Formularz zamówienia zgodnie z RODO

ECOM_7_8.jpg
nr 7/2018

Materiał powstał przy współpracy z partnerem:

logo_answer.jpg
  • Co musi zawierać formularz zamówienia, by można było wykorzystywać dane osobowe w kilku celach?
  • O czym należy poinformować klienta w formularzu zamówienia, aby uzyskać zgodę na działania marketingowe?
  • Kiedy zgoda na przetwarzanie danych osobowych jest niepotrzebna?

W przypadku zakupów internetowych kupujący wypełniają formularze w formie elektronicznej, niejednokrotnie zakładając konto w danym serwisie sprzedażowym. Wypełnienie formularza zakupowego ma stanowić dowód, że towar został przez klienta zamówiony i zostanie przesłany na podany przez niego adres. Gotowe formularze zamówień wypełnione przez kupującego mają gwarantować mu realizację umowy. Nie wszystkie jednak spełniają wymagania nałożone przez RODO.

Większość przedsiębiorców – administratorów danych musi przeformułować treść formularzy zamówienia i dostosować je do obowiązujących wymogów określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). W motywach preambuły RODO formułuje szereg zasad, jakie musi spełniać administrator danych, aby zbieranie danych było legalne i rzetelne, a co najważniejsze – adekwatne do celów, dla których dane te są przetwarzane.

Dotychczas stosowane formularze zamówień czy też procedury ich przeprowadzania wymuszały na kupującym nie tylko wyrażenie zgody na przetwarzanie danych osobowych, ale także dodatkowych zgód na przesyłanie treści, na które kupujący nie miał potrzeby wyrażania woli, a dopiero których akceptacja wiązała się z realizacją zamówienia. Dane natomiast niejednokrotnie były wykorzystywane do celów innych, aniżeli wynikałoby to z prawidłowej realizacji zamówienia.

W preambule do RODO zawarto postulaty, by osobom fizycznym uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych osobowych. A to wszystko poprzez rozszerzenie obowiązku informacyjnego, jaki wypełnić musi administrator danych, by móc legalnie przetwarzać dane osobowe. Istotnym novum, jakie wprowadza unijny ustawodawca, są zasady nieznane dotychczas polskiej ustawie o ochronie danych osobowych (tj. z dnia 13 czerwca 2016 r., Dz. U. z 2016 r., poz. 922, dalej: „UODO”): zasada rozliczalności oraz przejrzystości. Administrator powinien bowiem móc wykazać, że jego działania są zgodne z zasadami dotyczącymi przetwarzania danych, czyli że podjął skuteczne kroki służące wdrożeniu tych zasad i zabezpieczeniu danych. Zasada przejrzystości wymaga natomiast, by wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. A zatem już w chwili składania zamówienia kupujący powinien zostać wyraźnie poinformowany, w jakich celach jego dane osobowe będą zbierane.

Obowiązkowe dane w formularzu

W pierwszej kolejności wskazać należy, iż formularz zamówienia powinien realizować obowiązek informacyjny. Na gruncie ustawy o ochronie danych osobowych obowiązek ten przewidywał podanie następujących danych: nazwy administratora, jego danych kontaktowych, celu przetwarzania danych, informacji o odbiorcach danych osobowych oraz o prawach podmiotu. Na gruncie RODO katalog obowiązków został rozszerzony o poniższe informacje:

  • podstawę prawną przetwarzania;
  • dane kontaktowe inspektora ochrony danych osobowych, jeżeli został on powołany;
  • nazwę i dane kontaktowe przedstawiciela na terenie Unii, jeżeli istnieje;
  • uzasadnienie interesów realizowanych przez administratora lub przez stronę trzecią, jeżeli na tej podstawie odbywa się przetwarzanie;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;
  • informacje o prawach osób, których dane dotyczą (prawie do sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, do cofnięcia zgody, prawie wniesienia skarg do organu nadzorczego);
  • poinformowanie osoby, której dane dotyczą, w przypadku gdy administrator danych planuje dalej przetwarzać dane osobowe w celu innym niż ten, w którym dane osobowe zostały zebrane.

Przykładowe cele przetwarzania danych osobowych

Przykładowe cele wraz z podaniem podstawy przetwarzania, dla których dane osobowe mogą być zbierane, można pogrupować następująco:

Na podstawie art. 6 ust. 1 lit. b) i lit. c) RODO – w celu:

  • podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, lub wykonania umowy, której stroną jest osoba, której dane dotyczą (dane niezbędne do zawarcia umowy są wskazane na formularzu zamówienia);
  • wypełnienia obowiązku prawnego ciążącego na administratorze danych.

Na podstawie art. 6 ust. 1 lit. f) RODO (na podstawie prawnie uzasadnionego interesu) – w celu:

  • marketingu produktów lub usług własnych;
  • dochodzenia lub zabezpieczenia roszczeń.

Na podstawie art. 6 ust. 1 lit. a) RODO (odrębnej zgody) – w celu:

  • przekazywania klientowi informacji o proponowanych zmianach umowy, w tym regulaminu i cennika, o zmianie nazwy (firmy), adresu lub siedziby, potwierdzenia przyjęcia reklamacji i udzielenia na nią odpowiedzi na wskazany adres poczty elektronicznej (e-mail);
  • weryfikacji wiarygodności płatniczej klienta;
  • świadczenia usługi newsletter.

Są to jedynie przykładowe cele, dla których administrator danych może przetwarzać dane osobowe. Będą się one różniły w zależności od profilu prowadzonej działalności administratora i powinny być przez niego indywidualnie oceniane.

Dostęp możliwy dla zalogowanych użytkowników serwisu. Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę
Drukuj

Zobacz również

Tekst otwarty nr 7/2018

RODO: działania marketingowe

ECOM_7_03.jpg
  • O czym należy poinformować klientów, aby móc im legalnie przedstawić ofertę sprzedażową sprofilowaną według płci, miejsca zamieszkania czy wieku?
  • Jak prosić o zgodę marketingową, żeby spełnić wymagania RODO i nie odstraszyć potencjalnego klienta?
  • Jak realizować prawo do bycia zapomnianym, przenoszenia danych, sprzeciwu i ograniczenia przetwarzania, by nie stracić możliwości wysyłania mailingów i prowadzenia promocji w inny sposób?
Czytaj więcej

RODO: Analiza ryzyka

ECOM_7_14.jpg
  • Na czym polega ryzyko w zakresie zbierania i przetwarzania danych osobowych klientów w związku z RODO?
  • W jaki sposób przeprowadzić analizę ryzyka?
  • Które procesy związane z przetwarzaniem danych klientów powinny mieć priorytet ochronny?
Czytaj więcej
Tylko on-line nr 7/2018

Customer Service na Facebooku

  • Na czym polega skuteczna obsługa klienta poprzez media społecznościowe?
  • Jakie błędy popełniają najczęściej firmy w komunikacji z klientami na Facebooku?
  • Jak odpowiadać na negatywne posty klientów dotyczące zamówień?
Czytaj więcej

Numer bieżący

ECOM_08.jpg

Przejdź do

Partnerzy

Reklama