Ustawa o prawach konsumenta tuż tuż

25 grudnia wchodzi w życie ustawa o prawach konsumenta. Akt prawny, który wprowadza sporo istotnych zmian, które w ogromnej części dotyczą przedsiębiorców internetowych i handlu elektronicznego.

Ustawa wdrażając regulacje dyrektywy unijnej w sprawie praw konsumenta ma na celu podniesienie standardów w zakresie ochrony konsumenta nabywającego towary i usługi przez internet.

Kluczowe znaczenie w omawianych regulacjach ma przestrzeganie obowiązków informacyjnych przez przedsiębiorców. Ma to przyczynić  się do zdobycia większego zaufania przez konsumentów, a co za tym idzie do wzrostu całego rynku handlu elektronicznego. Takie są idee przyświecające wprowadzeniu omawianych przepisów.

Przedsiębiorców jednak czeka wdrożenie nowych zasad dotyczących obsługi klientów, zawierania umów, informowania. Nowa regulacja w tym zakresie jest bardzo bogata i może stanowić nie lada wyzwanie dla nie jednego przedsiębiorcy internetowego.

Mam już wypełniony wniosek…

Często dzwonią lub piszą do mnie klienci z informacją, że napisali zgłoszenie do GIODO i potrzebują jeszcze tylko dokumentacji wymaganej prawem tj. przede wszystkim polityki bezpieczeństwa danych.

Sytuacja taka przydarzyła mi się kilkukrotnie i wprawiła nie powiem w pewną konsternację żeby nie powiedzieć osłupienie.

Chodzi bowiem o to, że zgłoszenie zbiorów do GIODO tak naprawdę kończy cały proces badania zgodności w zakresie spełniania wymogów prawnych dotyczących przetwarzania danych osobowych. Jest to jakby ostatni znaczący punkt w całym procesie badania zgodności.

Jeśli ktoś prosi mnie o pomoc po wypełnieniu wniosku to zastanawiam się jak tu pomóc i czy moja pomoc w ogóle jest potrzebna.

Obserwuję ciągle, że kwestia zabezpieczenia danych osobowych w firmie traktowana jest rzeczywiście jako kolejny przykry obowiązek administracyjny. Większość przedsiębiorców najchętniej ograniczyłaby się do wypełnienia dokumentów, włożenia do segregatora i wyciągnięcia na wypadek kontroli GIODO. Korzystają więc z różnych krążących w sieci wzorów.

Zgadzam się, że małych przedsiębiorców rzeczywiście kwestia ta może przerastać i odsuwają jej uporządkowanie. Jednakże firmy przetwarzające duże ilości danych osobowych, których działalność gospodarcza z tym przetwarzaniem ściśle jest związana, działające od lat na rynku i mające setki czy tysiące danych w swojej bazie powinny potraktować sprawę poważniej, co oznacza zapewnienie odpowiedniej adekwatnej do wymogów prawa ochrony.

Zgodnie z definicją umowa zawierana na odległość musi być zawarta w ramach obrotu  między konsumentem a przedsiębiorcą ( B2C); przy jednoczesnym braku  fizycznej obecności stron oraz przy wykorzystaniu jednego lub większej liczby środków porozumiewania się na odległość. Ważne, że  przedsiębiorca powinien zawierać umowy w sposób zorganizowany i na odległość.

Dla przypomnienia konsumentem jest każda osoba fizyczna, która działa w celach niezwiązanych z działalnością handlową, gospodarczą, rzemieślniczą ani wykonywaniem wolnego zawodu.

Zorganizowana działalność odnośnie zawierania umów polega na tym, że przedsiębiorca powinien stworzyć zorganizowany system zawierania umów, np. przez stworzenie odpowiedniej witryny internetowej, zatrudnienie personelu do obsługi takiej działalności. Nie ma przeszkód oczywiście, aby przedsiębiorca poza taką formą zawierania umów  zawierał inne umowy w sposób tradycyjny lub poza lokalem przedsiębiorstwa.

Nie podlegają reżimowi dotyczących umów zawieranych na odległość umowy zawierane wprawdzie faktycznie na odległość, jednakże okazjonalnie, przy braku zorganizowanego po stronie przedsiębiorcy takiego sposobu zawierania umów. Okazjonalna sprzedaż nawet przy spełnieniu pozostałych cech, jeśli nie ma charakteru zorganizowanego, nie będzie podpadać pod omawianą regulację.

Trzeba tez pamiętać, że  pojęcie zorganizowanej sprzedaży świadczenia usług na odległość obejmuje także systemy sprzedażowe oferowane przez osobę trzecią inną niż przedsiębiorca, ale z których przedsiębiorca korzysta, takie jak platforma aukcyjna.

 Chodzi tutaj przede wszystkim o takie aukcyjne jak allegro przykład. Oznacza to, że działalność gospodarcza przedsiębiorcy który nie ma własnej witryny sprzedażowej ale w sposób stały i zorganizowany sprzedaje wyłącznie przez allegro  również podpada pod regulacje nowego prawa konsumenckiego.

Zgodnie  z dyrektywą unijną definicja ta nie powinna jednak obejmować przypadków, w których strony internetowe oferują jedynie informacje o przedsiębiorcy, jego towarach lub usługach oraz dane kontaktowe przedsiębiorcy.

E-mailing

Za mailing uznaje się przesyłanie informacji handlowej za pomocą poczty elektronicznej (e-mail). Nie brakuje opinii, iż to właśnie e-mailing jest najskuteczniejszym i najtańszym narzędziem reklamy w Internecie. Wpływa na to łatwość korzystania z poczty elektronicznej, niski koszt i szybkość e-maili.

Mailing – przekazywanie informacji handlowej do oznaczonych odbiorców za pomocą poczty elektronicznej, ale też na forach, portalach społecznościowych.

  1. Newsletter

E-maile bardzo często mają też postać newslettera – jest to rodzaj biuletynu skierowanego do kręgu klientów lub potecjalnych klientów. Mogą one przypominać i zachęcać subskrybentów do powtórnego odwiedzania strony WWW danego przedsiębiorcy, informować o swoich produktach, budować lojalność wśród istniejących klientów.

Aby w ogóle rozpocząć dialog z internautą, a potem móc go kontynuować, reklamodawca w pierwszej kolejności musi uzyskać jego zgodę na przesłanie reklamy poprzez e-mail.

  1. Warunki uzyskania zgody na przesłanie e-mailingu

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Zgoda odbiorcy nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie. W milczeniu odbiorcy  nie można upatrywać dorozumianej  zgody na przesłanie informacji handlowej.

Należy podkreślić, że samemu udostępnieniu adresu elektronicznego musi towarzyszyć zgoda na przesyłanie na ten adres informacji handlowych.

Zgoda musi więc obejmować przesyłanie informacji handlowej za pomocą konkretnego środka komunikacji elektronicznej wobec tego zgoda na przesyłanie wiadomości e-mail nie oznacza możliwości przesyłania informacji handlowych na telefon komórkowy.

Przykładowo adres elektroniczny wykorzystywany w kontakatch zawodowych lub też podany na firmowych stronach internetowych nie może być wykorzystywany do wysłania informacji handlowej bez wyraźnej zgody na ten rodzaj komunikacji.

Ponadto zgodna na przesyłanie informacji handlowych nie może wynikać ze zgody na przetwarzanie danych osobowych w celach marketingowych. W treści formularza klauzula zgody na przesyłanie informacji handlowej drogą elektroniczną powinna być wyodrębniona od klauzuli zgody na przetwarzanie danych osobowych w celach marketingowych.

 

Jan Nowak poszukuje platformy poczty elektronicznej do użytku własnego i pięciu pracowników jego firmy. Dowiaduje się, że odpowiednia i przyjazna dla użytkownika platforma – także dostępna bezpłatnie – przetrzymuje dane przez zbyt długi okres czasu i przekazuje je do państw trzecich bez właściwych zabezpieczeń. Ponadto nie istnieje możliwość uzgodnienia warunków umownych.

W takim przypadku Jan Nowak powinien poszukać innego dostawcy.

Usługa poczty elektronicznej to jedna z podstawowych usług internetowych wykorzystywanych w Internecie. Przy pomocy poczty elektronicznej nawiązywane są kontakty, zawierane umowy cywilnoprawne, prowadzone są działania marketingowe.

Jest to podstawowe narzędzie służące do komunikacji indywidualnej. Z używaniem tego narzędzia związane jest przetwarzanie danych osobowych osób, do których wysyłane są wiadomości elektroniczne. W związku z powyższym zastosowanie mają w całości regulacje dotyczące ochrony danych osobowych.

Każdy, kto używa poczty elektronicznej w celach zarobkowych, zawodowych, w imieniu przedsiębiorstwa jest zobowiązany do zapoznania się z regulacjami dotyczącymi ochrony danych osobowych jak również prawa komunikacji elektronicznej.

 

Marketing w internecie

Informacja handlowa

Kluczowym zagadnieniem dla przetwarzania danych osobowych w działalności marketingowej prowadzonej w Internecie jest informacja handlowa, której ustawowa definicja ma bardzo szeroki zakres. Obowiązująca ustawa o świadczeniu usług drogą elektroniczną stanowi, iż informacją handlową jest  każda informacja służąca promocji towarów, usług lub też wizerunku.

Informacja handlowa w rozumieniu ustawy o świadczeniu usług drogą elektroniczną jest więc równoznaczna z przekazem o charakterze reklamowym.

Informacją handlową będą wszelkie działania mające formę reklamy, marketingu bezpośredniego, sponsoringu, promocji sprzedaży i public relations. Przy czym należy pamiętać, że  wysłanie informacji handlowej pocztą tradycyjną nie będzie podlegało wymogom ustawy o świadczeniu usług drogą elektroniczną.

Informacją handlową będą także informacje o rabatach, oferty promocyjne, konkursy i gry promocyjne pod warunkiem przekazu ich drogą elektroniczną.

Informacja handlowa w rozumieniu ustawy o świadczeniu usług drogą elektroniczną może być więc przekazywana przykładowo w formie:

1) wiadomości SMS

2) wiadomości MMS  umożliwiających przesyłanie komunikatów multimedialnych, takich jak zdjęcia, muzyka i filmy;

3) wiadomości tekstowo-multimedialnych, polegających na łączeniu w jednej informacji handlowej kilku SMS-ów i MMS-ów;

4) wiadomości e-mail;

5) umieszczanych na stronach WWW informacji, a także banerów reklamowych, reklam pop-up czy też pasków reklamowych z przesuwającym się tekstem na dole strony WWW zbliżonych do pasków informacyjnych stosowanych w programach telewizyjnych

Informacja handlowa – warunki dopuszczalności

Podstawowym wymogiem jest, aby informacja handlowa była wyraźnie wyodrębniona  i oznaczona.

Podmiot wysyłający środkami komunikacji elektronicznej lub umieszczający na stronach WWW informacje handlowe  musi wypełnić szczegółowe obowiązki informacyjne w zakresie podania danych teleadresowych, przygotowania i udostępnienia regulaminu świadczenia usług drogą elektroniczną i inne przewidziane prawem.

Marketing w internecie jakkolwiek dozwolony powinien odbywać się z poszanowaniem wyznaczonych ram prawnych.

Portale społecznościowe

 

Portal społecznościowy to platforma komunikacyjne on-line umożliwiająca osobom fizycznym przystępowanie do lub tworzenie sieci użytkowników o wspólnych upodobaniach.

Serwisy społecznościowe posiadają pewne cechy wspólne:

- użytkowników zachęca się do przekazania danych osobowych w celu stworzenia opisu swojej osoby lub swojego „profilu”;

- serwisy te obejmują również narzędzia, które umożliwiają użytkownikom przesyłanie swoich własnych materiałów ( na przykład fotografii lub wpisu do pamiętnika, pliku muzycznego lub wideo lub linków do innych stron);

- możliwe jest “tworzenie sieci kontaktów towarzyskich” dzięki wykorzystaniu narzędzi, które pozwalają stworzyć każdemu użytkownikowi listę kontaktów oraz za pomocą których użytkownicy mogą wchodzić w interakcje.

Kto jest administratorem danych osobowych w portalach społecznościowych? 

Określenie kto w serwisach społecznościowych jest administratorem danych osobowych przysparza nie mało problemów. Mimo to jednak należy podkreślić, iż pierwszym i podstawowym administratorem danych osobowych jest osoba lub podmiot, który tworzy narzędzia do przetwarzania danych i umożliwia korzystanie z nich, a nie ten kto zamieszcza posty.

Z zasady media społecznościowe, np. Facebooka czy nk.pl traktuje się jako administratorów danych, chociaż istnieją sytuacje, w których niektóre profile mogą stanowić odrębne zbiory danych osobowych.

Prawo nie nakłada obowiązków administratora danych na osobę fizyczną, która

przetwarza dane osobowe „w trakcie czynności o czysto osobistym lub domowym

charakterze” – co stanowi tak zwane „wyłączenie do celów domowych”.

Strona fanowska – Funpage

Jeżeli użytkownik serwisu spełecznościowego działa w imieniu przedsiębiorstwa lub stowarzyszenia lub wykorzystuje serwis głównie jako platformę służącą osiąganiu celów komercyjnych, politycznych lub charytatywnych, wyłączenie do celów domowych nie ma zastosowania.

W tym przypadku użytkownik przyjmuje pełnię obowiązków administratora danych ujawniającego dane osobowe innemu administratorowi danych (Serwiswi) lub osobom trzecim (innym użytkownikom serwisu lub potencjalnie nawet innym administratorom danych mającym dostęp do danych).

Sytuacja, w której użytkownicy wykorzystują serwis społecznościowy w celach komercyjnych jest najczęściej spotykana w przypadku tworzenia i prowadzenia tzw. fanpaga czyli firmowej strony fanowskiej na FB.

W większości przypadków twórca fanpage’a dysponuje danymi osób, które zostały fanami danego serwisu. Dane te z reguły są do czegoś wykorzystywane, a zatem zastosowanie znajdą przepisy ustawy o świadczeniu usług drogą elektroniczną. Zobowiązują one do stworzenia regulaminu fanpage,a określającego m.in. cel, w jakim dane będą wykorzystywane.

 

Przetwarzanie danych osobowych w sieci Internet odbywa się poprzez najważniejsze i najpopularniejsze usługi internetowe takie jak: Word Wide Web, poczta elektroniczna, portale społecznościowe.

 Niniejszy wpis poświęcimy poczcie elektronicznej. Usługa poczty elektronicznej przeznaczona jest do komunikacji indywidualnej pomiędzy użytkownikami. Wykorzystywana jest w szczególności do przesyłania wiadomości tekstowych, ale również plików graficznych, dźwiękowych, tekstowych.

         Poczta elektroniczna powszechnie używana jest również do komunikowania się w transakcjach elektronicznych a finalnie prowadzi również do zawierania umów drogą elektroniczną.

         W przypadku poczty elektronicznej jest regułą, że wiadomości kierowane są do konkretnego adresata. Jeśli tym adresatem jest oznaczona osoba fizyczna dochodzi tym samym do przetwarzania jej danych osobowych, jako, że adresy e-mail uznawane są za dane osobowe.

         Skoro więc przy za pośrednictwem systemu informatycznego poczty elektronicznej dochodzi do przetwarzania danych osobowych osób fizycznych należy zapewnić, aby zbieranie i przetwarzanie odbywało się zgodnie z przepisami prawa w zakresie ochrony danych osobowych. Z wyjątkiem sytuacji, gdy usługa poczty elektronicznej wykorzystywana jest do celów prywatnych niezwiązanych z działalnością zarobkową.

         Podobnie jak w każdym przypadku przetwarzania administrator danych musi legitymować się podstawą przetwarzania danych tj. adresów e-mail w celu wysłania określonej korespondencji.

W tym miejscu należy zasygnalizować, iż usługa poczty elektronicznej najczęściej przez przedsiębiorców wykorzystywana jest do rozsyłania wiadomości reklamowych. E-mailing jest najskuteczeniejszym i najtańszym narzędziem reklamy w Internecie.

Podstawą prawną dla wykorzystywania  działalności marketingowej poczty elektronicznej jest zgoda odbiorców e-mail. Szczegółowo temat zostanie omówiony w następnym wpisie.

 Kwestią, którą warto przy okazji omawiana tematu poczty elektronicznej poruszyć są sytuacje związane z faktem, że przedsiębiorcy do celów związanych z prowadzoną działalnością gospodarczą korzystają z darmowych skrzynek pocztowych oferowanych przez dostarczycieli usług internetowych.

         Często zdarza się, że usługodawcy bezpłatnych usług pocztowych zapewniają sobie prawo skanowania zawartości  skrzynek pocztowych w celu jak najtrafniejszego doboru reklam. W regulaminie oczywiście czytamy, że takie skanowanie odbywa się w sposób zautomatyzowany i nikt nie ma dostępu do treści konkretnych wiadomości.

Nie zmienia to jednak faktu, że usługodawcy świadczący usługi poczty elektronicznej często mają siedziby poza terytorium UE a często również korzystają z serwerów zlokalizowanych poza europejskim obszarem gospodarczym. W takim przypadku nie mamy pewności czy regulacje dotyczące ochrony danych osobowych obowiązujące na tychże obszarach są adekwatne do tych obowiązujących w Europie.

         Wszystkie te rzeczy mają o tyle znaczenie, że po stronie przedsiębiorców korzystających z powszechnie dostępnych skrzynek pocztowych powstaje ryzyko związane z ochroną tajemnicy przedsiębiorstwa, informacji poufnych związanych z działalnością tegoż przedsięborstwa, w tym danych osobowych klientów.

 

Handel elektroniczny czy Cię dotyczy

Dla większości przeciętnych uczestników obrotu internetowego handel elektroniczny kojarzy się ze sprzedażą towarów przez internet.

Jednak handel elektroniczny w ujęciu szerokim to ogół stosunków wymiany towarów i usług drogą elektroniczną. Defincja ta wykracza daleko poza tradycyjne pojęcie „handel”.

W tak pojętym handlu elektronicznym uczestniczymy wszyscy z jednej strony jako usługodawcy a z drugiej usługobiorcy.

Ramy prawne dla elektronicznego obrotu handlowego z wykorzystaniem Internetu stanowi w porządku krajowym ustawa o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r.

Definicja usługi świadczonej drogą elektroniczną opiera się na trzech zasadniczych elementach: wykonanie usługi następuje bez jednoczesnej obecności stron umowy za pomocą systemów teleinformatycznych oraz na indywidualne żądanie usługobiorcy.

Usługi świadczone drogą elektroniczną obejmują szeroki zakres rodzajów działalności gospodarczej prowadzonych w trybie on-line w szczególności będzie to sprzedaż towarów on-line (sklepy internetowe), ponadto będą to usługi polegające na oferowaniu informacji on-line (udostępnianie w sieci baz danych) lub informacji handlowych (działalność marketingowa); usługi zapewniające narzędzia umożliwiające szukanie, dostęp oraz pozyskiwanie danych; utrzymywanie stron WWW (hosting); udostępnianie oprogramowania on-line; wydawanie i udostępnianie prasy elektronicznej itd.

W świetle powyższego wszyscy uczestnicy obrotu internetowego z całą pewnością konsumują bądź oferują usługi wymienione powyżej i jako tacy stają się mimowolnie (choćby wyszukując treści) usługobiorcami lub usługodawcami w rozumieniu regulacji dotyczących handlu elektronicznego. Implikuje to określone ustawą obowiązki, ale również z drugiej strony prawa.

W związku z powyższym tak ważne jest, aby usługodawcy rzetelnie wywiązywali się z obowiązków, które prawo w związku ze świadczeniem usług w internecie, na nich nakłada. Podstawowym obowiązkiem jest dokładne informowanie potencjalnych klientów o podstawowych danych teleadresowych przedsiębiorcy internetowego. Rzecz niby banalna a czasami naprawdę trzeba się „naklikać”, aby dotrzeć do tych informacji.

Drugą rzeczą kluczową jest regulamin spełniający nie tylko wymogi prawa ale i i odzwierciedlający specyfikę działania i świadczenia usług przez tego konkretnego usługodawcę. Czytając niektóre regulaminy nie da oprzeć się wrażeniu, że są to przekopiowane z innych stron wzorce, które nie oddają specyfiki działania i reguł świadczenia usług przez tego konkretnego usługodawcę.

 

 

 

 

Do biura GIODO napływa morze wniosków o zarejstrowanie zbiorów. W 2013 r. wpłynęło ich 28 tys. podaje w dzisiejszym wydaniu Rzeczpospolita. Dalej informuje, iż są plany zmiany przepisów, tak by nie trzeba było zgłaszać do GIODO wszystkich zbiorów a jedynie zbiory zawierające dane wrażliwe.

W aktualnym stanie prawnym zasadą jest, ze każdy przedsiębiorca przetwarzający dane w zbiorach ma obowiązek je zgłosić poza przypadakami szczegółowo wymienionymi w ustawie.

Ilość wpływających wniosków świadczy, iż sama procedura zgłszania nie przysparza administratorom większych problemów. Jednakże sam GIODO ma wątpliwości czy samo zgłaszanie zbiorów zwiększa bezpieczeństwo danych. Niemcy zlikwidowali ten obowiązek już kilka lat temu.

Przepisy rozporządzenia unijnego dotyczącego ochrony danych osobowych, które aktualnie jest procedowane w organach Unii Europejskiej również przyniesie zmiany w zakresie rejestracji zbiorów.

Zniesienie urzędowego obowiązku rejestracji zbiorów nie oznacza zniesienia tego obowiązku w ogóle. Proponuje się bowiem żeby przedsiębiorcy sami prowadzili rejestry zbiorów, które posiadają. Swego rodzaju rejestr powinna zawierać polityka bezpieczeństwa. Wymagany juz dzisiaj przepisami prawa dokument, w którym wykazane muszą być wszystkie zbiory własne i przetwarzane adminsitratora danych.

W firmie, która posiada wspomnianą dokumentację adminsitrator danych  czy wyznaczony przez niego ABI nie będzie miał problemów z wprowadzeniem wspomnianego rejestru.

Patrząc na przytoczone wyżej liczby zaczynam rozumieć już nastawienie niektórych przedsiębiorców, które sprowadza się mniej więcej do tego „najwazniejsze żeby zgłosić”. Całość obowiązków związanych z ochroną danych osobowych w przedsiębiorstwie kojarzona jest przez nich z najbardziej popularnym obowiązkiem zgloszenia do GIODO.

A tymczasem zgłoszenie zbioru do GIODO wieńczy dzieło i tak naprawdę kończy bywa, że długi proces badania stanu zgodności prawnej w zakresie ochrony danych osobowych. W zakres tego badania wchodzić może wiele obszarów a sam proces być pracochłonny i wymgający wprowadzenia w organizacji szeregu zmian choćby takich jak zakupienie do biura szaf zamykanych na klucz lub na kod.

W świetle powyższego samo zgłoszenie zbioru do GIODO jest takim przysłowiowym wierzchołkiem góry lodowej a często przedsiębiorcom wydaje się, iż jest to naważniejszy i jedyny obowiązek związany z ochroną danych osobowych.