Instrukcja

Polityka prywatności sklepu internetowego a RODO

Polityka prywatności sklepu internetowego to dokument wymagany przez RODO, w którym informujesz klientów, kto i po co przetwarza ich dane. Wyjaśniamy, jakie elementy musi zawierać i jak napisać ją tak, by spełniała obowiązek informacyjny.

Polityka prywatności sklepu a RODO - po co ten dokument

Polityka prywatności sklepu to dokument, w którym wypełniasz wobec klientów obowiązek informacyjny wynikający z RODO. Rozporządzenie wymaga, abyś jasno i zrozumiale poinformował każdą osobę, której dane zbierasz, kto jest administratorem tych danych, po co je przetwarza, na jakiej podstawie prawnej i jakie prawa przysługują tej osobie.

W praktyce każdy sklep internetowy przetwarza dane osobowe. Już samo przyjęcie zamówienia oznacza zebranie imienia, nazwiska, adresu dostawy, e-maila i numeru telefonu. Do tego dochodzą konta klientów, newsletter, formularze kontaktowe i pliki cookies. Bez polityki prywatności sklep nie spełnia podstawowego obowiązku, a brak rzetelnej informacji to jedno z częściej kwestionowanych uchybień podczas kontroli.

Ten artykuł to praktyczny przewodnik, a nie porada prawna. Konkretne sformułowania, listę odbiorców i okresy przechowywania warto skonsultować z prawnikiem lub specjalistą od ochrony danych, a przepisy sprawdzać w aktualnym brzmieniu, bo bywają nowelizowane.

Co musi zawierać polityka prywatności zgodna z RODO

Dobra polityka prywatności sklepu jest konkretna, napisana prostym językiem i odpowiada na pytania klienta zanim ten zdąży je zadać. Poniżej elementy, które powinny się w niej znaleźć:

ElementCo opisać
Administrator danychPełna nazwa firmy, NIP, adres, dane kontaktowe (e-mail, telefon)
Inspektor ochrony danychDane kontaktowe IOD, jeśli został wyznaczony
Cele przetwarzaniaRealizacja zamówienia, fakturowanie, obsługa konta, marketing, reklamacje
Podstawy prawneArt. 6 ust. 1 RODO - umowa, obowiązek prawny, zgoda, prawnie uzasadniony interes
Odbiorcy danychKurierzy, system fakturowy, hosting, dostawca płatności, biuro rachunkowe
Okresy przechowywaniaJak długo dane są trzymane dla każdego celu
Prawa klientaDostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw, skarga
Pliki cookiesJakie cookies, w jakim celu, jak nimi zarządzać
Przekazywanie poza EOGCzy i komu dane trafiają poza Europejski Obszar Gospodarczy

Jeśli któregoś z tych elementów brakuje, dokument nie spełnia w pełni obowiązku informacyjnego. Najczęściej pomijane są okresy przechowywania oraz pełna lista odbiorców danych.

Administrator, cele i podstawy przetwarzania danych

Pierwsza informacja w polityce prywatności to wskazanie administratora, czyli podmiotu, który decyduje o celach i sposobach przetwarzania danych. W sklepie internetowym administratorem jest sprzedawca: firma lub osoba prowadząca jednoosobową działalność. Trzeba podać pełną nazwę, adres siedziby, NIP i dane kontaktowe.

Następnie opisujesz cele przetwarzania i przypisane do nich podstawy prawne. To kluczowa część, bo każdy cel musi mieć osobną, prawidłowo dobraną podstawę z art. 6 ust. 1 RODO. W typowym sklepie wygląda to tak:

  • Realizacja zamówienia i umowy sprzedaży - podstawą jest niezbędność do wykonania umowy (art. 6 ust. 1 lit. b).
  • Wystawianie i przechowywanie faktur - podstawą jest obowiązek prawny wynikający z przepisów podatkowych (art. 6 ust. 1 lit. c). Więcej o tym, jak pogodzić fakturowanie z ochroną danych, piszemy w artykule o RODO a fakturowanie online.
  • Obsługa konta klienta - umowa o świadczenie usług drogą elektroniczną (lit. b).
  • Marketing i newsletter - zgoda klienta (lit. a), którą można w każdej chwili wycofać.
  • Dochodzenie roszczeń i obsługa reklamacji - prawnie uzasadniony interes administratora (lit. f).

Przejrzysty podział celów i podstaw nie jest formalnością. To on decyduje, czy możesz w ogóle przetwarzać dane do danego celu i jak długo. Dla marketingu potrzebujesz zgody, dla faktury - nie, bo działa obowiązek ustawowy. Automatyczne wystawianie dokumentów księgowych ułatwia tu zachowanie porządku: gdy proces fakturowania jest standaryzowany, łatwiej zapanować nad tym, jakie dane i po co trafiają do systemu. NavyFlame wystawia faktury automatycznie w wFirma, inFakt, Fakturownia i iFirma na podstawie danych z zamówienia, więc dane przepływają jedną kontrolowaną ścieżką - zobacz automatyzację zamówienia w fakturę.

Prawa klienta i obowiązek informacyjny w polityce prywatności

RODO przyznaje każdej osobie zestaw praw, które musisz wymienić w polityce prywatności i realnie respektować. Klient ma prawo:

  • dostępu do swoich danych i otrzymania ich kopii,
  • sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych,
  • usunięcia danych (prawo do bycia zapomnianym), gdy nie ma podstawy do dalszego przetwarzania,
  • ograniczenia przetwarzania,
  • przenoszenia danych,
  • sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie,
  • cofnięcia zgody w dowolnym momencie, gdy podstawą była zgoda,
  • wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Warto od razu podać kanał, którym klient zgłasza takie żądania, na przykład dedykowany adres e-mail. Pamiętaj też o granicach niektórych praw: nie usuniesz danych z wystawionej faktury przed upływem ustawowego okresu przechowywania, bo blokuje to obowiązek podatkowy. Ta zasada jest częstym źródłem nieporozumień, dlatego dobrze ją w polityce krótko wyjaśnić.

Spełnienie obowiązku informacyjnego to nie tylko sam tekst dokumentu. Klient musi mieć dostęp do tych informacji w momencie zbierania danych. Szerzej rozkładamy ten temat w artykule o obowiązku informacyjnym RODO w sklepie.

Odbiorcy danych, cookies i przekazywanie poza EOG

Klient ma prawo wiedzieć, komu przekazujesz jego dane. W sklepie internetowym dane prawie nigdy nie zostają wyłącznie u sprzedawcy. Trafiają do firmy hostingowej, dostawcy płatności, kuriera realizującego wysyłkę, biura rachunkowego oraz systemu fakturowego. Te podmioty to odbiorcy lub podmioty przetwarzające, z którymi zwykle podpisujesz umowę powierzenia przetwarzania danych.

Im więcej narzędzi obsługuje Twój sklep, tym dłuższa staje się ta lista i tym trudniej ją utrzymać w spójności. Kiedy zamówienia, etykiety i faktury powstają w jednym, kontrolowanym przepływie, łatwiej udokumentować, dokąd dane faktycznie trafiają. NavyFlame jako hub łączy zarządzanie zamówieniami z wielu platform z generowaniem etykiet kurierskich, co porządkuje listę realnych odbiorców danych po stronie operacyjnej.

Osobno opisujesz pliki cookies: jakie stosujesz (niezbędne, analityczne, marketingowe), w jakim celu i jak klient może nimi zarządzać. Cookies inne niż niezbędne wymagają zgody, dlatego coraz częściej politykę prywatności łączy się z osobnym dokumentem lub sekcją o cookies obsługiwaną przez baner zgody.

Na koniec sprawdź, czy któryś z Twoich dostawców usług przetwarza dane poza Europejskim Obszarem Gospodarczym. Jeśli tak, w polityce trzeba wskazać podstawę takiego transferu, na przykład standardowe klauzule umowne. To częsty przypadek przy narzędziach analitycznych i marketingowych spoza Unii.

Jak utrzymać politykę prywatności w aktualności

Polityka prywatności nie jest dokumentem, który piszesz raz i zapominasz. Zmienia się za każdym razem, gdy zmienia się rzeczywistość Twojego sklepu: dochodzi nowy kanał sprzedaży, nowy kurier, nowy system płatności czy nowe narzędzie marketingowe. Każda taka zmiana może oznaczać nowego odbiorcę danych albo nowy cel przetwarzania, który trzeba dopisać.

Dlatego dobrze powiązać przegląd polityki z porządkiem w samych procesach. Im prostsza i bardziej scentralizowana operacja sklepu, tym mniej rozproszonych miejsc, w których dane mogą wyciekać poza opisany przepływ. Jeśli skupiasz obsługę zamówień, fakturowania i wysyłek w jednym narzędziu, łatwiej okresowo sprawdzić, czy lista odbiorców i celów w polityce nadal odpowiada faktycznemu stanowi. To podejście porządkuje też kwestie ochrony danych przy fakturowaniu, które rozwijamy w przewodniku o RODO a fakturowanie online.

Traktuj politykę prywatności jako żywy element sklepu, a nie formalność do odhaczenia. Aktualny, prawdziwy dokument buduje zaufanie klientów i realnie ogranicza ryzyko podczas kontroli. Przy wątpliwościach co do konkretnych zapisów, podstaw prawnych czy okresów przechowywania skonsultuj się z prawnikiem lub specjalistą od ochrony danych i zweryfikuj aktualne przepisy.

Najczesciej zadawane pytania

Tak. RODO nakłada na administratora danych obowiązek informacyjny (art. 13), a polityka prywatności jest standardowym sposobem jego spełnienia. Każdy sklep, który zbiera dane klientów - choćby tylko adres do wysyłki i e-mail - musi udostępnić taki dokument w widocznym miejscu.

Regulamin opisuje zasady sprzedaży, zawierania umowy, dostawy, płatności, zwrotów i reklamacji. Polityka prywatności dotyczy wyłącznie przetwarzania danych osobowych: kto jest administratorem, w jakich celach, na jakiej podstawie i jakie prawa ma klient. To dwa odrębne dokumenty, choć często linkowane razem w stopce sklepu.

Nie jest to zalecane. Polityka musi odzwierciedlać rzeczywiste procesy w Twoim sklepie: realne cele przetwarzania, faktycznych odbiorców danych (np. konkretne firmy kurierskie, system fakturowy, dostawcę płatności) i okresy przechowywania. Skopiowany dokument zwykle zawiera nieaktualne lub nieprawdziwe informacje, co samo w sobie narusza RODO.

Należy wskazać kategorie odbiorców danych, a często także konkretne podmioty, którym powierzasz dane (np. firma hostingowa, kurier, biuro rachunkowe, dostawca płatności). Klient ma prawo wiedzieć, komu jego dane są przekazywane, dlatego im bardziej przejrzysta lista, tym lepiej.

Powinna być dostępna z każdej podstrony, najczęściej linkiem w stopce. Dodatkowo trzeba ją podlinkować w miejscach zbierania danych: przy formularzu rejestracji, zamówienia, newslettera i kontaktu. Klient musi mieć dostęp do informacji zanim poda dane.

Skup się na sprzedaży, nie na ręcznej obsłudze danych

Zobacz demo