LH.pl · Dział pomocy
Zgoda na przetwarzanie danych osobowych w sklepie internetowym to obowiązkowy krok pozwalający na spełnienie wymagań narzuconych przez RODO. Jak powinna brzmieć i jak ją napisać?
RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych, wchodzi w życie 25 maja 2018 roku. Do tego czasu wszystkie podmioty przetwarzające dane osobowe muszą dostosować wymagania w kontekście ochrony tych danych do nowych przepisów. Ostatnio pisałam o krokach niezbędnych do wdrożenia RODO w sklepach internetowych. Wśród nich wspomniałam o zgodach, które musi wyrazić klient, by administrator danych mógł wykorzystywać chociażby jego e-mail w celach marketingowych lub zakupowych.
Zgoda na przetwarzanie danych osobowych – czym jest?
Zgoda na przetwarzanie danych to jedna z podstawowych, lecz nie jedyna, z przesłanek legalności wykorzystywania danych osobowych. Należy pamiętać jednak, że wyrażona przez nas zgoda nie zawsze uprawnia wszystkie podmioty do przetwarzania naszych danych. Są bowiem organy, które mogą to robić bez konieczności uzyskania naszego pozwolenia, np. urząd skarbowy, czy też ZUS. Urzędy mogą wykorzystywać dane osobowe na mocy obowiązującego prawa.
Zgoda na przetwarzanie danych osobowych według definicji RODO (art. 4 pkt 11), to:
(…) dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Jak rozumieć tę definicję?
Jak określa definicja RODO, zgoda na przetwarzanie danych musi być przede wszystkim dobrowolna. Jeśli akceptacja udostępnienia e-maila lub nazwiska wiąże się z możliwością zakupu produktu, usługi lub rejestracji np. na forum, grupie, portalu, to oznacza, że jest ona niezgodna z przepisami RODO. Pisząc treść zgody nie możemy narzucić klientowi jej wyrażenia, musi on podjąć tę decyzje dobrowolnie, a w przypadku braku akceptacji, nadal mieć możliwość skorzystania z zakupu.
Tylko konkretne informacje
Zgoda powinna być także konkretna, czyli wyrażona w jednym lub w większej liczbie jasno określonych celów. Oznacza to, że nie należy układać treści w taki sposób, aby za pomocą jednego checkboxa wyrazić zgodę na przetwarzanie danych w wielu celach. Osobno należy zrobić box dla celów wysyłki towaru, osobno dla celów marketingowych, osobno dla profilowania. Według RODO klient musi mieć prawo wyboru w każdym z celów. Cel ten musi zostać opisany w sposób jasny, a także musi być połączony z checkboxem. Nie można bowiem dopuścić do sytuacji, że opiszemy go w regulaminie, a w formularzu zakupowym nie będzie o nim ani słowa. Połączenie tych dwóch kwestii ma dać klientowi pełnię informacji w jednym miejscu, co też zwiększy świadomość jego wyboru.
Czy jeśli mój klient wyraził już zgodę na ochronę danych osobowych, to czy mogę zmienić cele wykorzystywania danych?
Nie, klient powinien otrzymać możliwość wyrażenia zgody na wykorzystywanie danych do nowego celu. Sprawdzenie poprawności wykorzystywania zgody klienta do konkretnych celów jest to jeden z elementów audytu i kontroli.
Świadoma zgoda
Zgoda musi być świadoma, czyli osoba, która ją zaznacza musi rozumieć cele wykorzystania danych w przyszłości. Na świadomość klienta ma wpływać informacja o nazwie firmy, adresie jej siedziby, nazwisku administratora oraz danych kontaktowych i celach przetwarzania. Wszystkie te kwestie muszą się znaleźć w miejscu wyrażania zgody na przetwarzanie danych osobowych. Prócz nich, należy także zawrzeć zdanie o prawie do wycofania zgody na przetwarzanie danych oraz ewentualnym profilowaniu, któremu dane mogą zostać poddane.
Prawo do informacji nie zostało jasno określone w RODO, podobnie jak w przypadku narzędzi przetwarzania, nie zostały podane nam konkretne rozwiązania, a jedynie narzucony obowiązek zachowania wszelkiej staranności w ochronie danych. Ustalone zostało jednak, że zgoda musi zostać sformułowana w prosty sposób, bez zbędnych zawiłości. Tym samym językiem musi zostać napisana także polityka bezpieczeństwa.
Zgoda papierowa, czy elektroniczna?
Obie formy są oczywiście dopuszczalne. W przypadku zgody papierowej należy zapisać ją w formie wyodrębnionej od reszty umowy, lub powinna stanowić osobny dokument do podpisania. Przy wyborze formy elektronicznej, checkboxy nie mogą być z góry zaznaczone. Klient ma świadomie je zaznaczać, a nie odznaczać według swojej woli.
Dla bezpieczeństwa obu zainteresowanych stron, zgoda nie może być wyrażona ustnie.
Wycofanie zgody na przetwarzanie danych osobowych
RODO narzuca administratorom obowiązek zapewnienia możliwości wycofania zgody w taki sam prosty sposób, w jaki prosił o jej udzielenie. Nie możemy zatem doprowadzić do sytuacji, w której klient wyraził zgodę w formie elektronicznej, ale gdyby decydował się na jej wycofanie, musiałby napisać do nas pismo papierowe lub wykonać dodatkowe kroki.
Być może dostosowywanie się do nowych przepisów jest uciążliwe dla wszystkich przedsiębiorstw, które obejmie RODO, lecz spójrzmy na tę kwestię z perspektywy klienta. Ile razy denerowaliście się, że checkboxy są z góry zaznaczone? Ile razy Wasze dane były wykorzystane do czegoś więcej niż tylko zrealizowaniu zakupu? A może pamiętacie ile razy nie mogliście znaleźć jasnej informacji na temat wycofania zgody?
*Jeśli chcecie być na bieżąco z doniesieniami dotyczącymi wprowadzenia RODO w naszym kraju, śledźcie informacje udostępniane na stronie Głównego Inspektora Danych Osobowych, a także oświadczenia Grupy Roboczej.
Podobał Ci się artykuł? Zostaw opinię!
10 komentarzy
Możliwość komentowania została wyłączona.
Na stronie Ministerstwa Przedsiębiorczości i Technologii znalazłem przewodnik po RODO
Występuję tam taka informacja:
“5. Kiedy nie trzeba zbierać zgody na przetwarzanie danych?
Zgoda na przetwarzanie danych jest jedną z podstaw prawnych przetwarzania danych – nie jedyną. Zgody na przetwarzanie
danych nie trzeba zbierać w szczególności wtedy, gdy:
a) przetwarzanie danych jest niezbędne do wykonania umowy – np. sklep internetowy sprzedaje wysyłkowo
książki; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych, przetwarzanie danych będzie
zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży)”
Czyli wynika z tego, że sklep internetowy nie posiadający kont użytkowników NIE MUSI prosić o zgodę na przetwarzanie danych. Przyznam, że trochę mnie to zaskoczyło. Czy mogę prosić o komentarz w tej sprawie?
Nie do końca to tak wygląda. Sklep internetowy musi przecież w jakiś sposób wysłać tę książkę do klienta, prawda? Aby wysłać, musi udostępnić dane adresowe i często numer telefonu i e-mail klienta, np. firmie kurierskiej, czy Poczcie Polskiej – to już strona trzecia, musimy poprosić o zgodę. Dodatkowo, nie znam sklepu internetowego, który nie chciałby gromadzić e-maili w postaci bazy do wysyłki newslettera – aby ten newsletter móc wysłać, znów trzeba poprosić o zgodę. No i jest jeszcze jedna kwestia- śledzenie zamówienia. Nawet, jeśli klient nie założył konta w sklepie, to zazwyczaj chce otrzymać informację na maila o statusie zamówienia – nie jest to niezbędne do przeprowadzenia zakupu, ale jest pomocne – musimy poprosić o zgodę.
To nie ja wymyśliłem ten przykład ze sklepem internetowym, tylko pracownicy Ministerstwa – stąd moje zdziwienie.
Z kurierami sprawa wydaje mi się jeszcze bardziej skomplikowana. Zgodnie z RODO Administrator Danych musi podpisać umowę powierzenia danych z KAŻDYM podmiotem przetwarzającym, któremu je powierza. W przypadku kurierów jest to nierealne – dla każdego z nich pracują podwykonawcy (poszczególni kurierzy, którzy często prowadzą własną działalność gospodarczą), o których sklep internetowy (AD) nawet nie ma pojęcia. Umowa powierzenia danych nie przewiduje powierzenia ich nieokreślonej grupie podwykonawców. Jak to może zostać rozwiązane? – nie mam pojęcia i nie potrafią mi na to odpowiedzieć przedstawiciele firm kurierskich.
Posłużyłam się przytoczonym przykładem sklepu z książkami bo było mi łatwiej zobrazować proces 🙂 I tutaj pracownicy Ministerstwa mają rację, ale odnoszą się tylko do procesu sprzedaży, nie piszą już o wysyłce, marketingu, czy trackingu statusu zamówienia. W przypadku kuriera – moim zdaniem będzie to umowa podpisana z globalnym kurierem, nie z podwykonawcami.
To bez sensu podawać przykład sklepu internetowego z książkami, który nie musi prosić o zgodę na przetwarzanie danych tylko w warunkach teoretycznych. Co to za przykład, skoro jest oderwany od rzeczywistości?
Co do Kuriera, jak pisałem, zgodnie z RODO nie ma mowy o “randce w ciemno” jeśli chodzi o powierzanie danych. To naczelna zasada całego Rozporządzenia. Zgodnie z art. 28 ust. 1 RODO Administrator Danych może je powierzyć tylko podmiotom, co do których jest pewien, że spełniają wymogi RODO i powierzone dane będą u nich bezpieczne. W przypadku podwykonawców kuriera nawet nie zdaję sobie sprawy z ich istnienia, a co dopiero mam wiedzieć czy dane będą u nich bezpieczne.
Rozporządzenie wprowadza wymóg uzyskania przez podmiot przetwarzający (któremu powierzono dane) pisemnej zgody Administratora Danych na przekazanie tych danych kolejnemu podmiotowi (podwykonawcy). Zgoda faktycznie może mieć charakter szczegółowy – wskazanie konkretnego podwykonawcy, lub ogólny – ale w tym wypadku podwykonawca musi każdorazowo informować Administratora Danych o wszelkich zmianach polegających na dodaniu lub zastąpieniu podwykonawców innymi podmiotami przetwarzającymi, dając Administratorowi możliwość sprzeciwu (który przypominam – ma mieć pewność co do bezpieczeństwa danych). Nie widzę technicznej możliwości takiego działania.
Z pewnością firmy kurierskie będą musiały we własnym zakresie tę kwestię uregulować – podpisać umowy o powierzeniu danych osobowych z podwykonawcami, czyli osobami, które spotykamy przy nadaniu i odebraniu paczek.
Ale to my jesteśmy Administratorem Danych, więc faktycznie to my powinniśmy z nimi taką umowę zawierać, a przynajmniej być o nich informowani przez firmę kurierską na podstawie umowy z nią zawartej.
A już zupełnie na marginesie – z racji prowadzonej działalności mam z kurierami cały czas do czynienia i nie zaryzykowałbym stwierdzenia, że ochrona danych osobowych należy do ich priorytetów…
RODO TO PARANOJA TYLKO W POLSCE, obserwowalem te sytacje we Francji , Hiszpani, Portugali i we Wloszech maja to po prostu w “tylku”
Kolejny Unijny bubel, juz nie pytam o Poczte Polska i kazda inna to najwieksza przetwazalnia DANYCH OSOBOWY i co ? ZAMKNA POCZTE?
W celu zawarcia umowy oraz jej wykonania nie musimy prosić o zgode na przetwarzanie danych osobowych. Ale zgodnie z RODO musimy spełnić obowiązek informacyjny. Należy poinformować kto jest administratorem danych, kto i jak będzie je przetwarzał, komu je udostepnimy oraz informujemy klienta o przysługujących mu prawach względem wglądu, poprawiania oraz usuwania danych.
Jeśli natomiast chcemy dane wykorzystać do wysyłania mailingu, to wtedy musimy umieścić zgode na przetwarzanie danych w celach marketingowych.
Kolejny unijny “znafca”, pisząc “kolejny bubel” masz pewnie na myśli takie buble jak krzywizna ogórka lub banana (może od razu wyjaśnię – krzywizna ogórka to była świetna decyzja, tylko trzeba zrozumieć problem, a o bananie to fake news). Na zachodzie nikt za bardzo się nie przejął RODO, bo tam nie dochodziło do takich naruszeń jak w Polsce. I prawda jest taka, że niewiele się zmienia POZA KARAMI, które są znacznie surowsze niż dotychczas. I stąd ta paranoja w Polsce, bo musimy się dostosować do standardów zachodnich, a wiadomo że nam bliżej do putinowskiej republiki.