RODO w e-commerce – zgoda na przetwarzanie danych osobowych a sprzedaż internetowa

Angelika Gacek-Drzewiecka: RODO, czyli skrócona nazwa rozporządzenia unijnego, obowiązującego już kilka lat. Weszło w życie w 2018 roku, 25 maja i na pewno każdy doskonale pamięta tamten moment, bo byliśmy wówczas zasypywani wiadomościami mailowymi, SMS-ami z różnymi komunikatami zawierającymi jakieś klauzule informacyjne.

To jest taki dokument, który został wprowadzony w całej Unii Europejskiej. Rozporządzenie, czyli obowiązuje, wiąże co do całości tego tekstu. W całym tekście wskazane są już takie dokładne obowiązki dla państw członkowskich, dla podmiotów danych, dla administratorów danych, jak mają funkcjonować.

Oczywiście w ślad za RODO też została znowelizowana nasza polska ustawa o ochronie danych osobowych. Natomiast większość przepisów określających, jak mamy funkcjonować z całym systemem ochrony danych, znajdziemy właśnie w samym tekście RODO.

Więc, jeżeli ktoś chce się wziąć za stworzenie swojego systemu ochrony danych osobowych np. w swojej firmie, to jak najbardziej odsyłam go do tekstu rozporządzenia, czyli do samych artykułów, które są w rozporządzeniu. I oczywiście czytamy to łącznie z motywami, bo czytając same artykuły, wydaje mi się, że część rzeczy będzie trudno zrozumieć, natomiast motywy są takim dobrym wyjaśnieniem.

A.G.-D.: Może to być dość trudne. Ale przede wszystkim uratuje nas spokój. Na pewno będzie tego bardzo dużo. Zaczęłabym od tego, że nie wdrażamy RODO, tylko musimy sobie jasno stwierdzić, że budujemy nasz system ochrony danych osobowych. RODO stanowi tylko jeden dokument, ale obok tego faktycznie funkcjonują inne rozporządzenia, inne wytyczne, które też będą wpływały na ten nasz system.

Najlepiej zacząć więc od uporządkowania danych i procesów, czyli takiego zastanowienia się nad tym, jak ja funkcjonuję w tej swojej działalności, firmie. To znaczy, jakie dane zbieram od klientów, w jaki sposób, jakim kanałem, gdzie to zapisuję, czy mam dostawców usług, pracowników oraz na podstawie jakich umów są oni zatrudnieni.

Dużo zmiennych wpływa na tworzony przez nas system i nie da się całkowicie uporządkować tych kwestii związanych z RODO, nie da się być podmiotem uznawanym za zgodny z RODO, jeżeli my w pierwszym kroku nie uporządkujemy tych wszystkich kwestii.

A.G.-D.: Dokładnie, z jakich narzędzi będę korzystać, czy to będą narzędzia marketingowe, do wysyłania produktów, mailingów? Czy będę współpracować z podmiotami, którym de facto będę musiała przekazywać, udostępniać dane osobowe klientów, którzy przychodzą do mojego sklepu? Czy są na coś współadministratorzy, którym te dane będę przekazywać? Czy będą to podmioty, które mnie wspierają w działalności?

Biuro rachunkowe, kurierzy, dostawcy, dostawcy oprogramowania, na przykład hostingodawcy – masa jest takich podmiotów, które, nawet w takiej najmniejszej działalności jednoosobowej, rozwijają współpracę i jak najbardziej muszą to wziąć pod uwagę, budując własny system ochrony danych i opisując wszystkie procedury.

Damian Wizert: Zgadza się. Sposób pobierania danych od naszych klientów, przykładowo nakłaniając ich do zostawiania adresów e-mail, łączy się z często popełnianym błędem, który wynika z tego, że forma, w której to robimy, czy sama treść zgody nie jest jednoznaczna i jasna.

W takim przypadku czasami nawet wydaje nam się, że mamy zgodę użytkownika na pewne działania, czyli na przykład, że może otrzymywać newsletter. A nie jest to jednoznaczne z tym, że możemy przekazywać jego dane innym podmiotom czy wysyłać mu różne akcje marketingowe, możemy mu wysłać newsletter. Tylko na to się umówiliśmy.

W efekcie sposób zbierania tych danych musi być przede wszystkim jasny dla użytkownika. Więc, chociaż w kontekście RODO nie myślimy o nim w pierwszej kolejności, to i tak to do nas przyjdzie.

Oczywiście znowu możemy korzystać z różnego rodzaju interpretacji, poradników dotyczących tego, co zrobić na start. Dobrze jest też skontaktować się z radcą prawnym. Jednak na samym początku kluczowe staje się po prostu zastanowienie nad tym, z kim będę współpracować, jakie narzędzia będę wykorzystywał w swoim sklepie, w swojej działalności, definiując sam sposób zarządzania danymi i informowania o tym użytkownika.

A.G.-D.: Jeżeli chodzi o e-commerce, to tak naprawdę będą to nie tylko firmy kurierskie, bo w grę wchodzą wszystkie te podmioty, którym przekazujemy dane naszych klientów. Na przykład dostawca platformy ze sklepu internetowego, to też jest podmiot, któremu de facto ja te dane przekazuję, on będzie je przetwarzał na moje zlecenia po wskazaniu, co ma z tymi danymi zrobić.

Jak wskazuje RODO, musimy zwrócić uwagę na kwestię powierzenia danych osobowych i ich udostępniania, ponieważ części podmiotów będziemy te dane powierzać, a w takiej sytuacji w grę wchodzi już umowa na gruncie RODO.

I faktycznie RODO w artykule 28 dokładnie opisuje, czym jest ta umowa i jakie są jej obligatoryjne elementy. Oczywiście są też takie kwestie, przy których, jako podmiot będący administratorem powierzającym te dane do przetwarzania, możemy dopisać nasze warunki.

Warto podkreślić, że możliwe jest otrzymanie kary od Urzędu Ochrony Danych Osobowych za brak zawartych umów powierzenia. Mowa tu o sytuacjach, gdy ma miejsce przekazywanie danych, na przykład klientów, właśnie bez tych umów, bez ustalenia warunków.

A.G.-D.: Jeżeli chodzi o kurierów i takie podmioty, do których się zwracamy, to też należy wziąć pod uwagę, że bardzo często, rejestrując się na przykład na ich stronach internetowych, po zaakceptowaniu warunków świadczenia usługi, my zawieramy umowę. Należy zwrócić uwagę na to, że często same umowy powierzenia są załącznikami do tych umów.

Gromadząc dokumentację dotyczącą ochrony danych osobowych, co jak najbardziej trzeba dopilnować, warto spisać tych dostawców i pobrać treści umów, żeby wszystko przechowywać w jednym miejscu, u siebie w biurze na wypadek ewentualnej kontroli.

Są też podmioty, którym te dane możemy udostępniać. W takiej sytuacji nie zawieramy umowy powierzenia, gdyż najczęściej wiąże nas z nimi jakaś umowa. Czy to będzie umowa o świadczenie usług czy współpracy, w takich umowach warto brać pod uwagę kwestie dotyczące ochrony danych osobowych. To znaczy zadbać o to, żeby znalazły się tam zapisy zabezpieczające niejako te dane osobowe.

D.W.: Również i w tym przypadku powinniśmy się skupić na tym, aby przekazywać tylko dane niezbędne do realizacji jakiejś usługi, w określonym zakresie.

W przypadku kurierów potrzebujemy tak naprawdę adres, dane kontaktowe. Natomiast bardzo często na etykiecie na przykład drukowany jest login z Allegro, imię, nazwisko. Pomimo, że u nas wydaje się to standardem, nie wszystkie te dane są niezbędne, żeby zrealizować przesyłkę.

W zależności od kuriera, w przypadku paczkomatów, do realizacji usługi potrzebujemy wyłącznie numeru telefonu. Jednak wciąż istnieje pewien schemat, którym do tej pory się kierowaliśmy – mieliśmy pełne dane i pomimo, że w niektórych aspektach moglibyśmy je już ograniczyć, to nadal one często występują.

Należy więc zwrócić uwagę na istotę zadbania o to, by rzeczywiście te dane wykorzystywać tylko w niezbędnym stopniu. Samo powierzenie danych w e-commerce jest obecne w wielu aspektach. Dlatego też warto się zabezpieczyć już na samym początku, podpisując umowę. Czyli, gdy kupujący zawiera umowę ze sklepem jest już w niej zapis, że jego dane mogą być wykorzystywane przez firmy trzecie.

Jeśli nie mamy takiego zapisu i tylko poinformujemy klienta o dwóch podmiotach, z którymi współpracujemy teraz, a potem będziemy chcieli zrobić mu akcję marketingową związaną ze współpracą z nowym podmiotem i tam nie będzie zapisu, że jego dane mogą zostać przekazane, no to rzeczywiście jest nam dużo trudniej potem zrealizować taką akcję.

Takiemu użytkownikowi trzeba ponownie zrobić aktualizację umowy, którą on musi zaakceptować. Dopiero wtedy można wprowadzać dodatkowe akcje marketingowe.

A.G.-D.: Do tego też sprowadza się RODO, to znaczy do spełniania obowiązków informacyjnych, szczegółowego informowania o wszystkim, między innymi właśnie o tym, czy dane są przekazywane, w jakim zakresie są gromadzone, przy użyciu jakich narzędzi, np. marketingowych czy analitycznych itd., co się z tym dzieje, czy są przekazywane do państw trzecich, czy są przetwarzane tylko na terenie EOG.

Tak naprawdę jest to istota rodo, żeby osoby fizyczne, których dane są przetwarzane, wiedziały dokładnie, co się z nimi dzieje w danym momencie.

A.G.-D.: Na pewno nie możemy działać w ten sposób, o którym wspomniałeś. To znaczy, że ja jako sprzedawca, jako właściciel platformy – administrator danych osobowych, nie mogę absolutnie ingerować w zgody wyrażone przez osobę, która jakby dokonała tej czynności.

RODO wskazuje wprost, że zgoda musi być wyrażona dobrowolnie i przestrzega przed naruszaniem tych zasad na swoich stronach internetowych przez administratorów. Było to nagminne jeszcze kilka lat temu. Zdarzało się, że po uruchomieniu takiej strony, checkboxy były na przykład domyślnie zaznaczone. Użytkownik musiał więc dopiero wczytać się w treść każdego z nich i ewentualnie odznaczyć te, na które nie wyrażał zgody.

A.G.-D.: Zgadza się. I to jest w porządku. Ten drugi model, jak najbardziej. Powinno być tak, zgodnie właśnie z RODO, wytycznymi i też już takimi dobrymi praktykami rynkowymi, że faktycznie te zgody, checkboxy są domyślnie odznaczone i osoba, która przychodzi do nas na stronę powinna się w to wczytać i dobrowolnie wybrać, który wariant jest dla niej odpowiedni.

Tak jak wspomniałam, absolutnie nie możemy potem ingerować w jej wybór, to znaczy gdzieś tam w ustawieniach konta, profilu potem zmieniać jej decyzję.

A.G.-D.: To jest kolejny częsty błąd, czyli spotykamy się z bardzo dużą ilością checkboxów zbierających zgody tam, gdzie to jest zupełnie bezcelowe i niepotrzebne.

RODO przewiduje kilka przesłanek legalności przetwarzania danych osobowych. Najważniejszą z nich będzie realizacja umowy. W takiej sytuacji nie muszę odbierać żadnej zgody od tej osoby, która chce np. ode mnie kupić jakiś produkt czy usługę, ponieważ przetwarzanie tych danych jest niezbędne do realizacji umowy. Na tej przesłance się opieramy, jest ona wystarczająca.

Oczywiście, jeżeli mamy swój sklep internetowy i przychodzi do nas klient, aby kupić jakiś produkt, to przetwarzamy jego dane w związku z realizacją umowy – sprzedaży tego produktu, czyli zbieramy dane niezbędne do tego, żeby mu ten produkt dostarczyć, na przykład adres mailowy w celu potwierdzenia dokonania transakcji, adres zamieszkania, numer telefonu, żeby ewentualnie kurier trafił we właściwe miejsce, a jeżeli go nie zastanie, żeby mógł się skontaktować.

Wszystko to jest niezbędne, żeby ta umowa w pełni została dobrze zrealizowana z naszej strony. Natomiast możemy dodatkowo zebrać od niego zgodę, odrywając to od całego procesu przetworzenia danych w związku z realizacją umowy. Jeżeli klient dobrowolnie się zgodzi, super, możemy do niego wysyłać komunikaty marketingowe, newslettery, informacje o promocjach, ofertach.

D.W.: Z punktu widzenia sklepu najlepszym rozwiązaniem byłoby napisanie – wyraź zgodę na wszystko, co zrobimy z Twoimi danymi. Natomiast rzeczywiście jest tak, że żeby zdobyć tę dobrowolną zgodę, stosuje się różne techniki. Między innymi związane z deklaracją wysyłania kodów rabatowych, czyli zapisz się do newslettera albo zaznacz a zyskasz minus 10%.

A.G.-D.: Ale tutaj wchodzimy już na grunt dyrektywy Omnibus – przepisów, które trochę ukróciły te działania. To znaczy, nie jest tak, że faktycznie można oferować wszystko w zamian za dane. Nadal możliwe jest oferowanie w formie na przykład promocji. Natomiast ta dyrektywa omnibus wskazuje, że musimy dać takiej osobie, takiemu podmiotowi danych pewną alternatywę.

Oznacza to, że w sytuacji gdy ja przychodzę na taką stronę internetową i tam mnie ktoś kusi jakimś super webinarem w zamian za to, że ja mu zostawię mój adres mailowy i dopiszę się do listy mailingowej, jeżeli ja nie chcę tego, ale jestem bardzo zainteresowana tym webinarem i chciałabym go kupić, to administrator tej strony musi mi to umożliwić. U właściciela witryny pojawia się więc obowiązek zapewnienia mi innego sposobu skontaktowania się z nim, by, za jakąś odpowiednio ustaloną cenę, możliwe stało się faktyczne nabycie tego webinaru. W efekcie nie jest już tak, że płacimy naszymi danymi zupełnie bezrefleksyjnie, jak było jeszcze całkiem niedawno.

D.W.: Oczywiście. Banki nawet korzystają z takich technik i nie mówię, że to jest prawidłowe. Ta świadomość cały czas jest zbudowana tak samo, jak była zbudowana właśnie z RODO na samym początku.

Każdy się bał, co przyjdzie, jak będzie trzeba się dostosować, a tak naprawdę bardzo dużo rzeczy było realizowanych – jak się wydaje. I rzeczywiście nie jest to prawidłowe. Staramy się, żeby było wszystko zgodnie z rozporządzeniem. Natomiast prawda jest taka, że przy każdych takich zmianach różnego rodzaju przedsiębiorcy starają się nie utracić tej możliwości zbierania zgód w prosty sposób zachęcania, dopóki nie zostaną do tego zmuszeni, dopóki już nie usłyszą, że rzeczywiście lepiej już tak tego nie robić.

Bo najczęściej te wszystkie zapowiedzi często bywają takimi straszakami, które potem nie są takie straszne w konsekwencjach.

A.G.-D.: Chciałam dodać też, żeby nie wpaść w pułapkę takiego traktowania RADO jako niepotrzebnego, przykrego obowiązku. Lepiej przyjąć inną taktykę, postrzegając to jako dobry pretekst do kontaktu marketingowego, na przykład z klientem, z którym nie miałam kontaktu od jakiegoś czasu. Wysyłanie aktualizacji w polityce prywatności, jakiejś liście podmiotów przetwarzających albo w ogóle systemie – to mocne punkty zaczepienia.

Myślę więc, że to po prostu kwestia ubrania tego w odpowiednie słowa, czyli taki atrakcyjny komunikat marketingowy pod pretekstem RODO, przypominający, że jestem fajnym kontrahentem. W taki sposób łatwiej, w mniej nachalny sposób, zaproponować mu swoją ofertę. Zwracam się z komunikatem dotyczącym RODO, ale oczywiście gdzieś tam mogę dodać, że mamy kuszącą promocję na nowe usługi.

A.G.-D.: Należy zaznaczyć, że zdecydowanie nie powinno mieć miejsca działanie administratorów danych polegające na utrudnianiu podmiotom danych odwołania na przykład zgody. Zarówno samo RODO, jak i wytyczne czy dobre praktyki rynkowe – wskazują wprost, że odwołanie zgody powinno być tak samo łatwe, jak jej wyrażenie.

Jeżeli wyraziłam zgodę na otrzymywanie jakiś wiadomości mailowych, to w tej wiadomości mailowej, gdzieś tam na dole w stopce powinna być informacja o tym, jak się wypisać z tego newslettera. Załóżmy, że mam konto w jakimś sklepie internetowym, a w ustawieniach profilu zaznaczyłam, że chcę na przykład otrzymywać od nich informacje o promocjach, obniżkach cen, to w tych samych ustawieniach konta powinnam mieć możliwość odwołania mojej wcześniejszej decyzji. Tak samo, w bardzo łatwy sposób.

D.W.: Dokładnie, no bo tak naprawdę może ktoś w łatwy sposób zgłosić nam, że nie chce, żeby jego dane były przetwarzane. I tutaj bardzo dobrym przykładem były różnego rodzaju telefony, powszechnie nazywane spamem – że ktoś, coś chce Ci sprzedać. Ja, jak zacząłem odpowiadać na nie, że proszę o podanie adresu e-mail, na który mogę wycofać zgodę na przetwarzanie moich danych, więcej telefonów z tego numeru już nie dostawałem. Pokazuje to, że raczej zdają sobie oni sprawę z tego, że te moje dane pozyskali z jakichś baz, które gdzieś zostały sprzedane, gdzieś może wyraziłem taką zgodę, że moje dane mogą być przekazane dla osób trzecich. Ale nagle mam telefony kompletnie niezwiązane z produktami, które ja zamawiałem albo które mnie interesowały.

Rodzi to podejrzenie, że te moje dane, w nieuprawniony przeze mnie sposób, zostały przekazane. Rzeczywiście powinna więc być taka możliwość, żeby te dane w bardzo łatwy sposób móc usunąć, czyli wskazać, że moje dane powinny zostać usunięte. No i teraz znowu pojawia się problem, bo jeśli nasze dane są, jaką mamy pewność, że te dane zostały usunięte?

Patrzymy, czy dostajemy z tego numeru dalej spam. Teoretycznie nie dostajemy, ale od strony technicznej mamy te dane w systemie. Oczywiście, że na żądanie, zgodnie z prawem, powinniśmy usunąć wszystkie rekordy związane z tymi danymi osobowymi, jeśli nie są one prawnie uregulowane, jak na przykład dokumentacja medyczna, którą należy przechowywać przez określoną ilość lat.

Natomiast, wracając do takich realnych przykładów, powinniśmy móc łatwo tę zgodę wycofać. W praktyce jednak konsumentowi trudno będzie się upewnić, czy te dane zostały usunięte.

A.G.-D.: W tym obszarze błędy popełniają też marketingowcy czy pracownicy działów marketingowych, kurczowo wręcz trzymając się zgód wyrażonych na przykład na jakieś mailingi. Swoją uwagę skupiają na tym, jak utrudnić temu podmiotowi danych odwołanie tej zgody. Natomiast tutaj trzeba się zastanowić, jaki sens ma ryzykowanie i wysyłanie informacji o promocjach, usługach, ofertach do osoby, która nie jest tym zainteresowana. Lepiej mieć przecież mniejszą bazę marketingową, która jest skuteczna prawnie – skupia się wokół podmiotów realnie zainteresowanych otrzymywaniem od nas komunikatów, niż taką, która po prostu jest ryzykowna.

A.G.-D.: Tu zdecydowanie musimy odróżnić sobie samą konstrukcję wycofania zgody od żądania usunięcia danych, o którym wspomniał Damian. Są to dwie różne sytuacje. W kontekście odwołania zgody, tak, jak już to powiedzieliśmy, jeżeli ktoś tę zgodę wyraził, tak samo łatwo powinien móc ją odwołać.

Natomiast, gdy zwraca się do nas ktoś, kto żąda usunięcia danych, jak najbardziej może. Jest to uprawnienie, które wskazuje RODO w katalogu praw podmiotów danych, właśnie obok dostępu do danych, prawa do ograniczenia przetwarzania, sprzeciwu i tak dalej. Również prawo do usunięcia danych, czyli tak szumnie nazywane prawo do bycia zapomnianym.

Mogą być takie sytuacje, nawet w naszym sklepie internetowym, że niezadowolony klient zwróci się do nas z tego rodzaju żądaniem. I jakie kroki musi podjąć wtedy przedsiębiorca? Przede wszystkim musi to żądanie przyjąć i zrealizować, nie może zostać ono w żaden sposób zignorowane. Są wskazane terminy, nakazujące niezwłoczną realizację, najczęściej w ciągu kilku, kilkunastu dni. To jest w porządku. Takie 30 dni to wydaje się być maksymalne.

W przypadku szczególnie skomplikowanego żądania, jeżeli jego zakres wymaga podjęcia wielu czynności po stronie administratora, wówczas on może ten okres sobie wydłużyć, ale musi wskazać temu podmiotowi danych, że potrzebuje więcej czasu na zrealizowanie. Obowiązkowe jest udzielenie temu podmiotowi odpowiedzi i, w zależności od tego, jakie mamy możliwości, powinno się te dane usunąć ze wszystkich rekordów, tak jak wspomniał Damian. Natomiast musimy wziąć pod uwagę, że poza danymi możliwymi do usunięcia, są też dane, które wymagają przechowywania przez pewien czas.

A.G.-D.: Tak, bo są przepisy prawa, które jak najbardziej nakazują nam przechowywanie tych danych przez podmiot. I są ustawowo wskazane okresy różniące się od siebie. Mowa tu właśnie o kwestiach wynikających z reklamacji produktów – tu mamy kodeks cywilny.

Mogą być to również kwestie wynikające z ustaw o rachunkowości, podatkowych. Tam też mamy wskazane okresy przechowywania danych dotyczących na przykład faktur, transakcji.

W takiej sytuacji, udzielając odpowiedzi tym podmiotom, musimy wskazać, że część danych, które mogliśmy, usunęliśmy, natomiast określoną część będziemy jeszcze przechowywać, ponieważ jest taki przepis prawa, który nam to nakazuje.

D.W.: Od strony technicznej, wszystko zależy, gdzie te dane się znajdują, czy mamy ich kopie zapasowe, więc tu rzeczywiście problem jest bardziej złożony.

Natomiast wycofanie samej zgody najłatwiej jest oddać użytkownikowi, czyli nie starać się tego blokować w jakiś sposób, że musi się z nami kontaktować, dzwonić, wysyłać maile. Jeśli mamy konto kupującego, lepiej umożliwić mu samodzielne wyłączenie takiej zgody, odznaczając checkbox.

D.W.: Ładnie to brzmi, ale w praktyce oczywiście musimy dołożyć wszelkich starań, by jasno poinformować, co usunęliśmy. Czyli to, że jak wykonamy tę operację, to musimy też o tym poinformować. Przy zapisaniu po prostu jako bazy klientów, mamy konkretne miejsca w systemie, w bazie danych, gdzie możemy te rekordy usunąć. Natomiast tu może pojawić się problem związany z przekazywaniem tych danych do innych podmiotów, gdzie później rzeczywiście całkowite usunięcie nie jest tak łatwe. Ale warto próbować.

A.G.-D.: Należy jeszcze podkreślić, że jest to też obowiązek administratora, który przekazuje dane do innych podmiotów i otrzyma takie żądanie. To ten administrator, czyli nasz przedsiębiorca, będzie musiał zadbać o to, żeby się skontaktować z tymi podmiotami i również wymóc na nich usunięcie danych tego podmiotu.

Administrator odpowiada za całość procesów związanych z ochroną danych osobowych i to są jego obowiązki.