Autor: Mec. Marcin Maciejak – Kancelaria GESSEL
Z tego tekstu dowiesz się:
Słyszałeś o RODO? To świetnie, ale dla internetowego przedsiębiorcy niestety za mało. W sklepie stacjonarnym rzadko który sprzedawca pyta o dane klienta. Inaczej jest w e-commerce. Praktycznie wszyscy e-sprzedawcy muszą zbierać i przetwarzać dane swoich klientów, żeby dostarczyć zamówienie, obsłużyć płatność czy umożliwić klientowi założenie konta użytkownika. Dlatego jako zarządzający e-biznesem powinieneś dobrze zapoznać się z tematyką RODO, żeby uniknąć wysokich kar.
Co to jest RODO?
To prawo o ochronie danych osobowych, przyjęte przez Unię Europejską.
Klientom sklepów internetowych RODO przyznaje liczne prawa. Z kolei na przedsiębiorcę nakłada określone obowiązki i ograniczenia. Co powinieneś zrobić, żeby twoja działalność była zgodna z tymi przepisami? Prawnik wyjaśnia: to proste – postępuj zgodnie z artykułem 5 RODO. To podstawowe zasady, jak bezpiecznie korzystać z danych osobowych. Artykuł opisuje te zasady i podaje konkretne sposoby ich realizacji.
Co to jest RODO? Garść informacji
RODO to europejskie przepisy o ochronie danych osobowych. Dotyczą wszystkich spraw objętych prawem Unii Europejskiej. Wyjątki przewidziano tylko np. dla dyplomacji i obronności. W centrum RODO stoi ochrona każdej osoby fizycznej: klienta, użytkownika, pracownika i kontrahenta. To jedno z praw podstawowych UE.
Dane na widelcu
Ważne! Posiadasz dane osobowe? Jeśli tak, to znaczy, że już je przetwarzasz, czyli według RODO z nich korzystasz. Takim przetwarzaniem jest też sam wgląd w dane, ich przesyłanie czy usuwanie. Z kolei dane osobowe to nie tylko rubryki w dowodzie osobistym. To wszystkie informacje, które mogą dotyczyć osoby fizycznej. Wystarczy, że uda się ją zidentyfikować. Nie musisz znać jej z imienia i nazwiska. To, czy określone informacje staną się danymi osobowymi, zależy od ich kontekstu i zestawienia. Mogą być nimi: identyfikator użytkownika, zdjęcie z wizerunkiem, informacja o lokalizacji, historia aktywności czy szczegóły zamówienia.
Czy podlegasz RODO?
Obowiązkom RODO podlegają te podmioty, które wykorzystują dane o innych ludziach. Są to w szczególności przedsiębiorcy. Takie dane są im przecież niezbędne do prowadzenia i rozwoju biznesu. Codziennie korzystają z informacji o klientach, użytkownikach, pracownikach i innych osobach. Bez takich danych trudno im komunikować się z klientami, zatrudniać pracowników i realizować zamówienia.
Rozmiar uniwersalny: jeden dla wszystkich
Dlatego w branży e-commerce i usług online RODO obowiązuje bez wyjątku. Co ważne: RODO wprowadza dla przedsiębiorców w całej Unii Europejskiej takie same zasady. Stosuje się je od 2018 roku. Wcześniej poszczególne kraje wprowadzały własne przepisy. Każde z nich robiło to jednak na swój sposób. W efekcie konkretne rozwiązania potrafiły bardzo się różnić. Utrudniało to prowadzenie biznesu. Dlatego przyjęto RODO. Nowy system ma działać tak samo: w Polsce i w Hiszpanii, dla internetowych gigantów i dla start-upów, dla platform, pośredników i sklepów.
RODO dla zuchwałych
Takie same obowiązki RODO jak ty ma w e-commerce także twoja konkurencja. Uważaj, bo chętnie wykorzysta twoje błędy w tym zakresie. Z bezpieczeństwa danych możemy jednak stworzyć dodatkową zaletę. To ważne, bo w sprawach RODO klienci i użytkownicy mogą się do nas zwracać bezpośrednio. Przysługują im różne prawa. Mogą nawet domagać się odszkodowania i zadośćuczynienia.
Nad przestrzeganiem RODO czuwa także państwo. W Polsce jest to PUODO: Prezes Urzędu Ochrony Danych Osobowych. PUODO może rozpatrywać skargi, żądać od ciebie wyjaśnień oraz wydawać ci nakazy i zakazy (w tym nawet zarządzić usunięcie danych). Wreszcie, ma prawo nakładać kary, niekiedy bardzo wysokie. W Polsce kary RODO potrafią przekraczać kilkaset tysięcy złotych. W innych krajach Unii Europejskiej kary RODO sięgały już kilku bądź kilkunastu milionów euro.
Jak przestrzegać RODO?
Czy łatwo naruszyć RODO?
Jak nie narażać się na karę?
Przepisy miały być w założeniu elastyczne. Ich autorzy deklarowali, że nie będą obciążać małych i średnich przedsiębiorstw biurokracją. Uznawali też, że od większego można wymagać więcej. Mimo to w praktyce kruczki i pułapki RODO grożą ci już na samym starcie w
e-commerce. Niektóre obowiązki są w RODO ujęte w bardzo ogólny sposób. Żeby ustalić, co musisz zrobić, często potrzebujesz dodatkowej analizy. Zgodnie z RODO musisz przy tym nie tylko zapewnić techniczne bezpieczeństwo danych. RODO to także różne kwestie organizacyjne, administracyjne i prawne.
Jak zatem wypełnić obowiązki RODO w e-commerce? Skorzystaj z naszego poradnika!
Podstawowe zasady RODO. Stosuj się do nich!
Na wstępie pisaliśmy o Artykule 5 RODO. To „mapa drogowa”, jak chronić dane osobowe
w e-commerce. Przepis ten wskazuje, jakich reguł trzeba przestrzegać.
Siedem zasad
Artykuł 5 RODO wymienia siedem podstawowych zasad przetwarzania danych. Urzędnicy czy klienci mogą oceniać, czy spełniasz te wymogi i rozliczać cię prawnie z ich przestrzegania. Zaznajomienie się z nimi to punkt wyjścia dla bardziej szczegółowych wytycznych RODO w e-commerce:
1
Zasada rzetelności, legalności i przejrzystości
To zestaw trzy w jednym. Dane w e-commerce powinny być przetwarzane:
- Rzetelnie – czyli uczciwie, w dobrej wierze, fair play. Czy sposób, w jaki korzystasz z danych osobowych, jest w porządku? I to nie tyle biznesowo dla ciebie, co dla osoby, której te dane dotyczą?
- Zgodnie z prawem – czyli przestrzegając przepisów prawa. Jakiego? W skrócie: każdego, nie tylko RODO. Uważaj na kuszące oferty „udostępnienia baz danych” czy „wysyłki mailingu”. Sprawdź, jakie podstawy prawne pozwalają ci na korzystanie z danych. Przestrzegaj też kodeksu cywilnego, przepisów o świadczeniu usług drogą elektroniczną i prawa telekomunikacyjnego. To ważne! Ich naruszenie może powodować wtórne naruszenie RODO.
- Przejrzyście – czyli tak, żeby osoba, której dane posiadasz: wiedziała, że korzystasz z jej danych, rozumiała, po co są ci potrzebne i miała świadomość, co się z tym dla niej wiąże oraz co z tym może zrobić.
2
Zasada ograniczenia celu
Dane zbieraj w konkretnych i uzasadnionych celach. Nie wystarczy, że wskażesz cel niedookreślony (np. na „szeroko rozumiane potrzeby firmy”). Nie ma natomiast przeszkód, żebyś korzystał z danych w wielu różnych celach naraz. Ważne, żeby można je było w czytelny sposób wskazać i rozróżnić. Za to każdy nowy pomysł na dane, które już posiadasz, musi wpisywać się w cel, dla którego je zgromadziłeś.
3
Zasada minimalizacji danych
Dane, które posiadasz, powinny być adekwatne, stosowne oraz ograniczone do niezbędnego minimum. Przetwarzaj tylko te dane, które są ci rozsądnie potrzebne do realizacji dozwolonych celów. Nie gromadź danych „na zaś”.
4
Zasada prawidłowości
Dane powinny być aktualne i pozbawione błędów. Ważne, żeby twoje systemy umożliwiały w razie potrzeby ich aktualizację i korektę.
5
Zasada ograniczenia przechowywania
Dane przechowuj nie dłużej niż to niezbędne. Kiedy dane szczegółowe nie są potrzebne do celów, w jakich je zebrałeś – zredukuj je do informacji zbiorczej, a dane osobowe usuń. Minimalny lub maksymalny czas przechowywania może niekiedy wynikać z przepisów (np. okresy przedawnienia, przechowywanie dokumentacji księgowej).
6
Zasada integralności i poufności
To wymóg zabezpieczenia danych. Techniczne i organizacyjne środki ochrony danych w e-commerce dostosuj do ryzyk i okoliczności. Sprawdź, czy szyfrujesz dane. Czy weryfikujesz dostawców usług pod kątem zgodności z RODO? Czy prowadzisz audyty?
7
Zasada rozliczalności
Z przetwarzaniem danych wiąże się odpowiedzialność prawna. Pozostajesz odpowiedzialny nie tylko za samo faktyczne zapewnienie zgodności z RODO. Musisz też wykazać, jak przestrzegasz przepisów.
Diabeł tkwi w szczegółach
Jeśli zakładasz czy prowadzisz sklep internetowy, musisz pamiętać o wielu aspektach związanych z ochroną danych osobowych. Siedem powyższych zasad jest punktem wyjścia do bardziej szczegółowych wytycznych. Inne przepisy rozwijają te zasady w bardziej konkretne obowiązki RODO w e-commerce. Z niektórymi z nich, jak obowiązki informacyjne, powołanie inspektora ochrony danych, prowadzenie rejestrów, czy wymogi bezpieczeństwa oraz warunki stosowania „cookies”, zetkniesz się już na starcie działalności. Mogą się wydawać skomplikowane. Ale wcale nie muszą takie być.
Oto kilka wskazówek, które pomogą ci wykazać przestrzeganie RODO, jeśli prowadzisz sklep internetowy.
Obowiązek informacyjny w RODO. Ważne!
Jeśli przetwarzasz dane osobowe,
obejmuje cię obowiązek informacyjny.
Co to oznacza? Każda z osób fizycznych, z których danych korzystasz, ma wobec ciebie określone prawa. RODO każe ci poinformować o tym tę osobę, żeby mogła z nich skorzystać. Powinieneś ją powiadomić, że będziesz zbierał jej dane osobowe. Musisz też podać informację, w jakim zakresie oraz w jakich celach będziesz je przetwarzał, jakie ryzyka, zasady, zabezpieczenia i prawa są z tym związane oraz jak może skorzystać ze swoich uprawnień. To komunikacja, która musi być łatwo dostępna i sformułowana zrozumiałym językiem. Brak spełnienia obowiązku informacyjnego RODO w e-commerce jest naruszeniem, za które grozi kara.
Recepta na obowiązek
Obowiązek informacyjny RODO w e-commerce jest prostszy, niż się wydaje. Klientowi, który pozostawia na twojej stronie swoje dane, musisz po prostu podać kilka informacji. Zrób to tak, żebyś mógł wykazać, że miał on możliwość się z nimi zapoznać.
Jak podać te informacje? Popularne rozwiązanie to nota informacyjna RODO. Możesz ją umieścić np. w załącznikach do korespondencji i w polityce prywatności. Dla obsługi telefonicznej nagrasz ją w komunikacie IVR.
Notę RODO możesz sporządzić według poniższej listy. Punkt po punkcie, podaj:
- swoją tożsamość i dane kontaktowe, a także dane kontaktowe IOD (więcej o IOD przeczytasz poniżej),
- cele przetwarzania danych osobowych i podstawę prawną tego przetwarzania (odrębnie dla każdego celu); jeśli taką podstawą jest przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów – wskaż te interesy,
- kategorie danych osobowych, które przetwarzasz,
- informacje o odbiorcach tych danych lub o kategoriach tych odbiorców (jeśli umożliwiasz przekazywanie danych innym podmiotom),
- informacje o zamiarze przekazania takich danych poza Europejski Obszar Gospodarczy lub do organizacji międzynarodowej wraz ze szczegółami,
- informację na temat okresu, przez który będziesz przechowywać dane osobowe, a przynajmniej o kryteriach jego ustalania,
- informację o prawie klienta do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz do przenoszenia danych, a także o prawie wniesienia skargi do organu nadzorczego,
- informację o prawie klienta do wniesienia sprzeciwu wobec przetwarzania,
- informację o prawie i skutkach do cofnięcia zgody na przetwarzanie,
- źródło pochodzenia danych osobowych (także jeśli pochodzą one ze źródeł publicznie dostępnych),
- informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz jego zasadach, znaczeniu i przewidywanych konsekwencjach.
Zgoda na przetwarzanie danych. O tym pamiętaj!
Jeśli prowadzisz sklep internetowy, zapewne decydujesz o celach i sposobach przetwarzania danych użytkowników strony i klientów tego sklepu. Stajesz się przez to administratorem danych. Żeby przetwarzać je zgodnie z RODO, musisz mieć do tego odpowiednią podstawę prawną.
Nie tylko zgoda
Taką podstawą jest np. zgoda na przetwarzanie danych. Ma jednak ona swoje wady. Nie zawsze możesz powołać się na zgodę RODO. Kiedy jeszcze możesz typowo przetwarzać dane osobowe w e-commerce?
Nawet bez zgody możesz przetwarzać dane m.in. wtedy, kiedy jest to niezbędne:
- Do wykonania umowy z osobą, której dane dotyczą, lub do podjęcia działań na jej żądanie przed zawarciem umowy.
Umożliwia ci to m.in. wykorzystanie danych osobowych klienta bez jego zgody na potrzeby obsługi zamówienia czy odpowiedzi na zapytanie ofertowe. - Do wypełnienia obowiązku prawnego.
Nie potrzebujesz zgody na użycie danych klienta we wszystkich sytuacjach, kiedy musisz je wykorzystać, żeby spełnić wymogi prawa: np. do wystawienia imiennej faktury, na potrzeby podatkowe czy w ramach procedur KYC/AML. - Do celów wynikających z twoich prawnie uzasadnionych interesów, chyba że sprzeciwiają się temu ważniejsze od nich interesy lub podstawowe prawa i wolności osoby, której te dane dotyczą.
Zapewnienie bezpieczeństwa IT, dochodzenie i obrona roszczeń, podstawowa analityka – także i na te potrzeby możesz korzystać z danych osobowych bez zgody takiej osoby. Ale tylko tak długo, jak nie ingerujesz za głęboko w jej prywatność i inne dobra. Ważne! Ta podstawa ma charakter opt-out. Osoba, której dane dotyczą, może wyrazić sprzeciw.
Kiedy i jak zbierać zgody
Zgoda RODO na przetwarzanie danych osobowych to typowy mechanizm opt-in. Zastosujesz go przede wszystkim tam, gdzie nie masz innej podstawy do przetwarzania danych. Czasami przepisy wprost wymagają, żebyś taką zgodę uzyskał.
Szczególnie istotne jest to na potrzeby tzw. zgód marketingowych. Niektóre działania marketingowe mieszczą się w celach wynikających z prawnie uzasadnionych interesów, o których przeczytałeś wyżej. Nie potrzebujesz na nie zgody. Natomiast inne czynności będą jej już wymagać. Są to np. skorzystanie z określonych kanałów komunikacji (przede wszystkim e-mail i telefon), przechowywanie informacji na urządzeniach klientów (pliki cookie), a niekiedy korzystanie z zaawansowanej analityki i technologii przesyłających dane poza Europejski Obszar Gospodarczy.
Musisz wtedy wykazać, że taką zgodę otrzymałeś. Ona sama musi też spełnić kilka warunków, żebyś mógł się na nią powołać. Zapytanie o zgodę przedstaw odrębnie od pozostałych kwestii. Poproś o jej udzielenie w jednym lub większej liczbie określonych celów. Posłuż się zrozumiałą i łatwo dostępną formą oraz prostym językiem. Zgoda musi być dobrowolna. Dlatego nie uzależniaj od niej wykonania umowy i świadczenia usług (są wyjątki, ale tylko w nielicznych sytuacjach). Nie sugeruj zgody przez domyślnie zaznaczone pola wyboru, ukryte elementy i nieintuicyjne akcje (tzw. „dark patterns”).
Osoba, która udzieliła zgody, może ją też w dowolnym momencie wycofać. Musisz umożliwić wycofanie zgody równie łatwo, jak jej wyrażenie.
Uważaj także, kiedy dane dotyczą dziecka oraz na szczególne kategorie danych (dane wrażliwe – np. dotyczące zdrowia czy orientacji seksualnej). Obowiązują wtedy inne, bardziej rygorystyczne zasady.
IOD, czyli kilka słów o inspektorze ochrony danych
Jednym ze środków ochrony danych osobowych w e-commerce, które będziesz musiał rozważyć, jest powołanie inspektora ochrony danych – w skrócie IOD. Kim jest IOD? To specjalista, który może pomóc ci wykazać, że przestrzegasz RODO. Z jednej strony będzie działał jako doradca, z którym możesz skonsultować problemy RODO. Z drugiej: powinien działać jako wewnętrzy nadzór, sprawdzać przestrzeganie przepisów i wydawać zalecenia – zanim zaniepokoi się tym nadzór „urzędowy”.
Przepisy RODO przewidują dla niego konkretnie zadania. Są nimi m.in.:
- przyjmowanie zapytań od osób kierujących je do niego we wszystkich sprawach RODO, oraz z wykonywanie ich praw;
- informowanie cię oraz innych osób zaangażowanych w przetwarzanie danych o obowiązkach RODO, a także doradzanie im w tych sprawach;
- monitorowanie przestrzegania RODO w przedsiębiorstwie;
- podział obowiązków, upowszechnianie świadomości i szkolenia personelu oraz audyty;
- udzielanie zaleceń co do oceny skutków przetwarzania dla ochrony danych i monitorowanie wykonania;
- współpraca z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych – PUODO);
- pełnienie funkcji punktu kontaktowego dla PUODO i prowadzenie konsultacji we wszelkich sprawach RODO.
IOD po dobroci
Działając w zakresie e-commerce, nie zawsze musisz jednak wyznaczyć IOD. W pewnym uproszczeniu: taki obowiązek masz tylko wtedy, jeśli w twojej głównej działalności regularnie i systematycznie monitorujesz na dużą skalę osoby fizyczne (w tym ich zachowania) albo jeśli na dużą skalę przetwarzasz szczególne rodzaje danych wrażliwych. Są to raczej przypadki innej działalności niż typowo sprzedażowa.
Możesz jednak wyznaczyć IOD całkiem dobrowolnie. Zapewnisz sobie wsparcie specjalisty zewnętrznego z rynku. Możesz także utworzyć takie stanowisko i zatrudnić na nim odpowiednio wykwalifikowanego pracownika. IOD powinna zostać osoba, która posiada fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych. Ważne: IOD musi unikać konfliktu interesów i nie może nadzorować siebie samego. Dlatego IOD nie może pełnić innych funkcji, w których uczestniczy w przetwarzaniu danych osobowych. Inspektor ochrony danych powinien być właściwie i niezwłocznie włączany we wszystkie sprawy, dotyczące ochrony danych osobowych. Powinieneś udostępnić mu niezbędne zasoby oraz umożliwić dostęp do danych i procesów z ich wykorzystaniem. RODO przewiduje dla niego sporą niezależność. Podlega tobie i ewentualnie innym osobom ze ścisłego gremium kierującego przedsiębiorstwem. Nie może jednak otrzymywać instrukcji dotyczących swoich zadań. Za ich wypełnianie nie można go też odwołać ani ukarać.
Jeśli zdecydujesz się wyznaczyć IOD, powinieneś poinformować o tym PUODO. Urząd przewidział w tym celu stosowne formularze. Dostępne są on-line: https://uodo.gov.pl/pl/p/formularze-zwiazane-iod
Rejestr dla danych – obowiązkowo! Ale jak zebezpieczyć dane?
Prowadząc sklep internetowy i będąc administratorem danych, powinieneś też prowadzić odrębny rejestr. Jest to dokument, który w RODO określa się jako rejestr czynności przetwarzania danych osobowych. To pewnego rodzaju mapa tych danych. Można go prowadzić np. w formie tabeli czy arkusza, także elektronicznie. Rejestr to podstawowy dokument, o który przedstawiciel PUODO spyta cię w razie kontroli. Dobrze prowadzony rejestr jest bardzo przydatnym narzędziem. Pomoże w szybkim zestawieniu niezbędnych informacji. Dzięki temu sprawnie ustalisz i ograniczysz ryzyka RODO. Przyda ci się także wtedy, kiedy będziesz przygotowywał obowiązki informacyjne.
Jakie informacje zamieszcza się w rejestrze? Możesz skorzystać z poniższej, uproszczonej listy:
- imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz IOD, jeśli jest,
- określone cele przetwarzania,
- opis kategorii osób, których dane dotyczą oraz kategorii ich danych osobowych,
- kategorie odbiorców, którym udostępniasz dane osobowe, w tym odbiorców w państwach poza Europejskim Obszarem Gospodarczym lub w organizacjach międzynarodowych,
- informacje dotyczące przekazania danych osobowych do państwa poza Europejskim Obszarem Gospodarczym lub organizacji międzynarodowej, w tym nazwy tego państwa lub organizacji; w określonych sytuacjach informacje dotyczące dokumentacji zabezpieczeń,
- jeśli to możliwe, planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
Nawet jeśli jesteś administratorem danych, nie musisz publikować rejestru na swojej stronie. Możesz jednak otrzymać zapytanie RODO. W ramach swoich uprawnień informacyjnych może je do ciebie skierować osoba, której dane posiadasz. Zgodnie z RODO powinieneś wówczas udzielić jej określonych informacji. Nie musisz jej przesyłać rejestru, ale rejestr pomoże ci wówczas ustalić treść wymaganej przez RODO odpowiedzi.
Zabezpiecz dane
Rejestr to jednak tylko wykaz, a nie kompletna baza danych. Jak dane osobowe odtworzyć w razie ich utraty? Jak zabezpieczyć je przed wpadnięciem w niepowołane ręce? Te kwestie RODO w e-commerce zostawia otwarte. Przepisy nie wymagają, żebyś wdrożył określony algorytm. Nie wskazują też, jaki zamek musi mieć szafa na twoje dokumenty. Nie istnieją też produkty automatycznie gwarantujące zgodność z RODO. Obowiązki zabezpieczenia danych w RODO polegają na ustaleniu i wdrożeniu przez ciebie takich środków, które będą odpowiadały ryzyku. Powinny to być przy tym tak środki techniczne (np. rozwiązania IT, bezpieczeństwo fizyczne), jak i organizacyjne (procedury, polityki, szkolenia personelu, poziomy upoważnienia).
Jakie kryteria powinieneś zastosować, żeby wybrać rozwiązania odpowiadające ryzyku? Określ, z jakim ryzykiem wiąże się przetwarzanie danych osobowych, w tym także takie zdarzenia jak niepowołany dostęp do tych danych i ich utrata. Ustal, z jakim prawdopodobieństwem ryzyko może zagrozić prawom lub wolnościom osób fizycznych – i jak ważne prawa lub wolności mogą być zagrożone. Uwzględnij stan wiedzy technicznej, koszt wdrożenia dostępnych środków oraz charakter, zakres, kontekst i cele, w jakich przetwarzasz te dane. Zapewnienie bezpieczeństwa to nie jednorazowe zdarzenie, tylko proces. Dlatego zapewnij sobie także możliwość regularnego sprawdzania, czy raz wdrożone środki pozostają skuteczne i odpowiednie.
Jeśli chcesz dowiedzieć się na ten temat więcej, sprawdź, jak chronić dane klientów w sklepie internetowym.
„Ciasteczka” nie takie słodkie. Kilka słów o plikach cookies
Czym są pliki cookies?
Twój sklep internetowy może mieć różne funkcjonalności. Niektóre z nich zależą od akcji użytkownika. Są to np. koszyk i formularz zakupowy, konto klienta czy obsługa płatności. Chcesz także wiedzieć, czego potrzebują klienci i jak zachowują się na stronie. Używasz wtedy narzędzi analitycznych i marketingowych. Tego rodzaju funkcje i narzędzia często wykorzystują proste pliki tekstowe. Takie pliki są zapisywane na urządzeniu gościa – np. w zasobach, z których korzysta przeglądarka. To właśnie są sławne „ciasteczka” (ang.: „cookies”).
W plikach cookies strona może zapisywać informacje niezbędne do prawidłowego działania. Mogą one też być potrzebne do obsługi innych usług. Z cookies korzystają technologie analityczne. Takie ciasteczka mogą mieć charakter sesyjny. Wtedy kasują się po opuszczeniu strony. Można jednak określić, jak długo są przechowywane. Mogą mieć wtedy charakter stały. Twoja strona będzie je wtedy odczytywać i zmieniać, np. przy każdej nowej wizycie klienta w sklepie.
Cookies w e-commerce a obowiązki RODO
Pliki cookies mogą zawierać rozmaite informacje. Zakres tych informacji zależy od konkretnego cookie i od rozwiązania technicznego. Te informacje nie muszą dotyczyć użytkownika. Jednak zwykłe dane mogą łatwo stać się danymi osobowymi (np. w zestawieniu z innymi informacjami, którymi dysponujesz). Musisz wtedy stosować do nich zasady RODO. Zwróć uwagę na identyfikatory użytkownika i sesji. Także niektóre rozwiązania analityczno-marketingowe stosujesz właśnie po to, żeby ustalić konkretnego użytkownika (ang.: „single out”, „unique ID”). Dla takiego użytkownika twój sklep będzie starał się dobrać indywidualną prezentację oferty czy skuteczną reklamę. Wgląd w takie dane mogą mieć też dostawcy narzędzi, które zastosowałeś. Czasami będą korzystać z nich do swoich własnych celów. Niekiedy łączą informacje, które zebrali z różnych innych stron. Bywa, że przesyłają takie dane poza Europejski Obszar Gospodarczy. Uważaj wtedy na ryzyka RODO. Jak sobie z nimi poradzić?
Są dwa poziomy, na których możesz potrzebować zgody cookie. Pierwszy to zapis pliku w urządzeniu klienta. To ważne nawet wtedy, jeśli „ciasteczko” nie zawiera danych osobowych. Dobra wiadomość: taka zgoda może wynikać z ustawień urządzenia (np. opcji przeglądarki internetowej). Wystarczy, że przekażesz wtedy użytkownikowi odpowiednią informację. Takie jest podstawowe zadanie planszy informacyjnej, którą typowo umieścisz w pasku wzdłuż dolnej krawędzi ekranu (tzw. „cookie banner”). Szczegółowe informacje możesz natomiast przekazać w odpowiedniej sekcji polityki prywatności (np. w polityce cookies).
Jeśli twoje cookies mogą zawierać dane osobowe, zgoda na sam ich zapis niekoniecznie wystarczy. Musisz ustalić, jaka podstawa prawna pozwala ci na przetwarzanie tych danych w oparciu o RODO. Jeśli bez danych strona się nie wczyta albo nie zadziałają jej podstawowe funkcje, przetwarzanie ich będzie niezbędne do jej funkcjonowania. Być może nie będziesz wtedy jeszcze potrzebować zgody (to mechanizm opt-out).
Inaczej jest w wypadku bardziej zaawansowanych narzędzi. Jeśli np. obserwujesz zachowania użytkownika, łączysz dane z innymi stronami, a narzędzia na stronie wysyłają je poza Europejski Obszar Gospodarczy, aktywna zgoda użytkownika może być ci potrzebna (mechanizm opt-in). Jak ją otrzymasz? Zastosuj czytelny komunikat i interfejs. Różne cele i technologie mogą przy tym wymagać odrębnych zgód. Pamiętaj, że domyślnie zaznaczone pola wyboru i inne elementy wymuszające zgodę (tzw. „dark patterns”), są na czarnej liście naruszeń. Powinieneś także umożliwić łatwe wycofanie zgody. Prosty cookie banner możesz wtedy zamienić w panel zarządzania zgodami. Szczegółowe informacje udostępniaj też w polityce prywatności. Opisz w niej, kto i jak korzysta z zawartych w cookies danych – zgodnie z obowiązkiem informacyjnym RODO w e-commerce. Żeby nie narażać się na ryzyko RODO, korzystaj z narzędzi sprawdzonych partnerów. Wyjaśnią ci, jak korzystają z danych zebranych w twoim sklepie. Udzielą też niezbędnych informacji, które podasz użytkownikom twojej strony w informacji RODO.
Autor: Mec. Marcin Maciejak – Kancelaria GESSEL