FAQ - RODO - najczęściej zadawane pytania o ochronę danych osobowych

Czy w związku z wejściem RODO jesteśmy zmuszeni do jakichś samodzielnych zmian na naszej stronie czy zostają one wprowadzane jakoś automatycznie przez Państwa do wszystkich klientów?

RODO nakłada obowiązki na obie strony - sklep internetowy i firmę, której zostało powierzone przetwarzanie danych, czyli nas (IAI). To rozwiązuje wiele problemów w zakresie technicznego przetwarzania danych jak zabezpieczenie, back-upy czy privacy-by-design, ale po stronie sklepu internetowego jest kwestia przygotowania swoich procedur, opisania ich i wdrożenia, powołania Inspektorów Ochrony Danych. My (IAI) nie możemy wnikać tak głęboko w procedury w sklepach.

Czy należy wysyłać powiadomienia do klientów posiadających konto przed wejściem RODO, odnośnie przetwarzania danych, o jakiej treści?


Zgodnie z RODO osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom rozporządzenia. RODO przewiduje bardzo rozbudowany obowiązek informacyjny – podczas wcześniejszego zbierania zgody na pewno nie zostały przekazana spora część wskazanych w RODO informacji np. prawo do wycofania zgody w dowolnym momencie. Brak spełnienia obowiązku informacyjnego zgodnego z RODO nie wpłynie jednak negatywnie na ważność zebranych wcześniej zgód. Także na pewno należy przekazać właściwą klauzulę informacyjną i sprawdzić czy pobrane zgody spełniają warunki wskazane w RODO (art. 13 i 14 RODO).

Czy istnieje obowiązek rejestrowania zbiorów GIODO?

Nie ma takiego obowiązku, to jest zasadnicza zmiana wprowadzona przez RODO - nie rejestrujemy zbiorów danych w żadnym urzędzie.

Od jakiegoś czasu dostaje pełno maili od różnych firm o moich nowych prawach jako osoby, której dane są przetwarzane. Czy ja jako osoba prowadząca sprzedaż na sklepie internetowym oraz allegro muszę również mailowo poinformować o nowych prawach swoich klientów? Biorąc pod uwagę że dane osobowe są w moim wewnętrznym systemie zarządzania przedsiębiorstwem bądź obsługi transakcji np sello/ subiekt

Otrzymywane maile to realizacja nałożonego na administratora danych tzw. obowiązku informacyjnego, tj. obowiązku przekazania osobie, której dane dotyczą, pewnych informacji w sytuacji zbierania jej danych osobowych. W ramach prowadzonego sklepu bez wątpienia są zbierane dane osobowe klientów dlatego należy klientom przekazać taką informację zgodną w wymogami wskazanymi w art. 13 RODO.

Czy nie wystarczyłoby gdybyśmy wysłali do wszystkich swoich klientów wiadomość o zmianach w prawie oraz zmianach w regulaminie z informacją że jeżeli zgadzają się na akceptację regulaminów mogą ignorować wiadomości a jeżeli nie zgadzają się na akceptację prosimy o odpowiedź w wyznaczonym terminie i wtedy dane zostaną usunięte z systemu?

Do klientów należy przesłać e-mail z informacją o zmianie regulaminu pod kątem danych osobowych, a także link do podstrony z realizacją obowiązku informacyjnego, w szczególności poinformować o możliwości zgłoszenia sprzeciwu co do przetwarzania danych w celach marketingowych. Jak zostało wskazane w RODO zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Natomiast milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Dlatego wskazana propozycja poinformowania klientów nie będzie właściwa.


Czy jeżeli nie jestem pewny czy umowę papierową Państwu dostarczyliśmy to mogę gdzieś to sprawdzić czy muszę się bezpośrednio z Państwem skontaktować w celu weryfikacji?

W tej sprawie najlepiej wysłać do nas komunikat.

Czy i skąd jako użytkownik IAI mogą zdobyć wzór regulaminu sklepu internetowego? Ew. w jakich wersjach językowych są dostępne?

Tak, więcej informacji pod tym linkiem

Czy oferowany przez Państwa certyfikat różni się czymś od certyfikatów SSL oferowanych przez konkurencyjne firmy?

W naszej ofercie posiadamy kilka rodzajów certyfikatów SSL. W zależności od potrzeb sklepu internetowego można wybrać dla sklepu najodpowiedniejszy. Dla mniejszych sklepów polecamy Certyfikat Commercial SSL, a dla większych sklepów Certyfikat Commercial Wildcard SSL.

Czy posiadanie certyfikatu SSL na stronach, gdzie się nie wpisuje swoich danych osobowych jest konieczne?

Nie, ale jest wysoce wskazane. Raz, że jest to coś na co każdy zwraca uwagę od konkurencji, przez urzędy po kupujących. Po drugie jest niezwykle korzystne z punktu widzenia SEO. Dlatego tak czy inaczej warto mieć certyfikat SSL na każdej stronie.


Czy w związku z RODO będą konieczne zmiany w maskach, jakich do tej pory nie było?

Nie przewidujemy zmian w maskach w związku wejściem RODO.

Czy dane klientów z Unii Europejskiej przechowywane są terenie UE?

Wszystkie dane klientów z Unii Europejskiej, są przechowywane na terenie Unii Europejskiej, na ten moment dane są przechowywane na terytorium Polski.

Jak mają się zasady RODO do składania zamówienia "bez rejestracji" i tego, że na platformie IAI z punktu widzenia panelu administracyjnego takie zamówienie nie różni się absolutnie niczym od zwykłego i administrator danych nie wie, że klient w ogóle użył takiej opcji??

Administrator powinien wiedzieć o tym rozróżnieniu, ponieważ w przypadku zakupów bez rejestracji, po upływie terminów przedawnienia roszczeń, reklamacji i innych wynikających z przepisów należy dane klienta usunąć. W przypadku klienta z aktywnym kontem – konto usuwamy tylko na wyraźne żądanie klienta i pod warunkiem, że na administratorze nie ciążą żadne ustawowe terminy przechowywania danych.

A jak z przyjmowaniem zamówień telefonicznie? Czy to nie jest zbyt ryzykowne?

Zarówno zamówienia telefoniczne, elektroniczne jak i dokonywane osobiście zawsze są obarczone jakimś ryzykiem. W przypadku zamówień telefonicznych, gdy rozmowa jest nagrywana należy o tym wcześniej poinformować osobę, której dane dotyczą. Należy również zapewnić właściwe przechowywanie takich nagrań by miały do nich wyłącznie dostęp osoby upoważnione.

Jak podczas składania zamówienia przez telefon klient ma potwierdzić zgodę na przetwarzanie danych osobowych , i czy taka rozmowa musi być nagrywana?

Jeżeli sytuacja dotyczy klienta, który już wyraził zgodę na przetwarzanie danych to nie ma potrzeby ją potwierdzać. Jedynie w przypadku gdyby zupełnie nowy klient wyrażał zgodę przez telefon wtedy trzeba by rozmowę nagrać, ale wcześniej trzeba o tym fakcie klienta uprzedzić.

Czy wysyłanie prośby o ocenę produktów (z systemu IAI) jest zgodne z RODO?

Tak, o ile taki ogólnie pozwalający nam na to zapis będzie w regulaminie, który zaakceptuje klient. Ocena produktów lub całego procesu zakupowego może być naturalnym elementem walidacji lub ewaluacji doświadczenia zakupowego i w tym zakresie przetwarzanie danych osobowych wydaje się mieć biznesowe uzasadnienie.

Czy prezentacja opinii zebranych za pośrednictwem Trusted Shops np. na stronie głównej sklepu jest zgodne z prawem? Niektóre opinie opatrzone są nickiem lub np. "Andrzej.Z"

Tak, jest to zgodne z prawem - poprzez publikację posta użytkownik wyraża na to zgodę. Zazwyczaj polega to na zainstalowaniu na stronie sklepu wtyczki z odniesieniem do opinii z danego serwisu – właściciel sklepu nie ma kontroli nad tym, które konkretnie opinie są wyświetlane. Sam nick nie zawsze będzie stanowił dane osobowe.

IAI udostępnia możliwość włączenia checkboxa ze zgodą udostępniania danych klienta firmie opiniującej, np ceneo. Powiedziane jest ze w RODO klient może usunąć zgodę kiedy chce. Z tego co usłyszałem od konsultanta Państwo nie możecie udostępnić takiej opcji w przypadku firm opiniującej. Jak to wygląda?

Jeżeli wykorzystywany jest system opiniujący np. ceneo to powinna być na to osobna zgoda klienta. Cofnięcie zgody najlepiej jest umożliwić w sposób elektroniczny.

Czy wymagana jest informacja w "regulaminach" aukcji np. na eBay czy Allegro o tym, że dane przetwarzane są przez IAI?

O ile to nie łamie regulaminu Allegro lub eBay można wskazać z jakiego oprogramowania korzysta sklep do procesowania transakcji.

Czy dane użytkowników, które system IAI zaciąga do obsługi zamówień pochodzących z Allegro (to nie są dane klientów ze sklepu internetowego), mają być skasowane po upływie 5 lat?

Dane te mają być przechowywane do czasu upłynięcia wszelkich terminów przewidzianych prawem, przez które administrator ma obowiązek dane przechowywać. Są to terminy związane z rachunkowością, przedawnieniem roszczeń, reklamacjami.

Czy skoro mam dane osobowe klientów w moim systemie zarządzania przedsiębiorstwem / obsługi transakcji, ale są przekazane tam za pośrednictwem IAI / Allegro to jestem ich administratorem?

Sklep jest administratorem danych osobowych swoich klientów.

Czy platformy amazon, ebay,allegro będą skłonne podpisać umowę przetwarzania danych?

Nie ma takiej potrzeby, gdyż te platformy są administratorami danych swoich użytkowników (zarówno indywidualnych, jak i sklepów).

Czy automatyczne zakładanie kont klientów z ebay jest zgodne z RODO?

W takiej sytuacji sklep jest administratorem danych klientów. To na sklepie ciąży obowiązek, wysłania informacji do wszystkich klientów o fakcie, że pobierane są dane klientów z Allegro.

Jak wygląda sytuacja od strony prawnej przy sprzedaży na Amazon, eBay?

Sklep jest administratorem, allegro/ebay podmiotem przetwarzającym dane, co powinno znaleźć swoje odzwierciedlenie w regulaminie usługi.

Czy jako sklep internetowy musimy mieć dodatkową podpisaną umowę z IAI, jako że też macie Państwo dostęp do naszej bazy danych?

Tak, taka umowa jest podpisywana równocześnie z zaakceptowaniem regulaminu IdoSell. Jej postanowienia znajdują się w regulaminie.

Czy do IAI można się zgłosić w celu np. przejrzenia regulaminu sklepu pod kątem zgodności z RODO?

Polecamy raczej kontakt z wyspecjalizowaną kancelarią prawną, a najlepiej kilkoma i weryfikację cen. W tej chwili na rynku jest wiele wyspecjalizowanych firm, a my nie możemy świadczyć porad prawnych.

Czy skoro mam dane osobowe klientów w moim systemie zarządzania przedsiębiorstwem / obsługi transakcji, ale są przekazane tam za pośrednictwem IAI / Allegro to jestem ich administratorem? W panelu administracyjnym IAI przechowywane są dane osobowe klientów sklepu oraz dane osób, które robiły zakupy poprzez Allegro, Amazon i Ebay. Czy informację mailową należy wysłać również do takich osób? Dane klientów z Allegro są pobierane do IAI bez wiedzy takiego klienta, podobnie dane klientów z serwisów zagranicznych. Jeśli do tych osób nie należy wysyłać powiadomień mailowych, to w jaki sposób w IAI odfiltrować klientów sklepu, a jak klientów np. z Allegro. Z tego co się orientuje nie ma takiej możliwości w IAI

Tak, system w jakim pozyskujemy dane nie ma znaczenia. Może je dostać na kartce, telefonicznie lub przez wymianę informacji przez API. Ważne jest to, kto ostatecznie przetwarza dane, a nie jakiego narzędzia używa. Na sklepie który jest administrator tych danych sklep ciąży obowiązek, wysłania informacji do wszystkich klientów.

Czy jeżeli zamawiającym w sklepie internetowym jest firma jednoosobowa, podaje tylko nazwę adres telefon i nip - to czy te dane podlegają RODO?

Imię, nazwisko osoby prowadzącej jednoosobową działalność gospodarczą, nazwa firmy, e-mail, nr telefonu, NIP, REGON, adres siedziby i wiele innych informacji są danymi osobowymi w rozumieniu RODO. Tym samym podmioty, które wykorzystują dane osobowe osób prowadzących jednoosobowe działalności gospodarcze (choćby do wystawienia faktury VAT) stały się administratorami tych danych osobowych, co z kolei pociągnie za sobą konieczność realizacji wszystkich obowiązków narzuconych na administratorów przez RODO.

Mamy legalnie pozyskane bazy klientów. Co z tymi klientami?

Jeżeli podstawa prawna (zgoda klienta) była należyta, to nadal można te dane przetwarzać. Jeżeli nie był spełniony obowiązek informacyjny z art. 14 - należy go spełnić.

Czy już zebrane dane, które nie posiadają zgody na przetwarzanie danych muszą być uzupełnione o tę zgodę?

Jeśli faktycznie jedyną podstawą prawną przetwarzania tych danych jest zgoda, to należy wystąpić o jej potwierdzenie np. w drodze mailowej.

Czy samo imię i nazwisko jest danymi osobowymi czy dopiero w połączeniu z innymi danymi, które pozwolą nam dotrzeć do konkretnej osoby fizycznej, np adres, PESEL? co to są dane osobowe?

Zgodnie z RODO „dane osobowe” to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Co to zasady - imię i nazwisko nie powiązane z innymi informacjami nie będzie danymi osobowymi. W przeważającej ilości przypadków nie będzie możliwe wskazanie konkretnej osoby, ponieważ takie samo imię i nazwisko może nosić kilkadziesiąt, bądź kilkaset osób (np. Jan Kowalski). Jednak wyjątek stanowią unikatowe imiona i nazwiska. Identyfikacja takiej osoby będzie stosunkowo szybka i prosta, a wówczas imię i nazwisko staje się daną osobową.

Czy jak klient powoła się do "prawa do zapomnienia" czy musimy usunąć jego dane też ze WSZYSTKICH backupów danych? W końcu można z nich je odtworzyć?

Jeśli klient powoła się na to prawo i nie ma żadnych przeciwwskazań, aby je zrealizować, to powinny zostać usunięte jego dane także z kopii zapasowych.

Czy dane w formie papierowej wynikające z transakcji powinny być zamykane bezwzględnie w szafach ogniooodpornych i zamkniętych kluczem patentowym?

Nigdzie nie zostały określone konkretne wytyczne. Zaleca się przechowywanie dokumentów w wersji papierowej przynajmniej w szafach zamykanych na klucz, by dostęp do nich miały jedynie osoby uprawnione.

Jak określić jakie środki zabezpieczenia danych są wystarczające?

Jest to zbyt ogólne pytanie, bo właściwa ocena zabezpieczeń musi być przeprowadzona indywidualnie dla konkretnie prowadzonej działalności. Na pewno trzeba zastosować właściwe zabezpieczenie zarówno dla danych znajdujących się w dokumentacji papierowej jak i tych w systemach informatycznych.

Co ze zgodą na przetwarzanie danych klienta, któremu wysyłamy przesyłkę, od innego kupującego jak na przykład prezent "zakupy jako prezenty"

W takiej sytuacji nie jest potrzebna zgoda ani Państwa klienta, ani faktycznego adresata przesyłki. Państwa Klientem jest kupujący i jego dane osobowe, które Państwu ujawnia przetwarzane są jako niezbędne do wykonania umowy (art. 6 ust. 1 lit. b RODO). Jeśli chodzi o dane faktycznego adresata przesyłki, to mamy tutaj do czynienia z sytuacją, w której to kupujący je Państwu przekazuje, a więc danych osobowych nie pozyskano od osoby, której dane dotyczą. Wobec tego przetwarzanie tych danych nie może być oparte o art. 6 ust. 1 lit. b RODO, ponieważ faktyczny adresat nie jest stroną umowy z Państwem. Niemniej wciąż realizują Państwo zobowiązanie wynikające z zawartej umowy z klientem, więc można zastosować tutaj art. 6 ust. 1 lit. f RODO, czyli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora, czyli sklepu.

Czy spedycje są podmiotami przetwarzającymi dane? Na chwilę obecną np. Poczta nie ma przygotowanych żadnych umów powierzania przetwarzania danych?

Z pocztą nie trzeba podpisywać umowy powierzenia, gdyż poczta jest samodzielnym administratorem. Z firmą kurierską należy podpisać umowę powierzenia przetwarzania – podobnie z firmą spedycyjną.

"Wypłynięcie" danych klienta - jak magazyn popełni błąd w wysyłce i wyślę paczkę do złego klienta (np. pomyli adresy na krzyż). Czy wtedy trzeba na siebie donieść? W końcu dane takie jak imię, nazwisko czy numer telefonu "wypłynie" do innego klienta?

Zgodnie z RODO nie każde naruszenie ochrony danych osobowych związane jest z naruszeniem praw osób, których dane dotyczą. W przypadku pojedynczej pomyłki nie jest konieczne informowanie UODO o zaistniałym zdarzeniu. Na pewno należy dołożyć wszelkich starań, by takie sytuacje nie miały miejsca, ponieważ jeśli doszłoby do takiej „zamiany” na dużą skalę wtedy istnieje konieczność poinformowania UODO (w trybie art. 33 RODO)

Czy dobrze zrozumiałem, że podczas nadawania paczek do klientów poprzez firmę kurierską, powinniśmy mieć z nią umowę powierzenia danych?

Tak. Nie dotyczy to poczty polskiej, która jest osobnym administratorem danych osobowych.

A jak wysłać RODO do klienta zagranicznego, na przykład z Chin, USA czy z Niemiec?

1. Zgodnie z art. 45 ust. 1 RODO przekazanie danych osobowych z terytorium Europejskiego Obszaru Gospodarczego do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja Europejska stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Przez państwo trzecie rozumie się państwo spoza Europejskiego Obszaru Gospodarczego (UE + Liechtenstein, Norwegia i Islandia). Komisja do tej pory stwierdziła, że następujące państwa trzecie zapewniają odpowiedni stopień ochrony: Andora, Argentyna, Kanada, Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Jersey, Nowa Zelandia, Szwajcaria, Urugwaj i USA (pod warunkiem przystąpienia danego adresata danych do Privacy Shield). Listę można sprawdzać na stronie:https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en 
Takie przekazanie nie wymaga specjalnego zezwolenia. Transfery danych do tych krajów zostały zrównane z transmisjami danych wewnątrz UE, a więc np. w przypadku chęci powierzenia danych do przetwarzania administrator z terenu EOG powinien z podmiotem z uznanego przez Komisję państwa trzeciego zawrzeć standardową, tj. zgodną z art. 28 RODO umowę powierzenia przetwarzania. To samo tyczy się przypadku, gdy podmiot przetwarzający z terenu EOG chciałby podpowierzyć dane osobowe do przetwarzania do podmiotu działającego w jednym z ww. państw trzecich. 
2. Zgodnie z art. 46 RODO, w przypadku, gdy administrator lub podmiot przetwarzający chce przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej, które nie zostały uznane przez Komisję za zapewniające odpowiedni stopień ochrony (np. Chiny, Tajwan, Indie), jest to możliwe wyłącznie, gdy administrator lub podmiot przetwarzający zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Jest to możliwe do osiągnięcia dwoma ścieżkami: bez zezwolenia organu nadzorczego (w Polsce Prezes Urzędu Ochrony Danych Osobowych) albo z zezwoleniem. 
Odpowiednie zabezpieczenia, o których mowa powyżej, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą: 
a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi; 
b) wiążących reguł korporacyjnych zgodnie z art. 47 RODO; 
c) standardowych klauzul ochrony danych przyjętych przez Komisję; 
d) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję; 
e) zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub 
f) zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą. 
Jedynym z rekomendowanych rozwiązań jest posłużenie się standardowymi klauzulami umownymi przyjętymi przez Komisję Europejską, o których mowa w pkt c powyżej. Decyzja Komisji w sprawie przyjęcia klauzul umownych jest dostępna tutaj: https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32010D0087 i nadal obowiązuje zgodnie z art. 46 ust. 5 RODO: "Decyzje przyjęte przez Komisję na podstawie art. 26 ust. 4 dyrektywy 95/46 / WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia, w razie potrzeby, decyzją Komisji przyjętą zgodnie z ust. 2 tego artykułu. 
II. Pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa powyżej, można także zapewnić w szczególności za pomocą: 
a) klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub 
b) postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą. 
3. Trzecia możliwa sytuacja związana z przekazywaniem danych do państwa trzeciego: 
W razie braku decyzji stwierdzającej odpowiedni stopień ochrony w danym państwie lub w razie braku odpowiednich zabezpieczeń określonych w art. 46 RODO, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że: 
a) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę; 
b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą; 
c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną; 
d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego; 
e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń; 
f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub 
g) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego. 
Ale, jeżeli przekazanie nie może się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z ww. wyjątków mających zastosowanie w szczególnych sytuacjach, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Czy podpisujemy umowę z IAI o powierzenie przetwarzania?

Do zawarcia umowy powierzenia przetwarzania danych IAI S.A. dochodzi poprzez akceptację regulaminu usługi IdoSell Shop. Odpowiednie postanowienia dot. powierzenia są już zawarte w najnowszej wersji regulaminu. Nie jest konieczne w tym celu "fizyczne" podpisywanie umowy z IAI S.A.

Czy i w jakim zakresie zmieni się treść zgód na otrzymywanie newslettera?

Co do zasady newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - tyczy się to zarówno obecnych, jak i potencjalnych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu. Jeśli jednak u Państwa wykształciła się taka praktyka i chcecie ją Państwo kontynuować, możecie Państwo posłużyć się następującym wzorem: "Wyrażam zgodę na przetwarzanie moich danych osobowych przez [...], [...], [...], tel.: [...], adres e-mail: [...], pełniącego funkcję administratora danych, w celach marketingu bezpośredniego oraz na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail newslettera. Oświadczam, iż zapoznałem/-łam się z informacjami dotyczącymi przetwarzania moich danych osobowych dostępnymi [tutaj] "-> link do podstrony, na której znajdą się informacje wymagane przez art. 13 RODO (obowiązek informacyjny)

Czy w najnowszych maskach STANDARD są odpowiednie checkboxy zgodne z RODO?

Tak, w maskach STANDARD są odpowiednie checkboxy zgodne z RODO. Więcej informacji o zmianach w maskach STANDARD po kliknięciu w link

Czy pod formularzami kontaktowymi/zapisu w sklepie, jak i przy rejestracji wymagany jest checkbox (zgoda klienta) na przetwarzanie danych czy wystarczy potwierdzenie zapoznania się z Polityką Prywatności, w której mamy zawarte wszelkie informacje związane z danymi osobowymi?

1. Pod formularzem kontaktowym nie jest potrzebna zgoda klienta na przetwarzanie danych osobowych, ponieważ podstawą prawną przetwarzania danych w tym przypadku jest art. 6 ust. 1 lit. b RODO – przetwarzanie danych służące wykonaniu umowy albo podjęciu czynności przed jej zawarciem, a więc kontakt z klientami i potencjalnymi klientami.
Pod formularzem kontaktowym powinien znaleźć się link do klauzuli informacyjnej zgodnej z RODO.

2. Przy rejestracji powinien znaleźć się obowiązkowy checkbox o akceptacji regulaminu sklepu. Nie jest wymaga zgoda klienta na przetwarzanie danych osobowych – podstawą przetwarzania będzie ponownie art. 6 ust. 1 lit. b RODO.
Jeśli sklep chce dodatkowo wysyłać do klienta newsletter, powinien pobrać na to zgodę klienta w formie checkboxa (którego zaznaczenie jest nieobowiązkowe).
Pod formularzem rejestracji powinien znaleźć się link do klauzuli informacyjnej zgodnej z RODO.

Czy klauzule wymagane w RODO w boxach do zaznaczania zgody podczas zamawiania w sklepie internetowym będą dopisane automatycznie, czy trzeba to zrobić ręcznie samemu w panelu? Chodzi o zgody na opinie, czy wysyłanie newslettera?

Odpowiednie checkboxy są zgodne z RODO. Informacje techniczne znajdują się w linku: tutaj

Czy do IAI można się zgłosić w celu np. przejrzenia regulaminu sklepu pod kątem zgodności z RODO?

W tego rodzaju przypadkach prosimy o kontakt z prawnikami, którzy zajmują się tego rodzaju sprawami.

Czy IAI udostępni jakąś dodatkową opcję równie łatwego wycofania zgody jak jej wyrażenie?

W zakresie zgody udzielanej na otrzymywanie newslettera taki mechanizm już istnieje. przykładowo -> https://electropoland.pl/newsletter.php

Obowiązek informacyjny w regulaminie, na podstronie z polityką ochrony danych czy indywidualnie wysyłać do każdego klienta?

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Jak zmienić należy regulamin sklepu internetowego w związku z RODO?

Jest to bardzo szerokie pytanie. Aby na nie odpowiedzieć należałoby najpierw przeanalizować Państwa regulamin pod tym kątem. Punktem wyjścia do zmian może być art. 6, 13 oraz 28 RODO.

Czy regulaminy sklepów IAI zostały przez Państwa dostosowane jeżeli chodzi o nowe zapisy?

IAI S.A. nie dostosowuje regulaminów sklepów do RODO - ten obowiązek ciąży na właścicielach sklepów.

Gdzie znajdę przykładowy regulamin sklepu internetowego zgodny z RODO? regulaminy, Czy do IAI można się zgłosić w celu np. przejrzenia regulaminu sklepu pod kątem zgodności z RODO?

Najlepszym rozwiązaniem, które umożliwi przygotowanie właściwego regulaminu będzie kontakt z wyspecjalizowaną kancelarią prawną, a najlepiej kilkoma i weryfikacja zaproponowanych cen. Przy korzystaniu z gotowego przykładu istnieje spore ryzyko, że mogą zostać pominięte istotne kwestie charakterystyczne dla Państwa sklepu.

Przy zakładaniu sklepu na platformie IAI dostępny był‚ przykładowy regulamin sklepu internetowego, który każdy mógł‚ dopasować do własnych potrzeb. Czy moglibyście przygotować taki update do tego ogólnego regulaminu, uwzględniający RODO?

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13 i 14), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Jakie konkretne zapisy w regulaminie, polityce prywatności sklepu trzeba dodać w związku z wejściem RODO?

Pytanie jest zbyt ogólne. Aby móc na nie odpowiedzieć należałoby najpierw przeanalizować Państwa dotychczasowy regulamin i politykę prywatności sklepu pod tym kątem. Punktem wyjścia do zmian może być art. 13 RODO. Na pewno należy stworzyć nową podstronę z informacjami wymaganymi przez RODO, gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Czy wystarczy wysłać do baz klientów, których przenosiliśmy ze starego sklepu na platformę IAI (i co do których nie mamy pewności, kiedy i czy zapisali się dobrowolnie do newslettera) maila z informacją o zmianach w polityce prywatności i o możliwości wypisania się z newslettera/ze sklepu? Czy może w mailu takim powinna znaleźć się opcja buttonu, w który trzeba kliknąć (nie może być to domniemywanie, że klient nie wykonując żadnej akcji po otrzymaniu maila, że zgadza się nadal na wysyłanie mu mailingu)?

Do takich klientów mailing może być wysyłany w oparciu o art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora, czyli sklepu. Nie trzeba uzyskiwać/potwierdzać zgód na przetwarzanie danych w tym celu. Jednak do wszystkich osób z bazy należy wysłać informację o zmianach w polityce prywatności i informację o realizacji obowiązku informacyjnego, w szczególności poinformować o możliwości zgłoszenia sprzeciwu co do przetwarzania danych w celach marketingowych.

Newsletter a RODO - czy potrzebne są jakieś specjalne zapisy w regulaminie?

Newsletter można przesyłać do klientów na podstawie art. 6 ust. 1 lit. f RODO (tzw. prawnie uzasadniony interes administratora). Ma to zastosowanie do obecnych i przyszłych klientów. Dlatego nie ma konieczności pozyskiwania zgód na przetwarzanie danych w związku z newsletterem.

Czy jest konieczność rozsyłania maili do klientów z listy Newslettera z informacją o celu przetwarzania danych i informacją o możliwości wycofania zgody? Jaka powinna być treść tej informacji?

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Czy w miejsce wysyłki pytanie o zgodę dotychczas zebranych danych do newsletter możemy tę bazę skasować? czy musimy o tym informować klientów których dane skasowaliśmy?

Newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - zarówno do obecnych, jak i przyszłych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu.
Jedynie w razie skorzystania przez osobę, której dane dotyczą, z uprawnienia do:
1) sprostowania nieprawidłowych danych osobowych,
2) uzupełnienia niekompletnych danych osobowych,
3) usunięcia danych osobowych w ramach prawa do bycia zapomnianym,
4) ograniczenia przetwarzania danych osobowych,
Na administratorze danych ciąży obowiązek poinformowania każdego odbiorcy, któremu ujawniono dane osobowe, o dokonanej zmianie.

Czy checkboxy muszą być pod zapisem do newslettera? Czy wystarczy jeżeli w mailu w którym jest link do potwierdzenia zapisu do nsl jest informacja o tym, że zapisując się do niego wyraża zgodę i na co i kto jest administratorem danych?

Newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - tyczy się to zarówno obecnych, jak i przyszłych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu. Jeśli jednak u Państwa wykształciła się taka praktyka i chcecie ją Państwo kontynuować, możecie Państwo posłużyć się wzorem: "Wyrażam zgodę na przetwarzanie moich danych osobowych przez [...], [...], [...], tel.: [...], adres e-mail: [...], pełniącego funkcję administratora danych, w celach marketingu bezpośredniego oraz na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail newslettera. Oświadczam, iż zapoznałem/-łam się z informacjami dotyczącymi przetwarzania moich danych osobowych dostępnymi [tutaj] "-> link do podstrony, na której znajdą się informacje wymagane przez art. 13 RODO (obowiązek informacyjny)

Jakie rodzaje zgód (treści zgód) powinny być obecne na stronie sklepu internetowego zgodne z nowymi przepisami RODO i innymi przepisami. W szczególności: - 3 rodzaje zgód i wymaganych dla klientów otrzymujących Newsletter. Zgoda na przetwarzanie danych osobowych do celów marketingowych, zgodna na przesyłanie informacji handlowych środkami komunikacji elektronicznej, zgodna na wykorzystanie telekomunikacyjnych urządzeń końcowych (z art 172 prawa telekomunikacyjnego) - Zgoda na przetwarzanie danych osobowych dla klientów zakładających konto w sklepie. - Informacja o zapoznaniu się z regulaminem - Informacja o zapoznaniu się z prawem do odstąpienia od umowy - informacja o prawie do wycofania zgody na przetwarzanie danych - informacja o przekazywaniu danych dla np. Opineo. Czy każda zgoda powinna być osobna - z osobnych oknem ""check-box"". Jak to sformułować, aby proces składania zamówienia przez klienta nie składał‚ się z samych zgód?

Po pierwsze, co do zasady newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - tyczy się to obecnych i potencjalnych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu.
Po drugie zgoda musi być udzielona w formie oświadczenia lub wyraźnego działania (może być w formie check-boxa). Zgoda musi być udzielona jawnie i świadomie – nie może być w formie oświadczenia pośredniego; nie może być podpowiedzi na tak, osoba składająca oświadczenie musi samodzielnie wstawić „x” do okienka i następnie zatwierdzić udzielenie zgody, nie jest ważna zgoda domniemana udzielona w sposób pośredni – np. umieszczona w regulaminie, a złożenie oświadczenia musi być dobrowolne. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Cel przetwarzania musi być jasno i jednoznacznie określony. Możliwe jest zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach.
Jeżeli klient dokonuje zakupu bez zakładania konta i podaje swoje dane wyłącznie w celu zrealizowania umowy wtedy nie jest wymagane uzyskanie zgody na przetwarzanie jego danych. Jeżeli klient zakłada konto wtedy powinien wyrazić zgodę na przetwarzanie jego danych osobowych w tym konkretnym celu. Jeżeli wykorzystywany jest system OPINEO to również powinna być na to osobna zgoda klienta.

Czy trzeba zgody na przetwarzanie danych osobowych w celu realizacji zamówienia musi być w procesie składania zamówienia czy może być tylko w regulaminie?

Jeżeli klient dokonuje zakupu i podaje swoje dane wyłącznie w celu zrealizowania umowy wtedy nie jest wymagane uzyskanie zgody na przetwarzanie jego danych.

Gdzie dopisać informacje o możliwości usunięcia zgód (np. regulamin, polityka prywatności)?

Najlepiej jest informację o tym zamieścić w osobnej zakładce, np. "RODO".

Na czym dokładnie polega przetwarzanie danych osobowych określone jako "profilowanie sklepów internetowych Klienta w zakresie obsługi klienta i marketingu" tj. o jakie kategoria danych osobowych, jakie operacje przetwarzania chodzi, czy dane osobowe są w ramach tego powierzane subprocesorowi?

Tego typu profilowanie polega na automatycznej analizie lub prognozie zachowania danej osoby na stronie sklepu np. przez dodanie jakiegoś towaru do koszyka, przeglądanie konkretnego towaru w sklepie, analizę historii zakupów Klienta. Kategorie tych danych osobowych to dane identyfikujące Klienta (imię, nazwisko, e-mail, nr telefonu) oraz dane o jego preferencjach zakupowych. Operacje przetwarzania to przede wszystkim zbieranie tych danych, ich porządkowanie, przechowywanie, modyfikowanie i wykorzystywanie.

Czy firmy świadczące usługi internetowe np. takie gdzie mamy wykupioną usługę serwera pocztowego, są podmiotami przetwarzającymi dane?

Tak, dlatego będzie konieczne zawarcie umowy powierzenia przetwarzania danych.

Czy podpisujemy umowę z IAI o powierzenie przetwarzania?

Nie ma takiej potrzeby. Do zawarcia umowy powierzenia przetwarzania danych IAI S.A. dochodzi poprzez akceptację regulaminu usługi IdoSell Shop. Odpowiednie postanowienia dot. powierzenia są już zawarte w najnowszej wersji regulaminu.


Czy filtrowanie bazy danych w excelu jest automatycznym profilowaniem? Filtrując bazę po określonym profilu osoby i wysyłam do niej ręcznie maila z ofertą, czy to jest profilowanie automatyczne?

Takie działanie jest profilowaniem, ale zasadniczo nie jest zautomatyzowanym podejmowaniem decyzji, w tym na podstawie profilowania, chyba że ta baza w Excelu jest podpięta z jakimś większym systemem, który dokonuje automatycznie profilowania. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Zgodnie z tą definicją do profilowania dochodzi wtedy, gdy administrator dokonuje oceny jakichkolwiek czynników osobowych jednostki. Zautomatyzowane przetwarzane danych osobowych jest pojęciem znacznie szerszym niż „samo” profilowanie. Można powiedzieć, że w praktyce profilowanie stanowi swoistą podkategorię zautomatyzowanego przetwarzania danych. Profilowanie ma miejsce, kiedy administrator dokonuje oceny czynników osobowych jednostki zarówno w obecnej sytuacji, jak i prognoz określonego zachowania na podstawie zautomatyzowanego mechanizmu profilowania.

Czy usunięcie konta, którego może domagać się klient, spełnia obecnie wymagania RODO. Czy kliknięcie w panelu „usuń dane osobowe i zablokuj konto” nie zatrzymuje w pamięci systemu adresu e-mail i nie blokuje właśnie użytkownikowi dostępu do sklepu? Nie powinien on zostać przez sklep całkowicie wymazany z pamięci jeśli nie dokonywał nigdy zakupów? Podobnie po usunięciu i zablokowaniu zostaje po Kliencie ślad w postaci adresu dostawy klienta. Czy nie powinno to całkowicie zniknąć?

Klient ma możliwość skorzystania z prawa do usunięcia danych (tzw. prawa do bycia zapomnianym), ale administrator jego danych czyli sklep nie zawsze musi od razu wszystkie te dane faktycznie usunąć. Administrator może zachować niezbędne dane klienta jeszcze przez określony czas gdy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń, a także do wywiązania się z prawnych obowiązków nałożonych na administratora, a wymagających przetwarzania, np. prowadzenie dokumentacji księgowej, obsługa reklamacji. Co ważne klient może żądać usunięcia danych tylko w określonych przypadkach, np. wtedy, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane (zostało założone konto w sklepie, transakcja sfinalizowana, minęły terminy przedawnienia roszczeń, reklamacji i inne wynikające z przepisów – wtedy można całkowicie klienta usunąć z bazy na jego żądanie) albo wtedy gdy klient cofnął zgodę na przetwarzanie danych (a nie ma innej podstawy prawnej przetwarzania jego danych).

Czy IAI przewiduje mechanizm ponownego odebrania zgody marketingowej (wysyłka newsa z linkiem do ponownego wyrażenia zgody)?

O to powinien zadbać sklep indywidualnie, IAI nie planuje przygotowania na to osobnego mechanizmu.

Czy w ramach sklepu IAI jest opcja pseudonimizacji danych (np. użytkownik nie loguje się za pomocą loginu zawierającego email, ale jakiś inny identyfikator)?

Na platformie IAI nie ma takiej możliwości.

Czy musimy po 25 maja wymazać wszystkie dane wstecz np. powyżej 5 lat?

Po zakończeniu przetwarzania, dane powinny zostać usunięte. Należy jednak pamiętać, że przetwarzanie określonych danych osobowych może mieć kilka podstaw, a tym samym może zaistnieć konieczność ich przechowywania wynikająca z innych celów.

Co w przypadku kiedy klient poprosi o usuniecie jego danych, a po jakimś czasie zgłosi się z reklamacją, a my już nie posiadamy jego danych osobowych?

Zgodnie z RODO osoba, której dane dotyczą ma prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane. Niemniej dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń – w tym wypadku reklamacji. Czyli, dopóki klient ma prawo skorzystać z reklamacji są podstawy do przetwarzania jego danych w zakresie niezbędnym do jej uwzględnienia, nawet jeśli klient skorzystał z prawo do "bycia zapomnianym".

Czy osoba żądająca prawa do usunięcia danych musi otrzymać łatwy sposób np. przycisk do tego celu czy możemy opisać to jako wniosek wysyłany e-mailem?

Tak, można przygotować taki "przycisk".

Czym jest przedmiot przetwarzania i czym różni się od celu przetwarzania. Proszę o przykład?

Zbieranie danych osobowych powinno się odbywać w konkretnych, wyraźnych i prawnie uzasadnionych celach np. przeprowadzenia rekrutacji. Natomiast przedmiot przetwarzania powinien wskazywać ogólny cel, który ma być osiągnięty przez powierzenie przetwarzania danych osobowych (ze względu na który powierzenie przetwarzania danych stało się konieczne) np. prowadzenie księgowości przez biuro rachunkowe.

Jak RODO odnosi się do sytuacji, kiedy zmieniliśmy firmę tj. Posiadaliśmy sklep o nazwie X w firmie A. Zamknęliśmy firmę A i otworzyliśmy firmę B z tą samą działalnością jak A. Sklep internetowy X jest dokładnie taki sam jak był‚ wcześniej. Co w takim układzie powinno się stać z listą klientów, którzy zapisali się do newslettera, ale wtedy gdy istniała firma. Czy powinniśmy usunąć listę klientów, wysłać ponownie prośbę o zgody itp.?

Z wiadomości wynika, że nie było ciągłości (np. cesja, inny typ "następstwa" prawnego) między firmą A i firmą B dlatego należałoby o zaistniałej sytuacji poinformować klientów i w związku z faktem, że jest nowy administrator danych, to powinien on zebrać od nich zgody wraz z przekazaniem im właściwego obowiązku informacyjnego. Warto jednak zaznaczyć, że co do zasady sam newsletter można przesyłać do klientów w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora i w związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym konkretnym celu.

Pytanie głównie w kwestii remarketingu, reklamy adwords i facebook ads. Współpracuję z agencją, która prowadzi dla mojego sklepu kampanie internetowe. Czy muszę z nimi podpisywać jakieś umowy, czy w związku z RODO musimy dodawać jakieś nowe zapisy w regulaminie / polityce prywatności?

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku.
CO do firm zajmujących się remarketingiem, jeśli udostępniane są im dane osobowe, wówczas należy zawrzeć mowę powierzenia.

Czy klient musi wyrazić wcześniej zgodę na remarketing, odzyskiwanie koszyków, które obecnie jest robiony przez firmy zewnętrzne np. Criteo czy RTB House?

W przypadku korzystania z remarketingu czy też retargetingu, klient może wnieść sprzeciw wobec takich działań, jednak nie musi wyrażać na nie uprzednio zgody.

Czy zgody klientów muszą mieć określony czas trwania zgody na przetwarzanie danych do celów marketingowych?

Dane osobowe są przetwarzane na podstawie zgody wyłącznie przez czas trwania udzielonej zgody czyli najczęściej do jej odwołania lub do ustania celu w jakim była zbierana (np. klient zlikwiduje konto). Nie trzeba więc w klauzuli zgody ograniczać czasu jej trwania.

Czy muszę mieć zarchiwizowane (np. elektronicznie) potwierdzenia na zgodność przetwarzania danych klienta np. na newsletter, jako dowód w razie kontroli, że dany klient udzielił‚ nam zgody? Czy wystarczy, że mamy checkboxy przy zapisie?

Fakt uzyskania zgody powinien być możliwy do udowodnienia. Obowiązek ten wpisuje się w zasadę rozliczalności wskazanej w RODO. W przypadku odbierania zgód w formie elektronicznej za pomocą checkboxa, system informatyczny powinien zapisywać adres IP oraz datę zaznaczenia checkboxa.

Czy w związku ze zbieraniem informacji (Analytisc) o ruchu w sklepie internetowym, powinniśmy dodatkowo informować klientów o tym, że ich dane są zbierane, pomimo tego że klient nie dokonuje żadnych zakupów?

Tak, powinna to być informacja o cookies przy wejściu na stronę sklepu i z linkiem do Polityki cookies. Jeśli chodzi o Google Analytics, Google ma status przetwarzającego dane osobowe, które są obsługiwane w usłudze. Należy poinformowania użytkowników o tym, że ich dane są zbierane w celu ich "śledzenia" nawet jeśli nie dokonują zakupów. Dodatkowo pojawiła się konieczność ustawienia czasu przechowywania danych. Jeżeli użytkownik nie odwiedził Państwa witryny w wybranym okresie (np. 14, 26, 38 lub 50 miesięcy), jego dane zostaną usunięte w kolejnym miesiącu podczas automatycznego procesu usuwania.

Czy są jakieś kryteria kim może lub nie może być IOD?

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań do których jest zobowiązany. Inspektor może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. IOD nie mogą być członkowie zarządu i np. informatyk, który jest jedynym kierownikiem w dziale IT, który ma dobierać metody zabezpieczeń.

Czy inspektor danych osobowych musi przejąć certyfikowane szkolenie?

Nie musi. Zgodnie z RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań do których został powołany.

Jak formalnie powołać IOD w firmie? Jakieś pismo? Umowa z tą osobą? Jakie kwalifikacje musi posiadać taka osoba?

Zgodnie z RODO inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Inspektor jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań do których został powołany.

W modelu dropshippingowym, gdzie sklep przesyła zamówienie do realizacji przez hurtownię - kto jest administratorem danych?

W przypadku sklepu internetowego zlecającego realizację zamówienia innemu podmiotowi administratorem danych będzie co do zasady sklep internetowy, w którym klient zamawia towar. To sklep decyduje o celach przetwarzania danych i wdrożonych środkach bezpieczeństwa, w tym o tym, kto będzie wysyłał towary.

Czy w przypadku droppshippingu jest konieczne zawarcie umowy z firmą, która wysyłka towar bezpośrednio do naszego klienta?

Tak, warunkiem przekazania danych klienta swojemu podwykonawczy będzie zawarcie pisemnej umowy spełniającej warunki o których mowa w art. 28 RODO.

Co w przypadku prowadzenia jednoosobowej działalności gospodarczej, gdzie zlecenia kompletacyjne z etykietami adresowymi są wysyłane do magazynu wynajętego (zewnętrzny podmiot). Pytanie: czy na styku jednoos. dział. gospod. i zewnętrzny magazyn musi powstać procedura, zasada, etc. uwzględniająca zasady RODO?

W tym przypadku należy zawrzeć umowę powierzenia przetwarzania pomiędzy administratorem (1-os działalność) a magazynem.

Rodo dotyczy tylko osób fizycznych, wszystkie te przepisy nie dotyczą kontaktów między firmami, podmiotami prawnymi?

Przede wszystkim zależy to od tego z jaką firmą, przedsiębiorcą mamy do czynienia. RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Jednak w przypadku jednoosobowej działalności gospodarczej imię, nazwisko osoby ją prowadzącej, nazwa firmy, e-mail, nr telefonu, NIP, REGON, adres siedziby i wiele innych informacji są danymi osobowymi w rozumieniu RODO. Tym samym podmioty, które wykorzystują dane osobowe osób prowadzących jednoosobowe działalności gospodarcze są administratorami tych danych. Dane osób fizycznych wchodzących w skład struktury osoby prawnej również mogą być danymi osobowymi.

Pracownicy sklepu na samozatrudnieniu - trzeba z nimi podpisać umowę powierzenia przetwarzania czy upoważnienie do przetwarzania danych?

Wszystko zależy od szczegółów danej współpracy. Jeżeli jest to stała współpraca, gdzie samozatrudniony jest freelancerem, to właściwsze będzie nadanie upoważnienia. Jeśli osoba fizyczna prowadząca działalność gospodarczą w praktyce prowadzi przedsiębiorstwo, zatrudnia współpracowników i nie jest Pan jej jedynym kontrahentem to wtedy właściwa będzie umowa powierzenia.

Czy kontrole będą zapowiedziane jak to miało miejsce w GIODO?

Urząd Ochrony Danych Osobowych może uprzedzić o tym fakcie, nie ma jednak takiego obowiązku.

Czy RODO nakłada obowiązek sprawdzenia czy dane klienta są prawidłowe i jak to zrobić?, co w sytuacji, gdy klient podaje nam fałszywe dane?

RODO nie zajmuje się tymi zagadnieniami. Jedynie osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania danych w przypadku, gdy kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych.

Inteligentny system rekomendacji produktowych IAI RS a RODO

W jaki sposób konsument będzie mógł zrezygnować ze zbierania informacji o sobie??

Wystarczy zablokować cookies w przeglądarce.

Jakie dokładnie dane behawioralne zbiera system IAI RS?

System zbiera dane o interakcjach z towarami (wyświetlenia produktu, dodanie do porównania, dodanie do ulubionych, dodanie do koszyka, ocena produktu, zamówienie towaru).

Czy zebrane dane behawioralne będą zapisywane na karcie klienta?

Nie, dane są przekazywane do nie są przechowywane w bazie sklepu i nie widać ich na karcie klienta.

Co w przypadku, gdy konsument nie ma jeszcze u nas konta? Gdzie te dane będą zbierane i jakie to będą dane? Czy dane zebrane w ten sposób zostaną połączone z kontem, które np. zostanie założone w późniejszym czasie?

Jeśli klient nie ma konta zbieramy dane dla anonimowego klienta i wiążemy je z cookie ustawionym na urządzeniu klienta. W momencie rejestracji/złożenia łączymy wcześniej zarejestrowane dane behawioralne z klientem, który zarejestrował się.

Czy na bazie zebranych informacji można zidentyfikować osobę?

Identyfikacja osoby jest niemożliwa. Nie przechowujemy IP ani żadnych danych osobowych. IAI RS posiada tylko id klienta, identyfikatory zamówionych przez niego towarów oraz numer zamówienia.

Użytkownik ma możliwość wycofania zgody. W jaki sposób technicznie zrobić to na platformie IdoSell Shop? Do usunięcia informacji o newsletterze jest checkbox. Jak użytkownik miałby wycofać zgodę na profilowanie?

Jeżeli chodzi o profilowanie, szczególnie jeżeli wykorzystujemy system IAI RS, to konieczne jest jedynie poinformowanie o tym kupującego np. regulaminie. Zapisanie, że sklep w celu lepszej obsługi klienta, lepszego dopasowania oferty wykorzystuje systemy rekomendujące, których ideą jest to, że profilują klienta w kontekście jego preferencji zakupowych.