Kontrola GIODO w sklepie internetowym

Przeprowadzona kontrola sklepu internetowego wykazała, że do momentu dokonania płatności klient sklepu internetowego miał możliwość anulowania zamówienia. Anulowanie zamówienia nie powodowało jednak usunięcia danych osobowych podanych w związku ze składaniem zamówienia. Z chwilą anulowania zamówienia przez klienta dalsze przetwarzanie danych osobowych zebranych przez sklep stało się niezgodne z celem, dla którego  dane zostały zebrane. W konsekwencji Generalny Inspektor uznał, iż naruszono przepisy ustawy o ochronie danych osobowych.

Ile danych osobowych gromadzisz, mimo, iż nie masz ku temu odpowiednich podstaw prawnych. Systemy sklepów internetowych pękają w szwach. Poza formularzami rejestracyjnymi są jeszcze  formularze zapisu na Newslettery, formularze kontaktowe, formularze zapisu do programów lojalnościowych i inne. Wszystkie zbierają dane osobowe.

Przypadek opisany powyżej dotyczy sytuacji, gdy zamówienie zostało anulowane, ale może to być też sytuacja, gdy zamówienie nie zostało zatwierdzone, nie doszło do zawarcia umowy a użytkownik nie dokonał rejestracji w sklepie czy w takiej sytuacji masz prawo przetwarzać jego dane.

Pamiętaj, że przetwarzanie danych jest dozwolone, ale zgodnie z prawem i z poszanowaniem zawartych w nim zasad. Jedną z zasad jest zasada legalności. W celu zgodnego z prawem przetwarzania danych musisz posiadać odpowiednią  do tego podstawę prawną oraz przetwarzać dane w celu, dla którego zostały zebrane zgodnie z zasadą celowości.

W przypadku sklepu internetowego taką podstawą uprawniającą do przetwarzania danych będzie złożenie zamówienia. Dane w takim przypadku będą przetwarzane w celu realizacji zawartej umowy.

W momencie, gdy nie dochodzi do zawarcia umowy lub zamówienie zostaje anulowane a klient nie założył konta w sklepie jego dane powinny być usunięte, gdyż dalsze ich przetwarzanie naruszy prawa osób, których dane dotyczą.

Dane osobowe mogą przetwarzane zgodnie z celem, dla którego zostały zebrane i niepoddawane dalszemu przetwarzanie niezgodnemu z tym celem.

Jest jeszcze jeden ciekawy przypadek warty wspomnienia. Sklepy internetowe czasami wysyłają przypomnienie o niedokończonych zakupach o treści  “w twoim koszyku czekają na ciebie wybrane towary” lub “nie dokończyłeś zakupów co się stało, może jesteśmy w stanie ci pomóc”.

Systemy sprzedażowe sklepów internetowych zapisują dane wpisywane podczas kolejnych kroków składania zamówienia i okazuje się, że przetwarzają je nawet, jeśli finalnie zamówienie nie zostanie złożone lub anulowane. Dodatkowo poddają dane dalszemu przetwarzaniu inicjując kontakty z takim potencjalnym klientem. Są to działania marketingowe, do których niezbędna jest zgoda.

Podczas kontroli GIODO, o której piszę dzisiaj  została wydana decyzja nakazująca usunięcie danych klientów, którzy anulowali zamówienie  z bazy danych sklepu.

 

Płacę z Payu …

Zawieranie umów na odległość staje się coraz bardziej powszechne, oczywiście przede wszystkim dzięki zakupom przez internet. Systemy sklepów internetowych w sposób niemal intuicyjny prowadzą nas przez cały proces zamówienia aż do “zamawiam i płacę”.

Jeśli chodzi o płatności to coraz bardziej popularne stają się płatności online, błyskawiczne i intuicyjne. Dzięki operatorom tychże płatności klient w ciągu paru minut otrzymuje potwierdzenie dokonania płatności i może już spokojnie czekać na realizację  zamówienia.

Jednakże i tutaj podobnie jak w przypadku Opineo, o którym pisałam w ostatnim poście pojawia się kwestia udostępniania danych klienta. Klikając “płacę z Payu” w sklepie internetowym klient przenosi się na stronę operatora płatności i widzi już automatycznie wczytane swoje dane osobowe.

Przetwarzanie danych osobowych jest legalne, o ile istnieje ku temu odpowiednia podstawa prawna. Podstawy te wymienia ustawa o ochronie danych osobowych.  Klient kupując w sklepie internetowym zawiera umowę ze sklepem internetowym, który staje się odpowiedzialny za zgodne z prawem przetwarzanie danych osobowych klienta. Udostępnianie przez  sklep danych jego klientów innemu podmiotowi wymaga odpowiedniej podstawy prawnej. W omawianym przypadku powinna być to zgoda klienta.

W praktyce sprzedaży internetowej niewiele jest sklepów, które udostępniają dane na podstawie zgody, wiele z nich nawet nie informuje swoich klientów o takim udostępnianiu a sami klienci też nie są świadomi, że ich dane są udostępniane poza sklep, w którym kupili towar.

 

Opineo Opineo …

Dzisiaj po raz kolejny do mojej skrzynki pocztowej zajrzało Opineo z przypomnieniem, że robiąc zakupy w sklepie internetowym X trzy tygodnie temu nie wyraziłam jeszcze swojej opinii na temat poziomu zadowolenia z tegoż zakupu.

Rzeczywiście nie wyraziłam, gdyż być może nie miałam czasu lub ochoty, co nie oznacza, że nie byłam zadowolona z zakupu. Jednak nie musze dzielić się swoją radością z zakupionego towaru, jeśli nie chcę a przede wszystkim ani sklep ani Opineo nie ma prawa wysyłać mi wiadomości w tym temacie, jeśli nie wyraziłam na to zgody.

A więc Opineo wysyła te swoje przypominające e-maile już któryś raz z kolei chcąc mnie zdyscyplinować. Uważa, że ma prawo, bo podpisało umowę powierzenia ze sklepem. Umowa ta jednak nie stanowi w tym przypadku odpowiedniej podstawy prawnej, bowiem Opineo zbiera opinie na własny rachunek, aby wypełnić ankietę trzeba zaakceptować Regulamin Opineo. W świetle tego regulaminu Opineo staje się administratorem danych osobowych dotyczących wypełnianych ankiet.

W przypadku powierzenia danych do przetwarzania przetwarzający (tutaj Opineo) powinien działać w imieniu i na rzecz administratora danych (sklepu). Nieuprawnione jest wykorzystanie umowy powierzenia jako podstawy do zbierania danych dla własnych celów, co  ma miejsce w omawianej sytuacji.

Reasumując, jeśli sklep zamierza badać poziom zadowolenia z dokonywanych w nim zakupów sam czy w  kooperacji z Opineo, Ceneo zawsze będzie potrzebował na to zgody klienta. Bowiem badanie satysfakcji z zakupu nie jest niezbędne do zawarcia czy wykonania zawartej umowy sprzedaży i jako takie wymaga odrębnej podstawy prawnej czyli zgody podmiotu danych.

Podobno dobra opinia o sklepie w w/w portalach jest bardzo cenna, bowiem przekłada się to na wzrost poziomu zaufania do sklepu no i finalnie na sprzedaż. Należy jednak pamiętać, że w każdym przypadku, gdy mamy do czynienia z przekazywaniem danych naszych klientów podmiotom trzecim posiadać odpowiednią ku temu podstawę prawną. W innym przypadku dane udostępniane są nielegalnie, co może skutkować odpowiedzialnością sklepu karną, administracyjną a także  cywilną.

Reasumując pamiętajmy, że dobra opinia to skarb, jednak należy sięgać po te opinie z rozwagą i poszanowaniem prawa klienta również do niewyrażania  opinii.

 

Regulamin sklepu internetowego i parę innych refleksji

W zasadzie sprzedaż przez internet staje się aktualnie tak powszechna jak sprzedaż tradycyjna. Trudno byłoby znaleźć dzisiaj dużą firmę handlową, która nie sprzedaje przez internet,także obok głównej sprzedaży tradycyjnej.

Sprzedaż przez internet będąc kolejnym kanałem dystrybucji otwiera nowe rynki zbytu, rynki tak naprawdę często niedostępne dla sprzedaży stacjonarnej. Dodatkowo sprzedaż internetowa może być tańszym rozwiązaniem dla tych, którzy nie mają wystarczających środków lub nie chcą płacić za czynsze w drogich centrach handlowych.

Nie tak dawno w pobliskim centrum handlowym szukałam 5,10,15 sklepu z odzieżą dla dzieci i okazało się, że już go nie ma, że firma zrezygnowała z tej lokalizacji i zaprasza do sklepu internetowego.

Oferta w zakresie infrastruktury informatycznej dla sklepu internetowego staje się coraz bardziej powszechna i aplikacja do obsługi niewielkiego sklepu to dzisiaj już naprawdę niewielki koszt.

Organizacja nawet niewielkiego sklepu internetowego to mimo wszystko zadanie wcale nie takie łatwe, ba wymaga też poznania i rozpoznania tego środowiska i jego specyfiki również specyfiki prawnej, gdyż wiele tu różnic w porównaniu do tradycyjnej sprzedaży.

Czy jednak przeciętny przedsiębiorca się tym przejmuje. Kupuje system do obsługi sklepu internetowego, zatrudnia ludzi lub sam obsługuje sklep, kopiuje jakiś regulamin innego sklepu internetowego, bo wydaje się, że to już sprawdzone i bezpieczne i zaczyna swoją przygodę.

Obsługując sklepy internetowe wiem, że zapewnienie zgodności z prawem często kuleje, a regulaminy sklepów internetowych pozostawiają wiele do życzenia, skopiowane dokumenty nie pasują do systemu danego sklepu a często zawierają nawet zakazane postanowienia, co naraża przedsiębiorcę na odpowiedzialność prawną.

Jednak oczywiście czasami można nawet długo funkcjonować ze złym regulaminem i nic się nie dzieje, ale jak to w życiu wszystko jest do czasu i wystarczy jeden niezadowolony klient, który złoży skargę na przedsiębiorcę np. do UOKiKu, co pociągnie za sobą wszczęcie postępowania i szczegółowe badanie czy sklep działa zgodnie z prawem.

Sporo kupuję przez internet i widzę jak wiele sklepów nie wdrożyło jeszcze postanowień ustawy o prawach konsumenta, która weszła w życie 25 grudnia 2014 r. i w zasadniczej części dotyczy sprzedaży przez internet. Zdarzają się jeszcze sklepy, gdzie nie znajdziemy przycisku “zamówienie z obowiązkiem zapłaty” lub równoważnego a przecież brak tego przycisku pociąga za sobą skutek w postaci niezawarcia umowy.

Słyszę czasami argumenty, że ten wymóg jest odstraszający dla potencjalnego klienta, jednak jest to wymóg sztywny i powszechny dla wszystkich przedsiębiorców sprzedających przez internet więc stosowanie się do tego wymogu również powinno być powszechną praktyką, co spowodowałoby szybkie oswojenie się klientów  z takim komunikatem i traktowanie go jako coś naturalnego.

Prawdziwą puszką pandory, jeśli chodzi o sklepy internetowe, ale nie tylko sklepy, bo i innych przedsiębiorców prowadzących swoją działalność przez internet lub w internecie, jest zgodność z przepisami o ochronie danych osobowych. Zdecydowana większość przedsiębiorców poprzestaje w tym zakresie na skopiowaniu polityk prywatności niewiele się zastanawiając co w ogóle kopiuje i czy to jest adekwatne do danej działalności.

A przecież nic tak bardzo jak internet nie stwarza dodatkowych możliwości zbierania danych osobowych, na stronach internetowych mnożą się wszelkiego rodzaju szybkie formularze zbierające przeróżne dane osobowe. Formularze, newslettery, fora, możliwości komentowania, opiniowania to wszystko wymaga przetwarzania danych osobowych a które to przetwarzanie powinno odbywać się zgodnie z prawem.

No i oczywiście personel obsługujący witryny internetowe, sklepy, portale nie jest świadomy jego obowiązków i odpowiedzialności związanych z ochroną danych osobowych, ich zabezpieczeniem. Człowiek często jest najsłabszym ogniwem i brak świadomości w zakresie obowiązków, odpowiedzialności  prowadzi do różnego rodzaju naruszeń. Myślę, że ostatnie doniesienia o rzekomym wycieku danych za pośrednictwem kancelarii komorniczych należy do tego rodzaju naruszeń.

Przedsiębiorcy internetowi, ale nie tylko powinni w szczególności kwestie związane z ochroną danych osobowych uregulować, przyjrzeć się im w swoich firmach, uporządkować tak, aby nowe przepisy, które przewidują bardzo dolegliwe kary finansowe, ich nie zaskoczyły.

Taki przegląd najczęściej będzie też oznaczał przegląd samego regulaminu sprzedaży i świadczenia usług, który regulując procesy sprzedaży i zwierania umów reguluje zasady przetwarzania danych osobowych z tym związane i uwzględniać powinien odpowiednie w tym względzie wymagania prawne.