Polityka prywatności sklepu a RODO - po co ten dokument
Polityka prywatności sklepu to dokument, w którym wypełniasz wobec klientów obowiązek informacyjny wynikający z RODO. Rozporządzenie wymaga, abyś jasno i zrozumiale poinformował każdą osobę, której dane zbierasz, kto jest administratorem tych danych, po co je przetwarza, na jakiej podstawie prawnej i jakie prawa przysługują tej osobie.
W praktyce każdy sklep internetowy przetwarza dane osobowe. Już samo przyjęcie zamówienia oznacza zebranie imienia, nazwiska, adresu dostawy, e-maila i numeru telefonu. Do tego dochodzą konta klientów, newsletter, formularze kontaktowe i pliki cookies. Bez polityki prywatności sklep nie spełnia podstawowego obowiązku, a brak rzetelnej informacji to jedno z częściej kwestionowanych uchybień podczas kontroli.
Ten artykuł to praktyczny przewodnik, a nie porada prawna. Konkretne sformułowania, listę odbiorców i okresy przechowywania warto skonsultować z prawnikiem lub specjalistą od ochrony danych, a przepisy sprawdzać w aktualnym brzmieniu, bo bywają nowelizowane.
Co musi zawierać polityka prywatności zgodna z RODO
Dobra polityka prywatności sklepu jest konkretna, napisana prostym językiem i odpowiada na pytania klienta zanim ten zdąży je zadać. Poniżej elementy, które powinny się w niej znaleźć:
| Element | Co opisać |
|---|
| Administrator danych | Pełna nazwa firmy, NIP, adres, dane kontaktowe (e-mail, telefon) |
| Inspektor ochrony danych | Dane kontaktowe IOD, jeśli został wyznaczony |
| Cele przetwarzania | Realizacja zamówienia, fakturowanie, obsługa konta, marketing, reklamacje |
| Podstawy prawne | Art. 6 ust. 1 RODO - umowa, obowiązek prawny, zgoda, prawnie uzasadniony interes |
| Odbiorcy danych | Kurierzy, system fakturowy, hosting, dostawca płatności, biuro rachunkowe |
| Okresy przechowywania | Jak długo dane są trzymane dla każdego celu |
| Prawa klienta | Dostęp, sprostowanie, usunięcie, ograniczenie, przeniesienie, sprzeciw, skarga |
| Pliki cookies | Jakie cookies, w jakim celu, jak nimi zarządzać |
| Przekazywanie poza EOG | Czy i komu dane trafiają poza Europejski Obszar Gospodarczy |
Jeśli któregoś z tych elementów brakuje, dokument nie spełnia w pełni obowiązku informacyjnego. Najczęściej pomijane są okresy przechowywania oraz pełna lista odbiorców danych.
Administrator, cele i podstawy przetwarzania danych
Pierwsza informacja w polityce prywatności to wskazanie administratora, czyli podmiotu, który decyduje o celach i sposobach przetwarzania danych. W sklepie internetowym administratorem jest sprzedawca: firma lub osoba prowadząca jednoosobową działalność. Trzeba podać pełną nazwę, adres siedziby, NIP i dane kontaktowe.
Następnie opisujesz cele przetwarzania i przypisane do nich podstawy prawne. To kluczowa część, bo każdy cel musi mieć osobną, prawidłowo dobraną podstawę z art. 6 ust. 1 RODO. W typowym sklepie wygląda to tak:
- Realizacja zamówienia i umowy sprzedaży - podstawą jest niezbędność do wykonania umowy (art. 6 ust. 1 lit. b).
- Wystawianie i przechowywanie faktur - podstawą jest obowiązek prawny wynikający z przepisów podatkowych (art. 6 ust. 1 lit. c). Więcej o tym, jak pogodzić fakturowanie z ochroną danych, piszemy w artykule o RODO a fakturowanie online.
- Obsługa konta klienta - umowa o świadczenie usług drogą elektroniczną (lit. b).
- Marketing i newsletter - zgoda klienta (lit. a), którą można w każdej chwili wycofać.
- Dochodzenie roszczeń i obsługa reklamacji - prawnie uzasadniony interes administratora (lit. f).
Przejrzysty podział celów i podstaw nie jest formalnością. To on decyduje, czy możesz w ogóle przetwarzać dane do danego celu i jak długo. Dla marketingu potrzebujesz zgody, dla faktury - nie, bo działa obowiązek ustawowy. Automatyczne wystawianie dokumentów księgowych ułatwia tu zachowanie porządku: gdy proces fakturowania jest standaryzowany, łatwiej zapanować nad tym, jakie dane i po co trafiają do systemu. NavyFlame wystawia faktury automatycznie w wFirma, inFakt, Fakturownia i iFirma na podstawie danych z zamówienia, więc dane przepływają jedną kontrolowaną ścieżką - zobacz automatyzację zamówienia w fakturę.
Prawa klienta i obowiązek informacyjny w polityce prywatności
RODO przyznaje każdej osobie zestaw praw, które musisz wymienić w polityce prywatności i realnie respektować. Klient ma prawo:
- dostępu do swoich danych i otrzymania ich kopii,
- sprostowania nieprawidłowych lub uzupełnienia niekompletnych danych,
- usunięcia danych (prawo do bycia zapomnianym), gdy nie ma podstawy do dalszego przetwarzania,
- ograniczenia przetwarzania,
- przenoszenia danych,
- sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie,
- cofnięcia zgody w dowolnym momencie, gdy podstawą była zgoda,
- wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Warto od razu podać kanał, którym klient zgłasza takie żądania, na przykład dedykowany adres e-mail. Pamiętaj też o granicach niektórych praw: nie usuniesz danych z wystawionej faktury przed upływem ustawowego okresu przechowywania, bo blokuje to obowiązek podatkowy. Ta zasada jest częstym źródłem nieporozumień, dlatego dobrze ją w polityce krótko wyjaśnić.
Spełnienie obowiązku informacyjnego to nie tylko sam tekst dokumentu. Klient musi mieć dostęp do tych informacji w momencie zbierania danych. Szerzej rozkładamy ten temat w artykule o obowiązku informacyjnym RODO w sklepie.
Odbiorcy danych, cookies i przekazywanie poza EOG
Klient ma prawo wiedzieć, komu przekazujesz jego dane. W sklepie internetowym dane prawie nigdy nie zostają wyłącznie u sprzedawcy. Trafiają do firmy hostingowej, dostawcy płatności, kuriera realizującego wysyłkę, biura rachunkowego oraz systemu fakturowego. Te podmioty to odbiorcy lub podmioty przetwarzające, z którymi zwykle podpisujesz umowę powierzenia przetwarzania danych.
Im więcej narzędzi obsługuje Twój sklep, tym dłuższa staje się ta lista i tym trudniej ją utrzymać w spójności. Kiedy zamówienia, etykiety i faktury powstają w jednym, kontrolowanym przepływie, łatwiej udokumentować, dokąd dane faktycznie trafiają. NavyFlame jako hub łączy zarządzanie zamówieniami z wielu platform z generowaniem etykiet kurierskich, co porządkuje listę realnych odbiorców danych po stronie operacyjnej.
Osobno opisujesz pliki cookies: jakie stosujesz (niezbędne, analityczne, marketingowe), w jakim celu i jak klient może nimi zarządzać. Cookies inne niż niezbędne wymagają zgody, dlatego coraz częściej politykę prywatności łączy się z osobnym dokumentem lub sekcją o cookies obsługiwaną przez baner zgody.
Na koniec sprawdź, czy któryś z Twoich dostawców usług przetwarza dane poza Europejskim Obszarem Gospodarczym. Jeśli tak, w polityce trzeba wskazać podstawę takiego transferu, na przykład standardowe klauzule umowne. To częsty przypadek przy narzędziach analitycznych i marketingowych spoza Unii.
Jak utrzymać politykę prywatności w aktualności
Polityka prywatności nie jest dokumentem, który piszesz raz i zapominasz. Zmienia się za każdym razem, gdy zmienia się rzeczywistość Twojego sklepu: dochodzi nowy kanał sprzedaży, nowy kurier, nowy system płatności czy nowe narzędzie marketingowe. Każda taka zmiana może oznaczać nowego odbiorcę danych albo nowy cel przetwarzania, który trzeba dopisać.
Dlatego dobrze powiązać przegląd polityki z porządkiem w samych procesach. Im prostsza i bardziej scentralizowana operacja sklepu, tym mniej rozproszonych miejsc, w których dane mogą wyciekać poza opisany przepływ. Jeśli skupiasz obsługę zamówień, fakturowania i wysyłek w jednym narzędziu, łatwiej okresowo sprawdzić, czy lista odbiorców i celów w polityce nadal odpowiada faktycznemu stanowi. To podejście porządkuje też kwestie ochrony danych przy fakturowaniu, które rozwijamy w przewodniku o RODO a fakturowanie online.
Traktuj politykę prywatności jako żywy element sklepu, a nie formalność do odhaczenia. Aktualny, prawdziwy dokument buduje zaufanie klientów i realnie ogranicza ryzyko podczas kontroli. Przy wątpliwościach co do konkretnych zapisów, podstaw prawnych czy okresów przechowywania skonsultuj się z prawnikiem lub specjalistą od ochrony danych i zweryfikuj aktualne przepisy.