W myśl przepisów, które weszły w życie w maju 2018 roku, e-sklep powinien zbierać wyłącznie niezbędne informacje na temat klientów. Które dane zaliczane są do danych osobowych? Jakie dane może pozyskiwać sklep internetowy?

Jakie dane to dane osobowe?

Według zapisów rozporządzenia o ochronie danych osobowych (RODO) „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Dane, dzięki którym można zidentyfikować osobę fizyczną, to między innymi imię, nazwisko, numer identyfikacyjny (PESEL lub NIP), dane o lokalizacji, identyfikator internetowy. Jeśli chodzi o identyfikator internetowy, to według zapisów RODO w branży e-commerce, może to być m.in. numer IP użytkownika lub identyfikator plików cookies.

Ponadto danymi osobowymi może być jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Co z danymi wrażliwymi?

Istnieje zamknięty katalog danych wrażliwych:

  • dane o pochodzeniu rasowym lub etnicznym,
  • informacje na temat poglądów politycznych, przekonań religijnych i filozoficznych,
  • dane o przynależności wyznaniowej, partyjnej lub związkowej,
  • dane genetyczne i biometryczne,
  • informacje na temat stanu zdrowia, seksualności lub orientacji seksualnej.

Żeby móc przetwarzać dane wrażliwe, należy uzyskać od użytkownika odpowiednią na to zgodę. Pozyskiwanie tego rodzaju danych może być niezbędne w określonych sytuacjach. Jakich? Przykład: sklep oferuje specjalistyczny sprzęt medyczny i niezbędną dla niego informacją jest stan zdrowia klienta. Jeżeli posiada zgodę na przetwarzanie danych wrażliwych, to może ich użyć tylko do celów, na jakie zgodził się użytkownik. W myśl jednej z najbardziej podstawowych zasad RODO – zasady ograniczenia celu przetwarzania danych – dane mogą być wykorzystane wyłącznie w taki sposób, na jaki zgodziła się udostępniająca je osoba.

Jakie dane może pozyskiwać sklep internetowy?

Sklep internetowy powinien pozyskiwać od użytkowników tylko takie dane, które są niezbędne do zrealizowania zamówienia. Zasada minimalizacjipolega na żądaniu od użytkownika jak najmniejszej liczby danych. W przypadku wysyłki produktu do domu klienta adres jest niezbędny, ale już przy odbiorze osobistym nie będzie potrzebny.

Istotne z punktu widzenia prawa jest to, że istnieje grupa danych osobowych: imię, nazwisko, e-mail, adres dostawy (w przypadku dostawy pod wskazany adres), które sklep wykorzystywać może bez konieczności pytania o zgodę na ich przetwarzanie. Wykonanie umowy, która dotyczy osoby zamawiającej, to pierwszy przykład, gdy zgoda na przetwarzanie danych nie jest konieczna.

Druga taka sytuacja to podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przypomnijmy, że w przypadku sklepu internetowego moment zawarcia umowy sprzedaży jest określony w regulaminie sklepu. Zawarcie umowy najczęściej następuje, gdy użytkownik złoży zamówienie w e-sklepie.

Dane osobowe i cele ich wykorzystywania

Wszystkie dane zebrane w sklepie internetowym, powinny zostać podzielone na zbiory według celu, do jakiego zostaną wykorzystane. Cel przetwarzania danych to np. realizacja zamówienia, wysyłka treści marketingowych, przesyłanie informacji handlowych od partnerów biznesowych i wiele innych.

Każdy zbiór danych powinien mieć przypisany inny cel oraz wymaga uzyskania odrębnej zgody od użytkownika na ich przetwarzanie. Należy uwzględnić te informacje w architekturze treści sklepu internetowego podczas projektowania check-outów ze wszystkimi niezbędnymi zgodami.

Udostępnij.

Zostaw komentarz