Pozyskiwanie zgód przez stronę www i sklep internetowy według wytycznych RODO

Rynek e-commerce jest jednym z pierwszych, którego najmocniej dotyka wprowadzenie nowej ustawy o ochronie danych osobowych – RODO.

Obecne systemy informatyczne wykorzystujące największe platformy e-commerce w Polsce i na świecie opierają swoje działania na skomplikowanych algorytmach przewidywania i profilowania klientów, a e-marketing czerpie informacje zebrane w bazach CRM. Stąd właściciele oraz menedżerowie zarządzający e-sklepami, działami sprzedaży patrzą z pewnym niepokojem na rozwój sytuacji, w szczególności w kontekście wersji RODO rozbudowanej na branże sprzedaży internetowej, czyli e-Privacy, której przypuszczalnie nie uda się wprowadzić w tym samym czasie co RODO w UE.

Przepisy RODO wpłynęły na:

  • regulamin e-sklepu,
  • politykę prywatności,
  • działania remarketingowe,
  • politykę cookies,
  • znaczenie privacy by design i default dla e-sklepów.

Rozporządzenie ma na celu zabezpieczenie prywatności użytkowników internetu, aplikacji mobilnych, którzy często nie wiedzą, co dzieje się z ich danymi oraz w jaki sposób są one przetwarzane. Z perspektywy bezpieczeństwa propozycja zmian jest jak najbardziej słuszna i ma spowodować, że klienci będą czuć się bezpieczniej, korzystając na co dzień z zasobów internetu, który stał się już głównym kanałem komunikacji, zakupów, pozyskiwania informacji wielu ludzi na świecie.

Regulamin e-sklepu

Obecnie informacja o ochronie danych osobowych w sklepie internetowym jest zawarta w regulaminie sklepu albo osobnym dokumencie, jakim jest polityka prywatności. Z informacji zawartych w tych dokumentach jasno wynika np.: kto jest administratorem danych osobowych, w jakim celu są one przetwarzane, w jakim terminie konsument powinien zapłacić za zakupiony towar oraz gdzie należy się zwrócić, jeżeli użytkownik chce usunąć dane osobowe z bazy danego e-sklepu. Treść tego dokumentu powinna być zapisana w taki sposób, aby była w pełni zrozumiała
dla przeciętnego „Kowalskiego”, dodatkowo musi być podzielona na sekcje, tak aby lektura regulaminu lub odnalezienie interesujących informacji nie sprawiały problemów konsumentowi.

Zgodnie z RODO w regulaminie, oprócz informacji, które są obecnie wymagane, należy dodatkowo jednoznacznie określić:

  • na jaki okres dane osobowe będą archiwizowane przez przedsiębiorcę – jest to bardzo ważny punkt, ponieważ klient musi być świadomy, czy e-sklep planuje wykorzystywać je tylko do realizacji zamówienia, czy może także w celach statystyczno-analitycznych i w związku z tym przechowywać je przez 2 czy 5 lat;
  • gdzie należy złożyć skargę, jeżeli przedsiębiorca narusza ustawę o ochronie danych osobowych;
  • do kogo zwrócić się, aby skorzystać z opcji bycia zapomnianym;
  • czy dane będą transferowane do krajów poza UE (bardzo ważna kwestia w kontekście posiadania serwerów np. poza krajami Unii Europejskiej);
  • jakie dane osobowe klienta sklepu będą przetwarzane w sposób zautomatyzowany w formie profilowania; co ważne, przetwarzanie danych niezbędnych do profilowania będzie możliwe wyłącznie po wcześniejszym wyrażeniu przez klienta zgody np. w formie checkboxa lub kliknięcia w odpowiedni przycisk z akceptacją w treści e-maila – nie wystarczy samo odczytanie treści e-maila, musi być fizyczna reakcja ze strony użytkownika.

Polityka prywatności

Obecnie informacja o ochronie danych osobowych może być zapisana albo w regulaminie, albo w polityce prywatności. Po wprowadzeniu RODO każdy e-sklep będzie zobowiązany do stworzenia dokumentu polityki prywatności, w którym należy przedstawić wszystkie informacje na temat celu, miejsca oraz sposobu przetwarzania danych. Co ważne, polityka prywatności nie jest miejscem zbierania zgód.

Przykładowe najważniejsze zapisy polityki prywatności

  • Dokładne dane firmy:

 XYZ Sp. z o.o. z siedzibą w A przy ul. B, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem 12345678 przez Sąd Rejonowy w C, Wydział D Gospodarczy KRS, identyfikująca się numerem NIP: 123-456-78-99, kapitał zakładowy: 50 000 zł, zwana dalej administratorem.

  • Jakie dane i w jaki sposób są zbierane – jest to wersja uproszczona, w praktyce każdy sklep będzie musiał sam dostosować tę część do wewnętrznych procesów, które istnieją w organizacji:

Każdorazowo cel, zakres oraz odbiorcy danych przetwarzanych przez administratora wynikają ze zgody klienta lub przepisów prawa oraz doprecyzowywane są w wyniku działań podejmowanych przez klienta w sklepie internetowym lub w ramach innych kanałów komunikacji z klientem. Przykładowo, jeżeli klient w trakcie składania zamówienia wybierze odbiór osobisty zamiast przesyłki kurierskiej, to jego dane osobowe będą przetwarzane w celu zawarcia i realizacji umowy sprzedaży, ale nie będą już udostępniane przewoźnikowi realizującemu przesyłki na zlecenie administratora.

Na stronie internetowej działa także zautomatyzowany system, który pozwala na monitorowanie zachowania użytkownika. System ten jest zintegrowany z naszym sklepem i każdy z użytkowników może w każdym czasie zgłosić sprzeciw do jego działania i wykorzystania.

  • Cele przetwarzania danych oraz okres ich przechowywania:

Administrator przetwarza dane osobowe wyłącznie w celu realizacji złożonego przez użytkownika zamówienia oraz celem przesłania użytkownikowi spersonalizowanej informacji handlowej, które mogą mieć niekiedy charakter danych osobowych, a zostały udzielone administratorowi przez klienta dobrowolnie, w szczególności poprzez funkcjonalność aplikacji, w tym w celu ograniczenia prezentowanych produktów lub promocji do konkretnego typu produktu (np. rozmiar bluzki) lub do konkretnych kategorii (np. produkty męskie/damskie/dziecięce/unisex).

Wyrażenie zgody jest dobrowolne i stanowi wymóg umowny oraz jest niezbędne do wykonania umowy. Umowa polega na sprzedaży zamówionych przez Państwa produktów. Oznacza to, że bez zgody na przetwarzanie danych osobowych nie będziemy w stanie wykonać złożonego zamówienia. Przechowujemy Państwa dane przez okres nie dłuższy, niż jest to niezbędne dla prawidłowej realizacji zamówienia oraz umożliwiający nam przesłanie do Państwa spersonalizowanej informacji handlowej. Po tym czasie dane są przechowywane wyłącznie na potrzeby zabezpieczenia dochodzenia roszczeń. Przypominamy, że w każdym czasie mogą Państwo usunąć dane.

  • Prawo do zgłaszania sprzeciwu:

Każdy użytkownik może żądać:

  1. dostępu do swoich danych osobowych,
  2. sprostowania danych osobowych,
  3. usunięcia danych osobowych,
  4. ograniczenia przetwarzania danych osobowych,
  5. przeniesienia danych osobowych.

  Ponadto każdy użytkownik może wnieść sprzeciw wobec przetwarzania danych osobowych.

Działania remarketingowe

W ramach działań remarketingowych, czyli jednej z metod prowadzenia kampanii w sieci Google AdWords, klientom, którzy odwiedzili e-sklep, powtórnie wyświetlają się reklamy tego serwisu zachęcające np. do zakupów lub promocji na innych stronach internetowych. Jest to jeden z podstawowych sposobów komunikacji e-marketingowej z konsumentami, a RODO nie wprowadza zbyt wielu zmian w tym zakresie. Wynika to z zachowań konsumentów. Wyobraźmy sobie sytuację, w której 2 typy potencjalnych klientów odwiedzają stronę www lub e-sklep:

  • jedna osoba robi to w sposób w pełni świadomy – poszukuje informacji lub chce coś kupić,
  • druga – ponieważ dostała link od znajomego, np. kana­łem social media.

W myśl mechanizmu działania reklamy remarketingowej zarówno jednej, jak i drugiej osobie wyświetli się projekcja, a więc właściciel e-sklepu nie przeprowadził klasycznego wnioskowania o cechach tej osoby, czyli nie zebrał informacji o niej, aby sprofilować reklamę. Dopiero w pełni sprofilowana reklama kontekstowa podlega już pod rygor profilowania informacji o użytkownikach. Podsumowując, z perspektywy RODO reklama remarketingowa będzie działać na tej samej zasadzie, jak ma to miejsce teraz.