RODO – wszystko co e-commerce powinno wiedzieć nim zacznie sprzedawać

Rozpoczynamy cykl artykułów dotyczących najczęstszych błędów prawnych, które kosztują przedsiębiorców majątek. Przeprowadziliśmy w ostatnich latach setki audytów i konsultacji, mieliśmy okazję finalnie zabezpieczać prawie 500 przedsiębiorców. Jako dział prawny Fundacji ZarabiajNaPasji.com jesteśmy blisko tego, co się realnie dzieje w biznesach przedsiębiorców, ponieważ sami posiadamy zarówno placówki fizyczne jak i spółki internetowe. Wielokrotnie poznając bolączki właścicieli, doskonale wiedzieliśmy co przechodzą, sami mieliśmy to bowiem za sobą.

By pomóc innym, którzy ciągle sami szarpią się ze wszystkim, a jednocześnie pokazać, że nie jest wstydem nie wiedzieć, postanowiłem stworzyć ranking tego, na co uważać, byście na tej podstawie byli w stanie zweryfikować swoich dotychczasowych doradców, prawników, księgowe czy osoby, które pomagały Wam z kwestiami prawnymi.

Wielokrotnie brakuje nam wiedzy, by zweryfikować, czy „księgowa robi to dobrze” i finalnie zdajemy się na osoby, które zabezpieczają siebie, a nie nasze interesy. To nie Wasza wina. Jako właściciele jesteśmy często zabiegani, a zmiany przepisów są wprowadzane tak szybko, że nieraz nie wdrożyliśmy jeszcze starych, a pojawiły się już kolejne, nowe. Musimy zdać się na innych, ale jak ich zweryfikować?

Jako punkt pierwszy wybieramy RODO. O ile same wymogi zaczęły być wprowadzane, o tyle zazwyczaj kończy się na fasadzie, która w formie jednego dokumentu jest kopiowana z Internetu lub od konkurencji. Fasada ma to do siebie, że jest jedynie prowizoryczną ścianką, która z daleka wygląda ładnie, ale w rzeczywistości to pomalowany karton-gips, który ma się nijak do roli, w jakiej został powołany. Podobnie stało się i tutaj:

Polityka Prywatności, czyli dokument, który pozostaje do wglądu dla klientów, bardzo często jest jedynie dokumentem internetowym, wiszącym na stronie, za którym ostatecznie powinno stać kilkanaście lub kilkadziesiąt stron pozostałych, wewnętrznych procedur. Bez nich, sama polityka prywatności (mimo iż jest wymagana) nie ma żadnej mocy. Spełnia co prawda obowiązek informacyjny, ale nie wyczerpuje pozostałych obowiązków, które ustawodawca nakłada na przedsiębiorcę. Mamy zatem fasadę domu, za którą jest łąka. Z daleka wygląda ładnie, ale po podejściu bliżej okazuje, się, że nie jest wiele warta. Na tym wysypywało się ok. 7/10 przedsiębiorców, z tych, którzy pozornie posiadali Politykę Prywatności.

Dostęp do Polityki Prywatności, klient powinien mieć PRZED zawarciem i akceptacją warunków umowy i zapłatą. Wiele podmiotów nadal stosuje zapłatę, a następnie przedstawienie regulaminu i Polityki Prywatności konsumentom. Idea jest taka, że klient musi mieć możliwość zapoznania się z tym, jak przetwarzacie dane, komu przekazujecie i jak je zabezpieczacie — przed decyzją o zakupie usługi czy produktu.

– Gdy już decydujemy się na dostęp do Polityki Prywatności poprzez stronę internetową (link do strony), musimy wziąć pod uwagę taką możliwość, iż sprzedając poza sklepem internetowym również musimy dostarczyć klientowi plik z Polityką prywatności, a przy wymianie mailowej zastosować odpowiedni zapis w stopce, upewniając się, że wypełniliśmy nasz obowiązek informacyjny. Nadal pokutuje przekonanie, że przecież “nikt nas nie sprawdzi”. Obecnie weryfikacja podstawowych obowiązków przedsiębiorcy jest o wiele łatwiejsza niż 5-10 lat temu, bo naraża nas na kary i kontrole.

– Potwierdzenie akceptacji Polityki Prywatności, to coś, na co przedsiębiorcy nie zwracają uwagi. Bowiem w przypadku kontroli czy weryfikacji obowiązków wynikających z ustawy, może pojawić się potrzeba weryfikacji, czy dany klient zapoznał się z zasadami przetwarzania danych. Jeśli dokonuje zakupu i pojawia się zgoda w postaci checkboxa, powinniśmy zadbać o akceptację lub potwierdzenie w dowolny sposób faktu, że klient zapoznał się z treścią. Wiele sklepów internetowych nadal nie posiada wymaganych checkboxów, a jeśli ma, to nie zbiera potwierdzeń w jednym miejscu, zatem udowodnienie klientowi, że zgodził się na marketing lub kontakt staje się niemożliwa. Niewielu z przedsiębiorców, których audytowaliśmy, miało zrobione to poprawnie. Oświadczenia czy zgody były toporne i nie wyczerpywały zaleceń PUODO w zakresie obowiązku informacyjnego.

– Gdy powyższe punkty okazywały się w miarę uregulowane, błędy pojawiały się już „za fasadą”, gdzie powinien znaleźć się Rejestr Czynności Przetwarzania oraz Procedura Realizacji /wycieku itp. To kilkunasto- lub kilkudziesięciostronicowy dokument, szczegółowo opisujący procedury wewnętrzne. Zawiera informacje o analizie poziomu ryzyka RODO, względem naszej firmy oraz ocenę skutków dla ochrony danych osobowych. Jest to też dokument, który jest podstawą dla pracowników, opisujący niezbędne zachowania w przypadku wycieku lub złamania zabezpieczeń. 8/10 audytowanych przedsiębiorców, którzy mieli ten dokument, posiadało w nim dziury i nieścisłości, które wyszłyby na kontroli.

– Checkboxy na stronach i w formularzach. Ta kwestia pojawia się niemal zawsze. Wystarczy wejść na stronę sklepu, by zorientować się, że albo checkboxów brak (w przypadku kontaktu czy zakupów online) albo wymaganych pól jest za dużo. O prawach konsumenta opowiemy sobie w kolejnych odcinkach cyklu, niemniej jednak to, co łatwo zapamiętać: obowiązkowe musi być pole, które nie pozwoli zrealizować usługi, jeśli nie będzie zaakceptowane. W tym wypadku polityka prywatności (bez tego nie mamy jak przetwarzać danych) oraz regulamin (zakupów online). Każda inna zgoda typu zgoda marketingowa, musi być dodatkowa i nieobowiązkowa, ponieważ jest dodatkiem do usługi. Klient, chcąc dokonać zakupu, nie może zostać zmuszony do czytania reklam czy newslettera, dlatego w tym nasza rola, by było warto zaznaczyć to pole.

– Ograniczony dostęp do danych. To zasada, która obowiązuje zarówno jeśli chodzi o stacje robocze (komputery), jak i o programy (logowanie) i dane w chmurze. Zasada jest prosta, zakłada się, by nie dochodziło do sytuacji, gdy ktoś poza administratorem posiada 100% uprawnień do konta, gdzie znajdują się dane. Jeśli chodzi o stacjonarny komputer — muszą występować dwa konta, jedno administracyjne, drugie dla obsługi czy pracowników. Ponieważ nie ma potrzeby, by niższe stanowiska miały 100% dostępu. To samo dzieje się w przypadku logowania na maile, dane w chmurze czy programy. Niestety tutaj 10/10 audytowanych przez nas przedsiębiorców nie wdrożyło tego zalecenia.

– Kolejne schody zaczynały się przy opisach podmiotów zewnętrznych, którym przekazujemy dane. Wiele Rejestrów Czynności Przetwarzania, jak i Polityk Prywatności nie posiadało informacji i podmiotach zewnętrznych oraz tego, gdzie szukać z kolei informacji o ich politykach prywatności. W założeniu chodzi o to, by klient mógł zobaczyć nie tylko to, jak Wy przetwarzacie dane, ale również to, komu je pokazujecie oraz kto je dalej (i jak) przetwarza. Dajmy na przykład biura księgowe, prawników, a nawet pracowników na samozatrudnieniu. W każdej z tych sytuacji dochodzi do przekazywania danych. Wystawiając fakturę imienną, przekazujemy dane osobowe do obcego podmiotu, który powinien być wynotowany (najlepiej z nazwy albo link do strony www). Przekazując umowę do prawnika, również powinno to widnieć w RCP i PP. W przypadku księgowych i prawników rotacja nie jest tak duża, jak w przypadku chwilowych partnerów biznesowych — czy musimy zatem każdorazowo zmieniać dokument? Wystarczy zastosować jeden prosty trik, chętnie udostępnimy taką informację każdemu zainteresowanemu — prosimy tylko o wiadomość na maila kancelaria@zarabiajnapasji.com – dział wsparcia naszej Fundacji przekaże szczegółowe instrukcje jak to rozwiązać.

– Gdy już zawrzemy w PP jak i RCP informacje o podmiotach zewnętrznych, ważne, by zawrzeć z takimi podmiotami osobne umowy o zakresie przetwarzania danych. Umowa określa jakie dane przekazujemy i do jakich celów. Powinna też określać czas ich przetrzymywania, a osobna Polityka Prywatności drugiego podmiotu (również trener powinien taką mieć — procedury RODO obowiązują wszystkich przedsiębiorców) powinna mówić, co z tymi danymi się dzieje.

Jeśli macie wątpliwości, czy Wasze dokumenty są poprawnie wdrożone, możesz skorzystać z bezpłatnego audytu, gdzie dział prawny Fundacji Zarabiaj Na Pasji za darmo sprawdzi Twoją dokumentację i poinformuje, jeśli znajdują się w niej uchybienia, nim zrobi to jakiś organ kontrolny. Wystarczy, że klikniesz poniżej w “poproś o kontakt”

 

Masz sklep internetowy · platformę do kursów· handlujesz fizycznie lub cyfrowo?

Czy wydaje Ci się, że odkąd założyłeś firmę to wszyscy czegoś od Ciebie chcą, a nikt nie chce Ci pomóc?

Upewnij się jakie obowiązki prawne musisz spełnić, by robić to w pełni legalnie i spać spokojnie.

Zostaw maila, a nasz dział prawny skontaktuje się z Tobą, póki nie jest za późno.