Ogólne rozporządzenie o ochronie danych osobowych (RODO) nakłada na sprzedawców szereg obowiązków. Jednym z nich jest konieczność zamieszczenia w witrynie internetowej sklepu polityki prywatności. Powinność ta dotyczy sprzedawców pobierających dane osobowe od użytkowników sieci, którzy wchodzą na ich strony online. Zgodnie z prawem polityka prywatności musi zostać opublikowana najpóźniej w momencie zbierania informacji. Jakie elementy są w niej obowiązkowe?
Po pierwsze, w polityce prywatności przedsiębiorca musi wskazać administratora danych osobowych wraz z jego danymi kontaktowymi. Najczęściej jest nim właściciel sklepu. Jeśli został ustanowiony inspektor ochrony danych, należy podać również i jego dane. W dokumencie musi znaleźć się także informacja o celach i podstawie prawnej przetwarzania danych, np. w celu realizacji zamówienia lub obsługi płatności. Co jeszcze należy umieścić w polityce prywatności? Przedsiębiorcy zobowiązani są do podania zakresu przetwarzanych danych i okresu ich przechowywania. Konieczne jest również wskazanie praw osób, których dotyczą dane. Chodzi tutaj o informacje dotyczące m.in. prawa dostępu do danych, ich sprostowania, usunięcia lub ograniczenia.
- Jeśli dane są przekazywane poza Europejski Obszar Gospodarczy, sklep musi wskazać, jakie zabezpieczenia stosuje w celu ochrony danych. Kolejnym elementem, który musi znaleźć się w polityce, jest wyjaśnienie, czy podanie danych jest wymogiem ustawowym, umownym czy warunkiem zawarcia umowy oraz jakie są konsekwencje ich niepodania. Ponadto, jeśli sklep stosuje procesy zautomatyzowanego podejmowania decyzji, w tym profilowania, musi o tym powiadomić użytkowników internetu. Poza tym w treści polityki powinna znaleźć się informacja o tym, jakie środki techniczne i organizacyjne stosuje przedsiębiorca w celu ochrony danych osobowych przed nieuprawnionym dostępem czy ich utratą – zaznacza Katarzyna Machowska, adwokat z kancelarii MP Legal Mielech, Panek i wspólnicy.
Wzorce nie zawsze się sprawdzą
W dokumencie powinno znaleźć się również wyjaśnienie, w jaki sposób sprzedający korzysta z plików cookies (tzw. ciasteczek) lub podobnych technologii, np. w celach analitycznych lub reklamowych. Użytkownicy muszą być przy tym poinformowani, jak wyłączyć lub zmienić ustawienia tych rozwiązań.
Należy mieć jednak świadomość, że polityka prywatności powinna być dostosowana do typu prowadzonej działalności i branży, ponieważ dane są zbierane od użytkowników w różnym celu i zakresie. Nie warto zatem korzystać z gotowych szablonów.
- Na przykład sklep oferujący produkty fizyczne będzie przetwarzać inne dane i w innym celu niż sklep sprzedający kursy online czy dostęp do platformy internetowej. To, jakie narzędzia marketingowe są wykorzystywane, z jakich formularzy korzysta przedsiębiorca i jakie dane faktycznie zbiera, wpływa na treść polityki. Uniwersalne wzory rzadko oddają specyfikę danej działalności, dlatego personalizacja treści polityki jest nie tylko rekomendowana, ale wręcz konieczna - aby zawierała rzeczywisty opis działalności i nie generowała ryzyka związanego z pominięciem istotnych informacji mających wpływ na prywatność użytkowników – uważa Karol Kozieł, radca prawny z Kancelarii Prawa IP.
Polityka prywatności jest kluczowym dokumentem z punktu widzenia realizacji obowiązków wynikających z RODO, dlatego sprzedający powinni poświęcić jej dużo uwagi. Według Katarzyny Machowskiej nie muszą konsultować jej treści z prawnikiem, ale warto sięgnąć po radę eksperta, żeby uniknąć ewentualnych problemów.
- Dobrze napisana polityka prywatności nie tylko spełnia obowiązki informacyjne, ale również zwiększa zaufanie klientów, chroni przedsiębiorcę przed niepotrzebnym ryzykiem prawnym, a także odzwierciedla rzeczywiste procesy przetwarzania danych w firmie. Gotowe wzory mogą stanowić punkt wyjścia, ale nie zastąpią indywidualnej analizy procesów przetwarzania danych w danym przedsiębiorstwie - mówi adwokat.
Dotkliwe kary
Zdaniem ekspertów część sklepów nie radzi sobie z samodzielnym tworzeniem polityki prywatności. Jakie błędy popełniają najczęściej?
- Przede wszystkim kopiują politykę prywatności z innej strony bez jej dostosowania do własnego biznesu. Często spotyka się także dokumenty, które nie zawierają aktualnych informacji o stosowanych narzędziach marketingowych, nie uwzględniają szczegółowych danych na temat cookies, nie precyzują celów przetwarzania lub nie informują użytkowników o ich prawach – wymienia radca prawny.
Katarzyna Machowska zwraca uwagę również na często spotykane problemy z językiem polityki prywatności. Powinna być ona napisana w sposób jasny i zrozumiały, ale w praktyce w wielu sytuacjach jest przeładowana żargonem prawniczym, a wtedy – jak podkreśla - taki dokument nie spełnia swojej podstawowej funkcji informacyjnej. Kolejnym błędem e-sklepów jest brak wskazania odbiorców danych – chodzi o współpracę z innymi podmiotami, np. kurierami czy operatorami płatności. Sprzedający pomijają również aktualizację polityki prywatności.
- Te dokumenty nierzadko pozostają bez zmian przez długie miesiące, a nawet lata, mimo że sklep dynamicznie się rozwija, pojawiają się inni dostawcy usług czy wdrażane są nowe narzędzia marketingowe. Tymczasem każda taka zmiana powinna znaleźć odzwierciedlenie w polityce prywatności, aby dokument był zgodny z rzeczywistym zakresem przetwarzania danych – zwraca uwagę Katarzyna Machowska.
Prawnicy podkreślają, że brak polityki prywatności, jak i jej nieprawidłowa treść mogą skutkować konsekwencjami prawnymi i biznesowymi.
- Przede wszystkim należy liczyć się z możliwością nałożenia wysokich kar administracyjnych przez organy nadzorcze – mogą one sięgać nawet 20 mln EUR lub 4 proc. rocznego obrotu firmy, w zależności od tego, która wartość jest wyższa. To jednak niejedyne ryzyko. Niewłaściwa lub nieprzejrzysta polityka może zostać uznana przez Urząd Ochrony Konkurencji i Konsumentów za działanie wprowadzające konsumentów w błąd, co również może skutkować dotkliwymi sankcjami finansowymi. Dodatkowo użytkownicy mają prawo dochodzić swoich roszczeń na drodze cywilnej. Co więcej, nieprawidłowe przetwarzanie danych – na przykład używanie plików cookies bez odpowiednich zgód – może skutkować zablokowaniem kont reklamowych przez platformy takie jak Google Ads czy Meta – informuje Karol Kozieł.
Jak dodaje, w praktyce oznacza to utratę możliwości prowadzenia kampanii marketingowych, co przekłada się bezpośrednio na spadek sprzedaży.