RODO

Uzależnienie podpisania umowy od wyrażenia zgody czyli o warunkowości zgody

Udzielenie zgody na przetwarzania danych osobowych a wykonanie umowy – dwie podstawy prawne, o których pisaliśmy już w artykule „Wykonanie umowy jako podstawa przetwarzania danych”. Czym innym jest jednak wszechobecna „zgodoza” czyli całkowite mylenie podstawy przetwarzania danych z art. 6 ust. 1 lit. b (wykonanie umowy) z podstawą zgody, a czym innym jest uzależnienie wykonania umowy lub świadczenia usługi od udzielenia zgody.

O co w tym chodzi?

W art. 7 RODO jest ustęp 4, który jest (w naszej ocenie) jednym z najczęściej przepisów łamanych w praktyce stosowania RODO przy okazji opierania podstawy przetwarzania danych o zgodę. Zgodnie z tą regulacją „oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy”. Administrator – w myśl tego przepisu – może łączyć zgody podmiotu danych z akceptacją warunków lub uzależnienia wykonania umowy albo świadczenia usługi od uwzględnienia wniosku o wyrażenie zgody na przetwarzania danych osobowych, która to zgoda nie jest konieczna w celu wykonania umowy lub świadczenia usługi. Przykład zaczerpnięty z wytycznych Grupy Roboczej art. 29 dotyczących zgody: Bank prosi swoich klientów o zgodę na wykorzystanie przez osoby trzecie ich danych płatniczych do celów marketingu bezpośredniego. Ten rodzaj czynności przetwarzania nie jest niezbędny do wykonania umowy między klientem a bankiem. Jeżeli wskutek niewyrażenia zgody doszłoby do odmowy świadczenia usług bankowych albo pogorszenia sytuacji klienta (np. przez zwiększenie opłat), nie można uznać takiej zgody za dobrowolną. Administrator musi zatem każdorazowo uważać, gdy przy okazji wykonywania umowy, prosi podmiot danych o wyrażenie zgody na inne „sfery” przetwarzania danych. Nie wolno bowiem uzależniać zawarcia lub wykonania umowy od wyrażenia zgody. Pojęcie „niezbędności do wykonania umowy” należy interpretować ściśle, a zatem musi istnieć bezpośredni i obiektywny związek między przetwarzaniem danych a celem wykonania umowy.

Co się jednak dzieje w sytuacji, gdy wnioskowane dane są niezbędne do wykonania umowy?

W takiej sytuacji art. 7 ust. 4 RODO nie ma zastosowania. Jeżeli jakieś dane są niezbędne do wykonania umowy, to ich przetwarzanie należy oprzeć na art. 6 ust. 1 lit. b RODO (wykonanie umowy), a nie na zgodzie.

O czym należy zatem pamiętać?

  1. Nie dublujemy podstaw przetwarzania,
  2. nie „ukrywamy” podstaw przetwarzania, a w szczególności w ramach wykonania umowy nie dodajemy zbędnych zgód lub zgód, które nie dają podmiotom danych możliwości wyboru co do zawarcia umowy,
  3. nie zmuszamy nikogo do udzielania dodatkowych zgód np. na udostępnienie danych osobowych klienta naszym partnerom handlowym albo na przekazywanie dodatkowych danych osobowych w zamian za dodatkowe „profity” do umowy czy też np. celem przesyłania newslettera, a w szczególności nie odmawiamy zawarcia umowy, jeżeli ktoś takiej zgody nie udzieli.

…. no chyba, że chcemy dostać karę od PUODO.

RODO

Dane w CEIDG jako dane osobowe

W treści uzasadnienia wyroku WSA wydanego sprawie BisNode Sąd poruszył bardzo ważną kwestię dotyczącą ochrony danych zgromadzonych w jawnych rejestrach, w szczególności w CEIDG.

 

Jaki jest problem? Otóż w CEIDG znajdują się dane przedsiębiorców prowadzących jednoosobowe działalności gospodarcze. Wśród tych danych część jest jawna a część nie. Wśród danych jawnych jest m.in. imię i nazwisko, adres prowadzenia działalności, NIP, REGON, czasem e-mail i telefon kontaktowy. Czy zatem te dane, z uwagi na fakt, że są jawne i dostępne nieograniczonemu kręgowi osób, nie stanowią danych osobowych? Na tak postawione pytanie należy odpowiedzieć przecząco. RODO w żadnym miejscu nie mówi, że fakt upublicznienia jakichkolwiek danych osobowych pozbawia je istoty bycia danymi osobowymi czy też należnej im ochrony. Dane zgromadzone w CEIDG są przetwarzane w oparciu o art. 6 ust. 1 lit. c (obowiązek prawny), natomiast nic nie stoi na przeszkodzie, aby te same dane (nawet pozyskane z takiego rejestru) były przetwarzane na innej podstawie prawnej i w innych celach. Spółka BisNode przetwarza dane z CEIDG w celach typowo komercyjnych. Cel nie jest zatem taki sam jak w przypadku przetwarzania tych danych w ramach CEIDG.

Inny przykład: ujawnienie danych osobowych (np. imienia i nazwiska) lekarza na stronie internetowej, na której można wyrażać opinie o lekarzach nie oznacza, że te dane tracą walor danych osobowych czy tez nie korzystają z ochrony. Każdorazowo należy patrzeć na charakter, kontekst i cel przetwarzania danych. W końcu te same dane osobowe bardzo często (a w obecnych czasach właściwie zawsze) są przetwarzane przez różnych administratorów. Fakt przetwarzania konkretnych danych przez jednego administratora, który je upublicznia nie może w żaden sposób pozbawiać tych danych ochrony. Wynika to nie tylko z przepisów o ochronie danych osobowych, ale również z zasad logiki. Przy przyjęciu odmiennego założenia cały system ochrony danych osobowych właściwie nie miałby sensu.

RODO

Uzasadniony interes: pułapka czy zbawienie?

Z uwagi na dużą popularność ostatniego wpisu „Wykonanie umowy jako podstawa przetwarzania danych”, kontynuujemy tematykę podstaw przetwarzania danych, ale nie będziemy tego robić po kolei i encyklopedycznie, bo byłoby po prostu nudno. Dlatego w tym wpisie przeskakujemy z litery b od razu do litery f. Pod magicznym przepisem art. 6 ust. 1 lit f kryje się bowiem równie magiczna podstawa przetwarzania danych, której problematyka przekracza ramy jednego wpisu. Dlatego skupimy się głównie na tym, dlaczego podstawa z litery f to jednocześnie pułapka i zbawienie.

Pułapka

Uzasadniony interes stanowi podstawę przetwarzania, która jest najtrudniejsza do zrealizowania pod kątem rozliczalności. Przepis art. 6 ust. 1 lit. f wyraźnie mówi o tym, że administrator, chcąc oprzeć przetwarzanie w oparciu o swój uzasadniony interes, musi sprawdzić czy przypadkiem prawa i wolności osób, których dane dotyczą nie mają charakteru nadrzędnego na tym interesem. Gdyby tak było, wtedy nie można przetwarzać danych w oparciu o tę podstawę. Jak to zbadać? Najpopularniejszym i najczęściej zalecanym sposobem jest przeprowadzenie tzw. testu równowagi (ang. balancing test). Ten test polega na szczegółowym zbadaniu zamierzonego przetwarzania oraz praw i wolności podmiotów danych. Celem testu jest „zważenie” interesu administratora lub osoby trzeciej oraz praw i wolności osób, których dane dotyczą. Test powinien być udokumentowany i przygotowany do okazania podczas ewentualnej kontroli. Brak wykazania przeprowadzenia badania wymaganego w art. 6 ust. 1 lit. f to typowa pułapka tej podstawy przetwarzania, w która można wpaść przez własną niewiedze lub lenistwo.

Kolejną pułapką jest konieczność identyfikacji podstaw przetwarzania, a w szczególności odróżnienia lit. f od lit. a i b. O ile bardzo często dojdzie do konieczności wyboru między uzasadnionym interesem a zgodą (np. przy marketingu bezpośrednim) i każdy z tych wyborów może być trafny (byleby trzymać się go przez cały czas), to rozróżnienie lit. b i lit. f może napotkać trudności. Przykład znany z poprzedniego wpisu: podstawę z „wykonania umowy” z lit. b wykorzystujemy do przetwarzania danych strony umowy. Jeśli jednak strona umowy ma pracowników lub współpracowników, którzy będą brać udział w realizacji tej umowy, to nie można przetwarzać danych tych osób w oparciu o lit. b. W takiej sytuacji dochodzi do klasycznego oparcia przetwarzania na podstawie uzasadnionego interesu czyli lit. f.

Zbawienie

Uzasadniony interes to nie tylko pułapka, ale również (a nawet przede wszystkim!) zbawienie. Podobna podstawa przetwarzania istniała w poprzednio obowiązującej ustawie o ochronie danych osobowych z 1997 r., jednak tam mowa była o „prawnie uzasadnionych celach” zamiast o „uzasadnionym interesie”. Wtedy jednak ta podstawa nie cieszyła się dużą popularnością, gdyż była zbyt ogólna i – można rzec – tajemnicza. Dzisiaj w dobie RODO i całej paniki z tym związanej (w szczególności w zakresie kar administracyjnych), administratorzy w celu poprawnego zaszeregowania danego przetwarzania do jego podstaw muszą korzystać z każdej podstawy przetwarzania, która jest wymagana lub możliwa w danym wypadku. Wiele przypadków nie pozwala na skorzystanie z „najbezpieczniejszych” podstaw przetwarzania np. zgody, wykonania umowy czy obowiązku prawnego. W takiej sytuacji zwykle trzeba sięgnąć właśnie do lit. f i na niej oprzeć swoje przetwarzanie. Gdyby nie ta podstawa przetwarzania, administrator nie miałby żadnej „furtki” pozwalającej mu na przetwarzanie danych, gdyby inne podstawy nie istniały. Oczywiście nie oznacza to, że w oparciu o lit. f można przetwarzać wszystko i zawsze, jednak ta podstawa pozwala na większą swobodę w interpretacji (a czasem nawet ratowaniu legalności swojego przetwarzania) aniżeli pozostałe podstawy.

Ponadto uzasadniony interes należy rozumieć szeroko pod kątem podmiotowym. Dotyczy on nie tylko uzasadnionego interesu administratora, ale również osoby trzeciej. Można nawet uznać, że w wyżej podanym przykładzie dotyczącym pracowników i współpracowników administratora, należy dopatrywać się zarówno interesu samego administratora (przetwarzanie przez niego danych tych osób jest potrzebne do poprawnego wykonania umowy i kontrolowania tego wykonania przez kontrahenta), ale również interesu tych osób (wykonują one umowę z kontrahentem administratora za wynagrodzeniem, a zatem przetwarzanie danych przez tego administratora leży w ich interesie). Możliwość uwzględnienia nie tylko interesu samego administratora, ale również osoby trzeciej z pewnością pozwala na szersze zastosowanie tej podstawy przetwarzania, aniżeli w sytuacji, gdyby przepis pozwalał jedynie na uwzględnienie interesu administratora.

A zatem bardziej pułapka czy bardziej zbawienie? Z pewnością: bardziej zbawienie, ale na pułapki też trzeba uważać.

RODO

Wykonanie umowy jako podstawa przetwarzania danych

Przetwarzanie danych osobowych musi opierać się na konkretnej podstawie prawnej – prawda stara jak świat (a właściwie jako prawo ochrony danych!). Jedną z podstaw, które przewiduje RODO jest tzw. wykonanie umowy, a uściślając: administrator może przetwarzać dane osobowe, jeżeli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b RODO).

Obrazek posiada pusty atrybut alt; plik o nazwie contract-2098011_640.jpg

Ta podstawa wśród wielu administratorów niestety budzi wielkie zdziwienie: „Jak to, nie muszę się zgadzać?”, „Ale przecież trzeba wyrazić zgodę!” – to tylko niektóre z twierdzeń, które padają, gdy mówi się o tym, że samo wykonanie umowy jest podstawą prawną do przetwarzania danych. I to uświadamianie jest bardzo potrzebne. Każda z podstaw przetwarzania danych wskazana w art. 6 RODO ma bowiem charakter autonomiczny i równoważny względem pozostałych podstaw. Oznacza to, że każda podstawa jest tak samo ważna, a zgoda wcale nie jest „najważniejszą” i „najmocniejszą” (O! to już na pewno nie!) podstawą przetwarzania.

Co jednak musi się stać, aby można było skorzystać z podstawy „wykonania umowy”?

Przede wszystkim sam fakt zawartej umowy i jej wykonywanie (jak sama nazwa wskazuje) stanowi niewątpliwie podstawę do przetwarzania danych strony umowy. Należy pamiętać, że ta podstawa dotyczy tylko stron umowy. Na jej podstawie nie można przetwarzać danych innych osób np. pracowników drugiej strony umowy czy też jej podwykonawców.

Ponadto dane kontrahenta lub klienta (generalnie: drugiej strony umowy) można przetwarzać wtedy, gdy wprawdzie umowa nie jest jeszcze zawarta, ale druga strona (osoba, której dane dotyczą) podejmuje takie działanie, które ma zmierzać do zawarcia umowy. Chodzi tutaj o „żądanie osoby”, o którym mowa w art. 6 ust. 1 lit. b. Zatem, aby móc powołać się na tę podstawę przetwarzania, nie może dojść sytuacji, w której to administrator podejmuje takie działania mające na celu zawarcie umowy. Propozycja zawarcia umowy nie musi jednak stanowić oferty w rozumieniu przepisów Kodeksu cywilnego. Na omawianą podstawę administrator będzie mógł jednak powołać wtedy, gdy najpierw sam przedstawi propozycję zawarcia umowy, a druga osoba (której dane dotyczą) wyrazi co najmniej rzeczywiste zainteresowanie propozycją zawarcia umowy. Zainteresowanie powinno być konkretne i przyjąć formę odpowiedniego oświadczenia woli tej osoby. Przedstawiania propozycji zawarcia umowy nie można jednak nadużywać w ramach art. 6 ust. 1 lit. b RODO np. ten przepis nie będzie legalizował wydzwaniania do potencjalnych klientów z propozycją zawarcia umowy czy też wysyłania niezamówionych maili (spamu).

Oczywiście sam fakt oparcia przetwarzania danych na wykonaniu umowy nie uchyla jakichkolwiek obowiązków z RODO czyli m.in. przestrzegania wszelkich zasad z art. 5 RODO np. nie można w oparciu o wykonanie umowy przetwarzać danych „nadmiarowych” czyli niekoniecznie potrzebnych do wykonania umowy. Ponadto każdorazowo należy pamiętać o wykonywaniu obowiązku informacyjnego i wskazywaniu konkretnej podstawy przetwarzania w ramach tego obowiązku.

Prawo pracy, RODO

Czy trzeba upoważniać pracownika do przetwarzania danych osobowych?

W poprzednich wpisach poruszyliśmy m.in. temat umowy powierzenia przetwarzania danych osobowych. Przy okazji tych wpisów wspominaliśmy o tym, że nie wolno zawierać umów powierzenia z osobami, które upoważniamy do przetwarzania danych.

Obrazek posiada pusty atrybut alt; plik o nazwie checklist-1266989_640.png

Źródłem obowiązku upoważnienia jest przepis art. 29 RODO, zgodnie z którym „podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego”. Ten przepis został trochę niepoprawnie przetłumaczony na język polski, co rodzi dużo problemów z jego interpretacją i zastosowaniem. Wersja polska mówi bowiem o przetwarzaniu „na polecenie administratora”, podczas gdy po angielsku ten fragment brzmi „on instructions from the controller”. Trudno przyjąć, że angielski termin „instructions” miałby oznaczać polecenie lub polecenia. Podobnie termin „z upoważnienia administratora” jest raczej nieudaną kalką wyrażenia „under authority of the controller”. Trudno zatem przyjąć, o jakie upoważnienia i o jakie polecenia administratora ma chodzić.

Nie na tym koniec problemów. Już przed 25 maja 2018 r. pojawiły się wątpliwości czy upoważnienia mają mieć postać pisemną. RODO nie przewiduje takiego wymogu. Mało tego – nie przewiduje w art. 29 wprost wymogu udokumentowania upoważnienia, choć zasada rozliczalności nakazuje takie dokumentowanie.

Obecnie – zgodnie z przepisem art. 22(1b) Kodeksu pracy, do przetwarzania danych szczególnych kategorii, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Podobnie zgodnie z art. 8 ust. 1b ustawy o Zakładowym Funduszu Świadczeń Socjalnych do przetwarzania danych osobowych dotyczących zdrowia także wymaga się nadawania pisemnego upoważnienia. Nie załatwia to jednak całości problemu.

Analizując poradnik Urzędu Ochrony Danych Osobowych „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców”, między wierszami także można doszukać się sugestii w przedmiocie obowiązku nadawania upoważnień.

Jak zatem do tego podejść?

Z pewnością nie liberalnie. Oczywiście problem z tłumaczeniem przepisu art. 29 RODO to jedno; podobnie z praktyką stosowania tego przepisu w wielu krajach europejskich, w których nie wymaga się odrębnych pisemnych upoważnień – należy do niej podchodzić z dystansem. Trzeba skupić się na tym, co mówi art. 29 RODO w polskiej wersji językowej, na wytwarzającej się praktyce i na stanowisku organu, a za pewnością to stanowisko zmierza do tego, że upoważnienie dla pracownika przetwarzającego dane osobowe musi być i powinno mieć formę odpowiednio udokumentowaną, a najlepiej pisemną. Oczywiście taka praktyka nie idzie w dobrą stronę, na pewno przy uwzględnieniu powszechnej cyfryzacji i odchodzenia we wszystkich branżach od formy papierowej. Absolutnym minimum zatem powinno być upoważnienie udokumentowane w inny sposób np. mailem (przy uwzględnieniu wyżej opisanych wymogów ustawowych, które wyraźnie przewidują upoważnienie pisemne). Jeżeli jednak dany pracodawca ma możliwość nadania odrębnych upoważnień pisemnych, to lepiej – dla świętego spokoju – skorzystać z takiej formy udzielenia upoważnienia.

RODO

Wtyczka Facebooka a RODO (wyrok ws. Fashion ID)

Wielu z nas umieszcza na swoich stronach internetowych, blogach czy witrynach sklepów internetowych wtyczki Facebooka „Lubię to”. Umieszczenie takiej wtyczki zajmuje kilka chwil i może przynieść operatorowi strony internetowej wymierne korzyści biznesowe i sprzedażowe. Mimo tego, że Trybunał Sprawiedliwości Unii Europejskie już w lipcu 2019 r. wypowiedział się na temat obowiązków operatora witryny internetowej związanych z umieszczeniem i utrzymywaniem takiej wtyczki na stronie, niewielu operatorów nadal wie, co trzeba z tym zrobić.

O jaką wypowiedź TSUE chodzi? W dniu 29 lipca 2019 r. TSUE wydał bardzo głośny wyrok w sprawie Fashion ID (dla dociekliwych: sygnatura akt C-40/17). O co chodziło w tej sprawie?

Fashion ID to firma zajmująca się sprzedażą modnej odzieży online. Na swojej stronie internetowej umieściła (jak wielu z nas) wtyczkę społecznościową „Lubię to” Facebooka. Nie spodobało się to stowarzyszeniu Verbraucherzentrale NRW zajmującemu się ochroną interesów konsumentów. Zarzut był taki: Fashion ID poprzez umieszczenie na swojej stronie internetowej wtyczki „Lubię to” przekazuje Facebookowi dane osobowe osób odwiedzających stronę Fashion ID bez zgody tych osób i bez wykonania wobec tych osób obowiązku informacyjnego.

Czego zatem dotyczył spór?

Chodziło o rozstrzygnięcie czy Fashion ID odpowiada za przetwarzanie danych osobowych użytkowników swojej strony internetowej w związku umieszczeniem wtyczki „Lubię to” i przekazywanie danych tych osób do Facebooka. Poszło to jednak jeszcze dalej i dotarło aż do pojęcia współadministrowania i właśnie to czyni ten wyrok tak istotnym i tak… niebezpiecznym.

Fashion ID w odpowiedzi na zarzuty Verbraucherzentrale NRW powiedział wyraźnie: nie jestem administratorem danych osobowych w stosunku do danych osób przekazywanych do Facebooka, ponieważ nie mam żadnego wpływu na dane przekazywane przez przeglądarkę osoby odwiedzającej moją stronę ani na to czy i jak Facebook może te dane wykorzystywać. Logiczne na pierwszy rzut oka, prawda?

Otóż TSUE nie zgodził się z tym stanowiskiem, a w sumie to nie zgodził się z nim częściowo. TSUE postawił bardzo śmiałą tezę, że Fashion ID i Facebook wspólnie określają sposoby dokonywania operacji gromadzenia danych osobowych osób odwiedzających witrynę internetową Fashion ID i ich ujawniana poprzez transmisję. Teza jest o tyle śmiała, że wskazuje wyraźnie na to, że Fashion ID i Facebook są współadministratorami danych osobowych tych osób. Współadministrowanie nie ma tutaj jednak charakteru „totalnego”, a zatem nie obejmuje wszystkich operacji na danych osobowych. TSUE podkreśla, że Fashion ID nie może określać celów i sposobów późniejszych operacji przetwarzania danych osobowych dokonywanych przez Facebook po przekazaniu tych danych do Facebooka. Oznacza to, że Fashion ID nie jest administratorem w odniesieniu do operacji po przekazaniu danych do Facebooka. To ograniczenie odpowiedzialności Fashion ID jednak wcale nie upraszcza sprawy, bo nadal pozostaje obszar wspólnej odpowiedzialności Fashion ID i Facebooka za operacje związane z gromadzeniem danych osób, które odwiedzają stronę internetową Fashion ID i ujawniania tych danych poprzez transmisję.

Dlaczego jest to takie istotne?

Administrator ma szereg obowiązków na gruncie RODO. Jednym z nich jest wykonywanie obowiązku informacyjnego wobec osób, których dane dotyczą. Zatem każdy podmiot, który na swojej stronie internetowej korzysta z wtyczki Facebooka powinien zaktualizować klauzule informacje i informować wszystkie osoby, które wchodzą na jego stronę o tym, że korzysta z takiej wtyczki i przekazuje dane do Facebooka, a zatem przekazuje (po części) dane do Państwa Trzeciego. Dlaczego po części? Otóż Facebook Inc ma siedzibę w Menlo Park (Kalifornia) w Stanach Zjednoczonych, z kolei druga z firm Facebooka czyli Facebook Ireland Ltd ma siedzibę w Dublinie w Irlandii. Zatem przekazywanie danych do Państwa Trzeciego następuje jedynie do Facebook Inc. Na szczęście Facebook Inc jest uczestnikiem programu Tarcza Prywatności, a zatem podstawą przekazania danych będzie art. 45 RODO.

Aktualizacja obowiązku informacyjnego to jednak w sumie nic trudnego, choć wymaga przejrzenia wszystkich naszych klauzul. Najgorsze w wyroku TSUE jest to, że zakłada on (w pewnym wycinku operacji na danych osobowych) współadministrowanie administratora posiadającego stronę i Facebooka. Zaglądając do art. 26 RODO dotyczącego współadministrowania widzimy pewne dodatkowe obowiązki dla obu administratorów. Jednym z nich jest zawarcie uzgodnień dotyczących odpowiedzialności każdego ze współadministratorów. W praktyce najczęściej robi się to za pomocą odrębnych umów o współadministrowanie. Jest to o tyle istotne, że RODO wymusza na każdym administratorze dokumentowanie poszczególnych czynności, procedur czy ustaleń (słynna zasada rozliczalności). Jeśli zatem chcemy być w 100% zgodni z RODO, powinniśmy zawrzeć z Facebookiem umowę o współadministrowanie. Współadministrowanie wymaga również rozbudowania i zmiany klauzul informacyjnych. Jak to zrobić? Otóż odpowiedzi na to pytanie nie ma, bo trudno sobie wyobrazić, aby Facebook był zainteresowany zawieraniem z każdym z operatorów fanpage, który umieszcza wtyczkę na swojej stronie umowy o współadministrowanie.

Wyrok TSUE jest przełomowy jednak nie tylko dlatego, że „nakłada” nowe obowiązki i rodzi problemy, które w praktyce nie do końca da się rozwiązać. Przede wszystkim zrywa on z dotychczas snutym podejściem, że współadministrowania lepiej unikać. TSUE idzie w tym kierunku, że nawet jeśli wspólnie nie ustala się celów i sposobów przetwarzania danych osobowych, a jedynie jest jakaś łączność między administratorami na styku przetwarzania danych, to można mówić o współadministrowaniu. Czy to aby na pewno nie jest zbyt daleko idące?

 

Trzeba powiedzieć wprost: skoro współadministrowanie polega na WSPÓLNYM ustalaniu celów i sposobów przetwarzania przez administratorów (wprost mówi o tym art. 26 ust. 1 RODO), to w jaki sposób przypisać można Fashion ID i Facebookowi tę „wspólnotę”? W naszej ocenie nie jest to możliwe. Skoro tak, to czy wykładnia TSUE nie zahacza przypadkiem o wykładnie contra legem (przeciw prawu)? W końcu to dosłowne brzmienie przepisu powinno nas wiązać w pierwszej kolejności. Niestety TSUE stawia przede wszystkim na ochronę osób, których dane dotyczą, a zatem odrywa swoją interpretację od dosłownego brzmienia przepisu i patrzy na jego cel (którego i tak zbytnio nie widać, patrząc na argumentację TSUE). Czy zatem krytyka tego wyroku jest zasłużona? W naszej ocenie tak, a przynajmniej należy mu się wyraz silnego zdziwienia. Nie zmienia to jednak faktu, że absolutnym minimum dla każdego administratora, który korzysta z wtyczki Facebooka jest odpowiednia aktualizacja obowiązku informacyjnego.

RODO

Z kim NIE zawiera się umowy powierzenia przetwarzania?

W poprzednim wpisie „Z kim zawiera się umowę powierzenia przetwarzania?” pisaliśmy o tym, kiedy mamy do czynienia z podmiotem przetwarzającym i kiedy istnieje obowiązek zawarcia umowy powierzenia. Tym razem chcemy odwrócić temat i odpowiedzieć na pytanie, kiedy umowy powierzenia nie należy zawierać.

I Osoby przetwarzające dane osobowe z upoważnienia administratora

O tym pisaliśmy już w poprzednim wpisie. Jeżeli administrator w danym przypadku stosuje art. 29 RODO i udziela upoważnień (choć to czy są wymagane tzw. upoważnienia pisemne jest przedmiotem kontrowersji – z wyjątkiem m.in. stosunku pracy), to osoba upoważniona nie jest podmiotem przetwarzającym.

II Nie każdy kontrahent jest automatycznie podmiotem przetwarzającym

Ten punkt to największa „bolączka” obecnego stosowania RODO w Polsce. Przedsiębiorcy ostatnio na potęgę „wymieniają się” umowami powierzenia albo zmuszają swoich kontrahentów, w szczególności podwykonawców, do zawierania takich umów. UWAGA! Są oczywiście sytuacje – i to liczne – kiedy występuje stosunek powierzenia przetwarzania (o tym szerzej w poprzednim wpisie). Jeżeli jednak taki stosunek nie występuje, tj. podmiot X (potencjalny podmiot przetwarzający) nie przetwarza danych w imieniu administratora, to NIE WOLNO zawierać umowy powierzenia. Umowa powierzenia przetwarzania ma regulować prawa i obowiązki stron w sytuacji, gdy stosunek powierzenia istnieje, ale nie może kreować takiego stosunku.

Lekkomyślne wręczanie każdemu kontrahentowi umowy powierzenia do podpisania świadczy (niestety!) o błędnym wdrożeniu RODO. Jako przykład można podać zmuszanie podwykonawcy w ramach umowy o roboty budowlane do podpisywania umowy powierzenia. Jeśli nie ma przekazywanych danych osobowych celem przetwarzania w imieniu administratora, to nie ma potrzeby (a wręcz nie wolno) podpisywać umów powierzenia. Doprowadziłoby to do błędnego określenia praw i obowiązków i wykreowania takich praw, które nie mają racji bytu. W szczególności jednak w przypadku kontroli, takie postępowanie mogłoby wręcz zakończyć się administracyjną karą pieniężną.

Co jednak w sytuacji, gdy – mimo poprawnego wdrożenia RODO i przewertowania wielu stron literatury i artykułów – nie wiemy czy dany podmiot jest podmiotem przetwarzającym czy też nie? Rzecz jasna są dwie odpowiedzi na to pytanie: zawierać umowę powierzenia oraz nie zawierać umowy powierzenia i zapewne znajdą się tacy eksperci, którzy doradzą zawarcie i tacy, którzy to będą odradzać. W naszej ocenie, w takiej skrajnej sytuacji, lepiej jednak zawrzeć umowę powierzenia i odpowiednio umotywować jej zawarcie w utrwalonej formie (np. opinia prawna obsługującej kancelarii, notatka z uzasadnieniem samego administratora, odpowiedni wpis w rejestrze czynności przetwarzania danych, odpowiedni wpis w liście kontrolnej umów powierzenia). Utrwalenie – zgodnie z zasadą rozliczalności – może pomóc w uzasadnieniu decyzji o zawarciu umowy powierzenia w przypadku kontroli. Z drugiej strony brak zawarcia umowy powierzenia (jeśli organ nadzorczy jednak stwierdzi, że powinna być zawarta) może rodzić poważniejsze skutki prawne w zakresie kary aniżeli zawarcie takiej umowy „na wszelki wypadek”. Pamiętajmy jednak, że każdy przypadek należy starannie przeanalizować i nie podejmować decyzji pochopnie

III Podmioty, które nie wdrożyły RODO

Zgodnie z przepisem art. 28 ust. 1 RODO administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, który dane dotyczą. Innymi słowy: jeżeli ktoś nie wdrożył RODO, albo zrobił to „po macoszemu”, to nie należy nie tylko nie zawierać umowy powierzenia z takim podmiotem, ale przede wszystkim nie rozpoczynać z nim współpracy (oraz zaniechać tej współpracy, jeśli została już nawiązana). Administrator ponosi odpowiedzialność za wybór podmiotu przetwarzającego. Oczywiście umową powierzenia można odpowiednio uregulować odpowiedzialność tak, aby administrator był jak najbardziej bezpieczny, ale jeżeli umyślnie albo przez lekkomyślność administrator powierzy dane osobowe procesorowi, który nie przestrzega wymogów RODO, to w przypadku incydentu po stronie podmiotu przetwarzającego, administrator nie pozostaje bez winy i bez odpowiedzialności.

Podsumowując: rozgraniczenie kiedy należy zawrzeć umowę powierzenia, a kiedy nie, nie jest łatwe. Dlatego warto do każdego przypadku podejść indywidualnie, a najlepiej skonsultować się z ekspertem z zakresu RODO. Jedno jest pewne: jeśli ktoś nie wdrożył RODO, nie powierzajmy mu naszych danych w ramach powierzenia, bo może się to dla nas źle skończyć.

RODO

Z kim zawiera się umowę powierzenia przetwarzania?

Administrator i podmiot przetwarzający – dwa najważniejsze podmioty w całym RODO (zaraz po osobach fizycznych, których dane dotyczą). Od tego, kto jest administratorem, a kto podmiotem przetwarzającym zależy wiele, bo każdy z tych podmiotów ma inne obowiązki i nieco inną odpowiedzialność.

 

Dla uściślenia: administrator do podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO), a zatem jest to ten podmiot, posiada władztwo w zakresie ustalania celów i sposobów przetwarzania. Cel to określony rezultat, a sposoby to metody przetwarzania. Administrator jest zatem głównym decydentem przy przetwarzaniu danych osobowych. Z kolei podmiot przetwarzający (procesor) przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO), a zatem nie decyduje o celach i sposobach przetwarzania danych, ale realizuje cel, który wyznaczył mu administrator.

Rozróżnienie czy w danym przypadku mamy do czynienia z administratorem czy podmiotem przetwarzającym niejednokrotnie rodzi i będzie rodziło problemy. Jest to istotne nie tylko z punktu przypisania danemu podmiotowi odpowiedniego katalogu obowiązków, ale także z punktu widzenia konieczności (lub braku konieczności) zawarcia umowy powierzenia przetwarzania.

Pamiętajmy bowiem, że prawa i obowiązki na linii administrator – podmiot przetwarzający powinny być uregulowane stosowną umową powierzenia (art. 28 ust. 3 RODO, który mówi o umowie lub innym instrumencie prawnym). Jeżeli zatem uznajemy, że jako administrator współpracujemy z podmiotem przetwarzającym, musimy zawrzeć umowę powierzenia. Jeżeli natomiast drugi podmiot jest np. odrębnym administratorem, wtedy takiego obowiązku nie ma, a wręcz zawieranie takiej umowy byłoby błędem.

Jak jednak rozróżnić, z kim mamy do czynienia?

Kluczem są z pewnością wyżej wskazane definicje zawarte w art. 4 pkt 7 i 8 RODO, jednak są one na tyle ogólne, że nie podejmą decyzji za nas (co nie zmienia faktu, że zawsze są punktem wyjścia).

W praktyce relacja na linii administrator – podmiot przetwarzający pojawia się przy okazji współpracy przy świadczeniu różnego rodzaju usług, w szczególności o charakterze outsourcingu np. zewnętrzne biuro księgowe, zewnętrzna obsługa kadrowa, przedsiębiorstwo oferujące usługi z zakresu niszczenia dokumentów, zewnętrzny pośrednik prowadzący rekrutację, pośrednik bankowy, pośrednik ubezpieczeniowy, podmiot obsługujący administratora pod kątem informatycznym, dostarczyciel usługi w postaci poczty elektronicznej, usług chmurowych, hostingu. Chodzi zatem najczęściej o takie podmioty, którym administrator zleca wykonywanie pewnych czynności, których to czynności nie chce lub nie umie sam wykonywać (np. z powodu czasu, braku wiedzy i doświadczenia, chęci zlecenia jakichś czynności podmiotowi fachowemu lub po prostu z powodu oszczędności finansowych). Administrator zatem zamiast wykonywać pewnie czynności obejmujące przetwarzania danych osobowych własnymi siłami, ceduje realizację jakiegoś wycinka swojego funkcjonowania na inny podmiot. Ocena czy w danej sytuacji występuje relacja powierzenia przetwarzania wymaga każdorazowej analizy kontekstu pod kątem definicji z art. 4 RODO oraz przyjętej (i kształtującej się) praktyki.

Ponadto nie należy mylić podmiotów przetwarzających z podmiotami, które przetwarzają dane osobowe z upoważnienia administratora (art. 29 RODO). Upoważnienie do przetwarzania danych to instytucja dotycząca przede wszystkim personelu administratora, a zatem jego pracowników, zleceniobiorców i wszystkich tych podmiotów, które znajdują się i działają w strukturach administratora. Jeżeli zatem administrator ma podpisaną z kimś umowę o współpracę (samozatrudnienie) i ta osoba wykonuje swoje zadania w strukturach administratora (w jego siedzibie, w oparciu o konkretne procedury i systemu dostarczone przez administratora), to raczej na pewno mamy tutaj do czynienia z upoważnieniem do przetwarzania danych osobowych, a nie z powierzeniem przetwarzania. Jeśli natomiast ta sama osoba charakteryzuje się dużym stopniem niezależności i jest typową obsługą zewnętrzną, wtedy należałoby się skłonić ku zawarciu umowy powierzenia przetwarzania.

Decyzja co do charakteru danego podmiotu nie jest zatem prosta i wielokrotnie będzie wymagać szczegółowej analizy. Każdorazowo należy oceniać dany przypadek indywidualnie i raczej unikać „generalizowania”.

W następnym wpisie bliżej przyjrzymy się temu, z kim NIE zawiera się umowy powierzenia przetwarzania.

RODO

Czy można żądać od kandydata do pracy zaświadczenia o niekaralności?

Czasami pracodawcy wpadają na taki pomysł: chcę mieć w swoim zespole pracowników o nieposzlakowanej opinii, więc muszę wiedzieć czy byli karani czy nie. Czy jednak w świetle RODO pracodawca może żądać na etapie rekrutacji przedstawienia od każdego kandydata zaświadczenia o niekaralności?

www.rybarczyk-kancelaria.pl

Otóż taki wymóg nie zależy od „widzimisię” pracodawcy. Dane, których można żądać od kandydata do pracy zostały wyraźnie określone w art. 22(1) § 1 Kodeksu pracy. Są to:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

Inne dane można odbierać w oparciu o zgodę pracownika lub gdy jest to niezbędne do zrealizowania uprawnienia lub obowiązku wynikającego z przepisów prawa. Jeżeli zatem zatrudniamy np. spawacza, co do którego nie ma prawnego wymogu niekaralności, to nie można żądać od kandydata do pracy na tym stanowisku przedstawienia zaświadczenia o niekaralności. Takie działanie było sprzeczne z RODO, a nawet jeśli pracownik przedstawiłby na nasze żądanie takie zaświadczenie, to przetwarzanie danych osobowych w nim zawartych byłoby sprzeczne z zasadą legalności i minimalizacji danych.

Jak wskazano w poradniku „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” opracowanym przez Urząd Ochrony Danych Osobowych, „zgodnie z art. 6 ust. 1 pkt 10 ustawy o Krajowym Rejestrze Karnym, prawo do uzyskania informacji o osobach, których dane osobowe zgromadzone zostały w rejestrze, przysługuje pracodawcom, w zakresie niezbędnym dla zatrudnienia pracownika, co do którego z przepisów ustawy wynika wymóg niekaralności, korzystania z pełni praw publicznych, a także ustalenia uprawnienia do zajmowania określonego stanowiska, wykonywania określonego zawodu lub prowadzenia określonej działalności gospodarczej”. Każdorazowo zatem musi istnieć wymóg niekaralności do bycia zatrudnionym na danym stanowisku wynikający z przepisów prawa, który pozwala na skierowanie do kandydata żądania przedstawienia zaświadczenia o niekaralności. Jako przykłady takich zawodów można wymienić:

• nauczycieli (art. 10 ust. 8a ustawy – Karta Nauczyciela),

• straż graniczną (art. 31 ust. 1 ustawy o Straży Granicznej),

• detektywów (art. 29 ust. 2 ustawy o usługach detektywistycznych),

  • ochroniarzy (art. 26 ust. 3 pkt 5 ustawy o ochronie osób i mienia).

Nieposzlakowana opinia nie zawsze musi być utożsamiana z niekaralnością. Wszelkie wymogi dotyczące przedstawiania zaświadczeń o niekaralności w sytuacji, gdy nie ma wyraźnej podstawy prawnej żądania takich zaświadczeń są niezgodne z prawem.

E-commerce, Poradniki, Prawo gospodarcze, RODO, Spółki, Tajemnica przedsiębiorstwa

Jak założyć sklep internetowy?

Jak rozpocząć działanie w branży e-commerce?

Co trzeba wiedzieć i jakie dokumenty przygotować?

Jest tego sporo, dlatego zacznijmy od podstawowej i ogólnej wiedzy dotyczącej konkretnych zagadnień prawnych. Oto najważniejsze problemy prawne związane z założeniem i prowadzeniem sklepu internetowego.

  1. Forma prawna działalności

Jak każdy biznes, tak samo sklep internetowy musi przybrać konkretną formę prawną działalności. Tutaj mamy całkowitą dowolność (może z wyjątkiem spółki partnerskiej). Możemy zatem przemyśleć zarówno jednoosobową działalność gospodarczą, jak i spółkę np. spółkę jawną, komandytową lub komandytowo – akcyjną. Jeśli chcemy mieć jednocześnie jednoosobową działalność, ale współpracować razem z pozyskanym wspólnikiem, można pomyśleć o zawarciu umowy spółki cywilnej. Jeśli mamy przygotowane duże zaplecze finansowe i klienckie, być może warto zastanowić się nad założeniem spółki z ograniczoną odpowiedzialnością lub nawet spółki akcyjnej?

Jeśli Twoje aspiracje sprowadzają się do rozpoczęcia biznesu i stawiasz na rozruch, lepiej skupić się na prostszych formach prowadzenia działalności. Jeżeli jesteś sam, po prostu zarejestruj jednoosobową działalność w CEIDG. Jeśli masz wspólnika lub wspólników, załóżcie swoje działalności i podpiszcie umowę spółki cywilnej. Jednak jeśli jest was kilkoro, ale chcecie mieć lepszą pewność obrotu i ochrony prawnej, pomyślcie o spółce jawnej albo komandytowej.

  1. Marka

Obsługa prawna e-commerceWybór nazwy Twojego sklepu internetowego i opracowanie jego marki to nie tylko „chwila olśnienia”. Tę chwilę należy następnie zweryfikować z rzeczywistością, a w szczególności z nazwami i markami innych przedsiębiorców. Niektórzy z nich mogą bowiem już funkcjonować pod taką samą lub podobną nazwą. Dlatego warto najpierw wejść na stronę Urzędu Patentowego (uprp.gov.pl) i sprawdzić czy przypadkiem ktoś wcześniej nie zarejestrował jakiejś nazwy lub znaku graficznego jako znaku towarowego. Jeśli natrafisz na taki sam lub podobny znak, lepiej wybierz inną nazwę. Jeśli jednak nie ma zarejestrowanego takiego samego lub podobnego znaku, jak ten, który wpadł Ci do głowy, nadal nie zaprzestawaj „badań”. Twoja nazwa lub marka sklepu internetowego nie mogą wprowadzać w błąd czy też podszywać się pod innego przedsiębiorcę – takie działanie mogłoby zostać poczytane za czyn nieuczciwej konkurencji, a Ciebie narazić na odpowiedzialność odszkodowawczą. Nie chodzi oczywiście o to, że chcesz się pod kogoś podszyć, ale przypadkowo nieświadomie możesz naruszyć czyjejś prawo do jego marki i popaść z nim w konflikt. Dlatego warto sprawdzić podobnych przedsiębiorców w regionie oraz w kraju. Skorzystaj choćby z wyszukiwarki internetowej albo zleć badanie poprawności Twojej marki odpowiedniemu specjaliście (radcy prawnemu, rzecznikowi patentowemu, adwokatowi).

  1. Budowanie witryny sklepu internetowego

W porządku. Załóżmy, że Twoja (lub Wasza) działalność została już założona, a Twoja marka nie narusza niczyich praw. Teraz trzeba pomyśleć o tym, co najistotniejsze czyli o „fizycznym” założeniu sklepu internetowego. Sklep nie może istnieć bez witryny internetowej. Dlatego oczywiście musisz wykupić domenę, hosting i zaprojektować samą stronę internetową. O ile kupno domeny i hostingu nie powinno nastręczać większych problemów, to projektowanie strony internetowej zwykle będzie wiązało się z zawarciem umowy z firmą, która tę stronę dla Ciebie zaprojektuje. Podobne umowy są zwykle umowami o dzieło czyli o wykonanie konkretnego rezultatu. Czasami warto zastanowić się czy nie poszukać firmy, która nie tylko zaprojektuje i wykona stronę, ale również zapewni opiekę nad stroną oraz odpowiednie aktualizacje. W końcu w trakcie prowadzenia sklepu internetowego niezbędne będzie dokonywanie zmian witryny czy też poprawianie ewentualnych błędów. Podpisanie dobrej umowy z firmą projektującą strony na pewno zaoszczędzi Ci sporo kłopotów i pieniędzy. Dopilnuj, aby w umowie nie zawarto jakichkolwiek wyłączeń czy ograniczeń dotyczących rękojmi lub gwarancji. Ustalcie dokładnie przedmiot umowy i oczekiwany rezultat, a także sposoby i terminy dokonywania poprawek w przypadku stwierdzenia wad. Nie zapomnij także o odpowiednim uregulowaniu autorskich praw majątkowych. Powinny one przejść na Ciebie – najlepiej już w momencie odebrania dzieła czyli gotowej witryny.

Umowa z firmą projektującą strony to jednak nie wszystko przy budowaniu witryny Twojego sklepu internetowego. Sama witryna musi uwzględniać szereg wymogów prawnych, którymi przyjrzyjmy się w dalszych punktach.

  1. Regulamin sklepu internetowego

Regulamin sklepu internetowego to absolutny „mus”. Wymagania stawiane przez ustawę o świadczeniu usług drogą elektroniczną oraz prawo konsumenckie wymagają opracowania odpowiednich procedur oraz zapewnienia konsumentom szybkiej i wyczerpującej informacji o sposobie korzystania ze sklepu, a także o przysługujących im prawach. Poprawnie sporządzony regulamin nie może być jednak oparty o prosty wzór czy też „skopiowany od konkurencji”. Jedynie dobrze przygotowany regulamin dostosowany do specyfiki Twojego sklepu internetowego spełni wymogi ustawy o świadczeniu usług drogą elektroniczną. Wadliwy regulamin niestety może sporo kosztować, gdyż obowiązki informacyjne wobec konsumentów i użytkowników Twojej witryny należą do jednego z Twoich pierwszych i podstawowych obowiązków. Lista elementów, które musi zawierać regulamin sklepu internetowego jest imponująca, dlatego problematykę sporządzenia regulaminu poruszymy w innym wpisie.

  1. RODO

Kancelaria obsługa firm
www.rybarczyk-kancelaria.pl

RODO jest teraz wszędzie, a dla branży e-commerce jest wyjątkowo ważne. Jeżeli ktoś prowadzi sklep internetowy, a nie spełnia wymogów RODO, to sam naraża się tylko na poważne problemy. Pamiętaj, że administracyjne kary pieniężne za nieprzestrzeganie RODO mogą sięgać nawet wielu milionów euro, nie wspominając już o możliwych roszczeniach Twoich klientów, gdyby np. doszło do wycieku ich danych osobowych.

Poprawne wdrożenie RODO w Twoim sklepie internetowym powinno być podstawą Twojej działalności. RODO to nie tylko dokumentacja, którą przechowujesz „u siebie”, ale również odpowiednia komunikacja z Twoimi klientami, a także troska o zapewnienie im odpowiednich informacji i zabezpieczenie ich danych osobowych.

Jednocześnie nie staraj się „robić RODO” samodzielnie i po macoszemu. Dbałość o dane Twoich klientów wymaga odpowiedniego zaprojektowania funkcjonowania całości Twojego sklepu internetowego, dlatego już na samym początku musisz wiedzieć jak funkcjonować w przyjaźni z RODO i jego wymogami. Zleć specjaliście audyt RODO i opracowanie odpowiedniej dokumentacji, procedur, rejestrów. Nie zapomnij również o tym, że RODO to także ocena ryzyka przetwarzania danych osobowych oraz ocena skutków dla ochrony danych, które muszą być udokumentowane. Tylko odpowiednie procedury i reguły mogą pozwolić Ci zminimalizować ryzyko naruszeń danych osobowych, a w razie naruszenia mogą Ci pomóc w obronie przez zarzutami Prezesa Urzędu Ochrony Danych Osobowych lub roszczeniami Twoich klientów.

Niedawne potężne wycieki danych w kilku wiodących sklepach internetowych pokazują, że nie warto bagatelizować lub oszczędzać na ochronie danych osobowych. W szczególności w sieci, gdzie dane bywają wyjątkowo narażone na zagrożenia, zapewnienie bezpieczeństwa odgrywa znaczącą rolę.

  1. Prawa konsumentów

W tym momencie musisz zidentyfikować, kim będą Twoi klienci? Czy swoje usługi będziesz kierować do innych przedsiębiorców czy też do konsumentów. Kim jest jednak konsument? Zgodnie z art. 22(1) Kodeksu cywilnego, konsumentem jest osoba fizyczna (a zatem nie może być to sp. spółka prawa handlowego), która dokonuje z przedsiębiorcą (czyli z Tobą) czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą lub zawodową. Innymi słowy: jest to osoba, która nie kupuje Twoich produktów lub usług w związku ze swoją działalnością gospodarczą, tylko na swój prywatny, domowy użytek.

Prawo konsumenckie jest o tyle istotne, że chroni prawa konsumentów w relacjach z przedsiębiorcami. Z prawami konsumentów musisz być dobrze zaznajomiony (lub Twój prawnik), żeby nie popełnić szkolnych błędów przy projektowaniu odpowiedniej dokumentacji na witrynę sklepu albo w bezpośrednich relacjach z klientami. Na pewno powinieneś zapoznać się z Kodeksem cywilnym i tzw. klauzulami niedozwolonymi czyli postanowieniami umów lub regulaminów, które, o ile są nieuzgodnione indywidulanie z konsumentem i naruszają jego interesy, co do zasady uznawane są za nieważne. Co musisz zatem zrobić? Na pewno audyt Twojej strony (lub dopiero projektowanej strony) pod kątem klauzul niedozwolonych powinien być pierwszą czynnością. Wszelkie postanowienia umów lub regulaminów, które zawierają klauzule niedozwolone powinny zostać natychmiast wyeliminowane i zastąpione innymi postanowieniami, na które pozwala prawo konsumenckie. Jeśli dopiero zastanawiasz się jak podejść do obsługi praw konsumentów, niestety musisz zaprzyjaźnić się z ustawą Prawo konsumentów i Kodeksem cywilnym. Klauzul niedozwolonych jest jednak na tyle dużo, że w celu zabezpieczenia prawnego Twojego biznesu, warto pomyśleć o obsłudze prawnej.

  1. Cyberbezpieczeństwo

Tematyka cyberbezpieczeństwa wiąże się z RODO, ale nie jest z nim tożsama. Zapewnienie odpowiedniej ochrony przed atakami hakerskimi czy też złośliwym oprogramowaniem wymaga przede wszystkim zadbania o odpowiednie procedury oraz ochronę techniczną. Podstawowe oprogramowanie antywirusowe to nie wszystko. Cyberbezpieczeństwo jest szerokim tematem, które w krajach zachodnich jest obecnie jedną z głównych kwestii, jeśli chodzi o zapewnienie bezpieczeństwa informacji. Jeśli dobro danych Twoich klientów oraz zapewnienie nieprzerwanego funkcjonowania sklepu internetowego leży Ci na sercu, to zdobycie wiedzy z zakresu ochrony danych i zapewnienie odporności systemów oraz ciągłości działania powinny być kolejnym z Twoich priorytetów.

  1. Tajemnica przedsiębiorstwa

Pomyśl, co by się stało, gdyby ktoś dowiedział się, w jaki sposób pozyskujesz klientów, dostawców, a także kim są Twoi klienci (w szczególności Ci stali)? Jeszcze gorzej: zatrudniasz pracownika, który zwalnia się, a potem wyjawia konkurencji całe Twoje know-how i dane klientów? Ochrona tajemnicy przedsiębiorstwa powinna być domeną każdego przedsiębiorcy, a więc także Twoją. Obecne brzmienie ustawy o zwalczaniu nieuczciwej konkurencji daje dosyć wyśrubowane wymogi dla przedsiębiorców, którzy chcą chronić informacje poufne w swojej firmie. Zwykłe regulaminy poufności mogą nie wystarczyć, a zatem warto pomyśleć o umowach o poufności czy umowach NDA (non – disclosure agreement). Takie umowy należy zawierać nie tylko z pracownikami, ale również z kontrahentami, z którymi przystępujemy do negocjacji, a potem również w trakcie współpracy z nimi.

  1. Programy lojalnościowe i akcje promocyjne

Opracowanie programu lojalnościowego lub akcji promocyjnej również wymaga wsparcia prawnego. Wszelkiego rodzaju promocje i programy lojalnościowe można postrzegać w kategorii tzw. przyrzeczenia publicznego albo umowy. Od tego, którą koncepcje się przyjmie, zależą dalsze kroki. Nie obejdzie się bez stosownego regulaminu dostępnego na witrynie sklepu internetowego, który będzie dokładnie określał m.in. warunki promocji, czas jej trwania czy też sposób wnoszenia reklamacji. Nie zapomnij również o tym, że program lojalnościowy lub akcja promocyjna muszą spełniać wymogi RODO.

  1. Specyfika branży

Pamiętaj o tym, że dalsze wymogi prawne zależą od tego, jaki będzie charakter Twojego sklepu internetowego. Być może Twoja działalność jest w jakimś stopniu regulowana i potrzebujesz odpowiedniego zezwolenia albo licencji? A może będziesz sprzedawać produkty, które wymagają zapewnienia odpowiednich oznaczeń, warunków lub nawet rejestracji (np. produkty medyczne)? Specyfika Twojej działalności może zatem wymagać podjęcia dodatkowych kroków, które warto najpierw przedyskutować z prawnikiem.

Podsumowując: Jeśli chcesz wejść w branże e-commerce, to nie zastanawiaj się! Obecnie sprzedaż przez Internet jest bardzo atrakcyjną formą prowadzenia biznesu. Jeśli masz pomysł na siebie, to być może właśnie sklep internetowy okaże się dla Ciebie strzałem w dziesiątkę. Jednocześnie musisz wziąć pod uwagę wszelkie wymogi prawne, z którymi wiąże się rozpoczęcie takiej działalności. Część z nich jest wspólna zarówno dla Ciebie, jak i dla każdego innego przedsiębiorcy, który nie działa w e-commerce. Istnieje jednak dużo wymogów, które musisz spełnić z uwagi na specyfikę swojej branży. Ta specyfika wyraża się zarówno poprzez prowadzenie działalności w Internecie, jak też i przez charakter prowadzonej przez Ciebie sprzedaży. Lepiej zatem już na samym początku zadbać o bezpieczeństwo prawne, aniżeli potem narażać się na ryzyko, które może uderzyć bezpośrednio w Twoją firmę.

Autorem artykułu jest Daniel Rybarczyk, radca prawny, wspólnik Kancelarii Radców Prawnych Ewa Rybarczyk Daniel Rybarczyk Spółka Cywilna w Kaliszu specjalizującej się w obsłudze przedsiębiorców, w tym działających w branży e-commerce.

Logo JPG