19 godzin temu
Ogólne rozporządzenie o ochronie danych, pomimo tego, iż stosowane jest już od 2018 roku, w dalszym ciągu budzi sporo pytań i wątpliwości. Poniżej rozprawimy się z częścią krążących w tym zakresie mitów, ze szczególnym naciskiem na te, które dotyczą branży e-commerce – pisze w komentarzu dla redakcji OmnichannelNews.pl Anna Pozorska, Specjalistka ds. compliance, Legal Geek.
1. „RODO nie dotyczy małych sklepów internetowych lub tych, które nie zatrudniają pracowników”
Zasadniczo RODO dotyczy każdego, kto przetwarza dane osobowe (z pewnymi wyjątkami, takimi jak przetwarzanie o czysto osobistym lub domowym charakterze, niemniej – w przypadku typowej działalności biznesowej wyjątki nie będą miały zastosowania). I nie ma tu znaczenia wielkość obrotów, forma prawna prowadzenia działalności czy liczba zatrudnianych pracowników. Nawet mały e-sklep musi spełniać wymagania rozporządzenia, jeżeli zbiera dane osobowe klientów (np. imię, adres, e-mail), a ciężko o prowadzenie sprzedaży bez zbierania takich danych.
2. „Na przetwarzanie danych osobowych należy zawsze mieć zgodę osoby, której dane dotyczą”
Ten mit może wynikać z błędnego rozumienia zasady legalności, zgodnie z którą przetwarzanie danych osobowych wymaga posiadania do tego podstawy prawnej. Zgoda jest jedną z takich podstaw, ale w rzeczywistości wcale nie jest tą najczęstszą. W e-commerce często zastosowanie mają inne podstawy prawne, np. realizacja umowy (przykładowo, przy zakupach w e-sklepie zawierana jest umowa sprzedaży, a dane osobowe potrzebne są do obsługi zamówienia) czy obowiązki prawne (np. związane z rachunkowością i danymi znajdującymi się na fakturach). Zgoda jest tylko jedną z możliwości, ale nie zawsze jest konieczna. Ponadto, zbieranie zgody na przetwarzanie w sytuacji, gdy mamy inną podstawę jest praktyką błędną – przykładowo, wciąż często spotykana jest zgoda na realizację zamówienia w sklepie, podczas gdy adekwatną podstawą przetwarzania jest umowa sprzedaży.
3. „RODO dotyczy tylko danych w formie elektronicznej”
RODO obejmuje również dane osobowe, które przetwarzane są w formie papierowej (np. wydruki zamówień, formularze zwrotów, faktury czy umowy z pracownikami). Projektując zabezpieczenia przetwarzanych danych należy więc pamiętać, iż zabezpieczenia fizyczne dokumentów papierowych są równie ważne, jak zabezpieczenia techniczne zasobów elektronicznych. Przykładowo, pozostawianie takich wydruków w widocznym miejscu, do którego dostęp ma np. przychodzący do biura kurier czy osoba sprzątająca, nie jest dobrym pomysłem.
4. „Jeśli klient sam podał dane, mogę z nimi robić, co chcę”
Sam fakt, iż klient zostawił dane w sklepie, nie oznacza, iż można je wykorzystywać dowolnie. Dane powinny być przetwarzane w ściśle określonym z góry celu, o którym klient musi być zawczasu poinformowany, i konieczne jest posiadanie odpowiedniej podstawy prawnej. Podanie przez klienta adresu e-mail związku z założeniem konta w sklepie nie oznacza, iż można wykorzystać go np. do wysyłki newslettera.
5. „RODO zabrania działań marketingowych”
Jednym z często słyszanych w e-commerce głosów jest przekonanie, iż “przez to RODO nie można prowadzić już żadnego marketingu”. Prawdą jest, iż przepisy nakładają na przedsiębiorców w tym zakresie pewne ograniczenia (i mowa tu nie tylko o RODO, ale też o innych regulacjach), niemniej RODO nie blokuje całkowicie możliwości prowadzenia działań marketingowych, takich jak np. wyświetlanie profilowanych reklam czy wysyłka wiadomości o promocjach. Ważne jednak, aby za każdym razem posiadać do tego odpowiednią podstawę i odpowiednio poinformować o takim przetwarzaniu. Fakt, iż często niezbędne będzie posiadanie zgody na takie przetwarzanie, i to wyrażonej w sposób jednoznaczny, dobrowolny i świadomy, rzeczywiście może nieco utrudniać działania.
Przekonanie to może wynikać też z pewnych zawirowań prawnych związanych z przekazywaniem danych osobowych do Stanów Zjednoczonych Ameryki – duża część usług marketingowych wykorzystywanych w e-commerce jest dostarczana przez podmioty z USA i wiąże się z transferem danych do tego kraju. Tutaj najważniejszy jest ostrożny dobór usługodawców i weryfikacja m.in. możliwości zawarcia z takim podmiotem odpowiedniej umowy powierzenia przetwarzania oraz posiadania podstawy prawnej takiego transferu, takiej jak stosowna decyzja Komisji Europejskiej czy tzw. Standardowe Klauzule Umowne. Takie dokumenty mogą stanowić element regulaminu usługi dostawcy danego rozwiązania marketingowego.
6. „Wystarczy wrzucić politykę prywatności na stronę i mam spokój”
Polityka prywatności to istotny dokument, ale zdecydowanie nie załatwia całej zgodności z RODO. adekwatne wdrożenie wymagań regulacyjnych wpływa na całość działalności sklepu, od posiadania i prowadzenia odpowiedniej dokumentacji wewnętrznej, przez regularne szkolenia personelu i odpowiedni dobór kontrahentów, aż po wdrożenie odpowiednich zabezpieczeń fizycznych, technicznych i organizacyjnych.
7. „RODO wymaga natychmiastowego usunięcia wszystkich danych na żądanie klienta”
Faktem jest, iż RODO wymaga, aby w przypadku otrzymania żądania dotyczącego danych osobowych odpowiednio sprawnie je rozpatrzyć. Nie oznacza to jednak, iż każde z nich możemy bezrefleksyjnie i w 100% zrealizować. Prawo do bycia zapomnianym nie jest bezwzględne i są sytuacje, w których usunięcie danych przez administratora będzie wręcz niemożliwe. Przykładowo – jeżeli zamówienie zostało zrealizowane, sprzedawca ma obowiązek przechowywać dane (lub ich część) jeszcze przez określony czas (np. ze względów rachunkowych czy z uwagi na przepisy o bezpieczeństwie produktów) – ich usunięcie przed jego upływem, choćby w przypadku wpłynięcia takiego żądania, nie byłoby adekwatne.
Autorką komentarza jest Anna Pozorska, Specjalistka ds. compliance, Legal Geek.
