Polityka prywatności – czy konieczna dla sklepu internetowego?

Sprzedaż towarów czy usług online w teorii prawniczej nie wiele się różni od handlu tradycyjnego. Sprzedawców internetowych obowiązują te same obowiązki co do prowadzenia działalności gospodarczej, płacenia podatków czy uiszczania składek ZUS, co przedsiębiorców działających w innych obszarach gospodarczych. Nie inaczej jest w kwestii przetwarzania danych osobowych - w każdym wypadku przedsiębiorca, który zbiera informacje o osobach fizycznych jest obowiązany przechować je w sposób zgodny z RODO. Co więcej, administrator danych ma również obowiązek informacyjny wobec konsumentów. Polityka prywatności może okazać się zatem idealnym rozwiązaniem dla każdego przedsiębiorcy, który planuje przetwarzać dane swoich klientów.
polityka prywatności

Polityka prywatności nierozerwalnie wiąże się z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Powyższe rozporządzenie zostało uregulowane w celu ochrony danych osobowych konsumentów. Przepis art. 4 ust. 1 RODO wskazuje, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego (np. PESEL) czy też danych o lokalizacji lub identyfikatora internetowego. Oznacza to, że daną osobową jest informacja, która dotyczy osoby fizycznej, i dzięki której osobę tę można w miarę w prosty sposób zidentyfikować. Jak wskazuje sam ustawodawca Unijny informacji nie można uznać za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Powyżej przytoczona „definicja” danych osobowych wskazuje jasno, iż nie każda informacja może być uznawana za daną osobową. Rozporządzenie nie tłumaczy jednak szczegółowo co należy uznawać za dane osobowe, aby w każdym przypadku mieć pewność w tej kwestii. W związku z tym w doktrynie ugruntowało się stanowisko zgodnie z którym dla lepszego zabezpieczenia praw osób fizycznych, których dane są przetwarzane, administratorzy powinni domyślnie traktować wszystkie dotyczące ich informacje jako dane osobowe, jeżeli nie mogą z całkowitą pewnością wykluczyć ich osobowego charakteru. Lepiej zatem się zabezpieczyć i sporządzić Politykę Prywatności, nawet jeżeli nie planujemy (albo wydaje nam się, że nie planujemy) przetwarzania danych konsumentów.

Polityka Prywatności – czy przetwarzanie danych dotyczy każdego przedsiębiorcę?

Zasadniczo można by stwierdzić, że każdy przedsiębiorca, który rozpoczyna sprzedaż internetową staje się administratorem danych. Oczywiście może on zatrudnić osobę, którą zajmie się za niego przetwarzaniem danych, jednakże nie zmieni to faktu, że firma będzie w posiadaniu informacji o konsumentach, a wszelkie działania niezgodne z przepisami RODO będą obciążały przedsiębiorcę. Administrator jest to osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych osobowych może być zatem osoba fizyczna prowadzą jednoosobową działalność gospodarczą, spółka prawa handlowego, czy też gmina. Co więcej administratorem zostaje również osoba, która prowadzi działalność w sieci, nawet jeżeli nie zarejestrowała jej w CEIDG lub KRS. O tym czy sprzedawca internetowy musi posiadać firmę, pisaliśmy TUTAJ.

Jakie dane mogą być pozyskiwane na stronie internetowej

W praktyce, każda osoba prowadząca handel internetowy staje się administratorem danych. Wynika to chociażby z tego, że nadając przesyłki do kupujących, ma do czynienia z ich imionami i nazwiskami oraz adresami korespondencyjnymi. Już samo to czyni ze sprzedającego administratora. Oczywiście rodzajów danych oraz sposobów ich pozyskiwania może być więcej, aniżeli tylko te związane z realizacją przesyłki towaru.

Przedsiębiorca może stać się administratorem danych osobowych pozyskiwanych na stronie internetowej m.in. w związku z:

  • zawarciem i realizacją umowy;
  • korzystaniem przez konsumentów z formularza kontaktowego;
  • przesłaniem wiadomości bezpośrednio na adres mailowy przedsiębiorcy;
  • zapisem na newsletter;
  • zapisaniem się na listę osób oczekujących na produkt;
  • umieszczeniem komentarza pod wpisem na blogu.

Polityka Prywatności – dlaczego warto o nią zadbać?

Przepisy art. 12 RODO nakładają na każdego administratora danych obowiązek informacyjny o sposobie pozyskiwania danych, ich przetwarzaniu oraz uprawnieniach konsumenta w związku z ich przetwarzaniem (np. dot. prawa do bycia zapomnianym). Administrator musi zatem każdorazowo udzielić osobie, której dane dotyczą, wszelkich informacji związanych z przetwarzaniem tych danych.

Polityka Prywatności będzie zatem idealnym rozwiązaniem, jest to bowiem zbiorczy dokument zawierający wszelkie niezbędne informację na temat administratora, rodzaju przetwarzanych danych oraz sposobie uzyskiwania i przetwarzania tych danych. Posiadanie takiej Polityki w widocznym miejscu na stronie Internetowej gwarantuje przedsiębiorcy spełnienie niemalże wszystkich wymogów informacyjnych stawianych przez RODO.

Co powinna zawierać Polityka Prywatności sklepu online?

Z oczywistych, praktycznych względów można stwierdzić, że ilu przedsiębiorców tyle Polityk Prywatności. Wynika to z faktu, że dobrze sporządzony dokument informacyjny powinien być dostosowany do rodzaju wykonywanej działalności, kategorii sprzedawanych towarów lub świadczonych usług, czy też wielkości strony internetowej i ilości funkcji jakie zapewnia.

Niektóre kategorie informacji są jednak wspólne niemalże dla każdego przedsiębiorcy działającego w sieci. Będą to między innymi:

  1. tożsamość administratora danych oraz jego dane kontaktowe; 
  2. w przypadku powołania – tożsamość inspektora ochrony danych osobowych oraz jego dane kontaktowe;
  3. rodzaj przetwarzanych danych osobowych;
  4. podstawa prawna przetwarzania danych;
  5. cele przetwarzania danych – powinny być wskazane odpowiednio dla każdego rodzaju przetwarzania, np. przy sprzedaży będzie to realizacja wysyłki towaru lub wystawienia imiennej faktury VAT;
  6. prawa przysługujące osobom, których dane są przetwarzane – chodzi przede wszystkim o prawie do:
    • dostępu do swoich danych osobowych,
    • sprostowania danych,
    • usunięcia danych,
    • ograniczenia przetwarzania,
    • przenoszenia danych,
    • sprzeciwu,
    • cofnięcia zgody na przetwarzanie danych osobowych;
  7. informacja o odbiorcach danych osobowych lub kategoriach odbiorców – jeżeli dane osoby, której dane dotyczą, są przekazywane podmiotom trzecim, administrator ma obowiązek poinformować konsumentów o odbiorcach danych i kategorii danych, które są przekazywane.
  8. informacja o zamiarze przekazania danych osobowych do państwa trzeciego – jeżeli przedsiębiorca planuje przekazać przetwarzane dane poza obszar Europejskiego Obszaru Gospodarczego (np. w związku z prowadzeniem serwerów przez firmę mającą siedzibę w USA), musi poinformować o tym konsumentów. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu – w tym przypadku również należy rozdzielić te informacje względem celu przetwarzania danych.
  9. informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także istotne informacje o zasadach ich podejmowania oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Chodzi tu głównie o profilowane użytkowników w celu wyświetlania im personalizowanych reklam.

Jak sporządzić Politykę Prywatności?

RODO nie wskazuje jak dokładnie powinny być przekazywane informacje dotyczące przetwarzania danych osobowych. Tworząc Politykę Prywatności należy mieć jednak na uwadze przepis art. 12 RODO. Zgodnie z nim informacja powinna być zwięzła, przejrzysta i zrozumiała, a ponadto być przekazana w łatwo dostępnej formie. Administrator ma obowiązek dostosowywać język komunikacji do adresata. W zależności od profilu działalności, tj. rodzaju sprzedawanego towaru lub świadczonych usług, powinien dopasować sposób i skomplikowanie wypowiedzi.

Co więcej wszelkie pojęcia używane przez administratora muszą mieć charakter jednoznaczny i niebudzący wątpliwości. Zaleca się zatem używanie sformułowań zrozumiałych dla przeciętnego przedstawiciela grupy docelowej odbiorców danego przedsiębiorcy. Rozporządzenie wskazuje, iż wszelkie informacje przekazywane przez administratora – czyli również te zapisane w Polityce Prywatności – muszą być formułowane w „prostym języku”. Oznacza to, że komunikat przekazywany przez przedsiębiorcę powinien być pozbawiony m.in. języka sprofesjonalizowanego lub technicznego, niezrozumiałego dla przeciętnego typowego konsumenta.

Dodatkowo informacje powinny być przekazywane w prostej formie. Polityka Prywatności powinna być zatem zapisana przy użyciu odpowiedniej wielkości czcionki oraz posiadać przejrzysty układ tekstu i nieskomplikowaną architekturę – należy unikać wszelkiego rodzaju odnośników do innych miejsc w tekście czy też tzw. hiperłączy, które przenosiłyby na inną podstronę sklepu.

Co dalej?

Polityka prokonsumencka zostaje cały czas rozwijana. Nie ma zatem co liczyć na poluzowanie wymogów formalnych stawianych przed przedsiębiorcami. Jeżeli zatem chcesz uniknąć problemów prawnych i wydatków z tym związanych, skorzystaj z naszych usług. Pomagamy przedsiębiorcom w zakładaniu biznesów i ich rozwoju. Tworzymy umowy gospodarcze, regulaminy i polityki RODO dostosowane indywidualnie pod każdego klienta.

Zachęcamy do bieżącego śledzenia zarówno strony znajdzparagraf.pl, jak również naszych socialmediów – profilu na Facebooku i Instagramie.

Radosław Pilarski
Radosław Pilarski
Adwokat oraz doradca restrukturyzacyjny z wieloletnim doświadczeniem w prawie cywilnym, gospodarczym oraz upadłościowym i restrukturyzacyjnym.