Ochrona danych osobowych w branży e-commerce
Rynek e-commerce w Polsce rozwija się niezwykle dynamicznie. Choć pod koniec zeszłego roku, ponad połowa Polaków deklarowała, że robi zakupy za pośrednictwem Internetu, to aktualne prawo o ochronie danych osobowych nie zawierało szczegółowych regulacji, które zagwarantowałyby bezpieczeństwo konsumentów. RODO to zmienia.
RODO, czyli nowe rozporządzenie o ochronie danych osobowych dostosowuje prawo do czasów, w których żyjemy, przede wszystkim uwzględnia naszą aktywność w sieci. To niezwykle ważne, szczególnie w kontekście rosnącej popularności branży e-commerce, w której dochodzi do wielu rodzajów przetwarzania naszych danych osobowych.
RODO wprowadza rozszerzony obowiązek informacyjny - nowa polityka prywatności
Pomimo, że RODO w znacznej części zminimalizuje formalne kwestie związane z ochroną danych, to nowe prawo o ochronie danych osobowych oznacza dla przedsiębiorców rozszerzony obowiązek informacyjny. Każdy administrator danych osobowych, będzie odpowiedzialny za dobranie odpowiednich środków, aby w zwięzłej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą szeregu informacji.
Dostosowany do wymogów RODO sklep internetowy musi posiadać zarówno regulamin usługi, jak i politykę prywatności. Regulamin jest instrumentem tożsamym umowie zawartej pomiędzy właścicielem sklepu, a konsumentem. Dlatego ważne jest, aby był możliwie szczegółowy i precyzyjny. Z treści regulaminu musi wprost wynikać, jaką usługę świadczy dany sklep oraz jakie prawa i obowiązki otrzymuje każdy kto decyduje się na zawarcie umowy z właścicielem sklepu.
Polityka prywatności dotychczas nie doczekała się uwzględnienia przez akty prawne. Zwyczajowo w jej treści umieszczane są informacje dotyczące przetwarzania danych osobowych. RODO reguluje kwestie z nią związane. Od 25 maja w treści polityki prywatności, każdy kto jest administratorem danych osobowych, będzie musiał poinformować użytkowników swojego sklepu o wszystkich procesach związanych z danymi osobowymi w ramach realizacji usługi - m.in o tym jakie dane są gromadzone (np. imię i nazwisko czy adres dostawy), w jakich celach są wykorzystywane (np. realizacja zamówień) oraz komu dane są udostępniane (np. firmie kurierskie).
Poza informacjami dotyczącymi wprost realizacji usługi, w nowej polityce prywatności muszą pojawić się informacje o tożsamości administratora i inspektora ochrony danych osobowych wraz z danymi kontaktowymi, jeśli taki został powołany. Nie można pominąć informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, a także o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Nowa polityka prywatności musi zawierać także informacje dotyczące praw obywateli związanych z przetwarzaniem danych osobowych. To prawo żądania od administratora dostępu do danych, możliwości ich sprostowania, usunięcia lub ograniczenia przetwarzania, lub prawo do wniesienia sprzeciwu wobec przetwarzania, a także prawo do przenoszenia danych.
Istotną zawartością polityki prywatności jest też informacja o plikach cookies - jakiego rodzaju pliki są gromadzone, do jakich celów wykorzystywane oraz co bardzo istotne jak można zablokować ich pobieranie, odpowiednio konfigurując przeglądarkę.
Profilowanie może wymagać osobnej zgody na przetwarzanie danych osobowych
Wraz z wejściem w życie RODO, przedsiębiorcy będą zobowiązani zamieścić w polityce prywatności, informacje dotyczące profilowania - czyli procesu zautomatyzowanej decyzji, podejmowanej w oparciu o zachowania użytkownika w sieci. Na administratorów danych osobowych spadnie nie tylko obowiązek poinformowania o takim procesie, ale w niektórych sytuacjach uzyskania także osobnej zgody.
Najczęściej spotykanym przykładem profilowania, jest dostosowywanie prezentowanej w sklepie internetowym oferty do rozpoznanych preferencji klienta. Takie działanie z założenia korzystne jest dla obu stron - konsument dostaje dostosowaną do własnych potrzeb prezentację asortymentu, przedsiębiorca maksymalizuje zyski. RODO nie zmienia prawa w tym zakresie. Nadal można będzie korzystać ze zautomatyzowanych decyzji w sytuacjach nie powodujących skutków prawnych.
Jeśli jednak analiza zachowań konsumentów prowadzi do np. zmiany charakteru oferty (niższa cena, czy wyższy rabat) wówczas dochodzi do tzw. profilowania twardego, przy którym konieczne będzie uzyskanie osobnej zgody.
Marketing online a ochrona danych osobowych
Kwestia osobnej zgody dotyczy także działań związanych z przetwarzaniem danych w celach marketingowych. RODO jasno zaznacza jakie warunki muszą zostać spełnione, aby podejmowane działania promocyjne i reklamowe były zgodne z prawem. W wielu przypadkach, dotychczas zebrane zgody na działania marketingowe będą nieaktualne. Oznacza to, że konieczne będzie pozyskanie ponownym zgód od osób, które obecnie figurują w bazach kontaktowych firmy np. newsletterowych.
Zgody na przetwarzanie danych osobowych w celach marketingowych muszą spełniać kilka kryteriów jasno wyznaczonych przez RODO. Niedozwolone będą zbiorcze checkboxy, których zgoda marketingowa wyrażona jest przy okazji zgody na realizację usługi. Nie można wymuszać wyrażenia zgody na działania marketingowe, ani ukrywać zgód w treści np. regulaminu strony. Istotnym elementem, którego najczęściej brakuje, jest mechanizm wycofania zgody. RODO narzuca obowiązek stworzenia procedury odwołania jej w równie prosty sposób, jak sposób jej wyrażenia.
Sprawdź również:
- Rekrutacja zgodna z RODO
- 10 najczęstszych błędów w myśleniu o RODO
- RODO - 7 praw użytkowników sieci, które zwiększą bezpieczeństwo ich danych osobowych