Polityka prywatności sklepu internetowego a RODO
Co musi zawierać polityka prywatności sklepu internetowego zgodnie z RODO: administrator, cele i podstawy przetwarzania, prawa klientów, cookies, odbiorcy danych.
Obowiązek informacyjny RODO to jeden z pierwszych elementów, które kontrolujący sprawdza w sklepie internetowym. Pokazujemy, kiedy informujesz klienta o przetwarzaniu danych, co musi znaleźć się w klauzuli i jak ułożyć ją przy zamówieniu, koncie i zapisie na newsletter.
Obowiązek informacyjny RODO to wymóg przekazania klientowi konkretnego zestawu informacji w chwili, gdy zbierasz jego dane osobowe. W sklepie internetowym dane pojawiają się w wielu miejscach: przy składaniu zamówienia, zakładaniu konta, zapisie na newsletter, kontakcie przez formularz czy wystawianiu faktury. Każde z tych miejsc uruchamia obowiązek poinformowania.
Podstawą są art. 13 RODO (gdy dane zbierasz wprost od klienta) i art. 14 RODO (gdy pozyskujesz je z innego źródła). Klient ma wiedzieć, kto przetwarza jego dane, po co, na jakiej podstawie prawnej, jak długo i jakie prawa mu przysługują. Informacja musi być zwięzła, przejrzysta i napisana zrozumiałym językiem, a nie ukryta w gęstym, prawniczym tekście.
Ten poradnik ma charakter praktyczny i informacyjny, nie jest poradą prawną. Konkretne sytuacje, zwłaszcza gdy w grę wchodzą profilowanie, transfer danych poza Unię Europejską czy wrażliwe dane, warto omówić z prawnikiem albo specjalistą od ochrony danych i sprawdzić aktualny stan przepisów, bo bywają zmieniane.
Klauzula informacyjna RODO to zestaw informacji, które przekazujesz klientowi w momencie zbierania danych. Pełną treść trzymasz w polityce prywatności sklepu, a przy formularzach dajesz do niej krótki odnośnik. Standardowy zakres dla danych zbieranych bezpośrednio od klienta wygląda tak:
| Element | Co podajesz |
|---|---|
| Administrator danych | Nazwa firmy, dane kontaktowe, ewentualnie inspektor ochrony danych |
| Cele przetwarzania | Realizacja zamówienia, obsługa konta, marketing, fakturowanie |
| Podstawa prawna | Umowa, obowiązek prawny, zgoda lub uzasadniony interes |
| Odbiorcy danych | Kurierzy, system fakturowy, dostawca płatności, hosting |
| Okres przechowywania | Czas wynikający z umowy, przepisów podatkowych, zgody |
| Prawa klienta | Dostęp, sprostowanie, usunięcie, ograniczenie, sprzeciw, przeniesienie |
| Prawo skargi | Możliwość wniesienia skargi do Prezesa UODO |
| Dobrowolność danych | Czy podanie danych jest warunkiem zawarcia umowy |
W praktyce nie musisz wklejać całej tej tabeli przy każdym polu formularza. Wystarczy czytelne odesłanie typu „Administratorem Twoich danych jest [nazwa], szczegóły znajdziesz w polityce prywatności". Ważne, by link był widoczny i dostępny w momencie podawania danych, a nie dopiero po finalizacji zamówienia.
Pamiętaj o spójności: jeśli w polityce prywatności wymieniasz odbiorców danych, w tym system fakturowy czy firmy kurierskie, ta lista musi odpowiadać temu, jak realnie chronisz i przekazujesz dane klientów. Klauzula, która rozjeżdża się z rzeczywistym przepływem danych, jest jednym z częstszych uchybień wykrywanych przy kontroli.
Moment spełnienia obowiązku informacyjnego zależy od tego, skąd masz dane. Reguła jest prosta: informujesz wtedy, gdy dane zbierasz, a nie gdy zaczynasz z nich korzystać.
Dla typowego sklepu kluczowe są trzy punkty styku. Zamówienie - klient podaje imię, nazwisko, adres, e-mail i telefon, więc klauzula musi być dostępna w koszyku lub na stronie potwierdzenia danych. Konto - przy rejestracji informujesz o przetwarzaniu danych konta i historii zamówień. Newsletter - przy zapisie na listę mailingową, gdzie obok klauzuli pojawia się też odrębna zgoda.
Częsty błąd to spełnienie obowiązku zbyt późno, na przykład dopiero w mailu potwierdzającym zamówienie. Informacja ma być dostępna zanim klient kliknie „Zamawiam i płacę", a nie po fakcie.
Trzy najczęstsze sytuacje w sklepie różnią się podstawą prawną przetwarzania, więc i treść informacji jest nieco inna.
Zamówienie opiera się na wykonaniu umowy. Dane potrzebne do zrealizowania i wysłania zamówienia oraz wystawienia faktury przetwarzasz bez osobnej zgody, bo bez nich umowy nie da się wykonać. Obowiązek informacyjny i tak istnieje: klient musi wiedzieć, że dane trafią do kuriera, systemu fakturowego i operatora płatności, oraz jak długo je przechowujesz. Część okresu przechowywania wynika tu z przepisów podatkowych, bo dokumenty sprzedaży trzymasz przez wymagany czas, podobnie jak przy RODO i fakturowaniu online.
Konto klienta to przetwarzanie na podstawie umowy o świadczenie usługi konta. Informujesz o danych logowania, historii zamówień i o tym, że klient może konto usunąć. Jeśli z poziomu konta klient może zapisać się na marketing, to jest już osobny cel z osobną podstawą.
Newsletter stoi zwykle na zgodzie na marketing. Tu obowiązek informacyjny łączy się z zgodami marketingowymi i zasadami newslettera. Klauzula informacyjna mówi, kto przetwarza dane i jak się wypisać, a sama zgoda jest odrębnym, dobrowolnym oświadczeniem - niezaznaczonym domyślnie i niewymuszonym jako warunek zakupu.
| Sytuacja | Typowa podstawa prawna | Czy potrzebna zgoda |
|---|---|---|
| Realizacja zamówienia | Wykonanie umowy | Nie dla danych do realizacji |
| Wystawienie i przechowanie faktury | Obowiązek prawny | Nie |
| Konto klienta | Umowa o usługę konta | Nie dla samego konta |
| Newsletter, marketing e-mail | Zgoda | Tak, odrębna i dobrowolna |
Gdy sprzedajesz nie tylko we własnym sklepie, ale też na Allegro, eBay czy innym marketplace, dane klientów spływają z różnych źródeł i różnymi drogami. To rozprasza odpowiedzialność informacyjną. Część danych zbierasz wprost (własny sklep), część otrzymujesz za pośrednictwem platformy. W tej drugiej sytuacji obowiązek z art. 14 RODO każe poinformować osobę najpóźniej w ciągu miesiąca lub przy pierwszym kontakcie.
Im więcej kanałów, tym łatwiej o lukę: w jednym miejscu klauzula jest aktualna, w innym wciąż wskazuje nieistniejącego już odbiorcę danych albo pomija nowy system, do którego dane realnie trafiają. Dlatego przy sprzedaży wielokanałowej warto raz na jakiś czas zestawić, jakie systemy faktycznie przetwarzają dane klientów, i sprawdzić, czy polityka prywatności to odzwierciedla.
Centralizacja zamówień pomaga utrzymać porządek. Gdy zamówienia z wielu platform spływają do jednego systemu zarządzania zamówieniami, a faktury wystawiają się automatycznie z zamówień, masz jasny obraz tego, gdzie dane się pojawiają i do których systemów trafiają. To nie zwalnia z obowiązku informacyjnego, ale ułatwia utrzymanie klauzuli zgodnej z rzeczywistością i ograniczenie liczby miejsc, w których dane się duplikują.
Kontrole i skargi do UODO pokazują, że problem rzadko leży w braku polityki prywatności, a częściej w jej oderwaniu od praktyki. Kilka powtarzających się uchybień:
Dobra praktyka to przegląd klauzul przy każdej większej zmianie w sklepie: nowy system fakturowy, nowy kurier, nowy cel przetwarzania. Jeśli dochodzi nowy odbiorca danych, aktualizujesz politykę prywatności, a przy formularzach pilnujesz, by odesłanie do niej było widoczne i prowadziło do treści zgodnej ze stanem faktycznym.
Na koniec warto powtórzyć: powyższe to wskazówki organizacyjne, nie porada prawna. Treść konkretnych klauzul, zwłaszcza przy profilowaniu, transferach danych poza Unię Europejską czy współadministrowaniu, najlepiej skonsultować z prawnikiem i okresowo weryfikować pod kątem aktualnych przepisów.
To obowiązek przekazania klientowi zestawu informacji o tym, kto i w jakim celu przetwarza jego dane, na jakiej podstawie prawnej i jakie ma on prawa. Wynika z art. 13 i 14 RODO i dotyczy każdej sytuacji, w której zbierasz dane osobowe - zamówienia, rejestracji konta, zapisu na newsletter czy kontaktu. Informacja musi być podana zwięźle, przejrzyście i w zrozumiałym języku.
W momencie zbierania danych. Jeśli pozyskujesz dane bezpośrednio od klienta (formularz zamówienia, rejestracji, newsletter), informację podajesz w chwili ich podawania - najczęściej przez link do polityki prywatności przy formularzu. Gdy dane otrzymujesz z innego źródła, masz na to do miesiąca albo do pierwszego kontaktu z osobą.
Nie. Klauzula informacyjna to przekazanie informacji o przetwarzaniu i jest obowiązkowa zawsze, niezależnie od podstawy prawnej. Zgoda to odrębne oświadczenie woli klienta, wymagane tylko dla niektórych celów, na przykład marketingu w newsletterze. Realizacja obowiązku zamówienia nie wymaga zgody na dane potrzebne do wykonania umowy, ale wymaga poinformowania.
Pełną treść trzymasz w polityce prywatności, do której linkujesz z każdego miejsca zbierania danych. Przy samych formularzach (koszyk, rejestracja, newsletter) dajesz krótkie odesłanie typu administratorem danych jest X, szczegóły w polityce prywatności. Dzięki temu informacja jest dostępna od razu, a klient w razie potrzeby wchodzi w szczegóły.
Tak. Przy zapisie na newsletter zbierasz adres e-mail, więc musisz poinformować, kto jest administratorem, w jakim celu i na jakiej podstawie przetwarzasz dane oraz jak można się wypisać. Newsletter opiera się zwykle na zgodzie na marketing, dlatego oprócz klauzuli informacyjnej potrzebna jest też osobna, dobrowolna zgoda.
Co musi zawierać polityka prywatności sklepu internetowego zgodnie z RODO: administrator, cele i podstawy przetwarzania, prawa klientów, cookies, odbiorcy danych.
Praktyczny przewodnik po ochronie danych osobowych klientów w sklepie internetowym: minimalizacja, szyfrowanie, kontrola dostępu, powierzenie przetwarzania i reakcja na incydenty.
Jak legalnie zbierać zgody marketingowe i prowadzić newsletter zgodnie z RODO oraz prawem telekomunikacyjnym. Double opt-in, dowód zgody i zasady wysyłki bez ryzyka kar.
Gdy zamówienia z wielu platform spływają w jedno miejsce, łatwiej zapanować nad tym, jakie dane gdzie trafiają. Przeklikaj pełne demo bez rejestracji i bez karty.
Zobacz demo