E-commerce, RODO

Sklep internetowy a dane osobowe

Sklep internetowy i RODO albo bardzo się lubią albo nienawidzą. Wszystko zależy od tego, kto sklep prowadzi i jakie ma podejście do ochrony danych osobowych. Dane osobowe w sklepie internetowym muszą być szczególnie chronione, a projektując proces przetwarzania danych w ramach działalności e-commerce, trzeba pamiętać przede wszystkim o tym, że nie można zmuszać klientów do podawania wszelkich danych na każdą możliwą okazję. Niech zasada minimalizacji według RODO będzie od dziś Twoją dewizą!

Pamiętaj! Zgodnie z art. 5 ust. 1 lit. c RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

Minimalizacja danych to zakaz zbierania danych „na zapas” oraz niepotrzebnych do celów, które wyobrażamy sobie zrealizować. Gdy sporządzamy umowę, zwykle nie ma sensu (i nie wolno) wpisywać w niej np. numeru dowodu osobistego strony umowy, skoro będzie ona dostatecznie zidentyfikowana przez imię, nazwisko i adres zamieszkania lub prowadzenia działalności (plus ewentualnie PESEL, choć i tutaj są rozbieżności).

Podobnie w przypadku prowadzenia sklepu internetowego. Jeżeli Twoim pierwszorzędnym celem jako sprzedawcy e-commercowego jest zawieranie umów z Twoimi klientami poprzez swój sklep, to zastanów się, jakie dane są Ci niezbędne do realizacji tego celu (zawarcia i wykonania umowy). Z pewnością będzie to imię, nazwisko, adres dostawy, adres e-mail i numer telefonu. Imię i nazwisko będą potrzebne do zidentyfikowania strony umowy oraz prawidłowej wysyłki, podobnie adres dostawy. Z kolei adres e-mail jest niezbędny do wysłania potwierdzenia zamówienia. Numer telefonu może nie być niezbędny, a na pewno jest adekwatny w zakresie kontaktu z klientem na wypadek nieprzewidzianych okoliczności, a dodatkowo jest potrzebny np. przy wysyłce paczkomatem.

W zakresie minimalizacji danych jest sporo innych niuansów np. przetwarzanie danych osobowych w postaci numerów rachunków bankowych czy adresów IP. Jeśli Twoja sprzedaż jest zaprojektowana tak, że otrzymujesz dostęp do numerów rachunków bankowych klientów, to przetwarzasz numer tego rachunku, który w połączeniu z pozostałymi danymi właściciela rachunki stanowi dane osobowe. Podobnie jest z adresem IP, choć tutaj istnieje wiele kontrowersji związanych z zaliczeniem adresu IP w poczet danych osobowych.

Pamiętaj! W wyroku w sprawie Breyer, Trybunał Sprawiedliwości Unii Europejskiej uznał, że dynamiczny adres IP powinien zostać uznany za dane osobowe.

Jeszcze inaczej będzie, gdy Twoim klientem będzie przedsiębiorca prowadzący jednoosobową działalność gospodarczą. RODO dotyczy ochrony praw osób fizycznych w aspekcie ich danych osobowych, ale nie ogranicza się tylko do konsumentów. Dane osobowe przedsiębiorców wpisanych do CEIDG również podlegają ochronie. Do wystawienia faktury na pewno będziesz potrzebować numeru NIP. Ponadto niejednokrotnie adres dostawy może się różnić od adresu, który stanowi „siedzibę” Twojego klienta – przedsiębiorcy. Obie te informacje stanowią również dane osobowe, które w danym przypadku musisz pozyskać celem wykonania umowy.

Niejednokrotnie klienci na swoich kontach w sklepach internetowych podają kilka adresów do wysyłki. Jeżeli każdy z tych adresów jest powiązany z daną osobą (imieniem, nazwiskiem tej osoby) stanowi jej dane osobowe, które są niezbędne do wykonania umowy sprzedaży lub umowy o usługę polegająca na możliwości założenia i utrzymywania konta w sklepie internetowym.

A co, kiedy klient nie płaci albo wnosi roszczenia reklamacyjne? W takiej sytuacji podstawą przetwarzania danych tego klienta będzie Twój uzasadniony interes (art. 6 ust. 1 lit. f RODO). Wtedy ponownie kłania się zasada minimalizacji. Musisz mieć tylko takie dane, jakie są adekwatne do dochodzenia Twoich roszczeń lub obrony przed nimi. Imię i nazwisko oraz adres do doręczeń to podstawa. Podobnie potrzebna może czasami okazać się historia zakupów – w zależności od tego, o jakich roszczeniach mowa. Jeżeli chcesz dochodzić swoich roszczeń w elektronicznym postępowaniu upominawczym, musisz również podać w pozwie numer PESEL lub NIP pozwanego. W przypadku klienta – przedsiębiorcy nie będzie to problem, gdyż posiadasz już numer NIP przy składaniu zamówienia (oczywiście cel przetwarzania będzie już inny, ale musisz zadbać o poinformowanie klienta o tym podczas wykonywania obowiązku informacyjnego). Problem pojawia się przy kliencie – konsumencie. W takiej sytuacji możesz próbować uzyskać numer PESEL z rejestru mieszkańców dla danej gminy.

Kolejny filar Twojego sklepu internetowego to marketing. Tutaj z danymi osobowymi jest już trochę trudniej. Oczywiście zasada minimalizacji cały czas działa i jedynie od tego, jak zaprojektujesz marketing swojego biznesu będzie zależało, jakie dane osobowe swoich klientów (i potencjalnych klientów) będziesz mógł przetwarzać, a jakie będą stanowić dane nadmiarowe.

O tym jak prowadzić newsletter zgodny z RODO przeczytasz we wpisie: „Newsletter a RODO„.

Marketing internetowy to zarówno newsletter (do którego będzie potrzebny adres e-mail), jak również i kampanie w mediach społecznościowych. Facebook i RODO to temat bardzo szeroki i nadal otwarty. Na pewno musisz pamiętać, że dane osobowe użytkowników Facebooka, którzy lubią Twój fanpage albo klikają we wtyczkę społecznościową umieszczoną na Twojej stronie, są dostępne dla Facebooka. W kilku orzeczeniach Trybunału Sprawiedliwości Unii Europejskiej wskazano, że administrator fanpage, a także administrator strony internetowej, który umieścił wtyczkę społecznościową na tej stronie oraz Facebook to współadministratorzy danych osobowych osób, które lubią fanpage lub klikają we wtyczkę.

Więcej na temat współadministrowania piszemy we wpisie: „Krótki traktat o współadministrowaniu„.

Współadministrowanie Facebooka i administratora strony internetowej wymaga zapewnienia odpowiedniego poziomu informowania podmiotów danych i nie jest to wcale takie proste. Być może nie zdajesz sobie sprawy, jak dużo informacji sami przekazujemy Facebookowi. Osoba, która lubi Twój fanpage na Facebooku sama również Tobie może udostępnić szereg danych, do których możesz mieć dostęp. Wbrew pozorom to właśnie Twoja interakcja z osobami lubiącymi Twój fanpage na Facebooku czy też obserwującymi Twoje profile na innych mediach społecznościowych może okazać najbardziej skomplikowana w zakresie zapewnienia zasady minimalizacji. Nie ulega wątpliwości, że w relacjach np. z Facebookiem nie masz wiele do powiedzenia, a zawarcie umowy o współadministrowanie jest praktycznie niemożliwe. Dlatego też każda kampania reklamowa w mediach społecznościowych czy też przy użyciu wyszukiwarki Google powinna być starannie przemyślana pod kątem podstaw prawnych przetwarzania, a także tego czy w grę nie będzie przypadkiem wchodzić profilowanie.

Pamiętaj! Zgodnie z art. 4 pkt 4 RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Bardzo często zdarza się, że projektowana reklama kierowana jest do konkretnej grupy odbiorców. Selekcjonowanie osób może opierać się także o ich dotychczasowe preferencje zakupowe lub zainteresowania. Profilowanie następuje tylko wtedy, gdy dochodzi do zautomatyzowanego przetwarzania danych osobowych, a zatem wszelkie działania za pomocą dokumentacji papierowej czy też w pełni dokonywane przez człowieka nie są profilowaniem w rozumieniu RODO.

Co w sytuacji, gdy Twój marketing sprowadza się m.in. do profilowania Twoich klientów lub potencjalnych klientów? Przede wszystkim musisz zadbać o ich poinformowanie o tym fakcie. Wymaga tego art. 13 ust. 2 lit. f RODO oraz art. 14 ust. 2 lit. g RODO. W swoich klauzulach informacyjnych powinieneś zamieścić informację o tym, że dane osobowe Twojego klienta lub potencjalnego klienta będą podlegały profilowaniu, a także w jaki sposób takie profilowanie działa i co oznacza dla klienta. Pamiętaj również, że z profilowaniem jest związane z prawo podmiotu danych do wniesienia sprzeciwu. Przed rozpoczęciem profilowania należy dokonać oceny ryzyka i zapewne również oceny skutków dla ochrony danych czyli DPIA.

Pamiętaj! DPIA przeprowadza się m.in. wtedy, gdy dochodzi do systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na jej osobę.

Katalog obowiązków związanych z „obchodzeniem się z danymi osobowymi” przy prowadzeniu sklepu internetowego jest oczywiście bardzo szeroki, a nawet może okazać bardziej pokaźny niż w przypadku przedsiębiorcy, który działa w podobnej branży, ale nie w sieci. Zasada minimalizacji powinna być jednak jednym z najważniejszych wyznaczników projektowania prywatności oraz opracowywania dokumentacji i procedur.

 

 

E-commerce, RODO

Newsletter a RODO

Jak wysyłać newsletter, aby był zgodny z RODO? Jeśli masz sklep internetowy albo działasz w innej sferze branży e-commerce (np. blog), z pewnością zastanawiasz się czy wysyłka Twojego newslettera jest zgodna z prawem. Okazuje się, że RODO wcale nie jest wcale jedynym przy okazji wysyłki newslettera.

W przypadku newslettera, trzeba spełnić wymogi trzech aktów prawnych:

– wspomnianego RODO,

– ustawy o świadczeniu usług drogą elektroniczną,

– ustawy Prawo telekomunikacyjne.

RODO to najpierw wybór odpowiedniej podstawy prawnej przetwarzania danych osobowych. Oczywiście mowa o danych osobowych Twoich klientów, którym chcesz wysyłać newsletter. RODO nie daje pierwszeństwa żadnej z podstaw prawnych przetwarzania wskazanych w art. 6. W przypadku newslettera można zastanowić się nad wyborem trzech podstaw:

– zgodą (art. 6 ust. 1 lit. a RODO)

– wykonaniem umowy (art. 6 ust. 1 lit. b RODO)

– uzasadnionym interesem administratora (art. 6 ust. 1 lit. f RODO).

Najczęściej w przypadku relacji marketingowych z klientami dochodzi do wyboru pomiędzy zgodą a uzasadnionym interesem. Pamiętaj o tym, że wysyłka newslettera zwykle ma charakter marketingu bezpośredniego (jeśli takiego by nie miała od razu należy zaznaczyć, że podstawa uzasadnionego interesu administratora odpada). Zgodnie z motywem 47 preambuły RODO „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Dlatego – zakładając, że newsletter ma charakter marketingowy – zdecydowanie można skorzystać z przesłanki uzasadnionego interesu administratora z art. 6 ust. 1 lit. f RODO. Skutkiem tego jest brak konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych na potrzeby wysyłki newslettera. Wadą tej opcji jest jednak konieczność wykonania tzw. testu równowagi celem sprawdzenia czy przypadkiem prawa i wolności podmiotów danych nie przeważają nad interesem administratora – gdyby test równowagi wypadł negatywnie dla administratora, nie można skorzystać z podstawy uzasadnionego interesu.

Więcej o podstawie uzasadnionego interesu we wpisie „Uzasadniony interes: pułapka czy zbawienie?„.

Zgoda to druga opcja, która jednak jest najsłabszą podstawą przetwarzania. Podmiot danych (czyli odbiorca Twojego newslettera) nawet jeśli udzielił zgody, może ją w każdej chwili cofnąć, co będzie oznaczało nie tylko brak możliwości dalszej wysyłki newslettera, ale też usunięcie danych osobowych tego klienta pozyskanych w celu dokonywania wysyłki. W przypadku wspomnianego wyżej uzasadnionego interesu, klient również ma prawo „wyeliminować” Twoją wysyłkę poprzez zgłoszenie tzw. sprzeciwu co do przetwarzania danych osobowych – skutek jest taki sam jak w przypadku cofnięcia zgody. Statystycznie jednak podmioty danych częściej wycofują udzielone wcześniej zgody niż korzystają z prawa do sprzeciwu.

Więcej o zgodzie piszemy we wpisie „Co powinna zawierać zgoda na przetwarzanie danych?„.

W tym miejscu dochodzimy do wykonania umowy. Na pierwszy rzut oka takie zakwalifikowanie wysyłki newslettera może dziwić, bo w końcu o jaką umowę chodzi? Otóż wysyłkę newslettera również można potraktować jak umowę. Klient chce dostawać najświeższe informacje o Twoich produktach lub usługach, a Ty oferujesz usługę polegającą na przesyłaniu takich informacji. Być może część prawników nie akceptuje takiej koncepcji, jednak coraz częściej w praktyce wysyłkę newslettera traktuje się jak umowę. Taka koncepcja pozwoliłaby na zastosowanie art. 6 ust. 1 lit. b jako podstawy prawnej przetwarzania danych, co skutkowałoby uniknięciem konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych, a także uniknięciem zagrożenia wycofania zgody czy też wniesienia sprzeciwu (w przypadku przesłanki uzasadnionego interesu). Oparcie się na przesłance wykonania umowy nie może jednak nastąpić „samo przez się”. Wymaga zaprojektowania wysyłki w taki sposób, aby dla obu stron (wysyłającego i odbierającego newsletter) było jasne, ze dochodzi do zawarcia umowy. Dlatego konieczne byłoby wprowadzenie odpowiednich postanowień do polityki prywatności Twojej strony, a jeśli np. prowadzisz sklep internetowy i musisz posiadać na stronie sklepu odpowiedni regulamin, również i w jego treści należy zawrzeć fragment dotyczący usługi polegającej na wysyłce newslettera.

Przy okazji omawiania RODO dla newslettera, nie należy zapominać o kolejnych obowiązkach, które będą spoczywać na Tobie jako na administratorze danych osobowych a – jak zapewne już wiesz – jest ich sporo. Na pewno musisz zadbać o aktualizację Twojej polityki prywatności oraz klauzul informacyjnych. Wysyłka newslettera to odrębny cel przetwarzania danych osobowych, a zatem jeżeli już nawet posiadasz adres e-mail klienta, któremu chcesz przesyłać newsletter (ponieważ był on potrzebny np. do dokonania zakupów w Twoim sklepie internetowym) to i tak musisz wykonać odrębny obowiązek informacyjny albo zaktualizować dotychczas stosowane klauzule informacyjne.

Zadbaj również o zapewnienie wykonywania praw podmiotu danych. Jeżeli opierasz wysyłkę newslettera na zgodzie, musisz zapewnić swoim klientom taką procedurę, która umożliwi im wycofanie zgody tak łatwo, jak została udzielona. Nie możesz dla przykładu żądać od klienta wycofania zgody w formie listu czy kontaktu telefonicznego, jeżeli była ona wyrażona przez zaznaczenie odpowiedniego checkboxa. Podobnie, jeśli opierasz przetwarzanie danych w oparciu o uzasadniony interes, musisz zapewnić bezpieczny i sprawy kanał komunikacji w zakresie np. realizacji prawa sprzeciwu.

Konieczne będzie również uzupełnienie rejestru czynności przetwarzania, tabel retencyjnych oraz oczywiście wykonanie oceny ryzyka. W przypadku oceny ryzyka pamiętaj o odpowiednim zaprojektowaniu komunikacji przy uwzględnieniu zasady privacy by default. Wszelkie ustawienia prywatności muszą mieć charakter domyślny. Nie możesz zatem udostępniać potencjalnemu adresatowi newslettera checkboxa, który będzie domyślnie zaznaczony. To klient musi sam zaznaczyć pierwotnie pusty checkbox.

Dalsze wymogi wynikają z ustawy o świadczeniu usług drogą elektroniczną oraz z Prawa telekomunikacyjnego. Tutaj nie ominiesz uzyskania zgody od adresata newslettera. Gdybyś wysłał wiadomość bez uzyskania odpowiedniej zgody, stanowiłaby ona niezamówioną informację handlową czyli przysłowiowy spam, za co mogłaby Cię spotkać kara zarówno od Prezesa Urzędu Ochrony Danych Osobowych, jak i od Urzędu Komunikacji Elektronicznej oraz Urzędu Ochrony Konkurencji i Konsumentów.

Pamiętaj! Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną: „Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej„.

Z pomocą przychodzi art. 4 ustawy o świadczeniu usług drogą elektroniczną oraz art. 174 Prawa telekomunikacyjnego. Do uzyskiwania zgód w oparciu o ustawę o świadczeniu drogą elektroniczną oraz o Prawo telekomunikacyjne stosuje się przepisy o ochronie danych osobowych, a zatem w szczególności RODO. Zgoda musi być zatem:

  • dobrowolna,
  • konkretna,
  • świadoma,
  • przekazana w formie oświadczenia lub wyraźnego działania potwierdzającego, że osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Osoba, która wyraża zgodę musi zatem mieć możliwość wyboru (a zatem np. możliwość zaznaczenia pustego checkboxa). Konkretność zgody przejawia się przez wskazanie, w jakim celu jest ona wyrażana i jakie dane są przekazywane. Świadomość dotyczy tego, że osoba udzielająca zgody musi wiedzieć komu jej udziela i po co. Zgoda nie musi jednocześnie stanowić każdorazowo oświadczenia osoby, gdyż również samo działanie potwierdzające stanowi zgodę np. wykonanie odpowiedniego ruchu kursorem, tabletem, zaznaczenie okienka. Za działanie potwierdzające nie może być jednak uznane np. samo przewijanie ekranu, gdyż w takim przypadku nietrudno o przypadkowość.

Obie zgody (jedna wynikająca z ustawy o świadczeniu usług drogą elektroniczną, a druga z Prawa telekomunikacyjnego) dotyczą bardzo zbliżonych kwestii i jedynie niedbałość ustawodawcy powoduje to, że zostały one uregulowane w odrębnych aktach prawnych. W zasadzie należałoby uznać, że masz obowiązek odbierać dwie odrębne zgody na podstawie każdej z tych ustaw, jednak zdecydowanie nie odpowiadałoby to praktyce rynkowej. Dlatego za dopuszczalne należy uznać połączenie tych dwóch zgód w formie jednego oświadczenia. Taką możliwość dopuszcza np. Ministerstwo Cyfryzacji w poradniku „RODO. Poradnik dla sektora FinTech”. Nie powinieneś jednocześnie, pobierając tych zgód, stosować cytatów z przepisów prawa, które przeciętnemu użytkownikowi niewiele powiedzą (jak choćby tajemnicze pojęcie „telekomunikacyjnych urządzeń końcowych”) – takie rozwiązanie byłoby nieczytelne i niejasne. Zamiast tego powinieneś zadbać o jak najklarowniejszy sposób odebrania zgody.

Łącząc obie zgody często praktykuje się rozwiązanie polegające na umożliwieniu osobie wpisania w przeznaczonym do tego okienku adresu e-mail oraz zaznaczenie checkboxa z informacją o chęci otrzymywania newslettera od sprzedawcy. Wydaje się to spełniać wymogi obu ustaw, choć pojawiają się również poglądy, że takie rozwiązanie nie do końca przystaje do wymogów zgody stawianej odpowiednio przez RODO. Można zatem rozważyć umieszczenie dodatkowo, obok okienka, w którym wpisuje się adres e-mail, checkboxa, pod którym znajdzie się informacja o wyrażeniu zgody na przesyłanie newslettera. W praktyce, oprócz odebrania zgody w formie checkboxa, zaleca się dodatkowo uzyskanie potwierdzenia jej udzielenia przez kliknięcie w link, który zostanie wysłany na podany adres mailowy (tzw. double opt – in). Nie należy zapomnieć również o podaniu skróconej klauzuli informacyjnej, która będzie odsyłać do pełnej polityki prywatności.

W tym miejscu pojawia się inne zagadnienie: czy jeśli opieram wysyłanie newslettera na zgodzie na przetwarzanie danych osobowych (nie chodzi o zgodę z ustawy o świadczeniu usług drogą elektroniczną ani o zgodę z Prawa telekomunikacyjnego), to czy mogę połączyć te trzy zgody w jednym checkboxie? Pojawiają się wprawdzie głosy, że byłoby to możliwe i zgodne z RODO, jednak skoro zgoda na przetwarzanie danych osobowych musi spełniać m.in. wymóg dobrowolności, to nie można uznać, ze oświadczenie łączące tę zgodę w pełni spełnia ten wymóg. Choć praktyka rynkowa wymagałaby uproszczenia, to z zdecydowanie zaleca się wyodrębnianie zgody na przetwarzanie danych osobowych od innych zgód – takie stanowisko prezentował GIODO jeszcze w oparciu o poprzedni stan prawny i powielały je sądy administracyjne.

Pamiętaj! Do zgody na podstawie ustawy o świadczeniu usług drogą elektroniczną i zgody wymaganej przez Prawo telekomunikacyjne stosuje się wymogi dla zgody przewidziane przez RODO.

Podsumowując: wysyłka newslettera nie jest niczym skomplikowanym pod kątem prawnym, ale trzeba ją odpowiednio zaplanować i zaprojektować. Jeśli nie spełnisz wymogów stawianych przez RODO, ustawę o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne, to możesz narazić się na odpowiedzialność administracyjną lub roszczenia odszkodowawcze ze strony swoich klientów.

E-commerce, Poradniki, Prawo gospodarcze, RODO, Spółki, Tajemnica przedsiębiorstwa

Jak założyć sklep internetowy?

Jak rozpocząć działanie w branży e-commerce?

Co trzeba wiedzieć i jakie dokumenty przygotować?

Jest tego sporo, dlatego zacznijmy od podstawowej i ogólnej wiedzy dotyczącej konkretnych zagadnień prawnych. Oto najważniejsze problemy prawne związane z założeniem i prowadzeniem sklepu internetowego.

  1. Forma prawna działalności

Jak każdy biznes, tak samo sklep internetowy musi przybrać konkretną formę prawną działalności. Tutaj mamy całkowitą dowolność (może z wyjątkiem spółki partnerskiej). Możemy zatem przemyśleć zarówno jednoosobową działalność gospodarczą, jak i spółkę np. spółkę jawną, komandytową lub komandytowo – akcyjną. Jeśli chcemy mieć jednocześnie jednoosobową działalność, ale współpracować razem z pozyskanym wspólnikiem, można pomyśleć o zawarciu umowy spółki cywilnej. Jeśli mamy przygotowane duże zaplecze finansowe i klienckie, być może warto zastanowić się nad założeniem spółki z ograniczoną odpowiedzialnością lub nawet spółki akcyjnej?

Jeśli Twoje aspiracje sprowadzają się do rozpoczęcia biznesu i stawiasz na rozruch, lepiej skupić się na prostszych formach prowadzenia działalności. Jeżeli jesteś sam, po prostu zarejestruj jednoosobową działalność w CEIDG. Jeśli masz wspólnika lub wspólników, załóżcie swoje działalności i podpiszcie umowę spółki cywilnej. Jednak jeśli jest was kilkoro, ale chcecie mieć lepszą pewność obrotu i ochrony prawnej, pomyślcie o spółce jawnej albo komandytowej.

  1. Marka

Obsługa prawna e-commerceWybór nazwy Twojego sklepu internetowego i opracowanie jego marki to nie tylko „chwila olśnienia”. Tę chwilę należy następnie zweryfikować z rzeczywistością, a w szczególności z nazwami i markami innych przedsiębiorców. Niektórzy z nich mogą bowiem już funkcjonować pod taką samą lub podobną nazwą. Dlatego warto najpierw wejść na stronę Urzędu Patentowego (uprp.gov.pl) i sprawdzić czy przypadkiem ktoś wcześniej nie zarejestrował jakiejś nazwy lub znaku graficznego jako znaku towarowego. Jeśli natrafisz na taki sam lub podobny znak, lepiej wybierz inną nazwę. Jeśli jednak nie ma zarejestrowanego takiego samego lub podobnego znaku, jak ten, który wpadł Ci do głowy, nadal nie zaprzestawaj „badań”. Twoja nazwa lub marka sklepu internetowego nie mogą wprowadzać w błąd czy też podszywać się pod innego przedsiębiorcę – takie działanie mogłoby zostać poczytane za czyn nieuczciwej konkurencji, a Ciebie narazić na odpowiedzialność odszkodowawczą. Nie chodzi oczywiście o to, że chcesz się pod kogoś podszyć, ale przypadkowo nieświadomie możesz naruszyć czyjejś prawo do jego marki i popaść z nim w konflikt. Dlatego warto sprawdzić podobnych przedsiębiorców w regionie oraz w kraju. Skorzystaj choćby z wyszukiwarki internetowej albo zleć badanie poprawności Twojej marki odpowiedniemu specjaliście (radcy prawnemu, rzecznikowi patentowemu, adwokatowi).

  1. Budowanie witryny sklepu internetowego

W porządku. Załóżmy, że Twoja (lub Wasza) działalność została już założona, a Twoja marka nie narusza niczyich praw. Teraz trzeba pomyśleć o tym, co najistotniejsze czyli o „fizycznym” założeniu sklepu internetowego. Sklep nie może istnieć bez witryny internetowej. Dlatego oczywiście musisz wykupić domenę, hosting i zaprojektować samą stronę internetową. O ile kupno domeny i hostingu nie powinno nastręczać większych problemów, to projektowanie strony internetowej zwykle będzie wiązało się z zawarciem umowy z firmą, która tę stronę dla Ciebie zaprojektuje. Podobne umowy są zwykle umowami o dzieło czyli o wykonanie konkretnego rezultatu. Czasami warto zastanowić się czy nie poszukać firmy, która nie tylko zaprojektuje i wykona stronę, ale również zapewni opiekę nad stroną oraz odpowiednie aktualizacje. W końcu w trakcie prowadzenia sklepu internetowego niezbędne będzie dokonywanie zmian witryny czy też poprawianie ewentualnych błędów. Podpisanie dobrej umowy z firmą projektującą strony na pewno zaoszczędzi Ci sporo kłopotów i pieniędzy. Dopilnuj, aby w umowie nie zawarto jakichkolwiek wyłączeń czy ograniczeń dotyczących rękojmi lub gwarancji. Ustalcie dokładnie przedmiot umowy i oczekiwany rezultat, a także sposoby i terminy dokonywania poprawek w przypadku stwierdzenia wad. Nie zapomnij także o odpowiednim uregulowaniu autorskich praw majątkowych. Powinny one przejść na Ciebie – najlepiej już w momencie odebrania dzieła czyli gotowej witryny.

Umowa z firmą projektującą strony to jednak nie wszystko przy budowaniu witryny Twojego sklepu internetowego. Sama witryna musi uwzględniać szereg wymogów prawnych, którymi przyjrzyjmy się w dalszych punktach.

  1. Regulamin sklepu internetowego

Regulamin sklepu internetowego to absolutny „mus”. Wymagania stawiane przez ustawę o świadczeniu usług drogą elektroniczną oraz prawo konsumenckie wymagają opracowania odpowiednich procedur oraz zapewnienia konsumentom szybkiej i wyczerpującej informacji o sposobie korzystania ze sklepu, a także o przysługujących im prawach. Poprawnie sporządzony regulamin nie może być jednak oparty o prosty wzór czy też „skopiowany od konkurencji”. Jedynie dobrze przygotowany regulamin dostosowany do specyfiki Twojego sklepu internetowego spełni wymogi ustawy o świadczeniu usług drogą elektroniczną. Wadliwy regulamin niestety może sporo kosztować, gdyż obowiązki informacyjne wobec konsumentów i użytkowników Twojej witryny należą do jednego z Twoich pierwszych i podstawowych obowiązków. Lista elementów, które musi zawierać regulamin sklepu internetowego jest imponująca, dlatego problematykę sporządzenia regulaminu poruszymy w innym wpisie.

  1. RODO
Kancelaria obsługa firm
www.rybarczyk-kancelaria.pl

RODO jest teraz wszędzie, a dla branży e-commerce jest wyjątkowo ważne. Jeżeli ktoś prowadzi sklep internetowy, a nie spełnia wymogów RODO, to sam naraża się tylko na poważne problemy. Pamiętaj, że administracyjne kary pieniężne za nieprzestrzeganie RODO mogą sięgać nawet wielu milionów euro, nie wspominając już o możliwych roszczeniach Twoich klientów, gdyby np. doszło do wycieku ich danych osobowych.

Poprawne wdrożenie RODO w Twoim sklepie internetowym powinno być podstawą Twojej działalności. RODO to nie tylko dokumentacja, którą przechowujesz „u siebie”, ale również odpowiednia komunikacja z Twoimi klientami, a także troska o zapewnienie im odpowiednich informacji i zabezpieczenie ich danych osobowych.

Jednocześnie nie staraj się „robić RODO” samodzielnie i po macoszemu. Dbałość o dane Twoich klientów wymaga odpowiedniego zaprojektowania funkcjonowania całości Twojego sklepu internetowego, dlatego już na samym początku musisz wiedzieć jak funkcjonować w przyjaźni z RODO i jego wymogami. Zleć specjaliście audyt RODO i opracowanie odpowiedniej dokumentacji, procedur, rejestrów. Nie zapomnij również o tym, że RODO to także ocena ryzyka przetwarzania danych osobowych oraz ocena skutków dla ochrony danych, które muszą być udokumentowane. Tylko odpowiednie procedury i reguły mogą pozwolić Ci zminimalizować ryzyko naruszeń danych osobowych, a w razie naruszenia mogą Ci pomóc w obronie przez zarzutami Prezesa Urzędu Ochrony Danych Osobowych lub roszczeniami Twoich klientów.

Niedawne potężne wycieki danych w kilku wiodących sklepach internetowych pokazują, że nie warto bagatelizować lub oszczędzać na ochronie danych osobowych. W szczególności w sieci, gdzie dane bywają wyjątkowo narażone na zagrożenia, zapewnienie bezpieczeństwa odgrywa znaczącą rolę.

  1. Prawa konsumentów

W tym momencie musisz zidentyfikować, kim będą Twoi klienci? Czy swoje usługi będziesz kierować do innych przedsiębiorców czy też do konsumentów. Kim jest jednak konsument? Zgodnie z art. 22(1) Kodeksu cywilnego, konsumentem jest osoba fizyczna (a zatem nie może być to sp. spółka prawa handlowego), która dokonuje z przedsiębiorcą (czyli z Tobą) czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą lub zawodową. Innymi słowy: jest to osoba, która nie kupuje Twoich produktów lub usług w związku ze swoją działalnością gospodarczą, tylko na swój prywatny, domowy użytek.

Prawo konsumenckie jest o tyle istotne, że chroni prawa konsumentów w relacjach z przedsiębiorcami. Z prawami konsumentów musisz być dobrze zaznajomiony (lub Twój prawnik), żeby nie popełnić szkolnych błędów przy projektowaniu odpowiedniej dokumentacji na witrynę sklepu albo w bezpośrednich relacjach z klientami. Na pewno powinieneś zapoznać się z Kodeksem cywilnym i tzw. klauzulami niedozwolonymi czyli postanowieniami umów lub regulaminów, które, o ile są nieuzgodnione indywidulanie z konsumentem i naruszają jego interesy, co do zasady uznawane są za nieważne. Co musisz zatem zrobić? Na pewno audyt Twojej strony (lub dopiero projektowanej strony) pod kątem klauzul niedozwolonych powinien być pierwszą czynnością. Wszelkie postanowienia umów lub regulaminów, które zawierają klauzule niedozwolone powinny zostać natychmiast wyeliminowane i zastąpione innymi postanowieniami, na które pozwala prawo konsumenckie. Jeśli dopiero zastanawiasz się jak podejść do obsługi praw konsumentów, niestety musisz zaprzyjaźnić się z ustawą Prawo konsumentów i Kodeksem cywilnym. Klauzul niedozwolonych jest jednak na tyle dużo, że w celu zabezpieczenia prawnego Twojego biznesu, warto pomyśleć o obsłudze prawnej.

  1. Cyberbezpieczeństwo

Tematyka cyberbezpieczeństwa wiąże się z RODO, ale nie jest z nim tożsama. Zapewnienie odpowiedniej ochrony przed atakami hakerskimi czy też złośliwym oprogramowaniem wymaga przede wszystkim zadbania o odpowiednie procedury oraz ochronę techniczną. Podstawowe oprogramowanie antywirusowe to nie wszystko. Cyberbezpieczeństwo jest szerokim tematem, które w krajach zachodnich jest obecnie jedną z głównych kwestii, jeśli chodzi o zapewnienie bezpieczeństwa informacji. Jeśli dobro danych Twoich klientów oraz zapewnienie nieprzerwanego funkcjonowania sklepu internetowego leży Ci na sercu, to zdobycie wiedzy z zakresu ochrony danych i zapewnienie odporności systemów oraz ciągłości działania powinny być kolejnym z Twoich priorytetów.

  1. Tajemnica przedsiębiorstwa

Pomyśl, co by się stało, gdyby ktoś dowiedział się, w jaki sposób pozyskujesz klientów, dostawców, a także kim są Twoi klienci (w szczególności Ci stali)? Jeszcze gorzej: zatrudniasz pracownika, który zwalnia się, a potem wyjawia konkurencji całe Twoje know-how i dane klientów? Ochrona tajemnicy przedsiębiorstwa powinna być domeną każdego przedsiębiorcy, a więc także Twoją. Obecne brzmienie ustawy o zwalczaniu nieuczciwej konkurencji daje dosyć wyśrubowane wymogi dla przedsiębiorców, którzy chcą chronić informacje poufne w swojej firmie. Zwykłe regulaminy poufności mogą nie wystarczyć, a zatem warto pomyśleć o umowach o poufności czy umowach NDA (non – disclosure agreement). Takie umowy należy zawierać nie tylko z pracownikami, ale również z kontrahentami, z którymi przystępujemy do negocjacji, a potem również w trakcie współpracy z nimi.

  1. Programy lojalnościowe i akcje promocyjne

Opracowanie programu lojalnościowego lub akcji promocyjnej również wymaga wsparcia prawnego. Wszelkiego rodzaju promocje i programy lojalnościowe można postrzegać w kategorii tzw. przyrzeczenia publicznego albo umowy. Od tego, którą koncepcje się przyjmie, zależą dalsze kroki. Nie obejdzie się bez stosownego regulaminu dostępnego na witrynie sklepu internetowego, który będzie dokładnie określał m.in. warunki promocji, czas jej trwania czy też sposób wnoszenia reklamacji. Nie zapomnij również o tym, że program lojalnościowy lub akcja promocyjna muszą spełniać wymogi RODO.

  1. Specyfika branży

Pamiętaj o tym, że dalsze wymogi prawne zależą od tego, jaki będzie charakter Twojego sklepu internetowego. Być może Twoja działalność jest w jakimś stopniu regulowana i potrzebujesz odpowiedniego zezwolenia albo licencji? A może będziesz sprzedawać produkty, które wymagają zapewnienia odpowiednich oznaczeń, warunków lub nawet rejestracji (np. produkty medyczne)? Specyfika Twojej działalności może zatem wymagać podjęcia dodatkowych kroków, które warto najpierw przedyskutować z prawnikiem.

Podsumowując: Jeśli chcesz wejść w branże e-commerce, to nie zastanawiaj się! Obecnie sprzedaż przez Internet jest bardzo atrakcyjną formą prowadzenia biznesu. Jeśli masz pomysł na siebie, to być może właśnie sklep internetowy okaże się dla Ciebie strzałem w dziesiątkę. Jednocześnie musisz wziąć pod uwagę wszelkie wymogi prawne, z którymi wiąże się rozpoczęcie takiej działalności. Część z nich jest wspólna zarówno dla Ciebie, jak i dla każdego innego przedsiębiorcy, który nie działa w e-commerce. Istnieje jednak dużo wymogów, które musisz spełnić z uwagi na specyfikę swojej branży. Ta specyfika wyraża się zarówno poprzez prowadzenie działalności w Internecie, jak też i przez charakter prowadzonej przez Ciebie sprzedaży. Lepiej zatem już na samym początku zadbać o bezpieczeństwo prawne, aniżeli potem narażać się na ryzyko, które może uderzyć bezpośrednio w Twoją firmę.

Autorem artykułu jest Daniel Rybarczyk, radca prawny, wspólnik Kancelarii Radców Prawnych Ewa Rybarczyk Daniel Rybarczyk Spółka Cywilna w Kaliszu specjalizującej się w obsłudze przedsiębiorców, w tym działających w branży e-commerce.

Logo JPG