Kontrola GIODO w sklepie internetowym

Przeprowadzona kontrola sklepu internetowego wykazała, że do momentu dokonania płatności klient sklepu internetowego miał możliwość anulowania zamówienia. Anulowanie zamówienia nie powodowało jednak usunięcia danych osobowych podanych w związku ze składaniem zamówienia. Z chwilą anulowania zamówienia przez klienta dalsze przetwarzanie danych osobowych zebranych przez sklep stało się niezgodne z celem, dla którego  dane zostały zebrane. W konsekwencji Generalny Inspektor uznał, iż naruszono przepisy ustawy o ochronie danych osobowych.

Ile danych osobowych gromadzisz, mimo, iż nie masz ku temu odpowiednich podstaw prawnych. Systemy sklepów internetowych pękają w szwach. Poza formularzami rejestracyjnymi są jeszcze  formularze zapisu na Newslettery, formularze kontaktowe, formularze zapisu do programów lojalnościowych i inne. Wszystkie zbierają dane osobowe.

Przypadek opisany powyżej dotyczy sytuacji, gdy zamówienie zostało anulowane, ale może to być też sytuacja, gdy zamówienie nie zostało zatwierdzone, nie doszło do zawarcia umowy a użytkownik nie dokonał rejestracji w sklepie czy w takiej sytuacji masz prawo przetwarzać jego dane.

Pamiętaj, że przetwarzanie danych jest dozwolone, ale zgodnie z prawem i z poszanowaniem zawartych w nim zasad. Jedną z zasad jest zasada legalności. W celu zgodnego z prawem przetwarzania danych musisz posiadać odpowiednią  do tego podstawę prawną oraz przetwarzać dane w celu, dla którego zostały zebrane zgodnie z zasadą celowości.

W przypadku sklepu internetowego taką podstawą uprawniającą do przetwarzania danych będzie złożenie zamówienia. Dane w takim przypadku będą przetwarzane w celu realizacji zawartej umowy.

W momencie, gdy nie dochodzi do zawarcia umowy lub zamówienie zostaje anulowane a klient nie założył konta w sklepie jego dane powinny być usunięte, gdyż dalsze ich przetwarzanie naruszy prawa osób, których dane dotyczą.

Dane osobowe mogą przetwarzane zgodnie z celem, dla którego zostały zebrane i niepoddawane dalszemu przetwarzanie niezgodnemu z tym celem.

Jest jeszcze jeden ciekawy przypadek warty wspomnienia. Sklepy internetowe czasami wysyłają przypomnienie o niedokończonych zakupach o treści  “w twoim koszyku czekają na ciebie wybrane towary” lub “nie dokończyłeś zakupów co się stało, może jesteśmy w stanie ci pomóc”.

Systemy sprzedażowe sklepów internetowych zapisują dane wpisywane podczas kolejnych kroków składania zamówienia i okazuje się, że przetwarzają je nawet, jeśli finalnie zamówienie nie zostanie złożone lub anulowane. Dodatkowo poddają dane dalszemu przetwarzaniu inicjując kontakty z takim potencjalnym klientem. Są to działania marketingowe, do których niezbędna jest zgoda.

Podczas kontroli GIODO, o której piszę dzisiaj  została wydana decyzja nakazująca usunięcie danych klientów, którzy anulowali zamówienie  z bazy danych sklepu.

 

Płacę z Payu …

Zawieranie umów na odległość staje się coraz bardziej powszechne, oczywiście przede wszystkim dzięki zakupom przez internet. Systemy sklepów internetowych w sposób niemal intuicyjny prowadzą nas przez cały proces zamówienia aż do “zamawiam i płacę”.

Jeśli chodzi o płatności to coraz bardziej popularne stają się płatności online, błyskawiczne i intuicyjne. Dzięki operatorom tychże płatności klient w ciągu paru minut otrzymuje potwierdzenie dokonania płatności i może już spokojnie czekać na realizację  zamówienia.

Jednakże i tutaj podobnie jak w przypadku Opineo, o którym pisałam w ostatnim poście pojawia się kwestia udostępniania danych klienta. Klikając “płacę z Payu” w sklepie internetowym klient przenosi się na stronę operatora płatności i widzi już automatycznie wczytane swoje dane osobowe.

Przetwarzanie danych osobowych jest legalne, o ile istnieje ku temu odpowiednia podstawa prawna. Podstawy te wymienia ustawa o ochronie danych osobowych.  Klient kupując w sklepie internetowym zawiera umowę ze sklepem internetowym, który staje się odpowiedzialny za zgodne z prawem przetwarzanie danych osobowych klienta. Udostępnianie przez  sklep danych jego klientów innemu podmiotowi wymaga odpowiedniej podstawy prawnej. W omawianym przypadku powinna być to zgoda klienta.

W praktyce sprzedaży internetowej niewiele jest sklepów, które udostępniają dane na podstawie zgody, wiele z nich nawet nie informuje swoich klientów o takim udostępnianiu a sami klienci też nie są świadomi, że ich dane są udostępniane poza sklep, w którym kupili towar.

 

Opineo Opineo …

Dzisiaj po raz kolejny do mojej skrzynki pocztowej zajrzało Opineo z przypomnieniem, że robiąc zakupy w sklepie internetowym X trzy tygodnie temu nie wyraziłam jeszcze swojej opinii na temat poziomu zadowolenia z tegoż zakupu.

Rzeczywiście nie wyraziłam, gdyż być może nie miałam czasu lub ochoty, co nie oznacza, że nie byłam zadowolona z zakupu. Jednak nie musze dzielić się swoją radością z zakupionego towaru, jeśli nie chcę a przede wszystkim ani sklep ani Opineo nie ma prawa wysyłać mi wiadomości w tym temacie, jeśli nie wyraziłam na to zgody.

A więc Opineo wysyła te swoje przypominające e-maile już któryś raz z kolei chcąc mnie zdyscyplinować. Uważa, że ma prawo, bo podpisało umowę powierzenia ze sklepem. Umowa ta jednak nie stanowi w tym przypadku odpowiedniej podstawy prawnej, bowiem Opineo zbiera opinie na własny rachunek, aby wypełnić ankietę trzeba zaakceptować Regulamin Opineo. W świetle tego regulaminu Opineo staje się administratorem danych osobowych dotyczących wypełnianych ankiet.

W przypadku powierzenia danych do przetwarzania przetwarzający (tutaj Opineo) powinien działać w imieniu i na rzecz administratora danych (sklepu). Nieuprawnione jest wykorzystanie umowy powierzenia jako podstawy do zbierania danych dla własnych celów, co  ma miejsce w omawianej sytuacji.

Reasumując, jeśli sklep zamierza badać poziom zadowolenia z dokonywanych w nim zakupów sam czy w  kooperacji z Opineo, Ceneo zawsze będzie potrzebował na to zgody klienta. Bowiem badanie satysfakcji z zakupu nie jest niezbędne do zawarcia czy wykonania zawartej umowy sprzedaży i jako takie wymaga odrębnej podstawy prawnej czyli zgody podmiotu danych.

Podobno dobra opinia o sklepie w w/w portalach jest bardzo cenna, bowiem przekłada się to na wzrost poziomu zaufania do sklepu no i finalnie na sprzedaż. Należy jednak pamiętać, że w każdym przypadku, gdy mamy do czynienia z przekazywaniem danych naszych klientów podmiotom trzecim posiadać odpowiednią ku temu podstawę prawną. W innym przypadku dane udostępniane są nielegalnie, co może skutkować odpowiedzialnością sklepu karną, administracyjną a także  cywilną.

Reasumując pamiętajmy, że dobra opinia to skarb, jednak należy sięgać po te opinie z rozwagą i poszanowaniem prawa klienta również do niewyrażania  opinii.

 

Regulamin sklepu internetowego i parę innych refleksji

W zasadzie sprzedaż przez internet staje się aktualnie tak powszechna jak sprzedaż tradycyjna. Trudno byłoby znaleźć dzisiaj dużą firmę handlową, która nie sprzedaje przez internet,także obok głównej sprzedaży tradycyjnej.

Sprzedaż przez internet będąc kolejnym kanałem dystrybucji otwiera nowe rynki zbytu, rynki tak naprawdę często niedostępne dla sprzedaży stacjonarnej. Dodatkowo sprzedaż internetowa może być tańszym rozwiązaniem dla tych, którzy nie mają wystarczających środków lub nie chcą płacić za czynsze w drogich centrach handlowych.

Nie tak dawno w pobliskim centrum handlowym szukałam 5,10,15 sklepu z odzieżą dla dzieci i okazało się, że już go nie ma, że firma zrezygnowała z tej lokalizacji i zaprasza do sklepu internetowego.

Oferta w zakresie infrastruktury informatycznej dla sklepu internetowego staje się coraz bardziej powszechna i aplikacja do obsługi niewielkiego sklepu to dzisiaj już naprawdę niewielki koszt.

Organizacja nawet niewielkiego sklepu internetowego to mimo wszystko zadanie wcale nie takie łatwe, ba wymaga też poznania i rozpoznania tego środowiska i jego specyfiki również specyfiki prawnej, gdyż wiele tu różnic w porównaniu do tradycyjnej sprzedaży.

Czy jednak przeciętny przedsiębiorca się tym przejmuje. Kupuje system do obsługi sklepu internetowego, zatrudnia ludzi lub sam obsługuje sklep, kopiuje jakiś regulamin innego sklepu internetowego, bo wydaje się, że to już sprawdzone i bezpieczne i zaczyna swoją przygodę.

Obsługując sklepy internetowe wiem, że zapewnienie zgodności z prawem często kuleje, a regulaminy sklepów internetowych pozostawiają wiele do życzenia, skopiowane dokumenty nie pasują do systemu danego sklepu a często zawierają nawet zakazane postanowienia, co naraża przedsiębiorcę na odpowiedzialność prawną.

Jednak oczywiście czasami można nawet długo funkcjonować ze złym regulaminem i nic się nie dzieje, ale jak to w życiu wszystko jest do czasu i wystarczy jeden niezadowolony klient, który złoży skargę na przedsiębiorcę np. do UOKiKu, co pociągnie za sobą wszczęcie postępowania i szczegółowe badanie czy sklep działa zgodnie z prawem.

Sporo kupuję przez internet i widzę jak wiele sklepów nie wdrożyło jeszcze postanowień ustawy o prawach konsumenta, która weszła w życie 25 grudnia 2014 r. i w zasadniczej części dotyczy sprzedaży przez internet. Zdarzają się jeszcze sklepy, gdzie nie znajdziemy przycisku “zamówienie z obowiązkiem zapłaty” lub równoważnego a przecież brak tego przycisku pociąga za sobą skutek w postaci niezawarcia umowy.

Słyszę czasami argumenty, że ten wymóg jest odstraszający dla potencjalnego klienta, jednak jest to wymóg sztywny i powszechny dla wszystkich przedsiębiorców sprzedających przez internet więc stosowanie się do tego wymogu również powinno być powszechną praktyką, co spowodowałoby szybkie oswojenie się klientów  z takim komunikatem i traktowanie go jako coś naturalnego.

Prawdziwą puszką pandory, jeśli chodzi o sklepy internetowe, ale nie tylko sklepy, bo i innych przedsiębiorców prowadzących swoją działalność przez internet lub w internecie, jest zgodność z przepisami o ochronie danych osobowych. Zdecydowana większość przedsiębiorców poprzestaje w tym zakresie na skopiowaniu polityk prywatności niewiele się zastanawiając co w ogóle kopiuje i czy to jest adekwatne do danej działalności.

A przecież nic tak bardzo jak internet nie stwarza dodatkowych możliwości zbierania danych osobowych, na stronach internetowych mnożą się wszelkiego rodzaju szybkie formularze zbierające przeróżne dane osobowe. Formularze, newslettery, fora, możliwości komentowania, opiniowania to wszystko wymaga przetwarzania danych osobowych a które to przetwarzanie powinno odbywać się zgodnie z prawem.

No i oczywiście personel obsługujący witryny internetowe, sklepy, portale nie jest świadomy jego obowiązków i odpowiedzialności związanych z ochroną danych osobowych, ich zabezpieczeniem. Człowiek często jest najsłabszym ogniwem i brak świadomości w zakresie obowiązków, odpowiedzialności  prowadzi do różnego rodzaju naruszeń. Myślę, że ostatnie doniesienia o rzekomym wycieku danych za pośrednictwem kancelarii komorniczych należy do tego rodzaju naruszeń.

Przedsiębiorcy internetowi, ale nie tylko powinni w szczególności kwestie związane z ochroną danych osobowych uregulować, przyjrzeć się im w swoich firmach, uporządkować tak, aby nowe przepisy, które przewidują bardzo dolegliwe kary finansowe, ich nie zaskoczyły.

Taki przegląd najczęściej będzie też oznaczał przegląd samego regulaminu sprzedaży i świadczenia usług, który regulując procesy sprzedaży i zwierania umów reguluje zasady przetwarzania danych osobowych z tym związane i uwzględniać powinien odpowiednie w tym względzie wymagania prawne.

Co z tym telemarketingiem

Po koniec 2014 r. weszła w życie ustawa o prawach konsumenta zawierająca szereg szczegółowych regulacji dotyczących handlu elektronicznego w szczególności zawierania umów na odległość. Ustawą został znowelizowany art. 172 Prawa Telekomunikacyjnego. Przepis, którego interpretacja od samego początku wzbudzała i ciągle wzbudza wiele kontrowersji.

Pomijając genezę i intencje, nie do końca czytelne, które przyświecały ustawodawcy przy nowelizacji tego przepisu okazało się szybko, że przepis wbrew tym intencjom życie przyniosło wiele wątpliwości w jego stosowaniu.

Zgodnie z tym przepisem zakazane jest używanie automatycznych systemów wywołujących i telekomunikacyjnych urządzeń końcowych w celu marketingu bez uprzedniej zgody abonenta lub użytkownika końcowego.

Marketing bezpośredni służy przede wszystkim reklamie produktów i usług przedsiębiorcy. Jak wskazał Naczelny Sąd Administracyjny reklama to poszerzenie wiedzy przyszłych nabywców o towarach w celu zachęcenia ich do nabywania towarów od tego właśnie, a nie innego podmiotu gospodarczego. (…)

Okazuje się, że telekomunikacyjnym urządzeniem końcowym może być każde urządzenie podpięte do sieci a więc komputer, tablet, telefon itd. Dodatkowo przepis swoim zakresem podmiotowym obejmuje także firmy tj. podmioty prawne prowadzące działalność gospodarczą, które nie są osobami fizycznymi.

Jest to rozszerzenie zakresu podmiotowego w stosunku do zakazu przesyłania niezmówionej informacji handlowej środkami komunikacji elektronicznej regulowanego ustawą o świadczeniu usług drogą elektroniczną (uśude).

Niestety oznacza to również, że przesyłanie informacji handlowych środkami komunikacji elektronicznej do firm będzie również objęte zakazem wynikającym z omawianego przepisu art. 172 Prawa Telekomunikacyjnego.

Jak żyć?

Regulatorzy UKE, GIODO i UOKiK ostrzą sobie zęby dolewając oliwy do ognia bardzo rygorystycznymi interpretacjami. Przykładowo Prezes UKE w marcu b.r. popełnił interpretację w świetle której zakazane już również wykonywanie kontaktów w celu zapytania o zgodę na kontakt marketingowy użytkownika końcowego czy abonenta.

Świat biznesu w szczególności ten, którego biznes w głównej mierze opiera się na działalności telemarketingowej jest wzburzony i nie ukrywa tego wzburzenia wobec regulatorów. Wypełnienie wytycznych urzędów zobowiązuje podmioty do posiadania uprzedniej zgody, wyklucza kontakt w celu zapytania o zgodę, co do nie dawna było szeroko praktykowane na bazie art. 10 uśude.

Dodatkowo sprostanie obowiązkom i interpretacjom zobowiązuje do zbierania kilku odrębnych zgód od podmiotu danych, co powoduje tylko dodatkowe wystraszenie podmiotu danych i finalnie zniechęcenie do udzielania jakiejkolwiek zgody zwłaszcza, że nie do końca wiadomo jak one powinny brzmieć.

Na bazie tych wszystkich wątpliwości i rozterek powstał komitet składający się z przedstawicieli GIODO, UKE oraz UOKiK, którego celem będzie wypracowanie sensownego konsensusu tak, aby respektując prawo umożliwić też działalność biznesową. Zobaczymy co z tego wyniknie.

 

 

UOKiK “zapuka” do sklepów internetowych…

Pod koniec 2015 r. weszła w życie ustawa o prawach konsumenta wprowadzająca szereg nowych regulacji zwłaszcza dla branży e-commerce. Nowych obowiązków przybyło sporo, dlatego niezbędna była modyfikacja zasad sprzedaży przez internet a co za tym idzie regulaminów tej sprzedaży.

Wielu przedsiębiorców jednak nie dostosowało się do zmienionych zasad, dlatego oni najbardziej powinni wziąć pod uwagę informacje płynące z UOKiK o planowanych branży internetowej kontrolach urzędu.

Na początku 2016 r. UOKiK sprawdzi, czy przedsiębiorcy dostosowali się do nowych przepisów. Odpowiedzią na stwierdzone naruszenia będą postępowania administracyjne w sprawie naruszenia zbiorowych interesów konsumentów. W toku takich postępowań Urząd może nakazać zaniechanie niedozwolonej praktyki oraz nałożyć karę do 10 proc. obrotu. W uzasadnionych przypadkach Urząd może też wystąpić do przedsiębiorców o dobrowolne zaniechanie niedozwolonych praktyk.

Niewypełnianie obowiązków informacyjnych, utrudnianie odstąpienia od umowy zawartej na odległość lub poza siedzibą przedsiębiorstwa, niezamówiony marketing bezpośredni to najczęściej sygnalizowane zakazane przez przedsiębiorców praktyki.

Każdy przedsiębiorca internetowy w szczególności ten, który dokonuje za pośrednictwem internetu sprzedaży konsumentom powinien pilnie zweryfikować zasady sprzedaży w kontekście zgodności z wymaganiami nowej ustawy o prawach konsumenta.

Kontrola UOKiK może bowiem okazać się bardzo dolegliwa, gdyż UOKiK ten dysponuje całym arsenałem bardzo dotkliwych dla przedsiębiorców sankcji zwłaszcza tych, którym można postawić zarzut naruszania zbiorowych interesów konsumentów.