polityka-prywatnosci

Polityka prywatności to po regulaminie, drugi najważniejszy dokument, który sprzedawca powinien umieścić na stronie swojego sklepu online. Jest to dokument o charakterze informacyjnym, który w jednym miejscu zbiera wszystkie informacje na temat przetwarzania danych osobowych w ramach danego sklepu internetowego.

Obowiązujące przepisy, w szczególności Ogólne Rozporządzenie o Ochronie Danych Osobowych (tzw. RODO), nie wskazują wprost na obowiązek posiadania polityki prywatności. Istnienie takiego dokumentu wynika z powszechnej praktyki rynkowej i ma na celu realizację tzw. obowiązku informacyjnego, czyli przekazanie niezbędnych informacji na temat przetwarzania przez sprzedawcę danych osobowych klientów i osób odwiedzających sklep internetowy.

Prowadząc sklep internetowy, sprzedawca zbiera i przetwarza dane osobowe swoich klientów.
Z prawnego punktu widzenia jest administratorem danych osobowych i odpowiada za ich prawidłowe przetwarzanie zgodnie z obowiązującymi przepisami.

Obowiązek informacyjny a polityka prywatności

Jednym z najważniejszych obowiązków administratora danych osobowych jest przekazanie osobom, których dane przetwarza, informacji na temat zakresu zbieranych danych, sposobu ich przetwarzania oraz zabezpieczenia, a także celu, w jakich będą one wykorzystywane. Te informacje dostarczane są w ramach tzw. klauzul informacyjnych. Co do zasady, klauzule powinny zostać przekazane na etapie zbierania tych danych, np. pod formularzem rejestracji do sklepu czy zapisu na newsletter. Aby uprościć odbiór treści oraz uporządkować informacje na stronie, możliwe jest wdrożenie modelu tzw. „warstwowego obowiązku informacyjnego”. W pierwszej warstwie, we wszystkich miejscach w sklepie, w których zbierane są dane osobowe, zamieszcza się informację o administratorze danych osobowych, celach przetwarzania, o prawach klientów w związku z przetwarzaniem oraz odwołanie (link) do pełnej treści polityki prywatności. Natomiast w drugiej warstwie (czyli w samej polityce prywatności) wskazuje się pełne informacje dotyczące przetwarzania danych osobowych.

Najważniejszą informacją, jaką musi przekazać swoim klientom sprzedawca jako administrator danych są jego dane identyfikacyjne – nazwa firmy, siedziba i dane kontaktowe (np. numer telefonu lub adres e-mail).  Dodatkowo, jeśli sprzedawca powołał Inspektora Ochrony Danych, powinien wskazać kontakt do niego. Poniżej przedstawiamy pozostałe, najważniejsze informacje, które należy umieścić w Polityce prywatności.

W jakim celu gromadzone są dane osobowe i na jakiej podstawie?

Po ujawnieniu swoich danych identyfikacyjnych, sprzedawca powinien w polityce prywatności określić, w jakich celach będzie przetwarzał dane osobowe klientów sklepu internetowego. Cele te warto pogrupować w stosunku do poszczególnych usług i procesów zachodzących w sklepie internetowym. Dodatkowo przy każdym z celów warto od razu podać informację na temat podstawy przetwarzania danych osobowych. I tak przykładowo:

  • jeśli zbierasz dane osobowe w związku z rejestracją w sklepie – celem przetwarzania będzie prowadzenie konta klienta, a podstawą zawarta – w postaci regulaminu sklepu – umowa;
  • w przypadku zbierania danych osobowych w związku ze składaniem zamówień w sklepie – celem przetwarzania i jednocześnie jego podstawą będzie zawarcie oraz realizacja umowy sprzedaży pomiędzy sprzedawcą a klientem, dodatkowo, w związku z obowiązkami podatkowymi
    i księgowymi w przypadku prowadzenia sprzedaży, będziesz mógł przetwarzać część danych klientów w celu spełnienia obowiązków wynikających z odpowiednich przepisów w tym zakresie;
  • jeśli natomiast będziesz prowadził wysyłkę informacji handlowych na temat swoich usług
    i produktów – celem przetwarzania danych będzie Twój marketing, a podstawą tzw. uzasadniony interes administratora. Pamiętaj, że niezależnie od podstawy przetwarzania danych w celu marketingu, musisz uzyskać odpowiednią zgodę, niezbędną do prowadzenia marketingu drogą elektroniczną (np. mailowo lub przez SMS).

Ważne, aby również pamiętać, że jeśli dane osobowe zebraliśmy w konkretnym celu i powiadomiliśmy o nim klienta, to jesteśmy związani tym celem i nie możemy nagle, bez odpowiedniej podstawy prawnej wykorzystywać tych danych w inny celach. Dane osobowe nie mogą być także gromadzone „na zapas”, a więc jeśli nie będą one adekwatne dla osiągnięcia danego celu.

Przekazywanie przetwarzanych danych podmiotom trzecim

RODO nakłada na administratorów danych obowiązek informowania o tzw. odbiorcach danych, czyli podmiotach, którym dane osobowe mogą zostać przekazane. W przypadku sklepu internetowego mogą to być podmioty, które wspierają sprzedawcę w bieżącej działalności związanej z prowadzeniem sklepu internetowego i sprzedaży online takie jak: zewnętrzni dostawcy usług informatycznych (w tym systemów IT), podmioty prowadzące działalność pocztową lub kurierską, operatorzy płatności internetowych czy agencje marketingowe.

Co więcej, jeśli taki podmiot ma siedzibę albo korzysta z serwerów poza Europejskim Obszarem Gospodarczym – taka informacja również musi znaleźć się w polityce prywatności. Pamiętaj, że w takim przypadku musi istnieć szczególna podstawa prawna do takiego transferu, a przekazywane dane osobowe muszą być odpowiednio zabezpieczone.

Jak długo należy przetwarzać dane osobowe?

Danych osobowych nie można przechowywać w nieskończoność. Zgodnie z zasadami przyjętymi w RODO, należy je przetwarzać tak długo, jak jest to konieczne do realizacji danych celów.

Dane osobowe klientów sklepu mogą być przechowywane przez okres korzystania przez nich ze sklepu internetowego i posiadania aktywnego konta (warto przy tym jednak określić, że przez określony czas braku aktywności dane mogą zostać usunięte). W przypadku działań marketingowych, możesz wykorzystywać dane do czasu wniesienia przez klienta tzw. sprzeciwu lub do czasu cofnięcia zgody na otrzymywanie informacji handlowych. W każdym przypadku mogą one być przechowywane również wtedy, gdy przepisy prawa (np. księgowe lub podatkowe) będą zobowiązywać sprzedawcę do ich przetwarzania. Dane osobowe mogą być także przechowywane dłużej na wypadek, gdyby klient miał wobec sprzedawcy jakiekolwiek roszczenia lub w celu dochodzenia roszczeń przez sprzedawcę, przez okres ich przedawnienia określony przepisami prawa, w szczególności Kodeksu cywilnego.

Prawa osoby, której dane dotyczą

Jedną z najważniejszych części polityki prywatności jest przekazanie informacji na temat praw przysługujących osobom, których dane są przetwarzane. Chodzi tu o prawo do:

  • przenoszenia danych osobowych, które klient dostarczył sprzedawcy i które są przetwarzane w sposób zautomatyzowany, a przetwarzanie odbywa się na podstawie zgody lub na podstawie umowy, np. do innego administratora;
  • dostępu do danych osobowych (w tym np. otrzymania informacji, jakie dane są przetwarzane);
  • żądania sprostowania i ograniczenia przetwarzania (np. jeśli dane są nieprawidłowe) lub usunięcia danych osobowych (np. w przypadku, gdy były one przetwarzane niezgodnie z prawem);
  • cofnięcia każdej wyrażonej zgody w dowolnym momencie, przy czym cofnięcie zgody nie wpływa na przetwarzanie dokonywane przez administratora zgodnie z prawem przed jej cofnięciem;
  • wniesienia sprzeciwu wobec przetwarzania dokonywanego w celu realizacji prawnie uzasadnionych interesów, w tym w szczególności wobec przetwarzania na potrzeby marketingu, w tym profilowania;
  • wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Dzięki dobrze zredagowanej polityce prywatności, sprzedawca jako administrator danych osobowych będzie mógł wykazać się profesjonalizmem i rzetelnością w spełnieniu obowiązku informacyjnego wobec osób korzystających ze sklepu internetowego. Zachęcamy do skorzystania z przygotowanego przez nas wzoru, który znajdziesz na naszej stronie tutaj: polityka prywatności i cookie.

SHOPPING BAG (0)

Zadaj pytanie