Polityka prywatności – czy konieczna dla sklepu internetowego?

Sprzedaż towarów czy usług online w teorii prawniczej nie wiele się różni od handlu tradycyjnego. Sprzedawców internetowych obowiązują te same obowiązki co do prowadzenia działalności gospodarczej, płacenia podatków czy uiszczania składek ZUS, co przedsiębiorców działających w innych obszarach gospodarczych. Nie inaczej jest w kwestii przetwarzania danych osobowych - w każdym wypadku przedsiębiorca, który zbiera informacje o osobach fizycznych jest obowiązany przechować je w sposób zgodny z RODO. Co więcej, administrator danych ma również obowiązek informacyjny wobec konsumentów. Polityka prywatności może okazać się zatem idealnym rozwiązaniem dla każdego przedsiębiorcy, który planuje przetwarzać dane swoich klientów.
polityka prywatności

Polityka prywatności nierozerwalnie wiąże się z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Powyższe rozporządzenie zostało uregulowane w celu ochrony danych osobowych konsumentów. Przepis art. 4 ust. 1 RODO wskazuje, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego (np. PESEL) czy też danych o lokalizacji lub identyfikatora internetowego.

Oznacza to, że daną osobową jest informacja, która dotyczy osoby fizycznej, i dzięki której osobę tę można w miarę w prosty sposób zidentyfikować. Jak wskazuje sam ustawodawca Unijny informacji nie można uznać za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Powyżej przytoczona „definicja” danych osobowych wskazuje jasno, iż nie każda informacja może być uznawana za daną osobową. Rozporządzenie nie tłumaczy jednak szczegółowo co należy uznawać za dane osobowe, aby w każdym przypadku mieć pewność w tej kwestii.

W związku z tym w doktrynie ugruntowało się stanowisko zgodnie z którym dla lepszego zabezpieczenia praw osób fizycznych, których dane są przetwarzane, administratorzy powinni domyślnie traktować wszystkie dotyczące ich informacje jako dane osobowe, jeżeli nie mogą z całkowitą pewnością wykluczyć ich osobowego charakteru.

Lepiej zatem się zabezpieczyć i sporządzić Politykę Prywatności, nawet jeżeli nie planujemy (albo wydaje nam się, że nie planujemy) przetwarzania danych konsumentów.

Polityka Prywatności – czy przetwarzanie danych dotyczy każdego przedsiębiorcę?

Zasadniczo można by stwierdzić, że każdy przedsiębiorca, który rozpoczyna sprzedaż internetową staje się administratorem danych. Oczywiście może on zatrudnić osobę, którą zajmie się za niego przetwarzaniem danych, jednakże nie zmieni to faktu, że firma będzie w posiadaniu informacji o konsumentach, a wszelkie działania niezgodne z przepisami RODO będą obciążały przedsiębiorcę.

Administrator jest to osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych osobowych może być zatem osoba fizyczna prowadzą jednoosobową działalność gospodarczą, spółka prawa handlowego, czy też gmina.

Co więcej administratorem zostaje również osoba, która prowadzi działalność w sieci, nawet jeżeli nie zarejestrowała jej w CEIDG lub KRS. O tym czy sprzedawca internetowy musi posiadać firmę, pisaliśmy TUTAJ.

Jakie dane mogą być pozyskiwane na stronie internetowej

W praktyce, każda osoba prowadząca handel internetowy staje się administratorem danych. Wynika to, chociażby z tego, że nadając przesyłki do kupujących, ma do czynienia z ich imionami i nazwiskami oraz adresami korespondencyjnymi. Już samo to czyni ze sprzedającego administratora.

Oczywiście rodzajów danych oraz sposobów ich pozyskiwania może być więcej, aniżeli tylko te związane z realizacją przesyłki towaru.

Przedsiębiorca może stać się administratorem danych osobowych pozyskiwanych na stronie internetowej m.in. w związku z:

  • zawarciem i realizacją umowy;
  • korzystaniem przez konsumentów z formularza kontaktowego;
  • przesłaniem wiadomości bezpośrednio na adres mailowy przedsiębiorcy;
  • zapisem na newsletter;
  • zapisaniem się na listę osób oczekujących na produkt;
  • umieszczeniem komentarza pod wpisem na blogu.

Polityka Prywatności – dlaczego warto o nią zadbać?

Przepisy art. 12 RODO nakładają na każdego administratora danych obowiązek informacyjny o sposobie pozyskiwania danych, ich przetwarzaniu oraz uprawnieniach konsumenta w związku z ich przetwarzaniem (np. dot. prawa do bycia zapomnianym). Administrator musi zatem każdorazowo udzielić osobie, której dane dotyczą, wszelkich informacji związanych z przetwarzaniem tych danych.

Polityka Prywatności będzie zatem idealnym rozwiązaniem, jest to bowiem zbiorczy dokument zawierający wszelkie niezbędne informacje na temat administratora, rodzaju przetwarzanych danych oraz sposobie uzyskiwania i przetwarzania tych danych.

Posiadanie takiej Polityki w widocznym miejscu na stronie Internetowej gwarantuje przedsiębiorcy spełnienie niemalże wszystkich wymogów informacyjnych stawianych przez RODO.

Co powinna zawierać Polityka Prywatności sklepu online?

Z oczywistych, praktycznych względów można stwierdzić, że ilu przedsiębiorców tyle Polityk Prywatności. Wynika to z faktu, że dobrze sporządzony dokument informacyjny powinien być dostosowany do rodzaju wykonywanej działalności, kategorii sprzedawanych towarów lub świadczonych usług, czy też wielkości strony internetowej i ilości funkcji jakie zapewnia.

Niektóre kategorie informacji są jednak wspólne niemalże dla każdego przedsiębiorcy działającego w sieci. Będą to między innymi:

  1. tożsamość administratora danych oraz jego dane kontaktowe; 
  2. w przypadku powołania – tożsamość inspektora ochrony danych osobowych oraz jego dane kontaktowe;
  3. rodzaj przetwarzanych danych osobowych;
  4. podstawa prawna przetwarzania danych;
  5. cele przetwarzania danych – powinny być wskazane odpowiednio dla każdego rodzaju przetwarzania, np. przy sprzedaży będzie to realizacja wysyłki towaru lub wystawienia imiennej faktury VAT;
  6. prawa przysługujące osobom, których dane są przetwarzane – chodzi przede wszystkim o prawie do:
    • dostępu do swoich danych osobowych,
    • sprostowania danych,
    • usunięcia danych,
    • ograniczenia przetwarzania,
    • przenoszenia danych,
    • sprzeciwu,
    • cofnięcia zgody na przetwarzanie danych osobowych;
  7. informacja o odbiorcach danych osobowych lub kategoriach odbiorców – jeżeli dane osoby, której dane dotyczą, są przekazywane podmiotom trzecim, administrator ma obowiązek poinformować konsumentów o odbiorcach danych i kategorii danych, które są przekazywane.
  8. informacja o zamiarze przekazania danych osobowych do państwa trzeciego – jeżeli przedsiębiorca planuje przekazać przetwarzane dane poza obszar Europejskiego Obszaru Gospodarczego (np. w związku z prowadzeniem serwerów przez firmę mającą siedzibę w USA), musi poinformować o tym konsumentów. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu – w tym przypadku również należy rozdzielić te informacje względem celu przetwarzania danych.
  9. informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także istotne informacje o zasadach ich podejmowania oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Chodzi tu głównie o profilowane użytkowników w celu wyświetlania im personalizowanych reklam.

Jak sporządzić Politykę Prywatności?

RODO nie wskazuje jak dokładnie powinny być przekazywane informacje dotyczące przetwarzania danych osobowych. Tworząc Politykę Prywatności należy mieć jednak na uwadze przepis art. 12 RODO.

Zgodnie z nim informacja powinna być zwięzła, przejrzysta i zrozumiała, a ponadto być przekazana w łatwo dostępnej formie. Administrator ma obowiązek dostosowywać język komunikacji do adresata. W zależności od profilu działalności, tj. rodzaju sprzedawanego towaru lub świadczonych usług, powinien dopasować sposób i skomplikowanie wypowiedzi.

Co więcej wszelkie pojęcia używane przez administratora muszą mieć charakter jednoznaczny i niebudzący wątpliwości. Zaleca się zatem używanie sformułowań zrozumiałych dla przeciętnego przedstawiciela grupy docelowej odbiorców danego przedsiębiorcy.

Rozporządzenie wskazuje, iż wszelkie informacje przekazywane przez administratora – czyli również te zapisane w Polityce Prywatności – muszą być formułowane w „prostym języku”.

Oznacza to, że komunikat przekazywany przez przedsiębiorcę powinien być pozbawiony m.in. języka sprofesjonalizowanego lub technicznego, niezrozumiałego dla przeciętnego typowego konsumenta.

Dodatkowo informacje powinny być przekazywane w prostej formie. Polityka Prywatności powinna być zatem zapisana przy użyciu odpowiedniej wielkości czcionki oraz posiadać przejrzysty układ tekstu i nieskomplikowaną architekturę – należy unikać wszelkiego rodzaju odnośników do innych miejsc w tekście czy też tzw. hiperłączy, które przenosiłyby na inną podstronę sklepu.

Radosław Pilarski
Radosław Pilarski
Adwokat oraz doradca restrukturyzacyjny z wieloletnim doświadczeniem w prawie cywilnym, gospodarczym oraz upadłościowym i restrukturyzacyjnym.

więcej porad

Sprzedaż na Allegro a ochrona danych osobowych

W uproszczeniu można wskazać, że każdy podmiot, który na potrzeby prowadzenia działalności ma do czynienia z danymi osobowymi osób fizycznych, tj. konsumentów, staje się administratorem danych. Oznacza to, że sprzedawca, który na potrzeby wysyłki czy wystawienia faktury VAT lub rachunku, wchodzi w posiadanie informacji o kliencie (m.in. imię, nazwisko, adres korespondencyjny) staje się ich administratorem. [reklama-ads] Warto wskazać, że na gruncie RODO administratorem danych jest podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. W przypadku, gdy sprzedawca pozyskuje dane klienta w celu np. nadania przesyłki, decyduje o celu przetwarzania tych informacji. Allegro a przetwarzanie danych osobowych Allegro czy też inne platformy aukcyjne przetwarza dane osobowe w swoim zakresie. Jest administratorem danych, które pozyskuje w calu prawidłowego prowadzenia swojego portalu. Nie oznacza to jednak, że odpowiada również za informacje o osobach, które dokonują zakupu u konkretnych sprzedawców. Owszem przetwarza ich dane pozyskane np. w czasie rejestracji konta, jednakże nie może odpowiadać za przetwarzanie danych, które zostały przekazane bezpośrednio sprzedawcy w celu np. wskazania adresu do wysyłki. [reklama-ads] [rada]Allegro w komunikacie skierowanym do przedsiębiorców korzystających z ich portalu wskazało, iż: „Sam jesteś zobowiązany zadbać, by obowiązki spoczywające na Tobie, jako administratorze danych osobowych zostały spełnione, w tym zdecydować czy spoczywa na Tobie obowiązek informacyjny czy też nie. Zgodnie z Regulaminem po zawarciu umowy sprzedaży następuje udostępnienie danych ich stronom. Oznacza to, że przekazujemy Ci dane kupującego, wobec których stajesz się administratorem danych. W związku z tym obciążają Cię wszelkie obowiązki spoczywające na administratorach danych wynikające z RODO, obejmujące konieczność zagwarantowania realizacji wszelkich praw podmiotów danych.” [/rada] Dlaczego sprzedawca musi zadbać o Politykę Prywatności? Polityka Prywatności jest potrzebna sprzedawcy, bowiem jako administrator danych musi wywiązać się ze swoich obowiązków informacyjny względem konsumentów. Jeżeli chcesz dowiedzieć się w jaki sposób sporządzić Politykę Prywatności sprawdź nasz poprzedni artykuł. [reklama-ads] RODO nakazuje, aby każdy administrator danych poinformował osoby, których dane są przez niego przetwarzane o przysługujących im prawach. Chodzi przede wszystkim o prawie do: dostępu do swoich danych osobowych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, cofnięcia zgody na przetwarzanie danych osobowych. W calu spełnienia wymogów płynących z rozporządzenia, sprzedawca powinien zamieścić na portalu na swoim profilu klauzulę informacyjną - tzw. Politykę Prywatności. Może to uczynić w zakładce “O Sprzedającym” w sekcji “Informacje o Sprzedającym” lub “Pozostałe informacje”. [rada]Posiadanie Polityki Prywatności spełnia jedynie obowiązek informacyjny. Przetwarzanie danych oraz ich ochrona są zupełnie odmiennym zagadnieniem, o którym sprzedawca nie powinien zapominać.[/rada] [reklama-ads] Czy potrzebna jest umowa powierzenia danych osobowych? W omawianym przypadku przepisy RODO nie wymagają zawierania umowy powierzenia danych osobowych między Allegro a sprzedającym. Portal aukcyjny i przedsiębiorca są odrębnymi administratorami danych. Każdy z nich posiada odrębną bazę danych osobowych, których to danych podmioty te sobie nie przekazują. Należy jednak pamiętać, że sprzedawcy mają obowiązek zawarcia takiej umowy z innymi podmiotami, którym powierzają uzyskane dane osobowe, np. z biurem księgowym. Dodatkowo, jeżeli mają on pracowników, którzy także mają styczność z danymi osobowymi klientów, powinni pamiętać o wydaniu pracownikom upoważnienia do przetwarzania danych. [reklama-ads]

Sprzedaż online a działalność gospodarcza

Sklep internetowy może prowadzić każdy. Polskie prawo nie stawia większych ograniczeń co do podmiotów chcących rozpocząć sprzedaż online. Podejmując się jednak takiego zajęcia, należy pamiętać o założeniu działalności gospodarczej. Jedynie w wyjątkowych sytuacjach rejestracja firmy nie będzie wymagana. Firma z kolei wiąże się z koniecznością uiszczania podatku dochodowego oraz – w przeważających sytuacjach – także podatku od towarów i usług oraz składek na ubezpieczenia społeczne i zdrowotne. [reklama-ads] Warto zatem zastanowić się jaka forma działalności będzie najlepszym rozwiązaniem przy danej kategorii oferowanych produktów, jaki system podatkowania będzie odpowiadał wymaganiom przedsiębiorcy, oraz czy warto decydować się na opłacanie ZUS. Sprzedaż online a rejestracja działalności Zasadniczo sprzedaż towarów lub usług online będzie wiązała się z koniecznością rejestracji przedsiębiorstwa. Wyjątek stanowi działalność nierejestrowana (o której poniżej). Handel można prowadzić w niemalże każdej dostępnej w polskim systemie prawnym formie. Może być to jednoosobową działalność gospodarcza, spółka cywilna lub któraś ze spółek prawa handlowego. Wyjątek stanowi spółka partnerska, która została przeznaczona do prowadzenia wyłącznie ustawowo określonych aktywności zawodowych, tzw. wolnych zawodów (np. notariuszy, architektów, adwokatów, lekarzy itd.). Jednoosobową działalność gospodarczą oraz spółkę cywilna należy zarejestrować w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Spółki prawa handlowego rejestruje się w Krajowym Rejestrze Sądowym (KRS). [reklama-ads] [rada]Rejestrując działalność gospodarczą należy wskazać przeważający rodzaj wykonywanej działalności, tzw. PKD. Dla sklepów internetowych najczęściej będzie to PKD 47.91.Z - sprzedaż detaliczna prowadzona przez domy sprzedaży wysyłkowej lub Internet. [/rada] Działalność nierejestrowana Działalność nierejestrowana jest nazywana również działalnością gospodarczą „na próbę”. Jest to forma prowadzenia firmy, która nie wymaga od przedsiębiorcy rejestracji działalności do czasu osiągniecia określonego ustawą limitu przychodów. Działalność ta pozwala zatem sprawdzić, czy na rynku będzie popyt na oferowane przez przedsiębiorcę towary lub usługi. Działalność nierejestrowana może być prowadzona w przypadku, gdy przychód w skali miesiąca nie przekracza 50% kwoty minimalnego wynagrodzenia za pracę. W 2022 roku jest to 1 505 zł (1/2 z 3010 zł brutto). Drugim warunkiem jest brak wykonywania działalności gospodarczej w trakcie ostatnich 60 miesięcy (5 lat). [reklama-ads] [rada]Jeżeli w ciągu danego miesiąca przedsiębiorca przekroczy wyżej wskazany próg przychodu, ma obowiązek dokonania rejestracji firmy w terminie 7 dni, licząc od dnia przekroczenia limitu przychodów.[/rada] Rodzaje opodatkowania Założenie przedsiębiorstwa wiąże się także z wyborem formy opodatkowania. Jest to istotne, gdyż system podatkowy nie pozwala na zmianę formy w trakcie roku podatkowego (kalendarzowego). Dokonując decyzji warto się zatem porządnie zastanowić. Przedsiębiorcy stawiający na sprzedaż online mogą wybrać spośród trzech form opodatkowania: podatek według skali podatkowej; podatek liniowy; ryczałt od przychodów ewidencjonowanych. Skala podatkowa Skala podatkowa jest podstawowym (domyślnym) rodzajem opodatkowania. Jest to tzw. opodatkowanie na zasadach ogólnych. Jej wyboru nie trzeba zgłaszać do urzędu skarbowego, jest on ustanawiany niejako z automatu. W tej formie opodatkowania wysokość podatku dochodowego jest zależny od wysokości osiągniętego w ciągu roku dochodu: [reklama-ads] do 120 000 zł stawka wynosi 17%; powyżej 120 000 zł stawka wynosi 32%. Opodatkowanie na zasadach ogólnych pozwala na obniżanie podatku dzięki możliwości ewidencjonowania kosztów uzyskania przychodów. Oznacza to, że dokonując zakupu towarów lub usług związanych z prowadzeniem działalności przedsiębiorca może je odliczyć od osiągniętego przychodu pomniejszając tym samym swój dochód (przychód – koszty = dochód). Dodatkowym plusem jest także kwota wolna od podatku, która w roku 2022 wynosi 30 000 zł. Podatek liniowy Podatek liniowy pozwala z kolei na opodatkowanie dochodów jedną stawą podatku. Podatek ten wynosi 19%. Wyższość tej formy opodatkowania nad skalą podatkową uwidacznia się w momencie, gdy podatnik osiąga dochód przekraczający 120 000 zł – wówczas nie jest zmuszony do płacenia 32%, a w dalszym ciągu do 19%.   Podatek liniowy również jest liczony od dochodu co znaczy, że możliwe jest odliczanie kosztów od osiągniętych przychodów. Wyłączona jest natomiast możliwość skorzystania z kwoty wolnej od podatku. Ryczał od przychodów ewidencjonowanych [reklama-ads] Ryczałt ewidencjonowany stanowi uproszczoną formę opodatkowania. W tym wypadku wysokość podatku oblicza się na podstawie przychodu przedsiębiorcy. Nie ma zatem możliwości odliczania kosztów uzyskania przychodu.  [rada]Ryczałt ewidencjonowany nie jest rodzajem podatku dochodowego. Wylicza się go od przychodów.[/rada] Mimo powyższego, sprzedawcy internetowi bardzo często korzystają z tej formy opodatkowania, bowiem w przypadku PKD 47.91.Z, czyli sprzedaży detalicznej prowadzonej przez domy sprzedaży wysyłkowej lub Internet, ryczałt wynosi 3%. Warto jednak pamiętać, że przy handlu towarami o wysokiej wartości zakupu od producenta lub importera i niskich marżach, taka forma opodatkowania może stać się nieopłacalna. Ryczałt będzie najbardziej korzystny przy wysokich przychodach i niskich kosztach. Co z podatkiem VAT? [reklama-ads] Rejestracja przedsiębiorcy jako czynnego podatnika VAT nie zawsze będzie wymagana. Bowiem zwolnieni od podatku są przedsiębiorcy u których wartość sprzedaży nie przekroczyła łącznie w poprzednim roku podatkowym kwoty 200 000 zł. W przypadku podatników rozpoczynających wykonywanie działalności w trakcie roku podatkowego sprzedaż jest zwolniona z podatku, jeżeli przewiduje on, iż wartość sprzedaży do końca roku podatkowego, w którym rozpoczął działalność, nie przekroczy takiego limitu. W niektórych wypadkach jednak zwolnienie zostaje wyłączone, a VAT należy opłacać już od pierwszej zarobionej złotówki. Będzie tak m.in. przy obrocie towarami objętymi akcyzą czy wyroby z metali szlachetnych. Nierejestrowanie się jako VATowiec jest szczególnie korzystne wówczas, gdy koszty prowadzenia działalności są niskie, gdy przedmiotem sprzedaży są towary własnej produkcji, a do ich produkcja nie są używane drogie materiały, jak również w przypadku, gdy oferta kierowana jest wyłącznie do osób prywatnych, które nie będą „wymagały” faktury VAT (osoby fizyczne nie mogą odliczyć podatku naliczonego od podatku należnego). Dołączenie do czynnych podatników VAT będzie zatem opłacalne, gdy firma będzie generowała wysokie koszty, np. gdy będzie wymagała dużych nakładów na rozwój lub, gdy sklep będzie oferował towary pozyskiwane od zewnętrznych dostawców. [reklama-ads] Przedsiębiorca a ZUS Obowiązek opłacania składek społecznych i zdrowotnych obowiązuje w przypadku, gdy przedsiębiorca zdecyduje się na prowadzenie firmy w formie jednoosobowej działalności gospodarczej, spółki cywilnej, spółki jawnej, komandytowej lub jednoosobowej spółki z ograniczoną odpowiedzialnością. ZUS nie jest wymagany natomiast przy spółce komandytowo-akcyjnej, akcyjnej, prostej spółce akcyjnej, a także wieloosobowej spółce z ograniczoną odpowiedzialnością. Warto pamiętać, że decydując się na dołączenie do płatników ZUS, przedsiębiorca ma możliwość skorzystania ze składek preferencyjnych. Więcej o tym pisaliśmy TUTAJ. [reklama-ads]