Obowiązki e‑sprzedawcy

  • Jakie obowiązki w zakresie ochrony danych osobowych ciążą na e-sprzedawcy?
  • Jakie informacje należy zawrzeć w regulaminie sklepu, aby spełniał on najnowsze wymagania prawne?
  • Co zmieni się w kwestii obowiązków e-sprzedawców w związku z wejściem w życie RODO oraz rozporządzenia e-Privacy?

Prowadzenie sklepu internetowego wiąże się z koniecznością spełnienia wielu wymogów, aby działalność była zgodna z prawem. Wynikają one przede wszystkim z przepisów o ochronie praw konsumentów oraz o ochronie danych osobowych, a w pewnym zakresie również z przepisów dotyczących świadczenia usług drogą elektroniczną. Dla celów niniejszego opracowania analizie poddano wymagania dotyczące e-sklepów kierujących swoją ofertę przede wszystkim do konsumentów.

Pod względem prawnym e-sklep powinien przede wszystkim spełniać wymagania w zakresie świadczenia usług drogą elektroniczną, prawa ochrony konsumentów oraz prawa ochrony danych osobowych. Z praktycznego punktu widzenia szczególnie istotne jest zapewnienie zgodności regulaminu sklepu oraz ogólnych warunków sprzedaży z przepisami ustawy o prawach konsumenta – w tym zakresie stosunkowo łatwo o kosztowny dla przedsiębiorcy błąd.

Zgodnie z art. 7 ustawy o prawach konsumenta postanowienia umów mniej korzystne dla konsumenta niż regulacje ustawowe są nieważne – w ich miejsce stosuje się wprost przepisy ustawy o prawach konsumenta. Oznacza to, że kwestie takie jak forma i terminy rozpatrzenia reklamacji, dostawy, obciążanie konsumenta tzw. opłatami manipulacyjnymi niezależnie od tego, jak zostaną określone przez przedsiębiorcę, muszą spełniać standardy określone w ustawie o prawach konsumenta. Mogą się z tym wiązać dotkliwe konsekwencje – przykładowo brak reakcji (odpowiedzi) przedsiębiorcy na reklamację konsumencką w terminie 30 dni oznacza, że przedsiębiorca automatycznie uznaje żądanie konsumenta zawarte w reklamacji.

E-sprzedawca jako administrator danych osobowych

1) Obecny stan prawny

Przedsiębiorca prowadzący sklep internetowy jest administratorem danych osobowych konsumentów przetwarzanych na potrzeby realizacji zamówień i usług świadczonych przez sklep. Oznacza to, że przedsiębiorca ponosi odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Obecnie obowiązujące przepisy przewidują w związku z tym wiele obowiązków, w tym m. in.:

  • zapewnienie zgodnej z prawem podstawy przetwarzania danych osobowych – w praktyce w większości przypadków dane przetwarzane są albo w celu wykonania umowy (np. dostarczenia zamówienia), albo na podstawie zgody (np. cele marketingowe),
  • zbieranie danych dla określonych i zgodnych z prawem celów – przy czym cele takie należy wyraźnie wskazać w przypadku zbierania danych na podstawie zgody,
  • niepodawanie danych dalszemu przetwarzaniu niezgodnemu z celami, dla których dane są zbierane,
  • zapewnienie środków bezpieczeństwa organizacyjnego i technicznego określonych w ustawie o ochronie danych osobowych i przepisach wykonawczych do ustawy.

W celu realizacji ww. obowiązków konieczne jest także przyjęcie przez administratora danych (e-sklep) stosownej dokumentacji, tj.:

  • upoważnień oraz ewidencji upoważnień do przetwarzania danych osobowych – określających, który pracownik może przetwarzać dane osobowe i na jakich zasadach,
  • polityki bezpieczeństwa określającej m.in. zasady przetwarzania danych osobowych, wykaz zbiorów danych, środki zapewniające poufność, integralność i rozliczalność przetwarzania danych osobowych,
  • instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Wymienione wyżej dokumenty muszą być zwykle uzupełnione o kolejne dokumenty – przykładowo, w przypadku podzlecenia przez e-sklep administrowanych przez niego danych osobowych innemu podmiotowi konieczne może być zawarcie odpowiedniej umowy o powierzenie przetwarzania zgodnie z wymaganiami ustawy o ochronie danych osobowych.

W praktyce częstym problemem jest niewłaściwie skonstruowana klauzula zgody na przetwarzanie danych osobowych – niezgodne z prawem jest np. wymaganie jednej „ogólnej” zgody na przetwarzanie danych osobowych. W zależności od danego przypadku konieczne może być zbieranie odrębnych (tj. z możliwością ich niezależnego wyrażenia) zgód na:

  • przetwarzanie w celach marketingu własnych produktów lub usług – na zasadach określonych w ustawie o ochronie danych osobowych,
  • przetwarzanie w celach marketingu produktów lub usług innych podmiotów – na zasadach określonych w ustawie o ochronie danych osobowych,
  • używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego – określone w ustawie Prawo telekomunikacyjne,
  • otrzymywanie informacji handlowej drogą elektroniczną – określone w ustawie o świadczeniu usług drogą elektroniczną.

Ponadto konieczne może być zgłoszenie zbioru danych (np. danych marketingowych) przed rozpoczęciem ich przetwarzania do Generalnego Inspektora Danych Osobowych.

2) Stan prawny od 25 maja 2018 r.

Obecnie, na początku 2018 roku, jednym z większych wyzwań dla przedsiębiorców może być dostosowanie prowadzonej działalności do wymagań rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tzw. RODO. RODO nakłada szereg obowiązków prawnych na wszystkie podmioty (z pewnymi wyjątkami) przetwarzające dane osobowe, w tym na przedsiębiorców przetwarzających dane w celu świadczenia usług elektronicznych. Z perspektywy e-sklepu istotne znaczenie mają m.in. dwie zasady określone w RODO, które muszą być stosowane przez administratorów danych osobowych – zasada ochrony danych by default oraz by design.

Zasada ochrony danych by default (domyślnie) oznacza, że administrator danych (np. właściciel e-sklepu) powinien zbierać dane niezbędne do osiągnięcia określonego celu przetwarzania danych osobowych. Zasada ochrony danych by default powinna być realizowana zarówno względem ilości zbieranych danych (np. zbieranie danych o imionach i nazwiskach rodziców przy zakładaniu konta na portalu), zakresu ich przetwarzania, okresu przechowywania (np. przy przechowywaniu danych teleadresowych w bazie marketingowej), jak i dostępności. W szczególności niedopuszczalne jest domyślne udostępnianie zebranych danych nieokreślonej liczby osób (np. przez możliwość pełnego wglądu wszystkich użytkowników w profile innych użytkowników zarejestrowanych na danej stronie).

Zasada ochrony danych by design (w fazie projektowania) oznacza, że administrator danych, planując dany rodzaj przetwarzania danych (np. planując otwarcie e-sklepu lub dodanie nowej funkcjonalności w serwisie, umożliwiającej szybkie dokonywanie płatności), powinien każdorazowo dokonać oceny ryzyka dla danych osobowych, a następnie odpowiednio je zabezpieczyć zgodnie z RODO.

W praktyce obie omówione wyżej zasady powinny być uwzględniane przy projektowaniu funkcjonalności strony internetowej na każdym etapie – od tworzenia schematu systemu przez projektowanie interfejsu użytkownika (np. formularzy, profilu klienta, ankiet) aż po instrumenty marketingu bezpośredniego (np. mailing).

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 64% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.

Kilka wariantów prenumeraty Pokaż opcje
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 83 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 83 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 83 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.