z przepisami RODO? Gdyż każdy przetwarza dane. I nie ma tutaj znaczenia, czy działa w trybie kontraktów B2B (business to business), czy też B2C (business to client). W każdej z tych działalności ma on do czynienia z danymi osobowymi osób fizycznych. Warto również przypomnieć, że fakt, iż RODO jest aktem prawnym UE, nie oznacza, że przedsiębiorca, który swoją firmę przeniósł poza granice Wspólnoty, jest zwolniony z omawianego obowiązku. Jeżeli klientami są osoby przebywające na terenie UE, to sklep musi być dostosowany do zasad RODO.

Dane osobowe w e-commerce i zasady ich przetwarzania – kilka słów na start

Być może są tutaj osoby, które dopiero planują otwarcie sklepu internetowego i zastanawiają się, jakie są zasady przetwarzania danych osobowych w e-commerce. Poniżej przedstawiamy najważniejsze kwestie z tym związane. Natomiast po bardziej szczegółowe informacje zapraszamy do artykułu – Rodo w sklepie internetowym krok po kroku

Pierwsza zasada generalna przetwarzania danych osobowych mówi, że proces ten musi charakteryzować przejrzystość i legalność. Co to oznacza? Wszystkie operacje związane z przetwarzaniem danych osób fizycznych przeprowadzane w ramach sklepu internetowego muszą być wykonywane w sposób transparentny i zgodny z prawne. Przedsiębiorca musi zatem jasno poinformować osoby, których dane dotyczą, o tym, iż będzie przetwarzał określone informacje o ich osobach. W ramach tego musi wskazać na:

  • kategorie przetwarzanych danych osobowych; 
  • cele przetwarzania; 
  • okres przechowywania danych w swoich bazach danych; 
  • podmioty trzecie, które mogą mieć dostęp do zbieranych danych osobowych; 
  • prawa osób, których dane są przetwarzane.

Ponadto przetwarzanie danych musi być uzasadnione i mieć swoje oparcie w przepisach RODO, może to być zgoda, wykonanie umowy, obowiązek prawny, ochrona życia czy też interes publiczny. 

Następną zasadą jest ta związana z minimalizacją danych. Nakazuje ona przedsiębiorcy zbieranie i przetwarzanie wyłącznie tych danych, które są niezbędne do osiągnięcia określonego celu. Przedsiębiorca nie powinien gromadzić więcej informacji, niż rzeczywiście jest mu niezbędne do świadczenia usługi. Jeżeli jednak już tego dokonał, powinien jak najszybciej pozbyć się nadmiarowych danych osobowych.

Przykład 1.

Przedsiębiorca prowadzi stronę internetową, na której sprzedaje dokumenty prawne w formie plików PDF. Przy zamówieniu wymaga od kupujących podania imienia i nazwiska, adresu zamieszkania, adresu e-mail oraz numeru telefonu. Czy takie działanie jest zgodne z zasadą minimalizmu?

 Nie. Sprzedaż plików PDF za pośrednictwem sieci nie wymaga zbierania tak wielu informacji o osobie kupującego. Zasada minimalizmu wymaga, aby przedsiębiorca przetwarzał wyłącznie te dane, które są niezbędne do osiągnięcia określonego celu. W tym konkretnym przypadku zupełnie wystarczające będą takie dane osobowe jak imię i nazwisko (do podstawowej identyfikacji) oraz adres e-mail (do przesłania pliku). Pozostałe są informacjami zbędnymi.

Kolejną regułą RODO jest zasada celowości. Dane osobowe mogą być zbierane i przetwarzane tylko w konkretnych, wyraźnie określonych i prawnie uzasadnionych celach. W e-commerce zazwyczaj dotyczy to:

  • realizacji zamówień; 
  • obsługi płatności i wysyłek; 
  • prowadzenia działań marketingowych – po uzyskaniu jednoznacznej zgody użytkownika; 
  • obsługi reklamacji i zwrotów. 

Warto przy tym podkreślić, że przetwarzanie danych w innym celu niż pierwotny jest możliwe tylko wtedy, gdy nowy cel jest zgodny z pierwotnym lub oparty na nowej podstawie prawnej (np. przedsiębiorca uzyskał odrębną zgodę). 

Podstawowe zasady przetwarzania danych osobowych w e-commerce dotykają również ograniczenia czasowego przechowywania danych. Oznacza to, że dane osobowe nie mogą być przetwarzane dłużej, niż jest to konieczne do realizacji celu, dla którego zostały zebrane. W przypadku branży e-commerce typowe okresy przechowywania to: 

  • 5 lat dla danych transakcyjnych – wynika to z przepisów podatkowych i terminów, w których przedsiębiorca może być skontrolowany przez organy skarbowe; 
  • do momentu wycofania zgody – dotyczy głównie danych marketingowych; 
  • przez cały czas istnienia konta (profilu) użytkownika lub do momentu jego usunięcia – dotyczy danych związanych z obsługą klienta.

Po upływie powyższych okresów dane powinny zostać usunięte lub zanonimizowane. 

Prawa osób, których dane są przetwarzane 

Dla każdej osoby, której dane są przetwarzane, RODO przewidziało szereg uprawnień, które pozwalają jej mieć kontrolę nad informacjami podanymi przedsiębiorcy w trakcie wykonywania zamówionego świadczenia.

W e-commerce najważniejszymi prawami i najczęściej wykorzystywanymi są te dotyczące: 

  • dostępu do danych – konsument może zażądać informacji, jakie dane go dotyczące są przetwarzane i w jakim celu; 
  • sprostowania danych – konsument może żądać poprawienia jego danych, np. błędu w adresie czy numerze telefonu; 
  • ograniczenia przetwarzania – konsument może żądać ograniczenia przetwarzania jego danych np. w czasie rozpatrywania reklamacji; 
  • prawo do sprzeciwu – konsument może żądać zaprzestania przetwarzania jego danych osobowych np. w celach marketingowych, jeżeli wycofał on zgodę na takie przetwarzanie; 
  • usunięcia danych (tzw. prawo do bycia zapomnianym) – konsument może żądać usunięcia swoich danych, jeśli nie są już potrzebne do celu, w jakim zostały zebrane, albo gdy przetwarzanie jest niezgodne z prawem.

Obowiązkiem administratora danych jest zapewnienie prostej drogi do realizacji praw osób, których dane są przetwarzane. Może być to np. formularz kontaktowy, wiadomość e-mail czy specjalna funkcja znajdująca się w widocznym miejscu na stronie internetowej. 

Jak wdrożyć RODO w sklepie internetowym? 

Znając zasady przetwarzania danych osobowych w e-commerce, można przechodzić do ich wdrażania w swoim sklepie internetowym. Tylko jak się za to zabrać? Poniżej przedstawiamy 7 kroków pomocnych przy wdrażaniu RODO w sklepie online.

1. Identyfikacja danych osobowych, których przetwarzanie będzie niezbędne dla prowadzenia danego typu działalności gospodarczej, tj.: 

  • konieczne dane osobowe (imię, nazwisko, e-mail, adres dostawy, numer telefonu, dane płatnicze); 
  • pochodzenie danych osobowych (np. formularz zamówienia, newsletter, konto użytkownika); 
  • cel zbierania danych (np. przesyłka produktu, dokonanie płatności online); 
  • podmioty mające dostęp do danych.

2. Określenie podstawy prawne przetwarzania danych, np.: 

  • realizacja zamówień (umowy) – art. 6 ust. 1 lit. b RODO; 
  • prowadzenie newslettera – zgoda z art. 6 ust. 1 lit. a RODO; 
  • prowadzenie konta użytkownika – art. 6 ust. 1 lit. g RODO; 
  • prowadzenie księgowości – art. 6 ust. 1 lit. C RODO. 

3. Stworzenie polityki prywatności i zapewnienie obowiązku informacyjnego – przedsiębiorca w polityce prywatności sklepu internetowego musi przekazać wszystkie informacje wymagane przez RODO. Chodzi w szczególności o określenie: 

  • kim jest administrator danych; 
  • jakie dane są przetwarzane i dlaczego; 
  • komu udostępniane zostają dane (np. firmie kurierskiej, operatorom płatności, właścicielowi serwera); 
  • jak długo przechowywane będą dane osobowe; 
  • jakie prawa ma użytkownik.

 4. Zadbanie o zgody na działania marketingowe – uzyskanie danych osobowych użytkowników sklepu w celach marketingowych musi być poprzedzone wyraźnym wyrażeniem zgody przez użytkownika (w postaci checkboxa, który nie może być domyślnie zaznaczony. Zgody te muszą być osobne dla każdego działania marketingowego, np. osobna zgoda na e-mail i osobna na SMS). 

5. Zabezpieczenie danych osobowych od strony technicznej i organizacyjnej, tj.: 

  • instalacja certyfikatu SSL na stronie; 
  • korzystanie wyłącznie z godnego zaufania hostingu; 
  • założenie silnych haseł do kont osób, które przetwarzają dane osobowe, wprowadzenie autoryzacji dwuetapowej; 
  • ograniczenie dostępu do danych – tylko dla upoważnionych osób; 
  • przeprowadzanie regularnych backupów;

6. Zawarcie umów powierzenia przetwarzania danych – przedsiębiorca musi podpisać umowę z każdym podmiotem, któremu będzie przekazywał dane osobowe o swoich klientach, m.in. chodzi o: 

  • właściciela hostingu, na którym znajduje się sklep internetowy; 
  • operatora płatności (np. PayU, PayPal, Tpay, Przelewy24); 
  • systemy mailingowe (np. MailerLite, Freshmail); 
  • firmy kurierskie; 
  • biura rachunkowe, które prowadzą księgowość przedsiębiorcy.

7. Przygotowanie dokumentacji wewnętrznej RODO, tj.: 

  • rejestru czynności przetwarzania; 
  • polityki bezpieczeństwa danych; 
  • procedury realizacji praw klientów; 
  • procedury postępowania w razie naruszenia danych.

Dane osobowe w e-commerce i zasady ich przetwarzania w świetle stanowiska TSUE 

Trybunał Sprawiedliwości Unii Europejskiej 4 października 2024 roku wydał wyrok (sygn. akt: C-21/23), który może mieć istotne konsekwencje dla zasad regulujących sposób w jaki są przetwarzane dane osobowe w e-commerce. Orzeczenie odnosi się bowiem do stosowania przepisów RODO w kontekście praktyk handlowych i sposobu gromadzenia danych użytkowników. Najmocniej wypływa na kwestie uzyskiwania zgody na przetwarzanie danych oraz zasad „privacy by design and default”, które przedsiębiorcy muszą stosować przy projektowaniu swoich systemów. 

TSUE orzekł, iż RODO nie stoi na przeszkodzie regulacjom krajowym, które pozwalają konkurentom podmiotu naruszającego przepisy ochrony danych osobowych na zakwestionowanie tych działań przed sądem jako nieuczciwej praktyki handlowej. Uznał przy tym, że nawet jeżeli zakup danego produktu nie wskazuje wprost na dane klienta, to możliwość powiązania danej osoby z określonym produktem, jego cechami lub jego zastosowaniem może stanowić podstawę do objęcia tych informacji szczególną ochroną. 

Orzeczenie Trybunału stanowi ważny punkt odniesienia dla przedsiębiorców działających w sektorze e-commerce. Przedsiębiorcy prowadzący sprzedaż internetową, pozyskujący dane osobowe, a w szczególności dane wrażliwe (jest np. przy sprzedaży leków czy prowadzenia usług medycznych), powinni zwrócić uwagę na: 

  • konieczność uzyskiwania wyraźnych zgód na przetwarzanie danych; 
  • stosowanie zasady „privacy by design” i „privacy by default” – zasada mówiąca, że ochrona danych osobowych powinna być uwzględniona już na etapie projektowania systemu, usługi, aplikacji czy procesu – a nie dopiero po ich uruchomieniu; 
  • zapewnienie przejrzystości procesów przetwarzania danych osobowych; 
  • regularne monitorowanie i aktualizowanie polityk ochrony danych.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów