Baner do wpisu blogowego Zdjęcie autorki z napisem Polityka prywatności w sklepie internetowym

Polityka prywatności w sklepie internetowym

Choć politykę prywatności odmieniamy od kilku lat przez wszystkie przypadki, właściciele sklepów i biznesów internetowych często zgłaszają swoje wątpliwości dotyczące konkretnych zapisów. Lub w ogóle przyznają, że nie rozumieją sensu istnienia takiego dokumentu. To wiedza, którą warto mieć – zarówno prowadząc biznes, jak i w tym biznesie pracując. Przyda się każdemu, kto ma do czynienia ze sprzedażą, newsletterami, gromadzeniem i wymianą informacji.

Z tego wpisu dowiesz się między innymi:

Kiedy mam obowiązek posiadać politykę prywatności

W żadnym akcie prawnym nie znajdziesz informacji, że każdy musi posiadać politykę prywatności, bo jeśli nie to wydarzą się konkretne rzeczy. Mimo to każdy sklep internetowy musi mieć ten dokument, bo jest to warunek spełnienia obowiązku informacyjnego z RODO dla każdego administratora danych. Tak, obowiązku, a nie uprawnienia! Nie jest to zatem przejaw dobrej woli właściciela sklepu online, a obowiązek, który należy spełnić pod groźbą finansowej kary administracyjnej.

W art. 13 RODO jest wskazany cały katalog informacji koniecznych do przekazania osobie, której dane dotyczą.

Uwaga! Katalog kwestii, które powinny znaleźć się w Twoim obowiązku informacyjnym, którego wyrazem jest polityka prywatności, został określony w RODO. Nie masz tu zatem zupełnej dowolności. Czyli jeśli nie zrobisz tego rzetelnie, wówczas nie spełniasz obowiązku z sposób pełny.

Kim jest administrator danych

Zgodnie z art. 4 pkt. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (czyli RODO):

Administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Oznacza to, że jako właściciel sklepu internetowego jesteś administratorem danych. Czyli opiekunem danych klientów czy subskrybentów newslettera.  Ale nie tylko! Przetwarzasz także dane w związku z procesem wystawiania faktur, prowadzenie rejestrów, odpisywania na maile czy procedowania zwrotów i reklamacji.

Kiedy przetwarzam dane

Przetwarzanie danych to szereg bardzo różnych czynności! Samo przechowywanie danych jest już przetwarzaniem, bowiem zgodnie z art. 4 pkt. 2 RODO

przetwarzanie to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zgodnie z RODO przed rozpoczęciem przetwarzania danych administrator powinien spełnić swój obowiązek informacyjny, czyli wskazać m.in., w jakim celu i na jakiej podstawie będzie przetwarzać dane osobowe użytkowników i klientów sklepu.

Jak powinna wyglądać polityka prywatności w sklepie internetowym

Polityka prywatności powinna przede wszystkim spełniać wymogi stawiane jej przez przepisy prawa. Nie istnieje w obowiązujących aktach prawnych jeden uniwersalny wzór polityki prywatności. Ale znamy wymogi, jakie ten dokument powinien spełniać.

Główne wymogi polityki prywatności zostały umieszczone w art. 13 RODO. W polityce prywatności powinny się znaleźć w szczególności następujące kwestie:

  • Informacja o administratorze, czyli jego nazwa, dane rejestrowe, adres, dane kontaktowe, a jeśli ma swojego przedstawiciela – również jego tożsamość oraz dane kontaktowe.
  • Jeśli został wyznaczony inspektor ochrony danych – dane kontaktowe do inspektora.
  • Cele przetwarzania danych oraz podstawa prawna ich  przetwarzania.
  • Jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora lub stronę trzecią, czyli podstawą jest art. 6 ust. 1 lit. f RODO, to należy wskazać te interesy.
  • Informacja o odbiorcach danych osobowych oraz o kategoriach odbiorców (jeśli istnieją).
  • Informacje o  zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
  • Okres, przez który dane osobowe będą przechowywane, a gdy nie jest możliwe wskazanie tego okresu, kryteria jego ustalania.
  • Informacja o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
  • Jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  • Informacja o prawie wniesienia skargi do organu nadzorczego.
  • Także informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy. Oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
  • Informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Powyższa lista to dowód na to, że naprawdę dużo informacji musi się znaleźć w polityce prywatności. Dlatego często jest to dość obszerny dokument.

Polityka prywatności – czy każdy sklep internetowy musi ją mieć?

Każdy podmiot prowadzący sklep internetowy przetwarza dane osobowe. Są to dane kupujących klientów, ale też osób wchodzących na stronę sklepu celem zapoznania się z asortymentem. Zatem sklep musi spełnić swój obowiązek informacyjny wobec tych osób.  W tym celu może umieścić politykę prywatności w dostępnym dla użytkownika strony miejscu, np. w stopce. Najczęściej informacje prawne dotyczące funkcjonowania serwisu internetowej znajdują się właśnie tam – w stopce strony.

Dobrze przygotowana polityka prywatności będzie świadczyła o poważnym traktowaniu klientów i użytkowników strony internetowej. Jeśli ktoś zagląda do polityki prywatności, oznacza to, że jest zainteresowany przetwarzaniem danych osobowych w ramach sklepu. Warto zatem podejść do przygotowania tych zapisów rzetelnie i wykonać je kompleksowo.

Najczęstsze błędy w tworzeniu polityki prywatności

Wśród najczęściej spotykanych błędów w tym dokumencie wymienia się zazwyczaj:

  • niespełnienie wszystkich obowiązków informacyjnych z art. 13 RODO,
  • brak dokładnego określenia celów przetwarzania oraz podstaw prawnych,
  • niedostosowanie polityki prywatności do modelu biznesowego – inaczej wygląda polityka prywatności dla sklepu online, a inaczej dla twórcy czy marki osobistej,
  • ukrywanie danych podmiotów, którym administrator przekazuje dane; najczęstszym argumentem jest traktowanie tej informacji  jako know how przedsiębiorcy, którego administrator nie może zdradzić,
  • wklejanie do własnego dokumentu fragmentów polityk prywatności narzędzi, z których administrator korzysta – zamiast opisania tego tak, aby każda osoba mogła zrozumieć, co się dzieje z jej danymi.

Polityka prywatności – czy można ją skopiować z innego sklepu?

Polityka prywatności może stanowić utwór w rozumieniu prawa autorskiego. Tym samym może być objęta ochroną prawnoautorską! Za naruszenie praw autorskich twórca może wystosować odpowiednie roszczenia.

Prawa autorskie dzielą się na osobiste i majątkowe. Osoba, która skopiowała politykę prywatności z innego sklepu internetowego, może naruszyć oba te obszary! Zgodnie z art. 78 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (t.j. Dz. U. z 2022 r. poz. 2509)

twórca, którego autorskie prawa osobiste zostały zagrożone cudzym działaniem, może żądać zaniechania tego działania. W razie dokonanego naruszenia może także żądać, aby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności aby złożyła publiczne oświadczenie o odpowiedniej treści i formie. Jeżeli naruszenie było zawinione, sąd może przyznać twórcy odpowiednią sumę pieniężną tytułem zadośćuczynienia za doznaną krzywdę lub – na żądanie twórcy – zobowiązać sprawcę, aby uiścił odpowiednią sumę pieniężną na wskazany przez twórcę cel społeczny.

Natomiast na podstawie art. 78 tej samej ustawy

uprawniony, którego autorskie prawa majątkowe zostały naruszone, może żądać od osoby, która naruszyła te prawa zaniechania naruszania; usunięcia skutków naruszenia; naprawienia wyrządzonej szkody: na zasadach ogólnych albo poprzez zapłatę sumy pieniężnej w wysokości odpowiadającej dwukrotności, a w przypadku gdy naruszenie jest zawinione – trzykrotności stosownego wynagrodzenia, które w chwili jego dochodzenia byłoby należne tytułem udzielenia przez uprawnionego zgody na korzystanie z utworu; wydania uzyskanych korzyści. Ponadto niezależnie od ww.  roszczeń uprawniony może się domagać jednokrotnego albo wielokrotnego ogłoszenia w prasie oświadczenia o odpowiedniej treści i formie lub podania do publicznej wiadomości części albo całości orzeczenia sądu wydanego w rozpatrywanej sprawie, w sposób i w zakresie określonym przez sąd.

Przegranie takiej sprawy i konieczność opublikowania oświadczenia, o którym mowa powyżej, może negatywnie wpływać na renomę Twojej firmy i zaufanie klientów. Oprócz tego możesz otrzymać wezwanie do zapłaty na dużą kwotę, co przy prowadzeniu małego biznesu może wpłynąć negatywnie na płynność finansową.

Skąd wziąć politykę prywatności do sklepu internetowego?

Zbudowanie polityki prywatności dostosowanej do Twojego biznesu możesz zlecić prawnikowi specjalizującemu się w zakresie ochrony danych. Istotne jest, aby polityka odpowiadała na Twoje potrzeby i Twoje działania, ponieważ  każdy sklep internetowy może inaczej przetwarzać dane osobowe. Czyli przetwarzać inny zakres czy stosować różne narzędzia.

Rozwiązania te powinny zostać właściwie opisane, bowiem podmioty odpowiedzialne za te narzędzia stają się podmiotami przetwarzającymi dane w imieniu administratora! A jak wskazałam powyżej, w polityce prywatności powinna się znaleźć informacja m.in. na temat odbiorców danych.

Ważne jest pokazanie swoim klientom, że dbasz o swój biznes pod każdym względem i wybierasz do współpracy wyłącznie zaufane podmioty. Dzięki temu Twoi klienci mogą poczuć się bezpiecznie i rekomendować Cię dalej, a taki marketing pozytywnie wpływa na każdą działalność.

Polityka prywatności – wzór dla Twojego sklepu

Jeśli nie możesz sobie pozwolić w swojej działalności na indywidualną pomoc prawną przy dokumentacji RODO, istnieje inne dobre rozwiązanie. Możesz kupić wzór takiego dokumentu i samodzielnie dostosować go do swoich potrzeb. Pamiętaj jednak, aby w takiej sytuacji należycie zweryfikować, czy otrzymasz dokument odpowiadający nie tylko Twoim potrzebom, lecz również aktualnej sytuacji prawnej. Weryfikuj, czy wzór polityki prywatności został zaktualizowany o ewentualne zmiany w prawie.

W sklepie Dimotely dostępne są wzory polityki prywatności:

Aby być na bieżąco z aktualną sytuacją prawną, obserwuj mnie na Instagramie oraz zapisz się do newslettera.

Prowadzisz sklep internetowy? Świadczysz usługi online? Zachęcam Cię do regularnego zaglądania na stronę Dimotely, między innymi po aktualne informacje dotyczące zmian prawnych. Polecam Ci również te teksty dotyczące e-commerce:

Obejrzyj również materiał video na moim kanale na YouTube i poznaj 5 najczęściej popełnianych błędów przy tworzeniu polityki prywatności.

Polityka prywatności. Ile mogą Cię kosztować BŁĘDY przy jej tworzeniu?