Dowiedz się, na jakiej podstawie przetwarzać dane osobowe, prowadząc sklep internetowy

Administrator danych osobowych prowadzący sklep internetowy powinien zwrócić szczególną uwagę na konieczność przetwarzania tych danych zgodnie z prawem, a więc w oparciu o konkretną podstawę prawną.  Zgodnie bowiem z zasadą rozliczalności wyartykułowaną w art.  5 RODO administrator powinien być gotowy do wykazania legalności procesów przetwarzania danych osobowych.  wykazać działanie zgodnie z ich treścią.

W przepisach art. 6 ust. 1 RODO wymienione zostały przesłanki legalizujące przetwarzanie danych osobowych „zwykłych”. Oprócz tego RODO w art. 9 wskazuje odrębne przesłanki przetwarzania danych wrażliwych. Są to dane inne niż należące do jednej ze szczególnych kategorii, którymi są:

• dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby – jeżeli administrator gromadzi tego typu informacje, to podstawy legalizującej ich przetwarzanie powinien poszukiwać w art. 9 ust. 2 RODO,
• dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa – przetwarzanie tego typu informacji dopuszczalne jest jedynie wyjątkowo, na zasadach wskazanych w art. 10 RODO.

Jako że szczególne kategorie danych osobowych przetwarzane są przez sklepy internetowe stosunkowo rzadko, należy skoncentrować się na przesłankach przetwarzania danych osobowych „zwykłych”.

Najczęściej stosowaną podstawą przetwarzania danych w związku z obsługą sklepu internetowego jest zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO). Zgoda podmiotu danych na ich przetwarzanie stanowi podstawę takiego przetwarzania jeśli przyjęła kształt dobrowolnego, konkretnego, świadomego i jednoznacznego okazania woli, którym podmiot danych przyzwala na przetwarzanie tych danych (art. 7 ust. 1-2 RODO). Co istotne zgoda, powinna przybrać formę oświadczenia lub wyraźnego działania potwierdzającego.

Jakie ma to znaczenie dla administratora danych osobowych, który prowadzi sklep internetowy? Otóż w praktyce administrator nie powinien odbierać zgody w sposób dorozumiany.

Powyższe oznacza, że wyrażenie zgody na przetwarzanie danych powinno być świadome i jednoznaczne, ale także konkretne – co w przypadku pozyskiwania zgody na etapie składania zamówienia w trybie elektronicznym wiąże się z koniecznością stosowania odrębnych okien dialogowych, bądź checkbox’ów. Nie można łączyć zgody na przetwarzanie danych osobowych z treścią innych zgód np. z akceptacją regulaminu sklepu internetowego (jak w przedstawionym przykładzie), czy też ze zgodą na dostarczenie informacji handlowej lub na kontakt telefoniczny lub mailowy. Oczywiście takie zgody podmiot prowadzący sklep internetowy może pozyskiwać od klientów, ale co istotne zgoda na przetwarzanie jego danych powinna być wyartykułowana odrębnie.

To jednak nie wszystko. Wymóg konkretności zgody na przetwarzanie danych osobowych wiąże się z tym, że w formularzu takiej zgody należy z największą możliwą precyzją, ale jednocześnie transparentnością określić cel przetwarzania danych. Jeśli więc administrator stosuje wskazane wyżej checkbox’y lub okienka dialogowe, to przy każdym z nich winien widnieć cel przetwarzania danych, na które ma być udzielona zgoda.

Nie możemy także zapominać o tym, że zgoda podmiotu danych na ich przetwarzanie powinna mieć charakter dobrowolny. Jak zapewnić taką dobrowolność w związku z przetwarzaniem danych w sklepie internetowym? Otóż przede wszystkim wszelkie checkbox’y lub okna dialogowe, które mają służyć do wyrażenia zgody, nie powinny być zaznaczone domyślnie. Ponadto nie wolno uzależniać wykonania usługi od zgody na przetwarzanie danych, chyba że przetwarzanie to jest niezbędne do jej wykonania (art. 7 ust. 4 RODO).

Jak już wskazano, zgoda podmiotu danych na ich przetwarzanie jest dość często stosowaną podstawą przetwarzania danych osobowych w związku z prowadzeniem sklepu internetowego – co nie znaczy, że jedyną dopuszczalną. Otóż jeśli stroną umów zawieranych w sklepie internetowym jest administrator danych, wówczas może on przetwarzać dane osobowe klientów, opierając się o przesłankę konieczności ich przetwarzania w celu wykonania takich umów (art. 6 ust. 1 lit. b RODO). W takiej sytuacji nie jest potrzebna zgoda podmiotu danych na ich przetwarzanie. Dane można wówczas przetwarzać aż do zakończenia transakcji.

Należy jednak mieć na względzie, że rozwiązanie to nie może być zastosowane do przetwarzania danych w celach marketingowych. Nie można bowiem uznać, że realizacja tych celów stanowi wykonanie łączącej administratora z klientem umowy.

Czy istnieją inne przesłanki pozwalające na przetwarzanie danych w sklepie internetowym? Na tak postawione pytanie należy odpowiedzieć twierdząco. Administrator może bowiem powołać się na przesłankę realizacji celu wynikającego z prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO. Opierając się o preambułę RODO, należy wskazać, że taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należy jednak w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (motyw 47 preambuły RODO). W preambule wskazano jednocześnie, że przetwarzanie danych w celu realizacji prawnie uzasadnionego interesu administratora jest dopuszczalne w przypadku:

• przechowywania danych osobowych klientów na potrzeby ewentualnych przyszłych postępowań sądowych w celu dochodzenia roszczeń albo obrony przed roszczeniami kupujących – w oparciu o tę przesłankę dopuszczalne jest przetwarzanie danych osobowych do końca okresu przedawnienia roszczeń obu stron,
• marketing bezpośredniego własnych towarów lub usług.

Co istotne, prawnie uzasadniony interes administratora musi być nadrzędny względem interesów oraz podstawowych praw i wolności podmiotu danych. W przeciwnym razie przetwarzanie danych osobowych w oparciu o tę podstawę będzie niedopuszczalne.

Niekiedy administrator może opierać przetwarzanie danych osobowych w związku z prowadzeniem sklepu internetowego na przesłance konieczności realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO). Należy bowiem mieć na względzie, że sprzedaż towaru może wiązać się z obowiązkiem wystawienia faktury VAT albo rachunku. Przepisy obligują zaś do przechowywania dokumentacji księgowej przez 5 lat od końca roku, w którym doszło do transakcji. W związku z tym administrator, przechowując te dokumenty, przetwarza dane osobowe klientów w nich zawarte. W takiej sytuacji do przetwarzania tych danych nie jest wymagana zgoda klienta. Jednakże po upływie ww. okresów, dokumentacja ta powinna być usunięta.