Sprzedaż na Allegro a ochrona danych osobowych

Handel w Internecie nie odbywa się jedynie za pośrednictwem sklepów online, niektórzy przedsiębiorcy swoje produkty oferują również na portalach aukcyjnych takich jak Allegro, Olx czy - coraz bardziej popularny w Polsce - eBay. Dzięki temu sprzedawcy w zamian za prowizję otrzymują możliwość dotarcia do o wiele większego grona potencjalnych klientów. Mimo, że portale te „wyręczają” sprzedawców w wielu aspektach, to pamiętać należy, że sprzedaż na Allegro w dalszym ciągu obliguje sprzedawcę do zachowania standardów RODO. W myśl rozporządzenia korzystanie z cudzej platformy aukcyjnej nie zwalnia przedsiębiorcy z obowiązku dbania o dane osobowe swoich klientów.
Sprzedaż na Allegro

W uproszczeniu można wskazać, że każdy podmiot, który na potrzeby prowadzenia działalności ma do czynienia z danymi osobowymi osób fizycznych, tj. konsumentów, staje się administratorem danych.

Oznacza to, że sprzedawca, który na potrzeby wysyłki czy wystawienia faktury VAT lub rachunku, wchodzi w posiadanie informacji o kliencie (m.in. imię, nazwisko, adres korespondencyjny) staje się ich administratorem.

Warto wskazać, że na gruncie RODO administratorem danych jest podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. W przypadku, gdy sprzedawca pozyskuje dane klienta w celu np. nadania przesyłki, decyduje o celu przetwarzania tych informacji.

Allegro a przetwarzanie danych osobowych

Allegro czy też inne platformy aukcyjne przetwarza dane osobowe w swoim zakresie. Jest administratorem danych, które pozyskuje w calu prawidłowego prowadzenia swojego portalu. Nie oznacza to jednak, że odpowiada również za informacje o osobach, które dokonują zakupu u konkretnych sprzedawców.

Owszem przetwarza ich dane pozyskane np. w czasie rejestracji konta, jednakże nie może odpowiadać za przetwarzanie danych, które zostały przekazane bezpośrednio sprzedawcy w celu np. wskazania adresu do wysyłki.

Allegro w komunikacie skierowanym do przedsiębiorców korzystających z ich portalu wskazało, iż:

„Sam jesteś zobowiązany zadbać, by obowiązki spoczywające na Tobie, jako administratorze danych osobowych zostały spełnione, w tym zdecydować czy spoczywa na Tobie obowiązek informacyjny czy też nie. Zgodnie z Regulaminem po zawarciu umowy sprzedaży następuje udostępnienie danych ich stronom. Oznacza to, że przekazujemy Ci dane kupującego, wobec których stajesz się administratorem danych. W związku z tym obciążają Cię wszelkie obowiązki spoczywające na administratorach danych wynikające z RODO, obejmujące konieczność zagwarantowania realizacji wszelkich praw podmiotów danych.” 

Dlaczego sprzedawca musi zadbać o Politykę Prywatności?

Polityka Prywatności jest potrzebna sprzedawcy, bowiem jako administrator danych musi wywiązać się ze swoich obowiązków informacyjny względem konsumentów. Jeżeli chcesz dowiedzieć się w jaki sposób sporządzić Politykę Prywatności sprawdź nasz poprzedni artykuł.

RODO nakazuje, aby każdy administrator danych poinformował osoby, których dane są przez niego przetwarzane o przysługujących im prawach. Chodzi przede wszystkim o prawie do:

  • dostępu do swoich danych osobowych,
  • sprostowania danych,
  • usunięcia danych,
  • ograniczenia przetwarzania,
  • przenoszenia danych,
  • sprzeciwu,
  • cofnięcia zgody na przetwarzanie danych osobowych.

W calu spełnienia wymogów płynących z rozporządzenia, sprzedawca powinien zamieścić na portalu na swoim profilu klauzulę informacyjną – tzw. Politykę Prywatności. Może to uczynić w zakładce “O Sprzedającym” w sekcji “Informacje o Sprzedającym” lub “Pozostałe informacje”.

Posiadanie Polityki Prywatności spełnia jedynie obowiązek informacyjny. Przetwarzanie danych oraz ich ochrona są zupełnie odmiennym zagadnieniem, o którym sprzedawca nie powinien zapominać.

Czy potrzebna jest umowa powierzenia danych osobowych?

W omawianym przypadku przepisy RODO nie wymagają zawierania umowy powierzenia danych osobowych między Allegro a sprzedającym. Portal aukcyjny i przedsiębiorca są odrębnymi administratorami danych. Każdy z nich posiada odrębną bazę danych osobowych, których to danych podmioty te sobie nie przekazują.

Należy jednak pamiętać, że sprzedawcy mają obowiązek zawarcia takiej umowy z innymi podmiotami, którym powierzają uzyskane dane osobowe, np. z biurem księgowym.

Dodatkowo, jeżeli mają on pracowników, którzy także mają styczność z danymi osobowymi klientów, powinni pamiętać o wydaniu pracownikom upoważnienia do przetwarzania danych.

Żaneta Pilarska-Czeluśniak
Żaneta Pilarska-Czeluśniak
Dziennikarz i redaktor, od lat związana z branżą prawniczą i finansową.

więcej porad

Prawo do odstąpienia od umowy – obwiązek informacyjny

Oczywiście prawo do odstąpienia od umowy zawartej na odległość ma największe znaczenie dla konsumentów, to jednakże wskazanie informacji wyłącznie w tej kwestii nie załatwia sprawy. Obowiązek przedsiębiorcy jest o wiele szerszy. [reklama-ads] Powinien on posiadać regulamin zwrotów towarów, określić w jaki sposób owy zwrot powinien wyglądać, poinformować o kosztach odstąpienia od umowy, czy też przygotować formularz zwrotu i doręczyć go konsumentowi. W teorii nie wydaje się to skomplikowane, jednakże w praktyce może przysporzyć nieco więcej problemów. Obowiązki informacyjne sprzedawcy Regulamin zwrotów jest bardzo dobrą praktyką. Jednakże jego posiadanie nie zwalnia od obowiązku bezpośredniego informowania klientów. Przepis art. 12 ustawy o prawach konsumenta przesądza bowiem o tym, iż najpóźniej w chwili wyrażenia przez konsumenta woli związania się umową na odległość przedsiębiorca ma obowiązek poinformować konsumenta w sposób jasny i zrozumiały o jego prawach. [reklama-ads] Oznacza to, że informacje powinny być wyświetlane klientowi sklepu w odpowiednim momencie, jeszcze przed złożeniem zamówienia. Może być to w formie checkboxa z odnośnikiem do podstrony - regulaminu zwrotów, w formie pliku do pobrania lub po prostu w formie tekstu wyświetlanego w trakcie procedury zakupowej. [rada]Przekazywanie przedmiotowych informacji dopiero po dokonaniu zakupu lub na żądanie konsumenta jest naruszeniem przepisów ustawy.[/rada] Nie tylko informacja o 14 dniowym terminie na odstąpienie od umowy jest istotna z punktu widzenia ustawy o prawach konsumenta. Przepis art. 12 ustawy wśród obowiązków spoczywających na przedsiębiorcy wymienia między innymi obwiązek poinformowania klienta o: [reklama-ads] głównych cechach świadczenia, z uwzględnieniem jego przedmiotu i sposobu porozumiewania się z konsumentem; swoich danych identyfikujących, w szczególności o firmie i numerze, pod którym został zarejestrowany (NIP lub KRS); adresie przedsiębiorstwa, poczty elektronicznej oraz numerach telefonu lub faksu, jeżeli są dostępne, pod którymi konsument może szybko i efektywnie kontaktować się z przedsiębiorcą; adresie, pod którym konsument może składać reklamacje, jeżeli jest inny niż adres podany powyżej; łącznej cenie lub wynagrodzeniu za świadczenie wraz z podatkami, kosztach korzystania ze środka porozumiewania się na odległość w celu zawarcia umowy, w przypadku gdy są wyższe niż stosowane zwykle za korzystanie z tego środka porozumiewania się; sposobie i terminie zapłaty; sposobie i terminie realizacji umowy przez przedsiębiorcę oraz stosowanej przez niego procedurze rozpatrywania reklamacji; sposobie i terminie realizacji prawa odstąpienia od umowy, a także wzorze formularza odstąpienia od umowy, zawartym w załączniku do ustawy o prawach konsumenta; kosztach zwrotu rzeczy w przypadku odstąpienia od umowy, które ponosi konsument; oraz kosztach zwrotu rzeczy, jeżeli ze względu na swój charakter nie mogą one zostać w zwykłym trybie odesłane pocztą; obowiązku zwrotu przedsiębiorcy uzasadnionych kosztów związanych z odstąpieniem od umowy przy rozpoczęciu świadczenia usługi; wyjątkach, w przypadku, których nie przysługuje prawo do odstąpienia od umowy; obowiązku przedsiębiorcy dostarczenia rzeczy bez wad; istnieniu, a także treści gwarancji i usług posprzedażnych oraz sposobie ich realizacji; kodeksie dobrych praktyk i sposobie zapoznania się z nim; czasie trwania umowy lub sposobie i przesłankach jej wypowiedzenia – jeżeli jest zawarta na czas nieokreślony lub ma ulegać automatycznemu przedłużeniu; minimalnym czasie trwania zobowiązań konsumenta wynikających z umowy; wysokości i sposobie złożenia kaucji lub udzielenia innych gwarancji finansowych, które konsument jest zobowiązany spełnić na żądanie przedsiębiorcy; funkcjonalności treści cyfrowych oraz technicznych środkach ich ochrony; mających znaczenie interoperacyjnościach treści cyfrowych ze sprzętem komputerowym i oprogramowaniem, o których przedsiębiorca wie lub powinien wiedzieć; możliwości skorzystania z pozasądowych sposobów rozpatrywania reklamacji i dochodzenia roszczeń oraz zasadach dostępu do tych procedur. [reklama-ads] Informacja o możliwości zwrotu Jak już zostało to podkreślone wiele razy najistotniejsze z punktu widzenia sprzedawcy jest poinformowanie konsumenta o prawie do odstąpienia od umowy. Brak wskazania takiej informacji może spowodować, że konsument będzie mógł dokonać zwrotu nawet do 12 miesięcy od dnia zakupu. Z oczywistych względów jest to bardzo niekorzystne dla sklepu. Stąd też informację o możliwości zwrotu przedsiębiorca powinien umieścić w widocznym miejscu na stronie oraz wskazać na nią podczas procesu kompletowania zamówienia (jeszcze przed dokonaniem zakupu). Informacje dotyczące zwrotu powinny wskazywać co najmniej na: 14 dniowy termin na zwrot - termin ten może zostać wydłużony, nie można natomiast dokonać jego skrócenia; adres, na który należy dokonać zwrotu; ewentualne koszty związane ze zwrotem; sposób zwrotu wpłaconych przez konsumenta środków –  należy podać czy pieniądze zostaną zwrócone bezpośrednio na rachunek klienta podany w formularzu zwrotu czy za pomocą tej samej metody, którą dokonano zakupu, czy też w inny sposób; rodzaje produktów, które nie podlegają zwrotowi. [reklama-ads] Warunki zwrotu Konsument ma prawo zrezygnować z zakupu w ciągu 14 dni, nie musi przy tym uzasadniać w żaden sposób swojej decyzji. Termin liczy się od dnia zawarcia umowy na usługę lub dostarczenia zamówionego artykułu. [rada]Jeśli konsument nie został poinformowany przez sprzedawcę o prawie odstąpienia od umowy, termin na odstąpienie wydłuża się o 12 miesięcy od dnia upływu 14-dniowego terminu. Przy czym, jeżeli w tym czasie sprzedawca poinformuje klienta o przysługującym mu prawie do odstąpienia od umowy – znów zaczyna obowiązywać termin 14-dniowy.[/rada] Należy pamiętać, że nie wszystkie podkuty można zwrócić. Konsument nie może zrezygnować z: rzeczy kupionej na aukcji; rzeczy wyprodukowanej na specjalne zamówienie konsumenta, według jego indywidualnych potrzeb; produktów, które ulegają szybkiemu zepsuciu lub przeterminowaniu (np. warzywa i owoce); przedmiotów, które zostały dostarczone w zapieczętowanych opakowaniach i ze względów higienicznych tracą wartość po otwarciu (np. soczewki kontaktowe); płyt CD, DVD, Blue Ray lub oprogramowania komputerowego, które zostało otwarte po dostarczeniu (nie możemy zwrócić płyty po rozfoliowaniu). Prawo do odstąpienia od umowy a obowiązki sprzedawcy [reklama-ads] Sprzedawca jest zobowiązany, nie później niż w terminie 14 dni od dnia otrzymania oświadczenia o odstąpieniu od umowy, zwrócić klientowi wszystkie dokonane przez niego płatności, w tym koszt dostawy produktu  do klienta (koszt przesyłki). Zwrot kosztów dostawy nie obejmuje jednak sytuacji, gdy klient zdecydował się na sposób dostawy inny niż najtańszy sposób dostępny w sklepie. Sprzedawca ponosi zatem koszt wysyłki towaru do klienta. Nie ma on jednak obowiązku pokrywać kosztów dostarczenia zwracanego towaru. Oznacza to, że to konsument jest zobligowany do pokrycia wszystkich kosztów związanych z odstąpieniem od umowy. Mimo to wiele sklepów, chcąc zwiększyć swoją atrakcyjność, decyduje się na oferowanie klientom darmowych zwrotów. [rada]Sprzedawca dokonuje zwrotu płatności przy użyciu takiego samego sposobu płatności, jakiego użył konsument, chyba że ten ostatni zgodził się on na inny sposób zwrotu.[/rada] Prawo do odstąpienia od umowy a formularz zwrotu Przedsiębiorca powinien pamiętać, że każdy zakup dokonany przez Internet obliguje go do dostarczenia konsumentowi formularza zwrotu. Formularz można udostępnić w formie papierowej dołączanej do przesyłki lub wirtualnej przesyłanej na email klienta. [reklama-ads] Klient nie ma obowiązku skorzystać z takiego formularza. Swoje oświadczenie może złożyć w dowolny inny sposób. Sprzedawca nie może zatem uzależniać możliwości odstąpienia od umowy od skorzystania przez konsumenta z formularza.

Polityka prywatności – czy konieczna dla sklepu internetowego?

Polityka prywatności nierozerwalnie wiąże się z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Powyższe rozporządzenie zostało uregulowane w celu ochrony danych osobowych konsumentów. Przepis art. 4 ust. 1 RODO wskazuje, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. [reklama-ads] Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia i nazwiska, numeru identyfikacyjnego (np. PESEL) czy też danych o lokalizacji lub identyfikatora internetowego. Oznacza to, że daną osobową jest informacja, która dotyczy osoby fizycznej, i dzięki której osobę tę można w miarę w prosty sposób zidentyfikować. Jak wskazuje sam ustawodawca Unijny informacji nie można uznać za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Powyżej przytoczona „definicja” danych osobowych wskazuje jasno, iż nie każda informacja może być uznawana za daną osobową. Rozporządzenie nie tłumaczy jednak szczegółowo co należy uznawać za dane osobowe, aby w każdym przypadku mieć pewność w tej kwestii. W związku z tym w doktrynie ugruntowało się stanowisko zgodnie z którym dla lepszego zabezpieczenia praw osób fizycznych, których dane są przetwarzane, administratorzy powinni domyślnie traktować wszystkie dotyczące ich informacje jako dane osobowe, jeżeli nie mogą z całkowitą pewnością wykluczyć ich osobowego charakteru. [reklama-ads] Lepiej zatem się zabezpieczyć i sporządzić Politykę Prywatności, nawet jeżeli nie planujemy (albo wydaje nam się, że nie planujemy) przetwarzania danych konsumentów. Polityka Prywatności – czy przetwarzanie danych dotyczy każdego przedsiębiorcę? Zasadniczo można by stwierdzić, że każdy przedsiębiorca, który rozpoczyna sprzedaż internetową staje się administratorem danych. Oczywiście może on zatrudnić osobę, którą zajmie się za niego przetwarzaniem danych, jednakże nie zmieni to faktu, że firma będzie w posiadaniu informacji o konsumentach, a wszelkie działania niezgodne z przepisami RODO będą obciążały przedsiębiorcę. Administrator jest to osoba fizyczna lub prawna, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych osobowych może być zatem osoba fizyczna prowadzą jednoosobową działalność gospodarczą, spółka prawa handlowego, czy też gmina. Co więcej administratorem zostaje również osoba, która prowadzi działalność w sieci, nawet jeżeli nie zarejestrowała jej w CEIDG lub KRS. O tym czy sprzedawca internetowy musi posiadać firmę, pisaliśmy TUTAJ. [reklama-ads] Jakie dane mogą być pozyskiwane na stronie internetowej W praktyce, każda osoba prowadząca handel internetowy staje się administratorem danych. Wynika to, chociażby z tego, że nadając przesyłki do kupujących, ma do czynienia z ich imionami i nazwiskami oraz adresami korespondencyjnymi. Już samo to czyni ze sprzedającego administratora. Oczywiście rodzajów danych oraz sposobów ich pozyskiwania może być więcej, aniżeli tylko te związane z realizacją przesyłki towaru. Przedsiębiorca może stać się administratorem danych osobowych pozyskiwanych na stronie internetowej m.in. w związku z: zawarciem i realizacją umowy; korzystaniem przez konsumentów z formularza kontaktowego; przesłaniem wiadomości bezpośrednio na adres mailowy przedsiębiorcy; zapisem na newsletter; zapisaniem się na listę osób oczekujących na produkt; umieszczeniem komentarza pod wpisem na blogu. [reklama-ads] Polityka Prywatności - dlaczego warto o nią zadbać? Przepisy art. 12 RODO nakładają na każdego administratora danych obowiązek informacyjny o sposobie pozyskiwania danych, ich przetwarzaniu oraz uprawnieniach konsumenta w związku z ich przetwarzaniem (np. dot. prawa do bycia zapomnianym). Administrator musi zatem każdorazowo udzielić osobie, której dane dotyczą, wszelkich informacji związanych z przetwarzaniem tych danych. Polityka Prywatności będzie zatem idealnym rozwiązaniem, jest to bowiem zbiorczy dokument zawierający wszelkie niezbędne informacje na temat administratora, rodzaju przetwarzanych danych oraz sposobie uzyskiwania i przetwarzania tych danych. Posiadanie takiej Polityki w widocznym miejscu na stronie Internetowej gwarantuje przedsiębiorcy spełnienie niemalże wszystkich wymogów informacyjnych stawianych przez RODO. Co powinna zawierać Polityka Prywatności sklepu online? [reklama-ads] Z oczywistych, praktycznych względów można stwierdzić, że ilu przedsiębiorców tyle Polityk Prywatności. Wynika to z faktu, że dobrze sporządzony dokument informacyjny powinien być dostosowany do rodzaju wykonywanej działalności, kategorii sprzedawanych towarów lub świadczonych usług, czy też wielkości strony internetowej i ilości funkcji jakie zapewnia. Niektóre kategorie informacji są jednak wspólne niemalże dla każdego przedsiębiorcy działającego w sieci. Będą to między innymi: tożsamość administratora danych oraz jego dane kontaktowe;  w przypadku powołania - tożsamość inspektora ochrony danych osobowych oraz jego dane kontaktowe; rodzaj przetwarzanych danych osobowych; podstawa prawna przetwarzania danych; cele przetwarzania danych – powinny być wskazane odpowiednio dla każdego rodzaju przetwarzania, np. przy sprzedaży będzie to realizacja wysyłki towaru lub wystawienia imiennej faktury VAT; prawa przysługujące osobom, których dane są przetwarzane - chodzi przede wszystkim o prawie do: dostępu do swoich danych osobowych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu, cofnięcia zgody na przetwarzanie danych osobowych; informacja o odbiorcach danych osobowych lub kategoriach odbiorców - jeżeli dane osoby, której dane dotyczą, są przekazywane podmiotom trzecim, administrator ma obowiązek poinformować konsumentów o odbiorcach danych i kategorii danych, które są przekazywane. informacja o zamiarze przekazania danych osobowych do państwa trzeciego – jeżeli przedsiębiorca planuje przekazać przetwarzane dane poza obszar Europejskiego Obszaru Gospodarczego (np. w związku z prowadzeniem serwerów przez firmę mającą siedzibę w USA), musi poinformować o tym konsumentów. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu – w tym przypadku również należy rozdzielić te informacje względem celu przetwarzania danych. informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także istotne informacje o zasadach ich podejmowania oraz o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Chodzi tu głównie o profilowane użytkowników w celu wyświetlania im personalizowanych reklam. [reklama-ads] Jak sporządzić Politykę Prywatności? RODO nie wskazuje jak dokładnie powinny być przekazywane informacje dotyczące przetwarzania danych osobowych. Tworząc Politykę Prywatności należy mieć jednak na uwadze przepis art. 12 RODO. Zgodnie z nim informacja powinna być zwięzła, przejrzysta i zrozumiała, a ponadto być przekazana w łatwo dostępnej formie. Administrator ma obowiązek dostosowywać język komunikacji do adresata. W zależności od profilu działalności, tj. rodzaju sprzedawanego towaru lub świadczonych usług, powinien dopasować sposób i skomplikowanie wypowiedzi. Co więcej wszelkie pojęcia używane przez administratora muszą mieć charakter jednoznaczny i niebudzący wątpliwości. Zaleca się zatem używanie sformułowań zrozumiałych dla przeciętnego przedstawiciela grupy docelowej odbiorców danego przedsiębiorcy. Rozporządzenie wskazuje, iż wszelkie informacje przekazywane przez administratora – czyli również te zapisane w Polityce Prywatności - muszą być formułowane w „prostym języku”. Oznacza to, że komunikat przekazywany przez przedsiębiorcę powinien być pozbawiony m.in. języka sprofesjonalizowanego lub technicznego, niezrozumiałego dla przeciętnego typowego konsumenta. [reklama-ads] Dodatkowo informacje powinny być przekazywane w prostej formie. Polityka Prywatności powinna być zatem zapisana przy użyciu odpowiedniej wielkości czcionki oraz posiadać przejrzysty układ tekstu i nieskomplikowaną architekturę - należy unikać wszelkiego rodzaju odnośników do innych miejsc w tekście czy też tzw. hiperłączy, które przenosiłyby na inną podstronę sklepu.