Zapytaj o RODO w e-commerce – Q&A z inspektorem ochrony danych

Podobno 83% firm nie ma problemu z kwestiami związanymi o ochroną danych osobowych klientów. A jak jest w branży e-commerce? RODO to nadal czynnik blokujący działania marketingowe?

Zacznijmy od przedstawienia odpowiadającego na pytania. Jan Wieczorkiewicz od 2013 zajmuje się ochroną danych osobowych w SMSAPI oraz międzynarodowej grupie LINK Mobility. 31 maja o 10:00 odpowiadał na żywo na pytania publiczności podczas webinaru Zapytaj o RODO.

Sesja Q&A z inspektorem ochrony danych osobowych

Zobacz nagranie godzinnej sesji z inspektorem ochrony danych, podczas której Jan odpowiedział również na pytania odnośnie RODO w e-commerce. Poniżej znajdziesz skrót z czterech zagadnień najważniejszych w handlu online.

1. Jakie korzyści dla e-commerce przyniosło wprowadzenie RODO?

25 maja minął czwarty rok jak na terenie Unii Euroepjskiej obowiązuje rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które przyjęło się potocznie nazywać RODO.

Kwestię, kiedy poszczególne sklepy faktycznie wdrożyły zalecenia i dostosowały swoją działalność do rozporządzenia pozostawiam otwartą. Nie ulega jednak wątpliwości, RODO wprowadziło w polskiej branży e-handlu sporo zamieszania… i w efekcie wiele spraw uporządkowało.

Pierwszą, zapewne najważniejszą zdobyczą z perspektywy użytkownika, było wymuszenie większej przejrzystości procesów przetwarzania danych. Dotyczyło to w szczególności pozyskiwania i utrzymania danych osobowych klientów. Rozporządzenie nałożyło na administratorów rygor w postępowaniu z danymi i powtarzalny schemat działań.

Drugą korzyść można postrzegać w kategoriach biznesowych. Porządki w bazach, pozbycie się wątpliwych kontaktów i odejście od archaicznych praktyk pozyskiwania leadów wpłynęło na efektywność komunikacji sprzedażowej.

Praca z grupą odbiorczą faktycznie zainteresowaną produktem przynosi lepsze rezultaty. Można też spodziewać się po niej wyższej konwersji. Dodatkową zaletą są niższe koszty obsługi niezadowolonych klientów.

Trzecią, jakoby wynikającą z dwóch poprzednich, jest generalna poprawa wizerunku marek sprzedających w sieci. Firmy przestały zasypywać klientów niechcianymi komunikatami, ponieważ zrozumiały i nauczyły się lepiej wykorzystywać narzędzia komunikacyjne.

Parafrazyjując znajomego IDO: Mieliśmy w tym czasie panikę przedsiębiorców, zgodozę, peselozę, Gargamelozę (zamiast numerków pseudonimy w przychodniach), a także nadzieję na ukrócenie praktyki wysyłania niechcianych wiadomości oraz wykonywania telefonów i wreszcie pogodzenie się z tym, że każdy musi porozmawiać z botem o fotowoltaice.

2. Z jakimi przepisami RODO sklepy internetowe mają największe problemy? Co nie jest wdrażane prawidłowo?

To pytanie wolałbym pozostawić do odpowiedzi regulatorom naszego rynku. Jako SMSAPI dostarczamy narzędzie dla e-commerce, ale sami bezpośrednio nie działamy w sprzedaży B2C online. Pokuszę się jednak i wskażę kilka kwestii, które z pewnością nie dają spokoju handlującym w sieci.

Najgorętszym tematem ostatnich miesięcy na pewno jest dyrektywa Omnibus, która obowiązuje od 28 maja 2022.

Istnieje także szereg istotnych regulacji unijnych i krajowych, które najzwyczajniej trzeba znać. Oszczędzi to sporo problemów, ułatwi i przyśpieszy procesy decyzyjne, innymi słowy zapewni płynność działań.

W branży e-commerce wypada się dostosować do:

• RODO 🙂
• nasza krajowa ustawa o ochronie danych osobowych
• ustawa o świadczeniu usług drogą elektroniczną
• prawo telekomunikacyjne

Równie pomocne okaże się zapoznanie się z innymi przepisami:

• jeśli prowadzimy konkursy: ustawa o grach hazardowych
• jeśli publikujemy treści na firmowym blogu: prawo prasowe i prawo autorskie
• w zależności od zakresu oferowanych towarów: ustawa o bezpieczeństwie żywności i żywienia

Wymieniać można bez liku, ponieważ każda nisza ma swoją specyfikę, jednak znajomość przynajmniej podstawowych zagadnień jest must-have w e-commerce. Zwyczajnie nie opłaca się działać w ciemno i liczyć, że nic się nie wydarzy.

3. Na co uważać przy tworzeniu dokumentu polityki prywatności? (błędy, dobre praktyki)

Polityka prywatności jest pojęciem jednoznacznie kojarzącym się z RODO. A jednak, w samym rozporządzeniu próżno szukać odniesienia do polityki prywatności. Nie zostało użyte w nim ani razu.

RODO natomiast nakłada na administratorów obowiązki informacyjne wynikające z art. 13/14 rozporządzenia. Należy je spełnić w zasadzie przy każdym pobieraniu danych od osoby: odwiedzającej stronę, dokonującej zakupów czy chcącej się zapisać do newslettera. Każdy z tych celów przetwarzania jest inny, podstawa prawna przetwarzania także jest inna.

Administratorzy tworząc takie polityki prywatności chcą zebrać „do kupy” wszystkie te czynności przetwarzania i poinformować osobę o wszystkich aspektach w ramach jednego dokumentu, niż tworzyć kilka osobnych dokumentów i umieszczać je w różnych miejscach na stronie internetowej.

Błędy i dobre praktyki? Zagadnienia się przeplatają. Niestety, art. 13/14 zmusza nas do przekazania wielu informacji w ramach obowiązku informacyjnego. Dobrą praktyką jest np. tworzenie polityki w formie pytań i odpowiedzi w oparciu o wymogi art. 13/14. Informacja powinna być przekazana w sposób zrozumiały, jasny i przejrzysty dla odbiorcy. Powinny także zawierać wszystkie wymagane punkty wynikające z przepisu, do którego niniejszym odeślemy zainteresowanych.

4. Kwestia cookie a e-commerce – co możesz podpowiedzieć firmom wdrażającym RODO?

Przepisy zawarte w art. 5 ust. 3 Dyrektywy o prywatności i łączności elektronicznej przetransponowane do ustawy PT (art. 173) nakładają na nas (tj. wszystkich operatorów stron internetowych) wymóg uzyskania zgody, po uprzednim udzieleniu jasnych i wyczerpujących informacji na temat instalowanych cookies.

Nie ma tutaj większego znaczenia do czego strona jest wykorzystywana, ale samo wykorzystywanie technologii ciasteczek.

Cookiesy możemy podzielić z grubsza na kilka rodzajów:

• niezbędne – pliki konieczne do poprawnego działania witryny (np. logowanie)
• preferencyjne – zapisujące ustawienia użytkownika korzystającego z witryny (np. język wyświetlania)
• statystyczne – wewnętrzne lub zewnętrzne, zbierające np. informacje o ilości wizyt
• marketingowe – głównie zewnętrzne, pozwalające na wyświetlanie reklam użytkownikom na podstawie ich zbudowanych profili

Pliki cookies można podzielić również ze względu na pochodzenie:

• first party – „nasze cookiesy” – ustawiane przez domenę, na której użytkownik się znajduje
• third party – cookiesy stron trzecich – ustawiane przez domeny stron trzecich (np. Google Analytics, Facebook itp.)

Nie potrzebujemy zgody użytkownika końcowego w przypadku cookiesów wymaganych dla poprawnego działania strony internetowej (np. logowania czy utrzymania sesji). W przypadku pozostałych rodzajów uprzednia zgoda jest wymagana.

Zgodnie z wytycznymi EROD nr 05/2020 dotyczącymi zgody: Milczenie lub bezczynność po stronie osoby, której dane dotyczą, jak również po prostu kontynuowanie korzystania z usługi nie mogą zostać uznane za aktywne wskazanie wyboru.

Eliminuje nam to możliwość pobrania zgody od użytkownika poprzez np. „scollowanie w dół strony” czy też przez „dalsze korzystanie ze strony”. Działanie musi być wyraźne, konkretne i świadome. Na rynku dostępnych jest kilka narzędzi do obsługi plików cookies, które są w stanie obsłużyć nasze ciasteczka, zebrać wymagane zgody oraz przedstawić użytkownikowi wyczerpującą informację.

Dobre rady odnośnie plików cookies w e-commerce:

• zrób inwentaryzację swoich cookies (first party, third party, niezbędne, pozostałe)
• nie wysyłaj cookiesów z grupy pozostałych przed otrzymaniem zgody i wyświetleniem obowiązku informacyjnego
• zadbaj o odpowiedni obowiązek informacyjny i opisz:
• jakie ciasteczka instalujesz,
• w jakim celu je instalujesz,
• jak długo będą przechowywane,
• poinformuj użytkownika, jeżeli przekazujesz jakieś dane do krajów trzecich,
• zapewnij bezpieczeństwo przechowywania zgód,
• zapewnij możliwość wycofania zgody.