Obowiązki e-sprzedawcy

  • Jakie obowiązki w zakresie ochrony danych osobowych ciążą na e-sprzedawcy?
  • Jakie informacje należy zawrzeć w regulaminie sklepu, aby spełniał on najnowsze wymagania prawne?
  • Co zmieni się w kwestii obowiązków e-sprzedawców w związku z wejściem w życie RODO oraz rozporządzenia e-Privacy?

Prowadzenie sklepu internetowego wiąże się z koniecznością spełnienia wielu wymogów, aby działalność była zgodna z prawem. Wynikają one przede wszystkim z przepisów o ochronie praw konsumentów oraz o ochronie danych osobowych, a w pewnym zakresie również z przepisów dotyczących świadczenia usług drogą elektroniczną. Dla celów niniejszego opracowania analizie poddano wymagania dotyczące e-sklepów kierujących swoją ofertę przede wszystkim do konsumentów.

Pod względem prawnym e-sklep powinien przede wszystkim spełniać wymagania w zakresie świadczenia usług drogą elektroniczną, prawa ochrony konsumentów oraz prawa ochrony danych osobowych. Z praktycznego punktu widzenia szczególnie istotne jest zapewnienie zgodności regulaminu sklepu oraz ogólnych warunków sprzedaży z przepisami ustawy o prawach konsumenta – w tym zakresie stosunkowo łatwo o kosztowny dla przedsiębiorcy błąd.

Zgodnie z art. 7 ustawy o prawach konsumenta postanowienia umów mniej korzystne dla konsumenta niż regulacje ustawowe są nieważne – w ich miejsce stosuje się wprost przepisy ustawy o prawach konsumenta. Oznacza to, że kwestie takie jak forma i terminy rozpatrzenia reklamacji, dostawy, obciążanie konsumenta tzw. opłatami manipulacyjnymi niezależnie od tego, jak zostaną określone przez przedsiębiorcę, muszą spełniać standardy określone w ustawie o prawach konsumenta. Mogą się z tym wiązać dotkliwe konsekwencje – przykładowo brak reakcji (odpowiedzi) przedsiębiorcy na reklamację konsumencką w terminie 30 dni oznacza, że przedsiębiorca automatycznie uznaje żądanie konsumenta zawarte w reklamacji.

E-sprzedawca jako administrator danych osobowych

1) Obecny stan prawny

Przedsiębiorca prowadzący sklep internetowy jest administratorem danych osobowych konsumentów przetwarzanych na potrzeby realizacji zamówień i usług świadczonych przez sklep. Oznacza to, że przedsiębiorca ponosi odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Obecnie obowiązujące przepisy przewidują w związku z tym wiele obowiązków, w tym m. in.:

  • zapewnienie zgodnej z prawem podstawy przetwarzania danych osobowych – w praktyce w większości przypadków dane przetwarzane są albo w celu wykonania umowy (np. dostarczenia zamówienia), albo na podstawie zgody (np. cele marketingowe),
  • zbieranie danych dla określonych i zgodnych z prawem celów – przy czym cele takie należy wyraźnie wskazać w przypadku zbierania danych na podstawie zgody,
  • niepodawanie danych dalszemu przetwarzaniu niezgodnemu z celami, dla których dane są zbierane,
  • zapewnienie środków bezpieczeństwa organizacyjnego i technicznego określonych w ustawie o ochronie danych osobowych i przepisach wykonawczych do ustawy.

W celu realizacji ww. obowiązków konieczne jest także przyjęcie przez administratora danych (e-sklep) stosownej dokumentacji, tj.:

  • upoważnień oraz ewidencji upoważnień do przetwarzania danych osobowych – określających, który pracownik może przetwarzać dane osobowe i na jakich zasadach,
  • polityki bezpieczeństwa określającej m.in. zasady przetwarzania danych osobowych, wykaz zbiorów danych, środki zapewniające poufność, integralność i rozliczalność przetwarzania danych osobowych,
  • instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Wymienione wyżej dokumenty muszą być zwykle uzupełnione o kolejne dokumenty – przykładowo, w przypadku podzlecenia przez e-sklep administrowanych przez niego danych osobowych innemu podmiotowi konieczne może być zawarcie odpowiedniej umowy o powierzenie przetwarzania zgodnie z wymaganiami ustawy o ochronie danych osobowych.

W praktyce częstym problemem jest niewłaściwie skonstruowana klauzula zgody na przetwarzanie danych osobowych – niezgodne z prawem jest np. wymaganie jednej „ogólnej” zgody na przetwarzanie danych osobowych. W zależności od danego przypadku konieczne może być zbieranie odrębnych (tj. z możliwością ich niezależnego wyrażenia) zgód na:

  • przetwarzanie w celach marketingu własnych produktów lub usług – na zasadach określonych w ustawie o ochronie danych osobowych,
  • przetwarzanie w celach marketingu produktów lub usług innych podmiotów – na zasadach określonych w ustawie o ochronie danych osobowych,
  • używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego – określone w ustawie Prawo telekomunikacyjne,
  • otrzymywanie informacji handlowej drogą elektroniczną – określone w ustawie o świadczeniu usług drogą elektroniczną.

Ponadto konieczne może być zgłoszenie zbioru danych (np. danych marketingowych) przed rozpoczęciem ich przetwarzania do Generalnego Inspektora Danych Osobowych.

2) Stan prawny od 25 maja 2018 r.

Obecnie, na początku 2018 roku, jednym z większych wyzwań dla przedsiębiorców może być dostosowanie prowadzonej działalności do wymagań rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tzw. RODO. RODO nakłada szereg obowiązków prawnych na wszystkie podmioty (z pewnymi wyjątkami) przetwarzające dane osobowe, w tym na przedsiębiorców przetwarzających dane w celu świadczenia usług elektronicznych. Z perspektywy e-sklepu istotne znaczenie mają m.in. dwie zasady określone w RODO, które muszą być stosowane przez administratorów danych osobowych – zasada ochrony danych by default oraz by design.

Zasada ochrony danych by default (domyślnie) oznacza, że administrator danych (np. właściciel e-sklepu) powinien zbierać dane niezbędne do osiągnięcia określonego celu przetwarzania danych osobowych. Zasada ochrony danych by default powinna być realizowana zarówno względem ilości zbieranych danych (np. zbieranie danych o imionach i nazwiskach rodziców przy zakładaniu konta na portalu), zakresu ich przetwarzania, okresu przechowywania (np. przy przechowywaniu danych teleadresowych w bazie marketingowej), jak i dostępności. W szczególności niedopuszczalne jest domyślne udostępnianie zebranych danych nieokreślonej liczby osób (np. przez możliwość pełnego wglądu wszystkich użytkowników w profile innych użytkowników zarejestrowanych na danej stronie).

Zasada ochrony danych by design (w fazie projektowania) oznacza, że administrator danych, planując dany rodzaj przetwarzania danych (np. planując otwarcie e-sklepu lub dodanie nowej funkcjonalności w serwisie, umożliwiającej szybkie dokonywanie płatności), powinien każdorazowo dokonać oceny ryzyka dla danych osobowych, a następnie odpowiednio je zabezpieczyć zgodnie z RODO.

W praktyce obie omówione wyżej zasady powinny być uwzględniane przy projektowaniu funkcjonalności strony internetowej na każdym etapie – od tworzenia schematu systemu przez projektowanie interfejsu użytkownika (np. formularzy, profilu klienta, ankiet) aż po instrumenty marketingu bezpośredniego (np. mailing).

Dostęp możliwy dla zalogowanych użytkowników serwisu. Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę
Drukuj

Zobacz również

Polecamy

Archiwum