Przedsiębiorca zawierający z konsumentem umowę, którą reguluje ustawa o prawach konsumenta (między innymi sprzedaż na odległość, sprzedaż poza lokalem przedsiębiorstwa), podlega regulacjom RODO w zakresie przetwarzania danych osobowych kupujących. Ustawa o prawach konsumenta w szczególny sposób reguluje wykonywanie przez przedsiębiorcę obowiązków wynikających z RODO, przewidując w niektórych przypadkach ułatwienia dla przedsiębiorców. Przeczytaj jak powinno wyglądać przetwarzanie danych osobowych w sprzedaży konsumenckiej!
Z jakimi obowiązkami związane jest przetwarzanie danych osobowych?
Niemniej, jednym z podstawowych obowiązków, jakie RODO nakłada na administratora danych osobowych, jest tzw. obowiązek informacyjny. Jego spełnienie wymaga przekazania osobie, której dane dotyczą, szeregu informacji o tym, jakie dane osobowe, w jaki sposób, na jakiej podstawie przetwarza administrator oraz jakie prawa przysługują osobie, której dane dotyczą w związku z takim przetwarzaniem.
Jakie informacje przekazuje administrator zgodnie z RODO?
RODO przewiduje, że w przypadku, gdy dane osobowe zbierane są bezpośrednio od osoby, której dotyczą, administrator podczas ich pozyskiwania podaje jej wszystkie następujące informacje:
-
swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
-
gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
-
cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
-
prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (jeżeli administrator przetwarza dane, opierając się na uzasadnionym interesie);
-
informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
-
gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
-
okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
-
informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
-
jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
-
informacje o prawie wniesienia skargi do organu nadzorczego;
-
informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym bądź warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
-
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Przetwarzanie danych osobowych a sposób realizacji obowiązku informacyjnego w praktyce
Aby zrealizować obowiązek informacyjny wobec danej osoby, administrator musi przekazać jej niezbędne informacje, a na potrzeby późniejszego udowodnienia, że działa zgodnie z RODO – zebrać odpowiednie dowody, że dana osoba zapoznała się z tymi informacjami.
W praktyce administrator bądź wręcza danej osobie wydruk klauzuli informacyjnej z prośba o podpis pod oświadczeniem o zapoznaniu się z dokumentem, bądź w przypadku działań prowadzonych za pośrednictwem internetu – udostępnia tekst klauzuli z prośbą o potwierdzenie przez kliknięcie odpowiedniego przycisku.
Przy sprzedaży konsumenckiej wypełnienie obowiązku informacyjnego w powyższy sposób byłoby niepraktyczne i zbyt uciążliwe zarówno dla przedsiębiorcy, jak i dla konsumenta. Dlatego też ustawa o prawach konsumenckich przewiduje ułatwienia dla przedsiębiorców.
Jak realizować obowiązek informacyjny przy sprzedaży konsumenckiej?
Zgodnie z ustawą o prawach konsumenta administrator będący przedsiębiorcą w rozumieniu ustawy Prawo przedsiębiorców wykonuje obowiązki, o których mowa w art. 13 RODO w sposób uproszczony. Taka procedura jest zgodnie z przepisami dopuszczalna zarówno w przypadku sprzedaży na odległość i poza lokalem przedsiębiorstwa, jak i przy innych rodzajach sprzedaży konsumenckiej.
W jaki sposób jako sprzedawca i jednocześnie administrator danych możesz ułatwić sobie życie? Spełniając obowiązek informacyjny z RODO przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji. Przedsiębiorca może zatem zrealizować obowiązek informacyjny niejako „na zapas” wobec wszystkich potencjalnych kupujących.
Kiedy przetwarzanie danych osobowych nie może być w formie uproszczonej procedury informowania?
Zgodnie z ustawą o prawach konsumenta nie można jednak skorzystać z powyższego ułatwienia, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z tak opublikowaną klauzulą informacyjną.
Uproszczonej procedury informowania nie stosuje się także do administratora danych, który:
-
przetwarza dane wrażliwe lub
-
udostępnia dane wrażliwe innym administratorom, z wyjątkiem przypadku gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.
Przetwarzanie danych osobowych a procedura informowania w praktyce
W praktyce w ramach ułatwienia i większej przejrzystości można zastosować tzw. skróconą klauzulę, która będzie zawierać podstawowe informacje o przetwarzaniu danych i administratorze. Należy jednak pamiętać, że taka uproszczona klauzula musi odsyłać do pełnego tekstu klauzuli i umożliwiać dostęp do niej w łatwy sposób, np. poprzez link odsyłający lub kod QR.
