Poradnik

Obowiązek informacyjny RODO w sklepie internetowym

Obowiązek informacyjny RODO to jeden z pierwszych elementów, które kontrolujący sprawdza w sklepie internetowym. Pokazujemy, kiedy informujesz klienta o przetwarzaniu danych, co musi znaleźć się w klauzuli i jak ułożyć ją przy zamówieniu, koncie i zapisie na newsletter.

Obowiązek informacyjny RODO w sklepie - na czym polega

Obowiązek informacyjny RODO to wymóg przekazania klientowi konkretnego zestawu informacji w chwili, gdy zbierasz jego dane osobowe. W sklepie internetowym dane pojawiają się w wielu miejscach: przy składaniu zamówienia, zakładaniu konta, zapisie na newsletter, kontakcie przez formularz czy wystawianiu faktury. Każde z tych miejsc uruchamia obowiązek poinformowania.

Podstawą są art. 13 RODO (gdy dane zbierasz wprost od klienta) i art. 14 RODO (gdy pozyskujesz je z innego źródła). Klient ma wiedzieć, kto przetwarza jego dane, po co, na jakiej podstawie prawnej, jak długo i jakie prawa mu przysługują. Informacja musi być zwięzła, przejrzysta i napisana zrozumiałym językiem, a nie ukryta w gęstym, prawniczym tekście.

Ten poradnik ma charakter praktyczny i informacyjny, nie jest poradą prawną. Konkretne sytuacje, zwłaszcza gdy w grę wchodzą profilowanie, transfer danych poza Unię Europejską czy wrażliwe dane, warto omówić z prawnikiem albo specjalistą od ochrony danych i sprawdzić aktualny stan przepisów, bo bywają zmieniane.

Co musi zawierać klauzula informacyjna RODO

Klauzula informacyjna RODO to zestaw informacji, które przekazujesz klientowi w momencie zbierania danych. Pełną treść trzymasz w polityce prywatności sklepu, a przy formularzach dajesz do niej krótki odnośnik. Standardowy zakres dla danych zbieranych bezpośrednio od klienta wygląda tak:

ElementCo podajesz
Administrator danychNazwa firmy, dane kontaktowe, ewentualnie inspektor ochrony danych
Cele przetwarzaniaRealizacja zamówienia, obsługa konta, marketing, fakturowanie
Podstawa prawnaUmowa, obowiązek prawny, zgoda lub uzasadniony interes
Odbiorcy danychKurierzy, system fakturowy, dostawca płatności, hosting
Okres przechowywaniaCzas wynikający z umowy, przepisów podatkowych, zgody
Prawa klientaDostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przeniesienie
Prawo skargiMożliwość wniesienia skargi do Prezesa UODO
Dobrowolność danychCzy podanie danych jest warunkiem zawarcia umowy

W praktyce nie musisz wklejać całej tej tabeli przy każdym polu formularza. Wystarczy czytelne odesłanie typu „Administratorem Twoich danych jest [nazwa], szczegóły znajdziesz w polityce prywatności". Ważne, by link był widoczny i dostępny w momencie podawania danych, a nie dopiero po finalizacji zamówienia.

Pamiętaj o spójności: jeśli w polityce prywatności wymieniasz odbiorców danych, w tym system fakturowy czy firmy kurierskie, ta lista musi odpowiadać temu, jak realnie chronisz i przekazujesz dane klientów. Klauzula, która rozjeżdża się z rzeczywistym przepływem danych, jest jednym z częstszych uchybień wykrywanych przy kontroli.

Kiedy informować klienta o przetwarzaniu danych

Moment spełnienia obowiązku informacyjnego zależy od tego, skąd masz dane. Reguła jest prosta: informujesz wtedy, gdy dane zbierasz, a nie gdy zaczynasz z nich korzystać.

  • Dane od klienta bezpośrednio (art. 13 RODO) - informację podajesz w chwili podawania danych. W sklepie oznacza to widoczny link do polityki prywatności przy koszyku, formularzu rejestracji i zapisie na newsletter.
  • Dane z innego źródła (art. 14 RODO) - na przykład gdy dane spływają z marketplace albo od partnera. Tu masz czas: najpóźniej w ciągu miesiąca, a jeśli wcześniej kontaktujesz się z osobą, to przy pierwszym kontakcie.

Dla typowego sklepu kluczowe są trzy punkty styku. Zamówienie - klient podaje imię, nazwisko, adres, e-mail i telefon, więc klauzula musi być dostępna w koszyku lub na stronie potwierdzenia danych. Konto - przy rejestracji informujesz o przetwarzaniu danych konta i historii zamówień. Newsletter - przy zapisie na listę mailingową, gdzie obok klauzuli pojawia się też odrębna zgoda.

Częsty błąd to spełnienie obowiązku zbyt późno, na przykład dopiero w mailu potwierdzającym zamówienie. Informacja ma być dostępna zanim klient kliknie „Zamawiam i płacę", a nie po fakcie.

Obowiązek informacyjny przy zamówieniu, koncie i newsletterze

Trzy najczęstsze sytuacje w sklepie różnią się podstawą prawną przetwarzania, więc i treść informacji jest nieco inna.

Zamówienie opiera się na wykonaniu umowy. Dane potrzebne do zrealizowania i wysłania zamówienia oraz wystawienia faktury przetwarzasz bez osobnej zgody, bo bez nich umowy nie da się wykonać. Obowiązek informacyjny i tak istnieje: klient musi wiedzieć, że dane trafią do kuriera, systemu fakturowego i operatora płatności, oraz jak długo je przechowujesz. Część okresu przechowywania wynika tu z przepisów podatkowych, bo dokumenty sprzedaży trzymasz przez wymagany czas, podobnie jak przy RODO i fakturowaniu online.

Konto klienta to przetwarzanie na podstawie umowy o świadczenie usługi konta. Informujesz o danych logowania, historii zamówień i o tym, że klient może konto usunąć. Jeśli z poziomu konta klient może zapisać się na marketing, to jest już osobny cel z osobną podstawą.

Newsletter stoi zwykle na zgodzie na marketing. Tu obowiązek informacyjny łączy się z zgodami marketingowymi i zasadami newslettera. Klauzula informacyjna mówi, kto przetwarza dane i jak się wypisać, a sama zgoda jest odrębnym, dobrowolnym oświadczeniem - niezaznaczonym domyślnie i niewymuszonym jako warunek zakupu.

SytuacjaTypowa podstawa prawnaCzy potrzebna zgoda
Realizacja zamówieniaWykonanie umowyNie dla danych do realizacji
Wystawienie i przechowanie fakturyObowiązek prawnyNie
Konto klientaUmowa o usługę kontaNie dla samego konta
Newsletter, marketing e-mailZgodaTak, odrębna i dobrowolna

Sprzedaż na wielu kanałach a obowiązek informacyjny

Gdy sprzedajesz nie tylko we własnym sklepie, ale też na Allegro, eBay czy innym marketplace, dane klientów spływają z różnych źródeł i różnymi drogami. To rozprasza odpowiedzialność informacyjną. Część danych zbierasz wprost (własny sklep), część otrzymujesz za pośrednictwem platformy. W tej drugiej sytuacji obowiązek z art. 14 RODO każe poinformować osobę najpóźniej w ciągu miesiąca lub przy pierwszym kontakcie.

Im więcej kanałów, tym łatwiej o lukę: w jednym miejscu klauzula jest aktualna, w innym wciąż wskazuje nieistniejącego już odbiorcę danych albo pomija nowy system, do którego dane realnie trafiają. Dlatego przy sprzedaży wielokanałowej warto raz na jakiś czas zestawić, jakie systemy faktycznie przetwarzają dane klientów, i sprawdzić, czy polityka prywatności to odzwierciedla.

Centralizacja zamówień pomaga utrzymać porządek. Gdy zamówienia z wielu platform spływają do jednego systemu zarządzania zamówieniami, a faktury wystawiają się automatycznie z zamówień, masz jasny obraz tego, gdzie dane się pojawiają i do których systemów trafiają. To nie zwalnia z obowiązku informacyjnego, ale ułatwia utrzymanie klauzuli zgodnej z rzeczywistością i ograniczenie liczby miejsc, w których dane się duplikują.

Najczęstsze błędy w obowiązku informacyjnym

Kontrole i skargi do UODO pokazują, że problem rzadko leży w braku polityki prywatności, a częściej w jej oderwaniu od praktyki. Kilka powtarzających się uchybień:

  • Klauzula spóźniona - informacja pojawia się dopiero po złożeniu zamówienia albo w mailu potwierdzającym, a powinna być dostępna w chwili zbierania danych.
  • Zgoda wymieszana z umową - jeden checkbox łączący akceptację regulaminu ze zgodą na marketing. Zgoda musi być odrębna i dobrowolna.
  • Nieaktualna lista odbiorców - polityka wskazuje systemy, których już nie używasz, albo pomija te, do których dane realnie trafiają.
  • Język nieczytelny - klauzula napisana wyłącznie prawniczym żargonem, którego klient nie rozumie, narusza wymóg przejrzystości.
  • Brak informacji o prawach - pominięcie prawa do usunięcia danych, sprzeciwu czy skargi do Prezesa UODO.
  • Domyślnie zaznaczone zgody - checkbox marketingowy zaznaczony z góry nie jest ważną zgodą.

Dobra praktyka to przegląd klauzul przy każdej większej zmianie w sklepie: nowy system fakturowy, nowy kurier, nowy cel przetwarzania. Jeśli dochodzi nowy odbiorca danych, aktualizujesz politykę prywatności, a przy formularzach pilnujesz, by odesłanie do niej było widoczne i prowadziło do treści zgodnej ze stanem faktycznym.

Na koniec warto powtórzyć: powyższe to wskazówki organizacyjne, nie porada prawna. Treść konkretnych klauzul, zwłaszcza przy profilowaniu, transferach danych poza Unię Europejską czy współadministrowaniu, najlepiej skonsultować z prawnikiem i okresowo weryfikować pod kątem aktualnych przepisów.

Najczesciej zadawane pytania

To obowiązek przekazania klientowi zestawu informacji o tym, kto i w jakim celu przetwarza jego dane, na jakiej podstawie prawnej i jakie ma on prawa. Wynika z art. 13 i 14 RODO i dotyczy każdej sytuacji, w której zbierasz dane osobowe - zamówienia, rejestracji konta, zapisu na newsletter czy kontaktu. Informacja musi być podana zwięźle, przejrzyście i w zrozumiałym języku.

W momencie zbierania danych. Jeśli pozyskujesz dane bezpośrednio od klienta (formularz zamówienia, rejestracji, newsletter), informację podajesz w chwili ich podawania - najczęściej przez link do polityki prywatności przy formularzu. Gdy dane otrzymujesz z innego źródła, masz na to do miesiąca albo do pierwszego kontaktu z osobą.

Nie. Klauzula informacyjna to przekazanie informacji o przetwarzaniu i jest obowiązkowa zawsze, niezależnie od podstawy prawnej. Zgoda to odrębne oświadczenie woli klienta, wymagane tylko dla niektórych celów, na przykład marketingu w newsletterze. Realizacja obowiązku zamówienia nie wymaga zgody na dane potrzebne do wykonania umowy, ale wymaga poinformowania.

Pełną treść trzymasz w polityce prywatności, do której linkujesz z każdego miejsca zbierania danych. Przy samych formularzach (koszyk, rejestracja, newsletter) dajesz krótkie odesłanie typu administratorem danych jest X, szczegóły w polityce prywatności. Dzięki temu informacja jest dostępna od razu, a klient w razie potrzeby wchodzi w szczegóły.

Tak. Przy zapisie na newsletter zbierasz adres e-mail, więc musisz poinformować, kto jest administratorem, w jakim celu i na jakiej podstawie przetwarzasz dane oraz jak można się wypisać. Newsletter opiera się zwykle na zgodzie na marketing, dlatego oprócz klauzuli informacyjnej potrzebna jest też osobna, dobrowolna zgoda.

Mniej rozproszonych danych klienta, większy porządek

Gdy zamówienia z wielu platform spływają w jedno miejsce, łatwiej zapanować nad tym, jakie dane gdzie trafiają. Przeklikaj pełne demo bez rejestracji i bez karty.

Zobacz demo