Ochrona danych osobowych konsumentów

Sprzedaż przez internet wiąże się nierozerwalnie z przetwarzaniem danych osobowych. Każde zamówienie, jego realizacja i wysyłka wymagają zebrania, a co za tym idzie - przetwarzania danych osobowych. Aby móc takie dane zbierać i przetwarzać, konieczne jest posiadanie właściwej podstawy prawnej, która je usankcjonuje.

Szukając w RODO

Przygotowując się do prowadzenia sklepu internetowego, należy właściwie zadbać o bezpieczeństwo przetwarzanych w nim danych osobowych. Dlatego w pierwszej kolejności należy ocenić zakres przetwarzanych danych oraz określić, na jakich podstawach prawnych będą przetwarzane, np. na podstawie uzyskiwanych od klientów zgód czy przepisów prawa. Do realizacji zamówienia w sklepie internetowym nie trzeba pobierać zgody klientów. W takich przypadkach przesłanką uprawniającą do przetwarzania danych jest art. 6 ust. 1 lit. b) RODO, który reguluje, że przetwarzanie danych jest zgodne z prawem, jeżeli jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. W trakcie wykonywania zamówienia dochodzi do przetwarzania danych osobowych niezbędnych do wypełnienia umowy, takich jak imię i nazwisko konsumenta, adres e-mail czy adres, pod który ma zostać wysłane zamówienie.

W niektórych przypadkach podstawą przetwarzania danych może być też prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO). Taki prawnie uzasadniony interes może istnieć, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, np. gdy osoba, której dane dotyczą, jest klientem administratora. Z prawnie uzasadnionym interesem będziemy mieć do czynienia w przypadku, gdy np. sklep internetowy wykorzystuje dane w celu marketingu bezpośredniego swoich usług czy towarów. Przy czym motyw 70 RODO stanowi, że jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść bezpłatnie w dowolnym momencie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego - w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.

W niektórych sytuacjach do przetwarzania danych osobowych klientów konieczne jest uzyskanie wyraźnej zgody, np. wtedy, gdy ma dojść do przekazania danych innym podmiotom, które są partnerami sprzedawcy, w celu marketingu ich usług.

Zgoda może okazać się konieczna również, jeżeli sprzedawca internetowy tworzy profile klientów mające na celu np. przewidywanie zachowań konsumenckich i dostosowanie oferty do potrzeb konsumenta. Jeżeli takie profilowanie ma charakter automatyczny (decyduje o tym program), to wymaga to uprzedniej zgody klientów.

Jednym z głównych praw przysługujących osobie, która wyraziła zgodę na przetwarzanie danych osobowych, jest możliwość wycofania takiej zgody w dowolnym momencie. Art. 7 ust. 2 RODO określa, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

W przypadku pobierania danych osobowych dla potrzeb wysyłania newsletterów wskazuje się na dwie możliwe podstawy prawne. Pierwsza to art. 6 ust. 1 lit. a) RODO, czyli zgoda osoby, której dane mają być przetwarzane, a druga to określone w art. 6 ust. 1 lit. f) RODO prawnie uzasadnione interesy administratora danych. Niektórzy eksperci stoją na stanowisku, że wysyłanie newslettera dotyczącego własnych usług administratora danych mieści się w pojęciu marketingu bezpośredniego i nie wymaga uzyskania zgody od osób, które już są klientami administratora danych.

Przy przetwarzaniu trzeba pamiętać o klauzulach

Na administratorach danych przetwarzających dane osobowe ciąży szereg obowiązków informacyjnych względem osób, których dane mają być przetwarzane. Określają je art. 13 i art. 14 RODO. Informacje te są bardzo istotne, bowiem dzięki nim klient sklepu internetowego dowiaduje się, kto i na jakiej podstawie przetwarza jego dane, przez jaki czas oraz jakie prawa w związku z tym mu przysługują.

Administrator będący mikroprzedsiębiorcą może wykonywać wspomniane obowiązki informacyjne, poprzez udostępnienie na swojej stronie internetowej stosownych informacji. Regulacja ta nie może być stosowana przez administratorów danych, którzy przetwarzają dane szczególnych kategorii lub gdy administrator takie dane udostępnia innym administratorom, z wyjątkiem przypadku, gdy osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.