E-commerce, RODO

Sklep internetowy a dane osobowe

Sklep internetowy i RODO albo bardzo się lubią albo nienawidzą. Wszystko zależy od tego, kto sklep prowadzi i jakie ma podejście do ochrony danych osobowych. Dane osobowe w sklepie internetowym muszą być szczególnie chronione, a projektując proces przetwarzania danych w ramach działalności e-commerce, trzeba pamiętać przede wszystkim o tym, że nie można zmuszać klientów do podawania wszelkich danych na każdą możliwą okazję. Niech zasada minimalizacji według RODO będzie od dziś Twoją dewizą!

Pamiętaj! Zgodnie z art. 5 ust. 1 lit. c RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

Minimalizacja danych to zakaz zbierania danych „na zapas” oraz niepotrzebnych do celów, które wyobrażamy sobie zrealizować. Gdy sporządzamy umowę, zwykle nie ma sensu (i nie wolno) wpisywać w niej np. numeru dowodu osobistego strony umowy, skoro będzie ona dostatecznie zidentyfikowana przez imię, nazwisko i adres zamieszkania lub prowadzenia działalności (plus ewentualnie PESEL, choć i tutaj są rozbieżności).

Podobnie w przypadku prowadzenia sklepu internetowego. Jeżeli Twoim pierwszorzędnym celem jako sprzedawcy e-commercowego jest zawieranie umów z Twoimi klientami poprzez swój sklep, to zastanów się, jakie dane są Ci niezbędne do realizacji tego celu (zawarcia i wykonania umowy). Z pewnością będzie to imię, nazwisko, adres dostawy, adres e-mail i numer telefonu. Imię i nazwisko będą potrzebne do zidentyfikowania strony umowy oraz prawidłowej wysyłki, podobnie adres dostawy. Z kolei adres e-mail jest niezbędny do wysłania potwierdzenia zamówienia. Numer telefonu może nie być niezbędny, a na pewno jest adekwatny w zakresie kontaktu z klientem na wypadek nieprzewidzianych okoliczności, a dodatkowo jest potrzebny np. przy wysyłce paczkomatem.

W zakresie minimalizacji danych jest sporo innych niuansów np. przetwarzanie danych osobowych w postaci numerów rachunków bankowych czy adresów IP. Jeśli Twoja sprzedaż jest zaprojektowana tak, że otrzymujesz dostęp do numerów rachunków bankowych klientów, to przetwarzasz numer tego rachunku, który w połączeniu z pozostałymi danymi właściciela rachunki stanowi dane osobowe. Podobnie jest z adresem IP, choć tutaj istnieje wiele kontrowersji związanych z zaliczeniem adresu IP w poczet danych osobowych.

Pamiętaj! W wyroku w sprawie Breyer, Trybunał Sprawiedliwości Unii Europejskiej uznał, że dynamiczny adres IP powinien zostać uznany za dane osobowe.

Jeszcze inaczej będzie, gdy Twoim klientem będzie przedsiębiorca prowadzący jednoosobową działalność gospodarczą. RODO dotyczy ochrony praw osób fizycznych w aspekcie ich danych osobowych, ale nie ogranicza się tylko do konsumentów. Dane osobowe przedsiębiorców wpisanych do CEIDG również podlegają ochronie. Do wystawienia faktury na pewno będziesz potrzebować numeru NIP. Ponadto niejednokrotnie adres dostawy może się różnić od adresu, który stanowi „siedzibę” Twojego klienta – przedsiębiorcy. Obie te informacje stanowią również dane osobowe, które w danym przypadku musisz pozyskać celem wykonania umowy.

Niejednokrotnie klienci na swoich kontach w sklepach internetowych podają kilka adresów do wysyłki. Jeżeli każdy z tych adresów jest powiązany z daną osobą (imieniem, nazwiskiem tej osoby) stanowi jej dane osobowe, które są niezbędne do wykonania umowy sprzedaży lub umowy o usługę polegająca na możliwości założenia i utrzymywania konta w sklepie internetowym.

A co, kiedy klient nie płaci albo wnosi roszczenia reklamacyjne? W takiej sytuacji podstawą przetwarzania danych tego klienta będzie Twój uzasadniony interes (art. 6 ust. 1 lit. f RODO). Wtedy ponownie kłania się zasada minimalizacji. Musisz mieć tylko takie dane, jakie są adekwatne do dochodzenia Twoich roszczeń lub obrony przed nimi. Imię i nazwisko oraz adres do doręczeń to podstawa. Podobnie potrzebna może czasami okazać się historia zakupów – w zależności od tego, o jakich roszczeniach mowa. Jeżeli chcesz dochodzić swoich roszczeń w elektronicznym postępowaniu upominawczym, musisz również podać w pozwie numer PESEL lub NIP pozwanego. W przypadku klienta – przedsiębiorcy nie będzie to problem, gdyż posiadasz już numer NIP przy składaniu zamówienia (oczywiście cel przetwarzania będzie już inny, ale musisz zadbać o poinformowanie klienta o tym podczas wykonywania obowiązku informacyjnego). Problem pojawia się przy kliencie – konsumencie. W takiej sytuacji możesz próbować uzyskać numer PESEL z rejestru mieszkańców dla danej gminy.

Kolejny filar Twojego sklepu internetowego to marketing. Tutaj z danymi osobowymi jest już trochę trudniej. Oczywiście zasada minimalizacji cały czas działa i jedynie od tego, jak zaprojektujesz marketing swojego biznesu będzie zależało, jakie dane osobowe swoich klientów (i potencjalnych klientów) będziesz mógł przetwarzać, a jakie będą stanowić dane nadmiarowe.

O tym jak prowadzić newsletter zgodny z RODO przeczytasz we wpisie: „Newsletter a RODO„.

Marketing internetowy to zarówno newsletter (do którego będzie potrzebny adres e-mail), jak również i kampanie w mediach społecznościowych. Facebook i RODO to temat bardzo szeroki i nadal otwarty. Na pewno musisz pamiętać, że dane osobowe użytkowników Facebooka, którzy lubią Twój fanpage albo klikają we wtyczkę społecznościową umieszczoną na Twojej stronie, są dostępne dla Facebooka. W kilku orzeczeniach Trybunału Sprawiedliwości Unii Europejskiej wskazano, że administrator fanpage, a także administrator strony internetowej, który umieścił wtyczkę społecznościową na tej stronie oraz Facebook to współadministratorzy danych osobowych osób, które lubią fanpage lub klikają we wtyczkę.

Więcej na temat współadministrowania piszemy we wpisie: „Krótki traktat o współadministrowaniu„.

Współadministrowanie Facebooka i administratora strony internetowej wymaga zapewnienia odpowiedniego poziomu informowania podmiotów danych i nie jest to wcale takie proste. Być może nie zdajesz sobie sprawy, jak dużo informacji sami przekazujemy Facebookowi. Osoba, która lubi Twój fanpage na Facebooku sama również Tobie może udostępnić szereg danych, do których możesz mieć dostęp. Wbrew pozorom to właśnie Twoja interakcja z osobami lubiącymi Twój fanpage na Facebooku czy też obserwującymi Twoje profile na innych mediach społecznościowych może okazać najbardziej skomplikowana w zakresie zapewnienia zasady minimalizacji. Nie ulega wątpliwości, że w relacjach np. z Facebookiem nie masz wiele do powiedzenia, a zawarcie umowy o współadministrowanie jest praktycznie niemożliwe. Dlatego też każda kampania reklamowa w mediach społecznościowych czy też przy użyciu wyszukiwarki Google powinna być starannie przemyślana pod kątem podstaw prawnych przetwarzania, a także tego czy w grę nie będzie przypadkiem wchodzić profilowanie.

Pamiętaj! Zgodnie z art. 4 pkt 4 RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Bardzo często zdarza się, że projektowana reklama kierowana jest do konkretnej grupy odbiorców. Selekcjonowanie osób może opierać się także o ich dotychczasowe preferencje zakupowe lub zainteresowania. Profilowanie następuje tylko wtedy, gdy dochodzi do zautomatyzowanego przetwarzania danych osobowych, a zatem wszelkie działania za pomocą dokumentacji papierowej czy też w pełni dokonywane przez człowieka nie są profilowaniem w rozumieniu RODO.

Co w sytuacji, gdy Twój marketing sprowadza się m.in. do profilowania Twoich klientów lub potencjalnych klientów? Przede wszystkim musisz zadbać o ich poinformowanie o tym fakcie. Wymaga tego art. 13 ust. 2 lit. f RODO oraz art. 14 ust. 2 lit. g RODO. W swoich klauzulach informacyjnych powinieneś zamieścić informację o tym, że dane osobowe Twojego klienta lub potencjalnego klienta będą podlegały profilowaniu, a także w jaki sposób takie profilowanie działa i co oznacza dla klienta. Pamiętaj również, że z profilowaniem jest związane z prawo podmiotu danych do wniesienia sprzeciwu. Przed rozpoczęciem profilowania należy dokonać oceny ryzyka i zapewne również oceny skutków dla ochrony danych czyli DPIA.

Pamiętaj! DPIA przeprowadza się m.in. wtedy, gdy dochodzi do systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na jej osobę.

Katalog obowiązków związanych z „obchodzeniem się z danymi osobowymi” przy prowadzeniu sklepu internetowego jest oczywiście bardzo szeroki, a nawet może okazać bardziej pokaźny niż w przypadku przedsiębiorcy, który działa w podobnej branży, ale nie w sieci. Zasada minimalizacji powinna być jednak jednym z najważniejszych wyznaczników projektowania prywatności oraz opracowywania dokumentacji i procedur.

 

 

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s