Poradnik Przedsiębiorcy

Przetwarzanie danych osobowych w sprzedaży konsumenckiej

Przedsiębiorca zawierający z konsumentem umowę, którą reguluje ustawa o prawach konsumenta (między innymi sprzedaż na odległość, sprzedaż poza lokalem przedsiębiorstwa), podlega regulacjom RODO w zakresie przetwarzania danych osobowych kupujących. Ustawa o prawach konsumenta w szczególny sposób reguluje wykonywanie przez przedsiębiorcę obowiązków wynikających z RODO, przewidując w niektórych przypadkach ułatwienia dla przedsiębiorców. Przeczytaj jak powinno wyglądać przetwarzanie danych osobowych w sprzedaży konsumenckiej!

Z jakimi obowiązkami związane jest przetwarzanie danych osobowych?

Z przetwarzaniem danych osobowych w każdym przypadku, w tym również przy sprzedaży konsumenckiej, wiąże się konieczność przestrzegania szeregu reguł. Administrator zobowiązany jest między innymi do odpowiedniego zabezpieczenia i ochrony danych osobowych. Należy również pamiętać o zapewnieniu właściwej podstawy prawnej przetwarzania danych i niezbieraniu większej ich ilości niż jest to niezbędne do realizacji celu, w jakim je pozyskujemy. Jeżeli udostępniamy dane osobowe innym podmiotom, powinniśmy zadbać o odpowiednie upoważnienie lub zawarcie umowy powierzenia – w zależności od przypadku.

Niemniej, jednym z podstawowych obowiązków, jakie RODO nakłada na administratora danych osobowych, jest tzw. obowiązek informacyjny. Jego spełnienie wymaga przekazania osobie, której dane dotyczą, szeregu informacji o tym, jakie dane osobowe, w jaki sposób, na jakiej podstawie przetwarza administrator oraz jakie prawa przysługują osobie, której dane dotyczą w związku z takim przetwarzaniem.

Jakie informacje przekazuje administrator zgodnie z RODO?

RODO przewiduje, że w przypadku, gdy dane osobowe zbierane są bezpośrednio od osoby, której dotyczą, administrator podczas ich pozyskiwania podaje jej wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;

  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeżeli administrator przetwarza dane, opierając się na uzasadnionym interesie);

  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  • jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  • informacje o prawie wniesienia skargi do organu nadzorczego;

  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym bądź warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Przetwarzanie danych osobowych a sposób realizacji obowiązku informacyjnego w praktyce

Aby zrealizować obowiązek informacyjny wobec danej osoby, administrator musi przekazać jej niezbędne informacje, a na potrzeby późniejszego udowodnienia, że działa zgodnie z RODO – zebrać odpowiednie dowody, że dana osoba zapoznała się z tymi informacjami. 

W praktyce administrator bądź wręcza danej osobie wydruk klauzuli informacyjnej z prośba o podpis pod oświadczeniem o zapoznaniu się z dokumentem, bądź w przypadku działań prowadzonych za pośrednictwem internetu – udostępnia tekst klauzuli z prośbą o potwierdzenie przez kliknięcie odpowiedniego przycisku. 

Przy sprzedaży konsumenckiej wypełnienie obowiązku informacyjnego w powyższy sposób byłoby niepraktyczne i zbyt uciążliwe zarówno dla przedsiębiorcy, jak i dla konsumenta. Dlatego też ustawa o prawach konsumenckich przewiduje ułatwienia dla przedsiębiorców.

Jak realizować obowiązek informacyjny przy sprzedaży konsumenckiej?

Zgodnie z ustawą o prawach konsumenta administrator będący przedsiębiorcą w rozumieniu ustawy Prawo przedsiębiorców wykonuje obowiązki, o których mowa w art. 13 RODO w sposób uproszczony. Taka procedura jest zgodnie z przepisami dopuszczalna zarówno w przypadku sprzedaży na odległość i poza lokalem przedsiębiorstwa, jak i przy innych rodzajach sprzedaży konsumenckiej.

W jaki sposób jako sprzedawca i jednocześnie administrator danych możesz ułatwić sobie życie? Spełniając obowiązek informacyjny z RODO przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Przedsiębiorca może zatem zrealizować obowiązek informacyjny niejako „na zapas” wobec wszystkich potencjalnych kupujących.

Przy sprzedaży konsumenckiej w niektórych przypadkach można w sposób uproszczony informować kupujących o przetwarzaniu ich danych osobowych. Dopuszcza się zamiast indywidualnego przekazywania klauzuli wywieszenie informacji w widocznym miejscu lub upublicznienie na stronie WWW.

Kiedy przetwarzanie danych osobowych nie może być w formie uproszczonej procedury informowania?

Zgodnie z ustawą o prawach konsumenta nie można jednak skorzystać z powyższego ułatwienia, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z tak opublikowaną klauzulą informacyjną.

Uproszczonej procedury informowania nie stosuje się także do administratora danych, który:

  • przetwarza dane wrażliwe lub

  • udostępnia dane wrażliwe innym administratorom, z wyjątkiem przypadku gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze. 

Przetwarzanie danych osobowych a procedura informowania w praktyce

W praktyce w ramach ułatwienia i większej przejrzystości można zastosować tzw. skróconą klauzulę, która będzie zawierać podstawowe informacje o przetwarzaniu danych i administratorze. Należy jednak pamiętać, że taka uproszczona klauzula musi odsyłać do pełnego tekstu klauzuli i umożliwiać dostęp do niej w łatwy sposób, np. poprzez link odsyłający lub kod QR.