Wszystkie kolekcje
KWESTIE PRAWNE I ADMINISTRACYJNE
RODO
Bądź zgodny z prawem wdrażając edrone
Bądź zgodny z prawem wdrażając edrone

Wskazówki i kroki jakie powinien wykonać sklep przed wdrożeniem narzędzia edrone

Wioleta Jednaka avatar
Napisane przez Wioleta Jednaka
Zaktualizowano ponad tydzień temu

Prawo e-commerce rozwija się tak szybko, jak możliwości prowadzenia Twojego biznesu. Wiemy, że czasami trudno za wszystkim nadążyć. Ten artykuł to krótki przewodnik po tym, jak działać legalnie prowadząc sklep internetowy i wdrażając edrone.

RODO w e-commerce

Obowiązujące od 2018 roku rozporządzenie RODO regulujące kwestię prywatności danych osobowych, na dobre utrwaliło się w naszej świadomości prawnej, dlatego

w tym artykule nie będziemy skupiać się na teorii, a jedynie przedstawimy Ci wskazówki i kroki, jakie powinieneś wykonać jako właściciel sklepu internetowego przed wdrożeniem edrone.

To Ty jesteś administratorem danych

Prowadząc sklep internetowy, sam decydujesz jakie dane osobowe swoich klientów będziesz pozyskiwał, w jaki sposób, do czego będziesz je wykorzystywać i komu będziesz te dane przekazywać (np. do edrone w związku z naszą współpracą) - to właśnie te elementy czynią Cię administratorem danych osobowych swoich klientów.

Jako Administrator danych osobowych powinieneś:

  • dbać, aby przetwarzać dane osobowe klientów zgodnie z prawem
    Kwestię przetwarzania danych reguluje rozporządzenie RODO, w ograniczonym zakresie ustawa o ochronie danych osobowych i inne akty, ale to RODO jest podstawą prawną, którą trzeba znać (PAMIĘTAJ - zgodnie z RODO wszystkie operacje na danych osobowych będą ich “przetwarzaniem” np. kiedy pozyskujesz dane osobowe klienta na potrzeby wysyłki newslettera, albo wysyłasz do klienta wiadomość związaną z procesem zakupowym - przetwarzasz jego dane);

  • spełnić obowiązek informacyjny wobec swoich klientów
    Czyli poinformować kto będzie przetwarzał ich dane, na jakiej podstawie, w jakim celu, czy będą przekazywane innym podmiotom (np. edrone), czy będą przesyłane do państw trzecich itd. (tutaj tylko sygnalizujemy ten problem-zagadnienie obowiązku informacyjnego reguluje art. 13 RODO);

  • dbać o bezpieczeństwo danych
    To Ty wdrażasz odpowiednie rozwiązania, żeby dane Twoich klientów były bezpieczne, to Ty prowadzisz wymaganą dokumentację, a jeżeli coś się stanie z danymi Twoich klientów - to Ty możesz być za to odpowiedzialny

Twoje obowiązki jako Administratora danych osobowych reguluje art. 24 RODO.

To przepis, który musisz znać.

Od czego zacząć?

Na początku przeczytaj art. 13 i 24 RODO. Przejrzyj swoją dokumentację RODO-zwróć szczególną uwagę na swoją politykę prywatności. Pewnie zauważyłeś, że większość stron internetowych posiada polityki prywatności. Co ciekawe, obowiązek stworzenia takiego dokumentu nie wynika bezpośrednio z przepisów. Przyjęło się jednak, że zamiast tworzyć kilka oddzielnych dokumentów dotyczących przetwarzania danych osobowych i innych obowiązków wynikających z obowiązujących regulacji prawnych-tworzymy jeden dokument, kompleksowo regulujący wszystkie te kwestie.

Strony, które nie przetwarzają danych osobowych, nie muszą martwić się o zgodność z RODO i nie będą musiały przygotowywać polityki prywatności.

Ty jednak jako właściciel sklepu internetowego będziesz przetwarzał dane osobowe klientów np. przez:

  • zbieranie zapisów do newslettera;

  • zbieranie zapisów do klubów lojalnościowych, klubu stałego klienta itp.;

  • sprzedaż swoich produktów;

  • kontakt z klientem za pośrednictwem formularzy;

  • możliwość dodania opinii o produktach przez klientów;

  • działania związane z analityką ruchu na stronie internetowej, pliki cookies
    i inne pliki śledzące (przygotowaliśmy dla Ciebie oddzielny artykuł dotyczący plików cookies).

Dla komfortu i zgodności z prawem warto zadbać o przejrzystą, kompleksową i aktualizowaną na bieżąco politykę prywatności.

O niezbędnych zmianach w polityce prywatności związanych z korzystaniem z edrone napiszemy w dalszej części artykułu.

Zgody marketignowe (RODO i inne przepisy)

Nie można wyobrazić sobie prowadzenia sklepu internetowego bez efektywnych działań marketingowych. Większość z nich (np. wysyłka newslettera) będzie wiązała się z przetwarzaniem danych osobowych-czyli będziemy działać w oparciu o RODO, ale nie tylko RODO, bo konieczność uzyskania zgody na większość działań marketingowych wynika z prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną.

Według RODO każda operacja przetwarzania danych osobowych wymaga odpowiedniej podstawy prawnej (art. 6 ust. 1 RODO). Mówiąc prosto-cokolwiek robimy z danymi osobowymi naszych klientów musimy oprzeć nasze działania o przesłanki wymienione w powyższym przepisie RODO. Najbardziej znana przesłanka to zgoda na przetwarzanie danych osoby, której dane dotyczą, ale są też inne - np. prawnie uzasadniony interes Administratora, albo realizacja umowy.

Pamiętaj! Zanim zaczniesz przetwarzać dane osobowe klientów, sprawdź w art. 6 RODO, jaka przesłana tam wymieniona będzie odpowiadała Twoim działaniom. Bez tego nie możesz legalnie przetwarzać danych swoich klientów.

Logicznym byłoby, gdyby odpowiednią podstawą przetwarzania danych na potrzeby marketingu bezpośredniego była zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit a) RODO) - ale to byłby błąd!

Właściwą przesłanką przetwarzania danych marketingowych - jest Twój uzasadniony interes (art. 6 ust. 1 lit. f RODO) - czyli w świetle RODO możemy przetwarzać dane osobowe klientów na podstawie przesłanki uzasadnionego interesu Administratora.

To już wiemy - teraz musimy zapamiętać, że poza RODO, istotne w kontekście marketingu bezpośredniego, są regulacje wynikające z prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną.

Co to dla nas oznacza? Najprościej mówiąc jeżeli chcemy wysłać informację o charakterze marketingowym w większości przypadków - będziemy potrzebować zgody klienta.

Zapamiętaj! Wysyłki marketingowe mogą wymagać uzyskania zgody klienta (nie wynika to z RODO, ale z innych obowiązujących przepisów - przepisy prawa komunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną.

Jakie warunki powinna spełniać zgoda marketingowa

Aby, zgoda klienta na otrzymywanie od nas treści o charakterze marketingowym była legalna musi być:

  • DOBROWOLNA - klient musi mieć możliwość odmowy otrzymywania treści marketingowych;

  • KONKRETNA - klient musi wiedzieć na jakie działania marketingowe się zgadza i jaki jest ich zakres (nie zbieramy zgód ogólnych, blankietowych, mylących dla klienta);

  • ŚWIADOMA - klient musi wiedzieć na co tak naprawdę wyraża zgodę;

  • JEDNOZNACZNA- wyraźne działanie potwierdzające klienta (checkboxy nie mogą być już domyślnie zaznaczone, tym samym nie pozostawiając możliwości ich samodzielnego zaznaczenia);

  • WYRAŻONA W FORMIE OŚWIADCZENIA LUB WYRAŹNEGO DZIAŁANIA POTWIERDZAJĄCEGO - prowadząc sklep musisz wykazać, że klient naprawdę wyraził zgodę na marketing (w przypadku kontroli to Ty będziesz musiał wykazać, że zgody były prawidłowo zebrane).

W skrócie nie możemy mieć żadnych wątpliwości, że klient chce otrzymywać od nas treści marketingowe.

Wskazówki dotyczące zgody na marketing

  • zgody formułujemy jak najprostszym językiem;

  • w klauzuli zgody dodajemy informację, o tym, że może być wycofana
    w dowolnym momencie

WAŻNE! Wycofanie zgody musi być tak łatwe, jak jej udzielenie - nie utrudniajmy klientom możliwości wycofania zgody

  • przy pozyskiwaniu zgody stosuj model Double Opt - In (w dalszej części artykułu dowiesz się o jego zaletach);

  • pamiętaj, że obowiązek informacyjny (art. 13 RODO) możesz zrealizować warstwowo (przez odesłanie np. do swojej polityki prywatności dostępnej na Twojej stronie).

Przykładowe klauzule zgody marketingowej

Poniżej przedstawiamy przykład klauzuli zgody marketingowej, która może być wykorzystana przy zakładaniu konta w sklepie:

⬜ Oświadczam, że mam ukończone 16 lat (*16 lat to minimalny wiek osoby,

która zgodnie z RODO może wyrazić zgodę na przetwarzanie swoich danych), znam i akceptuję postanowienia Regulaminu (link) oraz Polityki Prywatności (link) (“pole obowiązkowe”)

⬜ Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowych i otrzymywanie informacji handlowych od [nazwa_sklepu] z wykorzystaniem dobrowolnie wpisanych przeze mnie telekomunikacyjnych urządzeń końcowych (np. telefon) oraz środków komunikacji elektronicznej (np. SMS lub e-mail). (“pole opcjonalne”)

Aktualizacja polityki prywatności

W artykule, mówiliśmy już, że polityka prywatności to miejsce, które kompleksowo reguluje kwestie związane z przetwarzaniem danych i innymi obowiązkami wynikającymi z przepisów związanymi z prowadzeniem sklepu, dlatego proponujemy, dodanie takiego fragmentu do Twojej Polityki Prywatności:

Na podstawie tej zgody będziemy mogli skontaktować się z Tobą za pośrednictwem np. telefonu, SMS czy poczty elektronicznej (w zależności od tego jakie dane nam podasz przy rejestracji) w celu promocji usług lub towarów [nazwa_sklepu] w tym m.in. przedstawienia informacji o aktualnych promocjach czy akcjach marketingowych. W dowolnym momencie możesz zrezygnować z otrzymywania informacji handlowych od [nazwa_sklepu] wycofując zgodę.

Przykładowe zgody marketingowe dot. zapisu do newslettera

Działania marketingowe bardzo często są prowadzone za pośrednictwem Newslettera. Poniżej przedstawiamy przykład zgody marketingowej dotyczącej zapisu do Newslettera:

Wyrażam zgodę na przetwarzanie moich danych osobowych przez XYZ w celu otrzymywania informacji marketingowych o produktach i usługach za pomocą środków komunikacji elektronicznej (e-mail). O zasadach przetwarzania Twoich danych dowiesz się w naszej Polityce Prywatności (LINK)

lub

Wyrażam zgodę na otrzymywanie bezpłatnych informacji informacji handlowych i marketingowych w formie newslettera na zasadach określonych w Regulaminie (link) / polityce prywatności (link)

WAŻNE! Od stycznia 2023 roku przy formułowaniu checkboxa dotyczącego zapisu do Newslettera musimy uwzględnić przepisy Dyrektywy Omnibus.

Więcej informacji na temat Dyrektywy OMNIBUS i Zapisu do Newslettera znajdziesz tutaj: https://help.edrone.me/pl/articles/6819403-dyrektywa-omnibus-zapis-do-newslettera-2023

Single opt-in, double opt-in - który model wybrać budując bazę odbiorców?

Budując bazę odbiorców Newslettera możesz skorzystać z następujących modeli zapisu:

  1. DOUBLE OPT- IN - klient otrzyma wiadomość z linkiem aktywującym subskrypcję Newslettera tzw. wiadomość z potwierdzeniem rejestracji;

  2. SINGLE OPT- IN- klient zostanie natychmiast dodany do bazy Newslettera bez konieczności potwierdzenia subskrypcji w wiadomości aktywującej.

Rekomendujemy wybór modelu Double Opt - in - polegającego na tym, że po wpisaniu w formularz zapisu do Newslettera danego adresu email, do użytkownika, zostanie wysłana automatycznie generowana wiadomość z linkiem aktywacyjnym. Po kliknięciu w otrzymany link użytkownik zostanie dodany do Twojej bazy subskrybentów.

WAŻNE: Model zapisu DOUBLE OPT-IN to model uznawany za bezpieczny z punktu widzenia przetwarzania danych i zgodności z prawem.

Jak powinna wyglądać wiadomość z potwierdzeniem rejestracji?

Przedstawiamy przykładową treść maila (w modelu double opt-in) - Wiadomość z potwierdzeniem rejestracji:

Super! Już prawie się zapisałeś do naszego wyjątkowego newslettera. Zanim klikniesz w link aktywacyjny, zapoznaj się z tymi informacjami (link do Polityki Prywatności).

Pamiętaj, że Administratorem Twoich danych jest: XYZ z siedzibą w K.

Zawsze możesz poprawić, sprostować swoje dane, cofnąć zgodę w dowolnym momencie, a nawet żądać przeniesienia lub usunięcia danych. Lista podmiotów, którym powierzamy Twoje dane jest tutaj. Robimy to po to, aby świadczyć swoje usługi jak najlepiej. Twoje dane będą przechowywane tak długo, jak to będzie niezbędne, aby zabezpieczyć Twoje prawa (np. okres rękojmi lub przedawnienia, gdy kupujesz produkt). Jeżeli masz jakiekolwiek pytania lub wątpliwości, pisz do nas na maila rodo@xyz.com. Twoje bezpieczeństwo i zaufanie jest dla nas najważniejsze!

P.s. Pamiętaj, że zawsze możesz wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie

Bazę klientów buduj legalnie

Przedstawione przez nas rozwiązania dotyczące budowania bazy klientów (model Double Opt-in, wytyczne dotyczące zgód marketingowych, proponowane aktualizacje polityki prywatności) mają pomóc Ci zbudować bazę klientów bezpiecznie i zgodnie z przepisami.

WAŻNE: Używanie kupionych baz klientów jest niebezpieczne i może narazić Cię na kontrole, kary pieniężne, a nawet postępowanie w sądzie.

Aktualizacja polityki prywatności przy rozpoczęciu korzystania z edrone

Mówiliśmy już o tym, że podstawowym dokumentem, w którym możesz umieścić wszystkie prawnie obowiązkowe treści jest Polityka Prywatności.

Pamiętaj, że Polityka Prywatności powinna być dostosowana do indywidualnych potrzeb Twojego sklepu i ma służyć przede wszystkim Tobie i Twoim klientom - dlatego zdecydowanie odradzamy korzystanie z gotowych wzorów tych dokumentów lub kopiowanie ich ze stron innych sklepów. Nie ma jednego wzoru polityki prywatności - przepisy zawierają jedynie wskazówki co do treści takiego dokumentu.

Pamiętaj! Zgodnie z RODO - edrone będzie procesorem - podmiotem, któremu przekazujesz dane osobowe swoich klientów, w związku ze świadczeniem przez edrone usług dla Ciebie. Musisz poinformować o tym klientów - zrób to aktualizując swoją politykę prywatności.


Najczęstsze pytania:

Czy mogę połączyć zgodę email i sms?

Nie, rekomendujemy rozdzielenie zgód. Taka praktyka jest wskazywana jako rekomendowana w orzecznictwie polskim i europejskim.

Czy po wprowadzeniu zmian w polityce prywatności powinienem o tym poinformować klientów? W jakiej formie?

Można to zrobić na kilka sposobów. My rekomendujemy wysłanie newslettera do całej bazy klientów, gdzie wspomnisz o zmianach w polityce prywatności i dodasz link do właściwej polityki. Tu przykład jak robią to klienci edrone: https://support.edrone.me/newsletter


Potrzebujesz dodatkowej pomocy?

Jeśli masz jakiekolwiek dodatkowe pytania dotyczące kwestii prawnych, skontaktuj się z nami na hello@edrone.me


Czy to odpowiedziało na twoje pytanie?