FAQ - RODO - najczęściej zadawane pytania o ochronę danych osobowych

Czy w związku z wejściem RODO jesteśmy zmuszeni do jakichś samodzielnych zmian na naszej stronie czy zostają one wprowadzane jakoś automatycznie przez Państwa do wszystkich klientów?

RODO nakłada obowiązki na obie strony - sklep internetowy i firmę, której zostało powierzone przetwarzanie danych, czyli nas (IAI). To rozwiązuje wiele problemów w zakresie technicznego przetwarzania danych jak zabezpieczenie, back-upy czy privacy-by-design, ale po stronie sklepu internetowego jest kwestia przygotowania swoich procedur, opisania ich i wdrożenia, powołania Inspektorów Ochrony Danych. My (IAI) nie możemy wnikać tak głęboko w procedury w sklepach.



Czy jeżeli nie jestem pewny czy umowę papierową Państwu dostarczyliśmy to mogę gdzieś to sprawdzić czy muszę się bezpośrednio z Państwem skontaktować w celu weryfikacji?


W tej sprawie najlepiej wysłać do nas komunikat.

Czy oferowany przez Państwa certyfikat różni się czymś od certyfikatów SSL oferowanych przez konkurencyjne firmy?

W naszej ofercie posiadamy kilka rodzajów certyfikatów SSL. W zależności od potrzeb sklepu internetowego można wybrać dla sklepu najodpowiedniejszy. Dla mniejszych sklepów polecamy Certyfikat Commercial SSL, a dla większych sklepów Certyfikat Commercial Wildcard SSL.

Czy posiadanie certyfikatu SSL na stronach, gdzie się nie wpisuje swoich danych osobowych jest konieczne?

Nie, ale jest wysoce wskazane. Raz, że jest to coś na co każdy zwraca uwagę od konkurencji, przez urzędy po kupujących. Po drugie jest niezwykle korzystne z punktu widzenia SEO. Dlatego tak czy inaczej warto mieć certyfikat SSL na każdej stronie.


Czy w związku z RODO będą konieczne zmiany w maskach, jakich do tej pory nie było?

Nie przewidujemy zmian w maskach w związku wejściem RODO.

Czy dane klientów z Unii Europejskiej przechowywane są terenie UE?

Wszystkie dane klientów z Unii Europejskiej, są przechowywane na terenie Unii Europejskiej, na ten moment dane są przechowywane na terytorium Polski.

Jak mają się zasady RODO do składania zamówienia "bez rejestracji" i tego, że na platformie IAI z punktu widzenia panelu administracyjnego takie zamówienie nie różni się absolutnie niczym od zwykłego i administrator danych nie wie, że klient w ogóle użył takiej opcji??

Zamówienie bez rejestracji traktowane jest tak samo jak każde inne zamówienie: klient nie zakłada konta, ale przekazuje swoje dane w celu realizacji transakcji, pozwala na przetwarzanie danych i akceptuje standardowy regulamin. Tak czy inaczej te dane gdzieś trzeba zapisać aby je przetworzyć celem realizacji zamówienia. Nie ma tu różnicy, zasady są takie same.

Czy wysyłanie prośby o ocenę produktów (z systemu IAI) jest zgodne z RODO?

Tak, o ile taki ogólnie pozwalający nam na to zapis będzie w regulaminie, który zaakceptuje klient. Ocena produktów lub całego procesu zakupowego może być naturalnym elementem walidacji lub ewaluacji doświadczenia zakupowego i w tym zakresie przetwarzanie danych osobowych wydaje się mieć biznesowe uzasadnienie.

Czy wymagana jest informacja w "regulaminach" aukcji np. na eBay czy Allegro o tym, że dane przetwarzane są przez IAI?

O ile to nie łamie regulaminu Allegro lub eBay można wskazać z jakiego oprogramowania korzysta sklep do procesowania transakcji.

Czy jako sklep internetowy musimy mieć dodatkową podpisaną umowę z IAI, jako że też macie Państwo dostęp do naszej bazy danych?

Nie, nie ma takiej potrzeby. Wszystko załatwiane jest przez nasz Regulamin i łączącą nas Umowę. Jej ostatnie oraz kolejne planowane zmiany definiują zasady naszej współpracy.

Czy do IAI można się zgłosić w celu np. przejrzenia regulaminu sklepu pod kątem zgodności z RODO?

Polecamy raczej kontakt z wyspecjalizowaną kancelarią prawną, a najlepiej kilkoma i weryfikację cen. W tej chwili na rynku jest wiele wyspecjalizowanych firm, a my nie możemy świadczyć porad prawnych.

Czy skoro mam dane osobowe klientów w moim systemie zarządzania przedsiębiorstwem / obsługi transakcji, ale są przekazane tam za pośrednictwem IAI / Allegro to jestem ich administratorem? W panelu administracyjnym IAI przechowywane są dane osobowe klientów sklepu oraz dane osób, które robiły zakupy poprzez Allegro, Amazon i Ebay. Czy informację mailową należy wysłać również do takich osób? Dane klientów z Allegro są pobierane do IAI bez wiedzy takiego klienta, podobnie dane klientów z serwisów zagranicznych. Jeśli do tych osób nie należy wysyłać powiadomień mailowych, to w jaki sposób w IAI odfiltrować klientów sklepu, a jak klientów np. z Allegro. Z tego co się orientuje nie ma takiej możliwości w IAI...

Tak, system w jakim pozyskujemy dane nie ma znaczenia. Może je dostać na kartce, telefonicznie lub przez wymianę informacji przez API. Ważne jest to, kto ostatecznie przetwarza dane, a nie jakiego narzędzia używa. Na sklepie który jest administrator tych danych sklep ciąży obowiązek, wysłania informacji do wszystkich klientów.

Co ze zgodą na przetwarzanie danych klienta, któremu wysyłamy przesyłkę, od innego kupującego jak na przykład prezent "zakupy jako prezenty"

W takiej sytuacji nie jest potrzebna zgoda ani Państwa klienta, ani faktycznego adresata przesyłki. Państwa Klientem jest kupujący i jego dane osobowe, które Państwu ujawnia przetwarzane są jako niezbędne do wykonania umowy (art. 6 ust. 1 lit. b RODO). Jeśli chodzi o dane faktycznego adresata przesyłki, to mamy tutaj do czynienia z sytuacją, w której to kupujący je Państwu przekazuje, a więc danych osobowych nie pozyskano od osoby, której dane dotyczą. Wobec tego przetwarzanie tych danych nie może być oparte o art. 6 ust. 1 lit. b RODO, ponieważ faktyczny adresat nie jest stroną umowy z Państwem. Niemniej wciąż realizują Państwo zobowiązanie wynikające z zawartej umowy z klientem, więc można zastosować tutaj art. 6 ust. 1 lit. f RODO, czyli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora, czyli sklepu.

Czy podpisujemy umowę z IAI o powierzenie przetwarzania?

Do zawarcia umowy powierzenia przetwarzania danych IAI S.A. dochodzi poprzez akceptację regulaminu usługi IdoSell Shop. Odpowiednie postanowienia dot. powierzenia są już zawarte w najnowszej wersji regulaminu. Nie jest konieczne w tym celu "fizyczne" podpisywanie umowy z IAI S.A.

Czy i w jakim zakresie zmieni się treść zgód na otrzymywanie newslettera?

Co do zasady newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - tyczy się to zarówno obecnych, jak i potencjalnych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu. Jeśli jednak u Państwa wykształciła się taka praktyka i chcecie ją Państwo kontynuować, możecie Państwo posłużyć się następującym wzorem: "Wyrażam zgodę na przetwarzanie moich danych osobowych przez [...], [...], [...], tel.: [...], adres e-mail: [...], pełniącego funkcję administratora danych, w celach marketingu bezpośredniego oraz na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail newslettera. Oświadczam, iż zapoznałem/-łam się z informacjami dotyczącymi przetwarzania moich danych osobowych dostępnymi [tutaj] "-> link do podstrony, na której znajdą się informacje wymagane przez art. 13 RODO (obowiązek informacyjny)

Czy w najnowszych maskach STANDARD są odpowiednie checkboxy zgodne z RODO?

Tak, w maskach STANDARD są odpowiednie checkboxy zgodne z RODO. Więcej informacji o zmianach w maskach STANDARD po kliknięciu w link

Czy do IAI można się zgłosić w celu np. przejrzenia regulaminu sklepu pod kątem zgodności z RODO?

W tego rodzaju przypadkach prosimy o kontakt z prawnikami, którzy zajmują się tego rodzaju sprawami.

Czy IAI udostępni jakąś dodatkową opcję równie łatwego wycofania zgody jak jej wyrażenie?

W zakresie zgody udzielanej na otrzymywanie newslettera taki mechanizm już istnieje. przykładowo -> https://electropoland.pl/newsletter.php

Obowiązek informacyjny w regulaminie, na podstronie z polityką ochrony danych czy indywidualnie wysyłać do każdego klienta?

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Jak zmienić należy regulamin sklepu internetowego w związku z RODO?

Jest to zbyt ogólne pytanie. Aby na nie odpowiedzieć należałoby najpierw przeanalizować Państwa regulamin pod tym kątem. Punktem wyjścia do zmian może być art. 13 RODO.

Czy regulaminy sklepów IAI zostały przez Państwa dostosowane jeżeli chodzi o nowe zapisy?

IAI S.A. nie dostosowuje regulaminów sklepów do RODO - ten obowiązek ciąży na właścicielach sklepów.

Czy wystarczy wysłać do baz klientów, których przenosiliśmy ze starego sklepu na platformę IAI (i co do których nie mamy pewności, kiedy i czy zapisali się dobrowolnie do newslettera) maila z informacją o zmianach w polityce prywatności i o możliwości wypisania się z newslettera/ze sklepu? Czy może w mailu takim powinna znaleźć się opcja buttonu, w który trzeba kliknąć (nie może być to domniemywanie, że klient nie wykonując żadnej akcji po otrzymaniu maila, że zgadza się nadal na wysyłanie mu mailingu)?

Do takich klientów mailing może być wysyłany w oparciu o art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora, czyli sklepu. Nie trzeba uzyskiwać/potwierdzać zgód na przetwarzanie danych w tym celu. Jednak do wszystkich osób z bazy należy wysłać informację o zmianach w polityce prywatności i informację o realizacji obowiązku informacyjnego, w szczególności poinformować o możliwości zgłoszenia sprzeciwu co do przetwarzania danych w celach marketingowych.

Inteligentny system rekomendacji produktowych IAI RS a RODO

W jaki sposób konsument będzie mógł zrezygnować ze zbierania informacji o sobie??

Wystarczy zablokować cookies w przeglądarce.

Jakie dokładnie dane behawioralne zbiera system IAI RS?

System zbiera dane o interakcjach z towarami (wyświetlenia produktu, dodanie do porównania, dodanie do ulubionych, dodanie do koszyka, ocena produktu, zamówienie towaru).

Czy zebrane dane behawioralne będą zapisywane na karcie klienta?

Nie, dane są przekazywane do nie są przechowywane w bazie sklepu i nie widać ich na karcie klienta.

Co w przypadku, gdy konsument nie ma jeszcze u nas konta? Gdzie te dane będą zbierane i jakie to będą dane? Czy dane zebrane w ten sposób zostaną połączone z kontem, które np. zostanie założone w późniejszym czasie?

Jeśli klient nie ma konta zbieramy dane dla anonimowego klienta i wiążemy je z cookie ustawionym na urządzeniu klienta. W momencie rejestracji/złożenia łączymy wcześniej zarejestrowane dane behawioralne z klientem, który zarejestrował się.

Czy na bazie zebranych informacji można zidentyfikować osobę?

Identyfikacja osoby jest niemożliwa. Nie przechowujemy IP ani żadnych danych osobowych. IAI RS posiada tylko id klienta, identyfikatory zamówionych przez niego towarów oraz numer zamówienia.

Użytkownik ma możliwość wycofania zgody. W jaki sposób technicznie zrobić to na platformie IdoSell Shop? Do usunięcia informacji o newsletterze jest checkbox. Jak użytkownik miałby wycofać zgodę na profilowanie?

Jeżeli chodzi o profilowanie, szczególnie jeżeli wykorzystujemy system IAI RS, to konieczne jest jedynie poinformowanie o tym kupującego np. regulaminie. Zapisanie, że sklep w celu lepszej obsługi klienta, lepszego dopasowania oferty wykorzystuje systemy rekomendujące, których ideą jest to, że profilują klienta w kontekście jego preferencji zakupowych.