Czy w swoim sklepie zbierasz tylko niezbędne dane klientów? O wymogach RODO

Niniejszy artykuł pod tytułem Zakupy na eBay – poradnik dla początkujących nie stanowi porady, ani nie jest materiałem edukacyjnym, a jedynie przedstawia wyłącznie opinię jego autora. Oznacza to, że wszystkie informacje, które u nas znajdziesz na temat Zakupy na eBay – poradnik dla początkujących należy traktować jako forma rozrywkowa, a każdą decyzję podejmować wyłącznie samodzielnie w oparciu o właśne doświadczenie oraz rozsądek. Nie tylko nie zachęcamy, ale wręcz odradzamy wykorzystywanie znalezionych tutaj informacji w każdym celu i w każdej sferze życia prywatnego oraz zawodowego.

W myśl przepisów, które weszły w życie w maju 2018 roku, e-sklep powinien zbierać wyłącznie niezbędne informacje na temat klientów. Które dane zaliczane są do danych osobowych? Jakie dane może pozyskiwać sklep internetowy?

Jakie dane to dane osobowe?

Według zapisów rozporządzenia o ochronie danych osobowych (RODO) „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Dane, dzięki którym można zidentyfikować osobę fizyczną, to między innymi imię, nazwisko, numer identyfikacyjny (PESEL lub NIP), dane o lokalizacji, identyfikator internetowy. Jeśli chodzi o identyfikator internetowy, to według zapisów RODO w branży e-commerce, może to być m.in. numer IP użytkownika lub identyfikator plików cookies.

Ponadto danymi osobowymi może być jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Co z danymi wrażliwymi?

Istnieje zamknięty katalog danych wrażliwych:

  • dane o pochodzeniu rasowym lub etnicznym,
  • informacje na temat poglądów politycznych, przekonań religijnych i światopoglądowych,
  • dane o przynależności wyznaniowej, partyjnej lub związkowej,
  • dane genetyczne i biometryczne,
  • informacje na temat stanu zdrowia, seksualności lub orientacji seksualnej.

W branży e-commerce sytuacja przetwarzania danych wrażliwych (wskazanych w RODO jako szczególna kategoria danych) pojawia się niezwykle rzadko. Jeżeli dojdzie do takiej sytuacji, to przetwarzanie będzie najczęściej możliwe na podstawie zgody, pod warunkiem, że dane te będą niezbędne do realizacji celu. Szczegółowe wytyczne i katalog pozostałych przesłanek prawnych został opisany w artykule 9. RODO: Przetwarzanie szczególnych kategorii danych osobowych.

Jakie dane może pozyskiwać sklep internetowy?

Sklep internetowy powinien pozyskiwać od użytkowników tylko takie dane, które są niezbędne do zrealizowania zamówienia. Zasada minimalizacjipolega na żądaniu od użytkownika jak najmniejszej liczby danych. W przypadku wysyłki produktu do domu klienta adres jest niezbędny, ale już przy odbiorze osobistym nie będzie potrzebny.

Istotne z punktu widzenia prawa jest to, że istnieje grupa danych osobowych: imię, nazwisko, e-mail, adres dostawy (w przypadku dostawy pod wskazany adres), które sklep wykorzystywać może bez konieczności pytania o zgodę na ich przetwarzanie. Wykonanie umowy, która dotyczy osoby zamawiającej, to pierwszy przykład, gdy zgoda na przetwarzanie danych nie jest konieczna.

Druga taka sytuacja to podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przypomnijmy, że w przypadku sklepu internetowego moment zawarcia umowy sprzedaży jest określony w regulaminie sklepu. Zawarcie umowy najczęściej następuje, gdy użytkownik złoży zamówienie w e-sklepie.

Dane osobowe i cele ich przetwarzania

Cel przetwarzania danych to np. realizacja zamówienia, wysyłka treści marketingowych, przesyłanie informacji handlowych od partnerów biznesowych i wiele innych.Każdy zbiór danych powinien mieć przypisany inny cel oraz wymaga uzyskania zgody od użytkownika na przetwarzanie danych lub odbywać się na innej, uzasadnionej podstawie przewidzianej prawem.

Należy pamiętać, że zgoda to tylko jedna z przesłanek. Według artykułu 6. RODO przetwarzanie danych jest zgodne z przepisami w przypadku i zakresie, gdy spełniony jest minimum jeden warunek. Warunki to m.in. wyrażenie zgody na przetwarzanie danych w jednym lub większej liczbie celów przez osobę, której dane dotyczą. Inny warunek to sytuacja, gdy przetwarzanie jest niezbędne do wykonania umowy. Warunkiem może być również zrealizowanie celu leżącego w ogólnym interesie publicznym – wówczas administrator danych osobowych może dokonać dalszego ich przetwarzania, bez względu na zgodność z pierwotnymi celami.