E-commerce, RODO

Ciasteczkowe RODO – czyli pliki cookies a ochrona danych osobowych

Pliki cookies bywają często nie do końca rozumianą problematyką. W szczególności przeanalizowanie niniejszej problematyki jest istotną kwestią dla całego sektora e-commerce. Warto jednak wspomnieć, że rozwój technologiczny doprowadził do sytuacji, w której praktycznie każda strona internetowa korzysta z plików cookies. Zatem niniejsza problematyka ma równie istotne znaczenie dla wszystkich podmiotów, które korzystają – w ramach swoich działalności – ze stron internetowych. Co istotne, temat cookies ma doniosłe znaczenie prawne ze względu na ścisłe powiązanie z RODO.

Pliki cookies od technicznej strony

Tym co powoduje pewne komplikacje w interpretacji całego zagadnienia jest wymóg znajomości dwóch odrębnych branżowych języków – informatycznego oraz prawnego. Język branży IT, może być kompletnie niezrozumiały dla osób spoza branży. Dlatego na potrzeby zrozumienia znaczenia plików cookies omówimy sobie po krótce ich specyfikę techniczną.

Pliki cookies to małe nieszkodliwe pliki tekstowe, które służą stronom internetowym w różnych celach. Etymologia nazwy tych plików bierze się z języków programistycznych służących do programowania stron internetowych. Na tym etapie są wykorzystywane takowe pliki tekstowe o dość wyróżniającej się i chwytliwej nazwie. Głównymi zadaniami omawianych plików jest wspomaganie poprawnego funkcjonowania stron internetowych oraz ułatwianie użytkownikom korzystanie z nich. Istotną różnicą cookies od pozostałych terminów i pojęć języków programistycznych jest metodyka ich wykorzystywania. Pliki te zapisywane są na urządzeniach końcowych użytkowników (komputer, laptop, telefon, itp.). Co więcej, cookies zbierają informację o użytkowniku. Część zbieranych w ten sposób informacji to dane osobowe.

Należy w tym miejscu wskazać dwa niezwykle ważne typy plików cookies – „session cookies” (dalej: „cookies sesyjne”) oraz „persistent cookies” (dalej: „cookies stałe”). Ten podział ma istotne znaczenie w kontekście ochrony danych osobowych. Cookies sesyjne bowiem są przechowywane na urządzeniu końcowym użytkownika jedynie przez czas korzystania z danej strony internetowej. Służą najczęściej do utrzymywania bieżącej sesji. Cookies stałe natomiast są przechowywane na wyżej wspomnianych urządzeniach przez dłuższy czas. Okres przechowywania tego typu plików cookies może – w zależności od celu i charakterystyki – wynosić nawet 3 lata. Znajomość tego podziału oraz świadomość konsekwencji wynikających z umieszczania tychże plików na urządzeniach końcowych pozwoli na wykonanie ciążącego obowiązku informacyjnego.

Z perspektywy marketingu natomiast możemy spotkać się najczęściej z takim podziałem plików cookies:

“first party” cookies  – ten typ cookies jest instalowany oraz czytany jedynie przez domenę lub poddomeny, na których znajduje się dana strona internetowa,

second party” cookies – te pliki są przekazane od innego administratora, z którym administrator danej strony współpracuje,

third party” cookies – są instalowane z innych domen niż ta, na której jest strona internetowa. Te cookies najczęściej należą do “śledzących” i służą celom marketingowym. Są zatem przekazywane innym administratorom co ma doniosłe znaczenie prawne w zakresie obowiązku informacyjnego z art. 13 RODO.

W kontekście RODO podział o największym znaczeniu dotyczy dywersyfikacji plików cookies pod kątem ich pełnionej funkcji na danej stronie internetowej. W praktyce wyróżniamy pięć następujących funkcji plików cookies:

„Niezbędne” pliki cookies – umożliwiają poprawne funkcjonowanie strony oraz korzystanie z jej usług przez użytkowników. Służą też bezpieczeństwu danej domeny. Jako jedyne, te pliki cookies nie zawierają danych osobowych. Tym samym nie podlegają przepisom RODO. Najczęściej występują w postaci sesyjnych cookies zatem nie są przechowywane dłużej na urządzeniach końcowych niż na okres trwania danej sesji.

„Analityczne” pliki cookies – usprawniają stronę internetową poprzez zbieranie informacji o sposobie jej wykorzystywania przez użytkowników. Administratorzy stron internetowych wykorzystują te pliki w celu dostosowywania ich domen pod użytkowników. Na podstawie informacji takich jak najczęściej wykonywane ruchy oraz ilość dziennych wizyt na stronie poprawiana jest wydajność danych stron.

„Funkcjonalne” pliki cookies – zapamiętują ustawienia użytkowników na stronach internetowych (kolor tła, język, koszyk zakupowy). Dzięki temu użytkownicy po pierwszym wejściu na daną stronę oraz dostosowaniu jej do swoich preferencji, ponownie odwiedzając daną stronę nie muszą dokonywać ponownie tych samych ustawień. Ten typ plików najczęściej jest rodzajem stałych cookies. Są zatem instalowane na urządzeniach końcowych, aby móc zapamiętać konkretne ustawienia użytkownika.

„Reklamowe” pliki cookies – służą dostarczaniu zindywidualizowanych reklam dla użytkownika. Reklamy są dostosowywane na podstawie preferencji oraz zainteresowań poszczególnych użytkowników. Bardzo często dokonuje się tego poprzez remarketing przy wykorzystaniu third party cookies. Niezwykle ważnym zagadnieniem w tym przypadku jest profilowanie, które przeważnie jest wykorzystywane w trakcie budowania profili preferencji i zainteresowań na potrzeby chociażby remarkeitngu. Należy jednak wskazać, że najczęściej nieudzielnie zgody na ten typ plików cookies nie powoduje jakichkolwiek trudności z korzystaniem z danej strony internetowej.

„Społecznościowe” pliki cookies – umożliwiają łączenie się z mediami społecznościowymi oraz do udostępniania nim treści strony internetowej. Dochodzi zatem w tym zakresie do przekazywania danych do innych administratorów. Najczęściej ten typ plików jest aplikowany za pomocą wtyczek społecznościowych (przycisk “lubię to”, możliwość udostępnienia, itp.). Celem tych cookies jest szeroko pojęty marketing. Co do zasady niewyrażenie zgody na ten typ plików cookies nie powoduje żadnych negatywnych skutków dla użytkownika.

Podstawa prawna RODO na pliki cookies

Skoro zapoznaliśmy się z niezbędną nomenklaturą z zakresu IT i plików cookies jesteśmy w stanie ustalić podstawę prawną, jaką administratorzy powinni przyjąć na wykorzystywanie plików cookies na ich stronach internetowych. Jedyną podstawą prawną z RODO w kontekście cookies jest art. 6 ust. 1 lit a, czyli zgoda.

Bardzo często w politykach prywatności możemy się spotkać na stronach internetowych z podstawą jaką jest uzasadniony interes administratora. Zakres wspomnianej podstawy najczęściej dotyczy „niezbędnych” plików cookies. Te postanowienia są jednak okraszone błędem. Tak jak wspomniano “niezbędne” pliki cookies ze względu na swoją funkcję oraz charakter nie zawierają danych osobowych. Nie ma zatem żadnych przesłanek, które stałyby za tym, aby stosować jakąkolwiek podstawę prawną na te pliki cookies. Wynika to z faktu, że w tym zakresie przepisy RODO nie znajdują zastosowania. Nie ma wątpliwości, że inne pliki cookies powinny zostać oparte na zgodzie użytkownika. Wynika to z faktu, że nie są one warunkiem się qua non do korzystania ze strony internetowej a jedynie ułatwiają jej użytkowanie.  Podobnie sytuacja wygląda na gruncie przepisów krajowych. Art. 173 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (dalej “pr.tel.”) odnosi się do informacji, które są przechowywane na urządzeniach końcowych użytkowników zatem do plików cookies. Aby takie przechowywanie było legalne należy spełnić wszystkie trzy przesłanki z art. 173 ust. 1 pkt 1-3 wspomnianej ustawy. Jedną z tych przesłanek (art. 173 ust. 1 pkt 2) jest zgoda użytkownika. Jednakże ten sam artykuł zawiera wyłączenie wyżej wymienionych warunków. Owo wyłączenie zostało określone w art. 173 ust. 3 pkt 1-2, który stanowi, że:

“Warunków, o których mowa w ust. 1, nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji, o której mowa w ust. 1, jest konieczne do:

1) wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej;

2) dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.”

Niezbędne pliki cookies  jak wspominano  są konieczne dla poprawnego funkcjonowania strony zatem wpisują się w przesłanki wyżej przytoczonego wyłączenia. Pozostałe pliki cookies wymagają spełnienia przesłanek z art. 173 ust. 1 pkt 1-3 w tym zgody użytkownika, ponieważ nie są one konieczne do funkcjonowania strony internetowej. Art. 174 pr. tel stanowi, że do uzyskania zgody użytkownika stosuje się przepisy o ochronie danych osobowych.

Należy zatem przyjąć, że jedyną podstawą prawną na gruncie RODO (a tym samym pr. tel., które odsyła do RODO) powinna być ta z art. 6 ust. 1 lit. a RODO, czyli zgoda osoby, której dane dotyczą.

Aktywna zgoda

Wiele stron internetowych domyślnie instaluje pliki cookies na urządzeniach końcowych użytkowników, przy czym jedynie informuje użytkowników, że takowe pliki cookies są wykorzystywane. Zgoda jest wyrażana zatem w sposób domyślny. Najczęściej przybiera to następująca postać:

“Używamy ciasteczek, wchodząc w odnośniki na stronie, wyrażasz na to zgodę”.

Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 1 października 2019 r. o sygnaturze C-673/17 (dalej wyrok “Planet 49”) dotyczył wymogu wyrażenia czynnej zgody na internautów na użytkowanie plików cookies. Z treści wyroku wynika, że domyślnie udzielona zgoda jest na wykorzystywanie plików cookies jest nieważna. Zgoda ta powinna być jasna oraz precyzyjnie określać na co wyraża zgodę użytkownik. Należy zatem zwrócić uwagę na to jak powinna wyglądać owa aktywna zgoda na wykorzystywanie plików cookies. Aktualnie popularną formą wyrażenia aktywnej zgody przez użytkownika są checkboxy. Niejako zmusza to użytkownika do aktywności podczas udzielania zgody bądź jej nieudzielenia. Dodatkowo należy pamiętać, aby użytkownik miał świadomość na co wyraża zgodę. Zasadne jest zatem przy checkboxach umieścić odnośnik do pełnej polityki cookies lub innego dokumentu na stronie, który zawiera informacje o tych plikach. Należy zwrócić uwagę, że odwiedzający stronę powinni mieć możliwość zaznaczenia (np. suwakiem) na jakie pliki cookies wyrażają zgodę. Z tego powodu przy okienku dotyczącym plików cookies powinien zostać zamieszczony odnośnik, który pozwoli na wyrażenie zgody na konkretne pliki cookies.  Może to przybrać następującą formę:

“Wyrażam zgodę na wykorzystywanie następujących plików cookies:

Analityczne pliki cookies: [ x ]

Funkcjonalne pliki cookies: [ x ]

Reklamowe pliki cookies: [ x ]

Społecznościowe pliki cookies: [ x ]”

Taki zabieg pozwoli na wyrażenie aktywnej zgody przez użytkowników oraz uświadomi ich na jakie pliki cookies wyrażają zgodę. W pierwszej kolejności jednak, lepszym rozwiązaniem jest ustawienie strony tak, aby użytkownik – również poprzez chechboxy – wyraził zgodę na wszystkie pliki cookies albo żadne. Podczas pierwszych odwiedzin danej strony, osoba odwiedzająca powinna wyrazić albo nie wyrazić zgodę na pliki cookies, przed rozpoczęciem korzystania ze strony internetowej. Jeżeli użytkownik będzie miał możliwość ominięcia okna dotyczącego plików cookies to de facto pozostaje on bierny, wobec tego komunikatu. Taka sytuacja może prowadzić do wielu komplikacji oraz nieporozumień zatem zasadne jest niejako “wymuszenie” na użytkowniku wyrażenia albo niewyrażenia zgody. Dopiero w takim momencie użytkownik powinien mieć możliwość korzystania ze strony internetowej.

Należy zatem postawić na aktywną formę wyrażania zgody przy plikach cookies. W aktualnym stanie prawnym tylko taka forma jest prawidłowa w zakresie wykorzystywania plików cookies przez strony internetowe.

Obowiązek informacyjny

Niezwykle efektywnym oraz rekomendowanym sposobem spełniania obowiązku informacyjnego jest “warstwowe informowanie”. Nie inaczej jest w przypadku plików cookies. Dobrze wykonane informowanie jest również ważnym elementem dla aktywnej zgody bowiem użytkownik powinien mieć pełną świadomość na co wyraża swoją zgodę. Obowiązek ten płynie z art. 13 RODO, czyli podawanie informacji w przypadku zbierania danych od osoby, której dane dotyczą. Należy jednak raz jeszcze podkreślić – jeżeli dana strona nie używa innych plików cookies niż niezbędne, nie ma potrzeby spełniania w tym zakresie obowiązku informowania, ponieważ nie są przetwarzane wtedy dane osobowe.

Czy zatem “warstwowe informowanie” znajdzie zastosowanie w przypadku plików cookies? Zdecydowanie tak. Pierwszą linią informacyjną dla użytkownika powinno być wspomniane wcześniej okno zawierające checkboxy dotyczące zgód na pliki cookies. Takie okno powinno zawierać streszczenie informacji, jakie zostaną zamieszczone czy to w polityce prywatności czy polityce plików cookies. Przede wszystkim w takim oknie powinno się wskazać administratora danych osobowych oraz samą informację, że na danej stronie są wykorzystywane pliki cookies. Co więcej, należy przedstawić cele jakie stoją za wykorzystywaniem omawianych plików (analityczne, marketingowe, itp.). Ta pierwsza “warstwa” powinna zawierać również odnośnik do checkboxów dotyczących wyrażania zgody na poszczególne funkcje plików cookies. Takie informacje powinny w zupełności wystarczyć, aby użytkownik miał pełną świadomość na co i w jakim zakresie wyraża zgodę.

Kolejną – a przy tym najważniejszą – “warstwą” jest polityka prywatności, a w niej segment polityki plików cookies. W przypadku rozbudowanych stron internetowych, które korzystają z dużej ilości plików cookies zasadne jest utworzenie oddzielnego dokumentu dotyczącego jedynie plików cookies. Praktyka nakazuje na samym początku takiego dokumentu przedstawić krótką specyfikację techniczną plików cookies. Warto wskazać czym są oraz jak funkcjonują. Podstawą redagowania polityki plików cookies jest wciąż art. 13 RODO. Należy zatem podać cele, podstawy oraz prawa użytkownika w związku z wykorzystywanymi plikami cookies. Istotna jest zatem świadomość samej osoby prowadzącej daną stronę internetową o wykorzystywanych przez nią plikach. Bez takiej wiedzy nie będzie bowiem możliwe podania wyżej wymienionych elementów. Co więcej, dobrą praktyką jest podawanie zakresu zbieranych danych użytkownika. Pozwoli to osobom odwiedzającym stronę mieć pełną świadomość jakie konkretnie dane są przetwarzane. Jest to istotne, ponieważ przeciętny użytkownik najpewniej nie będzie wiedział jakie dane osobowe są zbierane przez pliki cookies. Administrator – co ma doniosłe znaczenie dla aktywnej zgody użytkownika – powinien podać jakie pliki cookies, ze względu na swoją funkcję, są wykorzystywane na stronie. Ponadto, należy opisać w sposób zwięzły i prosty istotę danych plików. Przykładowo, jeżeli korzystamy ze “społecznościowych” plików cookies, powinniśmy poinformować, że takowe są wykorzystywane oraz czym się charakteryzują. Wspomniany wcześniej wyrok w sprawie Planet 49 oprócz wskazania jaka zgoda na pliki cookies jest nieważna, dodaje dwa elementy jakie Administrator powinien podać – okres funkcjonowania plików cookies oraz określenie czy osoby trzecie mogą uzyskać dostęp do takich plików. Jednym ze sposobów na przejrzyste podanie takich informacji jest tabela:

Dostawca pliku cookieNazwa pliku cookieOkres funkcjonowania pliku cookieInformacja o dostępie osoby trzeciej do pliku cookie  
PodmiotnazwaWskazany okresTak/Nie

W takim dokumencie watro również dodać informację o stosowanych technologiach od zewnętrznych dostawców (Google Ads, Google Analytics, itp.). Zupełnie wystarczający będzie krótki opis danej technologii oraz odnośnik w postaci linku do strony, która będzie zawierała więcej informacji odnośnie danej technologii (najczęściej strona internetowa dostawcy).

Wnioski

Niniejszy artykuł nie opisuje całej problematyki plików cookies ani pod względem technicznym ani prawnym. Ma on jedynie za zadanie dość kompleksowo przedstawić daną problematykę, która ma istotne znaczenie dla całego sektora e-commerce.

W zakresie podstawy prawnej jedyną zasadną jest aktywna zgoda użytkownika. Wynika to ze specyfikacji technicznej plików cookies w zestawieniu z przepisami RODO. Aktywna zgoda musi mieć charakter aktywnego działania ze strony użytkownika. Warto przy tym “wymusić” takowe działanie dla bezpieczeństwa oraz uniknięcia ewentualnych komplikacji. Aktywna zgoda jest ściśle powiązana z obowiązkiem informowania. Warto zatem zwrócić szczególną uwagę na to jak został spełniony wyżej wspomniany obowiązek. Tak jak wcześniej wskazano, najlepszym rozwiązaniem będzie “warstwowe informowanie”.

Dynamiczne zmiany w zakresie nowych technologii wymuszają na prawodawcy ciągłe dostosowywanie się to aktualnego stanu faktycznego. Dla administratorów istotne jest zatem, bieżące monitorowanie wszelkich zmian, aby jak najlepiej podporządkowywać swój stan faktyczny do prawnego.

Bibliografia:

  • X. Konarski w: „Meritum. Ochrona danych osobowych” pod red. D. Lubasza, Warszawa 2020 r.,
  • M. Jakubik, P. Wojciechowski, „RODO w IT: pliki cookie – jak je ugryźć”, LEX/el. 2020

Autor: Michał Kolasiński

E-commerce, RODO

Minimalizacja danych w sklepie internetowym

W poprzednim wpisie „Sklep internetowy a dane osobowe” pisaliśmy ogólnie o tym, jakie dane w sklepie internetowym są adekwatne, a jakie nie. Czytając jednak ustawę o świadczeniu usług drogą elektroniczną, a w szczególności jej art. 18, można zacząć zastanawiać się czy ten poprzedni wpis na Blogu przypadkiem nie pomija tej ustawy.

W art. 18 ustawy o świadczeniu usług drogą elektroniczną zostały wskazane dane usługobiorcy, jakie może przetwarzać usługodawca. Dane te można podzielić na kilka grup: dane niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego, inne dane niezbędne do świadczenia usług, a także tzw. dane eksploatacyjne czyli charakteryzujące sposób korzystania z usługi przez usługobiorcę.

Pierwsza grupa tych danych została scharakteryzowana przez ustawodawcę dosyć szczegółowo, tj. poprzez wymienienie ich katalogu. Są to:

1)  nazwisko i imiona usługobiorcy;

2)  numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

3)  adres zameldowania na pobyt stały;

4)  adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;

5)  dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

6)  adresy elektroniczne usługobiorcy.

Pytanie brzmi: po co ustawodawca wskazuje konkretne dane usługobiorcy, które może przetwarzać usługodawca, skoro w RODO znajduje się zasada minimalizacji? Przecież z przestrzegania tej zasady musi się rozliczyć sam usługodawca, a nie może robić tego za niego ustawa! Poza tym katalog tych danych z ustawy jest bardzo nieadekwatny do zasady minimalizacji np. adres zameldowania na pobyt stały w handlu elektronicznym zwykle znaczy tyle, co nic i nie jest potrzebny do wykonania usługi.

Odpowiedź na to pytanie leży w niekonsekwencji i niedbałości ustawodawcy, który powinien uchylić art. 18 ust. 1 – 4 ustawy o świadczeniu usług drogą elektroniczną. Skoro RODO nakłada na każdego administratora szereg obowiązków, w tym mających swoje bezpośrednie źródło w zasadach z art. 5 RODO, to uszczegóławianie przepisów RODO jest bezcelowe i nie ma podstawy prawnej.

Nie od dziś wiadomo, że zasadą jest prymat prawa unijnego nad prawem wewnętrznym państw członkowskich. Oznacza to, że jeżeli dwa przepisy (jeden unijny i drugi państwa członkowskiego) pozostają ze sobą w konflikcie, to zastosowanie ma przepis prawa unijnego. RODO stosuje się bezpośrednio, a zatem nie wymaga żadnej implementacji czy uszczegółowienia. Samo RODO przewiduje tutaj wyjątki np. dla przetwarzania danych w kontekście zatrudnienia (art. 88 RODO) czy też w sferze publicznej (art. 87, art. 89 RODO). Na przykład w zakresie prawa pracy i zatrudnienia ustawodawca skorzystał z możliwości uszczegółowienia i wprowadził nowelizację do Kodeksu pracy. W zakresie handlu elektronicznego RODO nie przewiduje możliwości uszczegółowienia swoich regulacji w prawie krajowym ani nie pozwala na wskazywanie przez państwa członkowskie konkretnego katalogu danych przetwarzanych w tym handlu. Skoro tak, to przepisy art. 18 ust. 1 -4 powinny zostać uchylone, a jeśli nie zostały uchylone to – jako sprzeczne z RODO (aktem prawa unijnego) nie mogą być stosowane.

Pamiętaj! W przypadku sporu np. sądowego, sąd powinien zastosować przepis art. 5 ust. 1 lit. c RODO czyli zasadę minimalizacji, a nie art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną jako przepis sprzeczny z prawem unijnym.

To administrator czyli usługodawca sam musi zdecydować, jakie dane klientów swojego sklepu internetowego może przetwarzać, a jakich nie. Powinien to ocenić przy uwzględnieniu wszystkich reguł RODO, a w szczególności zasady minimalizacji. Ocena powinna wiązać się ze starannie przygotowanym rejestrem czynności przetwarzania danych oraz oceną ryzyka. Od tych obowiązków administratora nie może uwolnić jakakolwiek ustawa. Dlatego, jeśli myślisz, że nie musisz robić nic, gdyż ustawa o świadczeniu usług drogą elektroniczną, wykonała całą robotę za Ciebie, to niestety jest to droga donikąd.

E-commerce, RODO

Sklep internetowy a dane osobowe

Sklep internetowy i RODO albo bardzo się lubią albo nienawidzą. Wszystko zależy od tego, kto sklep prowadzi i jakie ma podejście do ochrony danych osobowych. Dane osobowe w sklepie internetowym muszą być szczególnie chronione, a projektując proces przetwarzania danych w ramach działalności e-commerce, trzeba pamiętać przede wszystkim o tym, że nie można zmuszać klientów do podawania wszelkich danych na każdą możliwą okazję. Niech zasada minimalizacji według RODO będzie od dziś Twoją dewizą!

Pamiętaj! Zgodnie z art. 5 ust. 1 lit. c RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

Minimalizacja danych to zakaz zbierania danych „na zapas” oraz niepotrzebnych do celów, które wyobrażamy sobie zrealizować. Gdy sporządzamy umowę, zwykle nie ma sensu (i nie wolno) wpisywać w niej np. numeru dowodu osobistego strony umowy, skoro będzie ona dostatecznie zidentyfikowana przez imię, nazwisko i adres zamieszkania lub prowadzenia działalności (plus ewentualnie PESEL, choć i tutaj są rozbieżności).

Podobnie w przypadku prowadzenia sklepu internetowego. Jeżeli Twoim pierwszorzędnym celem jako sprzedawcy e-commercowego jest zawieranie umów z Twoimi klientami poprzez swój sklep, to zastanów się, jakie dane są Ci niezbędne do realizacji tego celu (zawarcia i wykonania umowy). Z pewnością będzie to imię, nazwisko, adres dostawy, adres e-mail i numer telefonu. Imię i nazwisko będą potrzebne do zidentyfikowania strony umowy oraz prawidłowej wysyłki, podobnie adres dostawy. Z kolei adres e-mail jest niezbędny do wysłania potwierdzenia zamówienia. Numer telefonu może nie być niezbędny, a na pewno jest adekwatny w zakresie kontaktu z klientem na wypadek nieprzewidzianych okoliczności, a dodatkowo jest potrzebny np. przy wysyłce paczkomatem.

W zakresie minimalizacji danych jest sporo innych niuansów np. przetwarzanie danych osobowych w postaci numerów rachunków bankowych czy adresów IP. Jeśli Twoja sprzedaż jest zaprojektowana tak, że otrzymujesz dostęp do numerów rachunków bankowych klientów, to przetwarzasz numer tego rachunku, który w połączeniu z pozostałymi danymi właściciela rachunki stanowi dane osobowe. Podobnie jest z adresem IP, choć tutaj istnieje wiele kontrowersji związanych z zaliczeniem adresu IP w poczet danych osobowych.

Pamiętaj! W wyroku w sprawie Breyer, Trybunał Sprawiedliwości Unii Europejskiej uznał, że dynamiczny adres IP powinien zostać uznany za dane osobowe.

Jeszcze inaczej będzie, gdy Twoim klientem będzie przedsiębiorca prowadzący jednoosobową działalność gospodarczą. RODO dotyczy ochrony praw osób fizycznych w aspekcie ich danych osobowych, ale nie ogranicza się tylko do konsumentów. Dane osobowe przedsiębiorców wpisanych do CEIDG również podlegają ochronie. Do wystawienia faktury na pewno będziesz potrzebować numeru NIP. Ponadto niejednokrotnie adres dostawy może się różnić od adresu, który stanowi „siedzibę” Twojego klienta – przedsiębiorcy. Obie te informacje stanowią również dane osobowe, które w danym przypadku musisz pozyskać celem wykonania umowy.

Niejednokrotnie klienci na swoich kontach w sklepach internetowych podają kilka adresów do wysyłki. Jeżeli każdy z tych adresów jest powiązany z daną osobą (imieniem, nazwiskiem tej osoby) stanowi jej dane osobowe, które są niezbędne do wykonania umowy sprzedaży lub umowy o usługę polegająca na możliwości założenia i utrzymywania konta w sklepie internetowym.

A co, kiedy klient nie płaci albo wnosi roszczenia reklamacyjne? W takiej sytuacji podstawą przetwarzania danych tego klienta będzie Twój uzasadniony interes (art. 6 ust. 1 lit. f RODO). Wtedy ponownie kłania się zasada minimalizacji. Musisz mieć tylko takie dane, jakie są adekwatne do dochodzenia Twoich roszczeń lub obrony przed nimi. Imię i nazwisko oraz adres do doręczeń to podstawa. Podobnie potrzebna może czasami okazać się historia zakupów – w zależności od tego, o jakich roszczeniach mowa. Jeżeli chcesz dochodzić swoich roszczeń w elektronicznym postępowaniu upominawczym, musisz również podać w pozwie numer PESEL lub NIP pozwanego. W przypadku klienta – przedsiębiorcy nie będzie to problem, gdyż posiadasz już numer NIP przy składaniu zamówienia (oczywiście cel przetwarzania będzie już inny, ale musisz zadbać o poinformowanie klienta o tym podczas wykonywania obowiązku informacyjnego). Problem pojawia się przy kliencie – konsumencie. W takiej sytuacji możesz próbować uzyskać numer PESEL z rejestru mieszkańców dla danej gminy.

Kolejny filar Twojego sklepu internetowego to marketing. Tutaj z danymi osobowymi jest już trochę trudniej. Oczywiście zasada minimalizacji cały czas działa i jedynie od tego, jak zaprojektujesz marketing swojego biznesu będzie zależało, jakie dane osobowe swoich klientów (i potencjalnych klientów) będziesz mógł przetwarzać, a jakie będą stanowić dane nadmiarowe.

O tym jak prowadzić newsletter zgodny z RODO przeczytasz we wpisie: „Newsletter a RODO„.

Marketing internetowy to zarówno newsletter (do którego będzie potrzebny adres e-mail), jak również i kampanie w mediach społecznościowych. Facebook i RODO to temat bardzo szeroki i nadal otwarty. Na pewno musisz pamiętać, że dane osobowe użytkowników Facebooka, którzy lubią Twój fanpage albo klikają we wtyczkę społecznościową umieszczoną na Twojej stronie, są dostępne dla Facebooka. W kilku orzeczeniach Trybunału Sprawiedliwości Unii Europejskiej wskazano, że administrator fanpage, a także administrator strony internetowej, który umieścił wtyczkę społecznościową na tej stronie oraz Facebook to współadministratorzy danych osobowych osób, które lubią fanpage lub klikają we wtyczkę.

Więcej na temat współadministrowania piszemy we wpisie: „Krótki traktat o współadministrowaniu„.

Współadministrowanie Facebooka i administratora strony internetowej wymaga zapewnienia odpowiedniego poziomu informowania podmiotów danych i nie jest to wcale takie proste. Być może nie zdajesz sobie sprawy, jak dużo informacji sami przekazujemy Facebookowi. Osoba, która lubi Twój fanpage na Facebooku sama również Tobie może udostępnić szereg danych, do których możesz mieć dostęp. Wbrew pozorom to właśnie Twoja interakcja z osobami lubiącymi Twój fanpage na Facebooku czy też obserwującymi Twoje profile na innych mediach społecznościowych może okazać najbardziej skomplikowana w zakresie zapewnienia zasady minimalizacji. Nie ulega wątpliwości, że w relacjach np. z Facebookiem nie masz wiele do powiedzenia, a zawarcie umowy o współadministrowanie jest praktycznie niemożliwe. Dlatego też każda kampania reklamowa w mediach społecznościowych czy też przy użyciu wyszukiwarki Google powinna być starannie przemyślana pod kątem podstaw prawnych przetwarzania, a także tego czy w grę nie będzie przypadkiem wchodzić profilowanie.

Pamiętaj! Zgodnie z art. 4 pkt 4 RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Bardzo często zdarza się, że projektowana reklama kierowana jest do konkretnej grupy odbiorców. Selekcjonowanie osób może opierać się także o ich dotychczasowe preferencje zakupowe lub zainteresowania. Profilowanie następuje tylko wtedy, gdy dochodzi do zautomatyzowanego przetwarzania danych osobowych, a zatem wszelkie działania za pomocą dokumentacji papierowej czy też w pełni dokonywane przez człowieka nie są profilowaniem w rozumieniu RODO.

Co w sytuacji, gdy Twój marketing sprowadza się m.in. do profilowania Twoich klientów lub potencjalnych klientów? Przede wszystkim musisz zadbać o ich poinformowanie o tym fakcie. Wymaga tego art. 13 ust. 2 lit. f RODO oraz art. 14 ust. 2 lit. g RODO. W swoich klauzulach informacyjnych powinieneś zamieścić informację o tym, że dane osobowe Twojego klienta lub potencjalnego klienta będą podlegały profilowaniu, a także w jaki sposób takie profilowanie działa i co oznacza dla klienta. Pamiętaj również, że z profilowaniem jest związane z prawo podmiotu danych do wniesienia sprzeciwu. Przed rozpoczęciem profilowania należy dokonać oceny ryzyka i zapewne również oceny skutków dla ochrony danych czyli DPIA.

Pamiętaj! DPIA przeprowadza się m.in. wtedy, gdy dochodzi do systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na jej osobę.

Katalog obowiązków związanych z „obchodzeniem się z danymi osobowymi” przy prowadzeniu sklepu internetowego jest oczywiście bardzo szeroki, a nawet może okazać bardziej pokaźny niż w przypadku przedsiębiorcy, który działa w podobnej branży, ale nie w sieci. Zasada minimalizacji powinna być jednak jednym z najważniejszych wyznaczników projektowania prywatności oraz opracowywania dokumentacji i procedur.

Czytaj również: „Minimalizacja danych w sklepie internetowym”.

 

 

E-commerce, RODO

Newsletter a RODO

Jak wysyłać newsletter, aby był zgodny z RODO? Jeśli masz sklep internetowy albo działasz w innej sferze branży e-commerce (np. blog), z pewnością zastanawiasz się czy wysyłka Twojego newslettera jest zgodna z prawem. Okazuje się, że RODO wcale nie jest wcale jedynym przy okazji wysyłki newslettera.

W przypadku newslettera, trzeba spełnić wymogi trzech aktów prawnych:

– wspomnianego RODO,

– ustawy o świadczeniu usług drogą elektroniczną,

– ustawy Prawo telekomunikacyjne.

RODO to najpierw wybór odpowiedniej podstawy prawnej przetwarzania danych osobowych. Oczywiście mowa o danych osobowych Twoich klientów, którym chcesz wysyłać newsletter. RODO nie daje pierwszeństwa żadnej z podstaw prawnych przetwarzania wskazanych w art. 6. W przypadku newslettera można zastanowić się nad wyborem trzech podstaw:

– zgodą (art. 6 ust. 1 lit. a RODO)

– wykonaniem umowy (art. 6 ust. 1 lit. b RODO)

– uzasadnionym interesem administratora (art. 6 ust. 1 lit. f RODO).

Najczęściej w przypadku relacji marketingowych z klientami dochodzi do wyboru pomiędzy zgodą a uzasadnionym interesem. Pamiętaj o tym, że wysyłka newslettera zwykle ma charakter marketingu bezpośredniego (jeśli takiego by nie miała od razu należy zaznaczyć, że podstawa uzasadnionego interesu administratora odpada). Zgodnie z motywem 47 preambuły RODO „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Dlatego – zakładając, że newsletter ma charakter marketingowy – zdecydowanie można skorzystać z przesłanki uzasadnionego interesu administratora z art. 6 ust. 1 lit. f RODO. Skutkiem tego jest brak konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych na potrzeby wysyłki newslettera. Wadą tej opcji jest jednak konieczność wykonania tzw. testu równowagi celem sprawdzenia czy przypadkiem prawa i wolności podmiotów danych nie przeważają nad interesem administratora – gdyby test równowagi wypadł negatywnie dla administratora, nie można skorzystać z podstawy uzasadnionego interesu.

Więcej o podstawie uzasadnionego interesu we wpisie „Uzasadniony interes: pułapka czy zbawienie?„.

Zgoda to druga opcja, która jednak jest najsłabszą podstawą przetwarzania. Podmiot danych (czyli odbiorca Twojego newslettera) nawet jeśli udzielił zgody, może ją w każdej chwili cofnąć, co będzie oznaczało nie tylko brak możliwości dalszej wysyłki newslettera, ale też usunięcie danych osobowych tego klienta pozyskanych w celu dokonywania wysyłki. W przypadku wspomnianego wyżej uzasadnionego interesu, klient również ma prawo „wyeliminować” Twoją wysyłkę poprzez zgłoszenie tzw. sprzeciwu co do przetwarzania danych osobowych – skutek jest taki sam jak w przypadku cofnięcia zgody. Statystycznie jednak podmioty danych częściej wycofują udzielone wcześniej zgody niż korzystają z prawa do sprzeciwu.

Więcej o zgodzie piszemy we wpisie „Co powinna zawierać zgoda na przetwarzanie danych?„.

W tym miejscu dochodzimy do wykonania umowy. Na pierwszy rzut oka takie zakwalifikowanie wysyłki newslettera może dziwić, bo w końcu o jaką umowę chodzi? Otóż wysyłkę newslettera również można potraktować jak umowę. Klient chce dostawać najświeższe informacje o Twoich produktach lub usługach, a Ty oferujesz usługę polegającą na przesyłaniu takich informacji. Być może część prawników nie akceptuje takiej koncepcji, jednak coraz częściej w praktyce wysyłkę newslettera traktuje się jak umowę. Taka koncepcja pozwoliłaby na zastosowanie art. 6 ust. 1 lit. b jako podstawy prawnej przetwarzania danych, co skutkowałoby uniknięciem konieczności odbierania odrębnej zgody na przetwarzanie danych osobowych, a także uniknięciem zagrożenia wycofania zgody czy też wniesienia sprzeciwu (w przypadku przesłanki uzasadnionego interesu). Oparcie się na przesłance wykonania umowy nie może jednak nastąpić „samo przez się”. Wymaga zaprojektowania wysyłki w taki sposób, aby dla obu stron (wysyłającego i odbierającego newsletter) było jasne, ze dochodzi do zawarcia umowy. Dlatego konieczne byłoby wprowadzenie odpowiednich postanowień do polityki prywatności Twojej strony, a jeśli np. prowadzisz sklep internetowy i musisz posiadać na stronie sklepu odpowiedni regulamin, również i w jego treści należy zawrzeć fragment dotyczący usługi polegającej na wysyłce newslettera.

Przy okazji omawiania RODO dla newslettera, nie należy zapominać o kolejnych obowiązkach, które będą spoczywać na Tobie jako na administratorze danych osobowych a – jak zapewne już wiesz – jest ich sporo. Na pewno musisz zadbać o aktualizację Twojej polityki prywatności oraz klauzul informacyjnych. Wysyłka newslettera to odrębny cel przetwarzania danych osobowych, a zatem jeżeli już nawet posiadasz adres e-mail klienta, któremu chcesz przesyłać newsletter (ponieważ był on potrzebny np. do dokonania zakupów w Twoim sklepie internetowym) to i tak musisz wykonać odrębny obowiązek informacyjny albo zaktualizować dotychczas stosowane klauzule informacyjne.

Zadbaj również o zapewnienie wykonywania praw podmiotu danych. Jeżeli opierasz wysyłkę newslettera na zgodzie, musisz zapewnić swoim klientom taką procedurę, która umożliwi im wycofanie zgody tak łatwo, jak została udzielona. Nie możesz dla przykładu żądać od klienta wycofania zgody w formie listu czy kontaktu telefonicznego, jeżeli była ona wyrażona przez zaznaczenie odpowiedniego checkboxa. Podobnie, jeśli opierasz przetwarzanie danych w oparciu o uzasadniony interes, musisz zapewnić bezpieczny i sprawy kanał komunikacji w zakresie np. realizacji prawa sprzeciwu.

Konieczne będzie również uzupełnienie rejestru czynności przetwarzania, tabel retencyjnych oraz oczywiście wykonanie oceny ryzyka. W przypadku oceny ryzyka pamiętaj o odpowiednim zaprojektowaniu komunikacji przy uwzględnieniu zasady privacy by default. Wszelkie ustawienia prywatności muszą mieć charakter domyślny. Nie możesz zatem udostępniać potencjalnemu adresatowi newslettera checkboxa, który będzie domyślnie zaznaczony. To klient musi sam zaznaczyć pierwotnie pusty checkbox.

Dalsze wymogi wynikają z ustawy o świadczeniu usług drogą elektroniczną oraz z Prawa telekomunikacyjnego. Tutaj nie ominiesz uzyskania zgody od adresata newslettera. Gdybyś wysłał wiadomość bez uzyskania odpowiedniej zgody, stanowiłaby ona niezamówioną informację handlową czyli przysłowiowy spam, za co mogłaby Cię spotkać kara zarówno od Prezesa Urzędu Ochrony Danych Osobowych, jak i od Urzędu Komunikacji Elektronicznej oraz Urzędu Ochrony Konkurencji i Konsumentów.

Pamiętaj! Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną: „Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej„.

Z pomocą przychodzi art. 4 ustawy o świadczeniu usług drogą elektroniczną oraz art. 174 Prawa telekomunikacyjnego. Do uzyskiwania zgód w oparciu o ustawę o świadczeniu drogą elektroniczną oraz o Prawo telekomunikacyjne stosuje się przepisy o ochronie danych osobowych, a zatem w szczególności RODO. Zgoda musi być zatem:

  • dobrowolna,
  • konkretna,
  • świadoma,
  • przekazana w formie oświadczenia lub wyraźnego działania potwierdzającego, że osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Osoba, która wyraża zgodę musi zatem mieć możliwość wyboru (a zatem np. możliwość zaznaczenia pustego checkboxa). Konkretność zgody przejawia się przez wskazanie, w jakim celu jest ona wyrażana i jakie dane są przekazywane. Świadomość dotyczy tego, że osoba udzielająca zgody musi wiedzieć komu jej udziela i po co. Zgoda nie musi jednocześnie stanowić każdorazowo oświadczenia osoby, gdyż również samo działanie potwierdzające stanowi zgodę np. wykonanie odpowiedniego ruchu kursorem, tabletem, zaznaczenie okienka. Za działanie potwierdzające nie może być jednak uznane np. samo przewijanie ekranu, gdyż w takim przypadku nietrudno o przypadkowość.

Obie zgody (jedna wynikająca z ustawy o świadczeniu usług drogą elektroniczną, a druga z Prawa telekomunikacyjnego) dotyczą bardzo zbliżonych kwestii i jedynie niedbałość ustawodawcy powoduje to, że zostały one uregulowane w odrębnych aktach prawnych. W zasadzie należałoby uznać, że masz obowiązek odbierać dwie odrębne zgody na podstawie każdej z tych ustaw, jednak zdecydowanie nie odpowiadałoby to praktyce rynkowej. Dlatego za dopuszczalne należy uznać połączenie tych dwóch zgód w formie jednego oświadczenia. Taką możliwość dopuszcza np. Ministerstwo Cyfryzacji w poradniku „RODO. Poradnik dla sektora FinTech”. Nie powinieneś jednocześnie, pobierając tych zgód, stosować cytatów z przepisów prawa, które przeciętnemu użytkownikowi niewiele powiedzą (jak choćby tajemnicze pojęcie „telekomunikacyjnych urządzeń końcowych”) – takie rozwiązanie byłoby nieczytelne i niejasne. Zamiast tego powinieneś zadbać o jak najklarowniejszy sposób odebrania zgody.

Łącząc obie zgody często praktykuje się rozwiązanie polegające na umożliwieniu osobie wpisania w przeznaczonym do tego okienku adresu e-mail oraz zaznaczenie checkboxa z informacją o chęci otrzymywania newslettera od sprzedawcy. Wydaje się to spełniać wymogi obu ustaw, choć pojawiają się również poglądy, że takie rozwiązanie nie do końca przystaje do wymogów zgody stawianej odpowiednio przez RODO. Można zatem rozważyć umieszczenie dodatkowo, obok okienka, w którym wpisuje się adres e-mail, checkboxa, pod którym znajdzie się informacja o wyrażeniu zgody na przesyłanie newslettera. W praktyce, oprócz odebrania zgody w formie checkboxa, zaleca się dodatkowo uzyskanie potwierdzenia jej udzielenia przez kliknięcie w link, który zostanie wysłany na podany adres mailowy (tzw. double opt – in). Nie należy zapomnieć również o podaniu skróconej klauzuli informacyjnej, która będzie odsyłać do pełnej polityki prywatności.

W tym miejscu pojawia się inne zagadnienie: czy jeśli opieram wysyłanie newslettera na zgodzie na przetwarzanie danych osobowych (nie chodzi o zgodę z ustawy o świadczeniu usług drogą elektroniczną ani o zgodę z Prawa telekomunikacyjnego), to czy mogę połączyć te trzy zgody w jednym checkboxie? Pojawiają się wprawdzie głosy, że byłoby to możliwe i zgodne z RODO, jednak skoro zgoda na przetwarzanie danych osobowych musi spełniać m.in. wymóg dobrowolności, to nie można uznać, ze oświadczenie łączące tę zgodę w pełni spełnia ten wymóg. Choć praktyka rynkowa wymagałaby uproszczenia, to z zdecydowanie zaleca się wyodrębnianie zgody na przetwarzanie danych osobowych od innych zgód – takie stanowisko prezentował GIODO jeszcze w oparciu o poprzedni stan prawny i powielały je sądy administracyjne.

Pamiętaj! Do zgody na podstawie ustawy o świadczeniu usług drogą elektroniczną i zgody wymaganej przez Prawo telekomunikacyjne stosuje się wymogi dla zgody przewidziane przez RODO.

Podsumowując: wysyłka newslettera nie jest niczym skomplikowanym pod kątem prawnym, ale trzeba ją odpowiednio zaplanować i zaprojektować. Jeśli nie spełnisz wymogów stawianych przez RODO, ustawę o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne, to możesz narazić się na odpowiedzialność administracyjną lub roszczenia odszkodowawcze ze strony swoich klientów.

E-commerce, Poradniki, Prawo gospodarcze, RODO, Spółki, Tajemnica przedsiębiorstwa

Jak założyć sklep internetowy?

Jak rozpocząć działanie w branży e-commerce?

Co trzeba wiedzieć i jakie dokumenty przygotować?

Jest tego sporo, dlatego zacznijmy od podstawowej i ogólnej wiedzy dotyczącej konkretnych zagadnień prawnych. Oto najważniejsze problemy prawne związane z założeniem i prowadzeniem sklepu internetowego.

  1. Forma prawna działalności

Jak każdy biznes, tak samo sklep internetowy musi przybrać konkretną formę prawną działalności. Tutaj mamy całkowitą dowolność (może z wyjątkiem spółki partnerskiej). Możemy zatem przemyśleć zarówno jednoosobową działalność gospodarczą, jak i spółkę np. spółkę jawną, komandytową lub komandytowo – akcyjną. Jeśli chcemy mieć jednocześnie jednoosobową działalność, ale współpracować razem z pozyskanym wspólnikiem, można pomyśleć o zawarciu umowy spółki cywilnej. Jeśli mamy przygotowane duże zaplecze finansowe i klienckie, być może warto zastanowić się nad założeniem spółki z ograniczoną odpowiedzialnością lub nawet spółki akcyjnej?

Jeśli Twoje aspiracje sprowadzają się do rozpoczęcia biznesu i stawiasz na rozruch, lepiej skupić się na prostszych formach prowadzenia działalności. Jeżeli jesteś sam, po prostu zarejestruj jednoosobową działalność w CEIDG. Jeśli masz wspólnika lub wspólników, załóżcie swoje działalności i podpiszcie umowę spółki cywilnej. Jednak jeśli jest was kilkoro, ale chcecie mieć lepszą pewność obrotu i ochrony prawnej, pomyślcie o spółce jawnej albo komandytowej.

  1. Marka

Obsługa prawna e-commerceWybór nazwy Twojego sklepu internetowego i opracowanie jego marki to nie tylko „chwila olśnienia”. Tę chwilę należy następnie zweryfikować z rzeczywistością, a w szczególności z nazwami i markami innych przedsiębiorców. Niektórzy z nich mogą bowiem już funkcjonować pod taką samą lub podobną nazwą. Dlatego warto najpierw wejść na stronę Urzędu Patentowego (uprp.gov.pl) i sprawdzić czy przypadkiem ktoś wcześniej nie zarejestrował jakiejś nazwy lub znaku graficznego jako znaku towarowego. Jeśli natrafisz na taki sam lub podobny znak, lepiej wybierz inną nazwę. Jeśli jednak nie ma zarejestrowanego takiego samego lub podobnego znaku, jak ten, który wpadł Ci do głowy, nadal nie zaprzestawaj „badań”. Twoja nazwa lub marka sklepu internetowego nie mogą wprowadzać w błąd czy też podszywać się pod innego przedsiębiorcę – takie działanie mogłoby zostać poczytane za czyn nieuczciwej konkurencji, a Ciebie narazić na odpowiedzialność odszkodowawczą. Nie chodzi oczywiście o to, że chcesz się pod kogoś podszyć, ale przypadkowo nieświadomie możesz naruszyć czyjejś prawo do jego marki i popaść z nim w konflikt. Dlatego warto sprawdzić podobnych przedsiębiorców w regionie oraz w kraju. Skorzystaj choćby z wyszukiwarki internetowej albo zleć badanie poprawności Twojej marki odpowiedniemu specjaliście (radcy prawnemu, rzecznikowi patentowemu, adwokatowi).

  1. Budowanie witryny sklepu internetowego

W porządku. Załóżmy, że Twoja (lub Wasza) działalność została już założona, a Twoja marka nie narusza niczyich praw. Teraz trzeba pomyśleć o tym, co najistotniejsze czyli o „fizycznym” założeniu sklepu internetowego. Sklep nie może istnieć bez witryny internetowej. Dlatego oczywiście musisz wykupić domenę, hosting i zaprojektować samą stronę internetową. O ile kupno domeny i hostingu nie powinno nastręczać większych problemów, to projektowanie strony internetowej zwykle będzie wiązało się z zawarciem umowy z firmą, która tę stronę dla Ciebie zaprojektuje. Podobne umowy są zwykle umowami o dzieło czyli o wykonanie konkretnego rezultatu. Czasami warto zastanowić się czy nie poszukać firmy, która nie tylko zaprojektuje i wykona stronę, ale również zapewni opiekę nad stroną oraz odpowiednie aktualizacje. W końcu w trakcie prowadzenia sklepu internetowego niezbędne będzie dokonywanie zmian witryny czy też poprawianie ewentualnych błędów. Podpisanie dobrej umowy z firmą projektującą strony na pewno zaoszczędzi Ci sporo kłopotów i pieniędzy. Dopilnuj, aby w umowie nie zawarto jakichkolwiek wyłączeń czy ograniczeń dotyczących rękojmi lub gwarancji. Ustalcie dokładnie przedmiot umowy i oczekiwany rezultat, a także sposoby i terminy dokonywania poprawek w przypadku stwierdzenia wad. Nie zapomnij także o odpowiednim uregulowaniu autorskich praw majątkowych. Powinny one przejść na Ciebie – najlepiej już w momencie odebrania dzieła czyli gotowej witryny.

Umowa z firmą projektującą strony to jednak nie wszystko przy budowaniu witryny Twojego sklepu internetowego. Sama witryna musi uwzględniać szereg wymogów prawnych, którymi przyjrzyjmy się w dalszych punktach.

  1. Regulamin sklepu internetowego

Regulamin sklepu internetowego to absolutny „mus”. Wymagania stawiane przez ustawę o świadczeniu usług drogą elektroniczną oraz prawo konsumenckie wymagają opracowania odpowiednich procedur oraz zapewnienia konsumentom szybkiej i wyczerpującej informacji o sposobie korzystania ze sklepu, a także o przysługujących im prawach. Poprawnie sporządzony regulamin nie może być jednak oparty o prosty wzór czy też „skopiowany od konkurencji”. Jedynie dobrze przygotowany regulamin dostosowany do specyfiki Twojego sklepu internetowego spełni wymogi ustawy o świadczeniu usług drogą elektroniczną. Wadliwy regulamin niestety może sporo kosztować, gdyż obowiązki informacyjne wobec konsumentów i użytkowników Twojej witryny należą do jednego z Twoich pierwszych i podstawowych obowiązków. Lista elementów, które musi zawierać regulamin sklepu internetowego jest imponująca, dlatego problematykę sporządzenia regulaminu poruszymy w innym wpisie.

  1. RODO

Kancelaria obsługa firm
www.rybarczyk-kancelaria.pl

RODO jest teraz wszędzie, a dla branży e-commerce jest wyjątkowo ważne. Jeżeli ktoś prowadzi sklep internetowy, a nie spełnia wymogów RODO, to sam naraża się tylko na poważne problemy. Pamiętaj, że administracyjne kary pieniężne za nieprzestrzeganie RODO mogą sięgać nawet wielu milionów euro, nie wspominając już o możliwych roszczeniach Twoich klientów, gdyby np. doszło do wycieku ich danych osobowych.

Poprawne wdrożenie RODO w Twoim sklepie internetowym powinno być podstawą Twojej działalności. RODO to nie tylko dokumentacja, którą przechowujesz „u siebie”, ale również odpowiednia komunikacja z Twoimi klientami, a także troska o zapewnienie im odpowiednich informacji i zabezpieczenie ich danych osobowych.

Jednocześnie nie staraj się „robić RODO” samodzielnie i po macoszemu. Dbałość o dane Twoich klientów wymaga odpowiedniego zaprojektowania funkcjonowania całości Twojego sklepu internetowego, dlatego już na samym początku musisz wiedzieć jak funkcjonować w przyjaźni z RODO i jego wymogami. Zleć specjaliście audyt RODO i opracowanie odpowiedniej dokumentacji, procedur, rejestrów. Nie zapomnij również o tym, że RODO to także ocena ryzyka przetwarzania danych osobowych oraz ocena skutków dla ochrony danych, które muszą być udokumentowane. Tylko odpowiednie procedury i reguły mogą pozwolić Ci zminimalizować ryzyko naruszeń danych osobowych, a w razie naruszenia mogą Ci pomóc w obronie przez zarzutami Prezesa Urzędu Ochrony Danych Osobowych lub roszczeniami Twoich klientów.

Niedawne potężne wycieki danych w kilku wiodących sklepach internetowych pokazują, że nie warto bagatelizować lub oszczędzać na ochronie danych osobowych. W szczególności w sieci, gdzie dane bywają wyjątkowo narażone na zagrożenia, zapewnienie bezpieczeństwa odgrywa znaczącą rolę.

  1. Prawa konsumentów

W tym momencie musisz zidentyfikować, kim będą Twoi klienci? Czy swoje usługi będziesz kierować do innych przedsiębiorców czy też do konsumentów. Kim jest jednak konsument? Zgodnie z art. 22(1) Kodeksu cywilnego, konsumentem jest osoba fizyczna (a zatem nie może być to sp. spółka prawa handlowego), która dokonuje z przedsiębiorcą (czyli z Tobą) czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą lub zawodową. Innymi słowy: jest to osoba, która nie kupuje Twoich produktów lub usług w związku ze swoją działalnością gospodarczą, tylko na swój prywatny, domowy użytek.

Prawo konsumenckie jest o tyle istotne, że chroni prawa konsumentów w relacjach z przedsiębiorcami. Z prawami konsumentów musisz być dobrze zaznajomiony (lub Twój prawnik), żeby nie popełnić szkolnych błędów przy projektowaniu odpowiedniej dokumentacji na witrynę sklepu albo w bezpośrednich relacjach z klientami. Na pewno powinieneś zapoznać się z Kodeksem cywilnym i tzw. klauzulami niedozwolonymi czyli postanowieniami umów lub regulaminów, które, o ile są nieuzgodnione indywidulanie z konsumentem i naruszają jego interesy, co do zasady uznawane są za nieważne. Co musisz zatem zrobić? Na pewno audyt Twojej strony (lub dopiero projektowanej strony) pod kątem klauzul niedozwolonych powinien być pierwszą czynnością. Wszelkie postanowienia umów lub regulaminów, które zawierają klauzule niedozwolone powinny zostać natychmiast wyeliminowane i zastąpione innymi postanowieniami, na które pozwala prawo konsumenckie. Jeśli dopiero zastanawiasz się jak podejść do obsługi praw konsumentów, niestety musisz zaprzyjaźnić się z ustawą Prawo konsumentów i Kodeksem cywilnym. Klauzul niedozwolonych jest jednak na tyle dużo, że w celu zabezpieczenia prawnego Twojego biznesu, warto pomyśleć o obsłudze prawnej.

  1. Cyberbezpieczeństwo

Tematyka cyberbezpieczeństwa wiąże się z RODO, ale nie jest z nim tożsama. Zapewnienie odpowiedniej ochrony przed atakami hakerskimi czy też złośliwym oprogramowaniem wymaga przede wszystkim zadbania o odpowiednie procedury oraz ochronę techniczną. Podstawowe oprogramowanie antywirusowe to nie wszystko. Cyberbezpieczeństwo jest szerokim tematem, które w krajach zachodnich jest obecnie jedną z głównych kwestii, jeśli chodzi o zapewnienie bezpieczeństwa informacji. Jeśli dobro danych Twoich klientów oraz zapewnienie nieprzerwanego funkcjonowania sklepu internetowego leży Ci na sercu, to zdobycie wiedzy z zakresu ochrony danych i zapewnienie odporności systemów oraz ciągłości działania powinny być kolejnym z Twoich priorytetów.

  1. Tajemnica przedsiębiorstwa

Pomyśl, co by się stało, gdyby ktoś dowiedział się, w jaki sposób pozyskujesz klientów, dostawców, a także kim są Twoi klienci (w szczególności Ci stali)? Jeszcze gorzej: zatrudniasz pracownika, który zwalnia się, a potem wyjawia konkurencji całe Twoje know-how i dane klientów? Ochrona tajemnicy przedsiębiorstwa powinna być domeną każdego przedsiębiorcy, a więc także Twoją. Obecne brzmienie ustawy o zwalczaniu nieuczciwej konkurencji daje dosyć wyśrubowane wymogi dla przedsiębiorców, którzy chcą chronić informacje poufne w swojej firmie. Zwykłe regulaminy poufności mogą nie wystarczyć, a zatem warto pomyśleć o umowach o poufności czy umowach NDA (non – disclosure agreement). Takie umowy należy zawierać nie tylko z pracownikami, ale również z kontrahentami, z którymi przystępujemy do negocjacji, a potem również w trakcie współpracy z nimi.

  1. Programy lojalnościowe i akcje promocyjne

Opracowanie programu lojalnościowego lub akcji promocyjnej również wymaga wsparcia prawnego. Wszelkiego rodzaju promocje i programy lojalnościowe można postrzegać w kategorii tzw. przyrzeczenia publicznego albo umowy. Od tego, którą koncepcje się przyjmie, zależą dalsze kroki. Nie obejdzie się bez stosownego regulaminu dostępnego na witrynie sklepu internetowego, który będzie dokładnie określał m.in. warunki promocji, czas jej trwania czy też sposób wnoszenia reklamacji. Nie zapomnij również o tym, że program lojalnościowy lub akcja promocyjna muszą spełniać wymogi RODO.

  1. Specyfika branży

Pamiętaj o tym, że dalsze wymogi prawne zależą od tego, jaki będzie charakter Twojego sklepu internetowego. Być może Twoja działalność jest w jakimś stopniu regulowana i potrzebujesz odpowiedniego zezwolenia albo licencji? A może będziesz sprzedawać produkty, które wymagają zapewnienia odpowiednich oznaczeń, warunków lub nawet rejestracji (np. produkty medyczne)? Specyfika Twojej działalności może zatem wymagać podjęcia dodatkowych kroków, które warto najpierw przedyskutować z prawnikiem.

Podsumowując: Jeśli chcesz wejść w branże e-commerce, to nie zastanawiaj się! Obecnie sprzedaż przez Internet jest bardzo atrakcyjną formą prowadzenia biznesu. Jeśli masz pomysł na siebie, to być może właśnie sklep internetowy okaże się dla Ciebie strzałem w dziesiątkę. Jednocześnie musisz wziąć pod uwagę wszelkie wymogi prawne, z którymi wiąże się rozpoczęcie takiej działalności. Część z nich jest wspólna zarówno dla Ciebie, jak i dla każdego innego przedsiębiorcy, który nie działa w e-commerce. Istnieje jednak dużo wymogów, które musisz spełnić z uwagi na specyfikę swojej branży. Ta specyfika wyraża się zarówno poprzez prowadzenie działalności w Internecie, jak też i przez charakter prowadzonej przez Ciebie sprzedaży. Lepiej zatem już na samym początku zadbać o bezpieczeństwo prawne, aniżeli potem narażać się na ryzyko, które może uderzyć bezpośrednio w Twoją firmę.

Autorem artykułu jest Daniel Rybarczyk, radca prawny, wspólnik Kancelarii Radców Prawnych Ewa Rybarczyk Daniel Rybarczyk Spółka Cywilna w Kaliszu specjalizującej się w obsłudze przedsiębiorców, w tym działających w branży e-commerce.

Logo JPG