23 maja 2018

Poradnik: Sugestie zmian do Regulaminu i Polityki Prywatności sklepu w kontekście wejścia RODO

Wielu klientów na kilka dni przed wejściem w życie RODO chce mieć pewność, że zdążą wprowadzić wszystkie potrzebne zmiany pod kątem RODO. Wiele informacji przekazaliśmy w Webinarze i przekazaliśmy w FAQ, które na bieżąco aktualizujemy. Jednak dla tych, którzy potrzebują jeszcze wskazówek, przygotowaliśmy szybką listę spraw do dopilnowania.

Zastrzegamy, że są to nasze rady i wskazówki i dla 100% pewności w formułowaniu treści należy skonsultować się z prawnikiem. Część  rzeczy można ująć w Regulaminie, część w Polityce Prywatności, w zależności od tego jak skonstruowane były wcześniej te dokumenty i co zawierały. To co wymaga ewidentnej zgody kupującego lepiej zastrzec w Regulaminie, to co jest tylko kwestią poinformowania, może zostać w polityce prywatności.

Poniższe zmiany w żaden sposób nie rozwiązują kwestii związanych z wewnętrznymi regulacjami w firmie, jak np. ocena skutków ryzyka, polityka przetwarzania danych osobowych czy inne dokumenty regulujące działalność firmy nie związaną z sklepem internetowym. Tego też musisz bezwzględnie dopilnować, ale skonsultuj to najlepiej z prawnikiem.

W pierwszej kolejności zadbaj aby w Regulaminie sklepu znalazły się zapisy o tym:

  1. Czym jest RODO np.: RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  2. W części dotyczącej danych osobowych zawrzyj informacje o tym, że:
    1. Twoja firma może przetwarzać dane osobowe w celu realizacji zamówienia na podstawie art. 6 ust. 1 lit. b RODO i że pozyskujesz te dane od klientów.
    2. Przekazanie tych danych jest dobrowolne, ale konieczne do zrealizowania zamówienia. Ponieważ bez tych danych nie będzie zawarta umowa – kupna sprzedaży.
    3. Jesteś administratorem tych danych osobowych. Podaj nazwę swojej firmy oraz formę kontaktu. Jeżeli powołałeś Inspektora Ochrony Danych, podaj również jego dane (wystarczy imię, nazwisko oraz e-mail).
    4. Wskaż okres przez jaki planujesz przetwarzać dane osobowe. Nie może być to czas krótszy niż przewidują przepisy prawa, szczególnie podatkowe (minimum 5 pełnych lat). Sugerujemy czas nieokreślony, co nie będzie wymagało potem jego wydłużania czy pisania programów wymazujących dane według skomplikowanych kryteriów. Dłuższy czas możesz uzasadnić, np. ze względu na politykę rabatową, szykowanie ofert specjalnych uzasadnij go i wpisz do Regulaminu.
    5. Umieść informację o prawie do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo do wniesienia sprzeciwu wobec przetwarzania oraz prawo do przenoszenia danych.
    6. Zaznacz, że klient ma prawo do wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych.
    7. Wskaż, że zobowiązujesz się do przestrzegania tajemnicy związanej z danymi Klienta i nieudostępniania tych danych osobom nieuprawnionym oraz do należytego zabezpieczenia tych informacji przed dostępem wszelkich osób nieuprawnionych. Zapisz, że Ty jako Sklep nie możesz wykorzystywać tych danych w celach innych niż wskazane w Regulaminie. Jeżeli te dane wykorzystujesz w inny sposób niż realizacja zamówienia, musisz to jasno określić w Regulaminie.
    8. W przypisach końcowych, w miejsce gdzie precyzuje się, że spory rozstrzyga się na mocy prawa polskiego, dopisz informację, że „W sprawach nieuregulowanych niniejszym regulaminem zastosowanie mają postanowienia Kodeksu cywilnego i odpowiednich ustaw prawa polskiego, a także prawa Unii Europejskiej, w szczególności RODO.”
    9. Jeżeli nie jesteś pewien, czy posiadasz wszystkie zgody na przetwarzanie danych, to jest to dobra okazja do ich aktualizacji.
    10. Jeżeli jeszcze trochę musisz popracować nad dokumentacją wewnętrzną, podejmij najpóźniej w dniu 25.05.2018r. uchwałę, w której powołasz zespół do wdrożenia RODO i uruchomisz prace.

W Polityce Prywatności warto zawrzeć informacje, które nie wymagają zgody, a jedynie poinformowania, mogą to być informacje o tym:

  1. Komu przekazywane są niektóre dane osobowe, np.:
    1. Informacje, które już mogą być w dobrze przygotowanej polityce Cookies czyli o tym z jakich pixeli śledzących się korzysta, może to być Google Analytics, Facebook – wypisz to z czego faktycznie korzystasz. Nie ograniczaj się jednak tylko do tych 2. Wiele firm, których JavaScript osadzają nasi klienci na stronach, śledzi użytkowników czy ich profiluje. Koniecznie sprawdź na ich stronach pod kątem własnej analizy. Wypisz je z nazwy w swojej polityce i najlepiej podaj linki do ich polityki prywatności.
    2. Dane firm realizujących płatności lub usługi kurierskie w celu realizacji zamówień. Najlepiej jeżeli są to pełne dane kontaktowe tych firm i podane okoliczności, dlaczego dane do nich trafiają.
    3. Naturalnie podaj nas, IAI S.A. z siedzibą w Szczecinie, Aleja Piastów 30, 71-064 Szczecin, jako operatora IdoSell Shop, oprogramowania z którego korzystasz i my przetwarzamy dane.
    4. Dane biura księgowego, które też ma styczność z danymi osobowymi Twoich klientów.
    5. Jeżeli korzystasz z systemów rekomendacyjnych (np. IAI RS) , usług e-mail marketingu, marketing automation, to wypisz te firmy.

Następnie, dopiero po wykonaniu aktualizacji regulaminu, koniecznie przed 25 maja 2018 roku wyślij maila o sugerowanej treści:

Tytuł: RODO: Nowy regulamin i polityka prywatności sklepu internetowego [NAZWA_SKLEPU]

Treść:
Drogi kliencie,

Jakiś czas temu robiłeś u nas zakupy lub zarejestrowałeś się, ale z jakiś przyczyn zrezygnowałeś z zakupienia towaru. Przekazałeś nam wtedy dane kontaktowe, stanowiące w rozumieniu prawa dane osobowe. Umożliwiały nam kontakt, realizację zamówienia lub przygotowanie i przesłanie materiałów promocyjnych z możliwie najlepszą ofertą oraz informowanie Ciebie o nowościach w naszych usługach i otoczeniu sklepu. Dziękujemy, że nam zaufałeś, zawsze bardzo dbamy o to aby nie kontaktować się bez potrzeby, dlatego przez ten cały czas staraliśmy się kontaktować z Tobą wyłącznie w sprawach istotnych i nie stosowaliśmy nachalnego marketingu.

Teraz, jak zapewne wiesz, 25 maja zaczną obowiązywać nowe przepisy dotyczące ochrony danych osobowych, znane powszechnie jako RODO. Aby móc dalej pozostać w kontakcie i dbając o bezpieczeństwo dostosowaliśmy nasz Regulamin i Politykę Prywatności dla osób zalogowanych na stronie internetowej sklepu do nowych reguł. Jej treść znajdziesz pod tym linkiem:

Jeżeli interesuje Cię w jaki sposób zarządzamy danymi osobowymi, zapraszamy do zapoznania się dokumentem. Jeżeli nie chcesz abyśmy dalej przechowywali Twoje dane, prosimy o kontakt. Jeżeli uznajesz, że dobrze było jak było, zwyczajnie nie musisz nic robić.

Pozdrawiamy,

Zespół [NAZWA_SKLEPU]

To jest absolutna podstawa o jaką powinieneś zadbać. Traktuj to proszę jako naszą sugestię na podstawie większości, prostych przypadków. Jeżeli masz wątpliwości lub Twój model jest bardziej skomplikowany, skontaktuj się proszę z doświadczonym prawnikiem.