Nieco ponad cztery lata – tyle czasu obowiązuje już dyrektywa RODO znana w reszcie krajów UE jako GDPR. Jej celem jest lepsza ochrona danych osobowych konsumentów. Z oczywistych względów każdy sklep internetowy powinien dostosować swoje dokumenty i procedury do wymagań tej dyrektywy. Procesowanie danych osobowych niezgodnie z prawem może skończyć się bowiem surową grzywną. I chociaż pełna odpowiedź na pytanie, czy Twój sklep spełnia wszystkie wymagania RODO to zadanie dla prawnika, to pewne podstawowe kwestie są stałe, niezależnie od tego, co i w jakim modelu sprzedajesz. I o tym dzisiaj chcemy porozmawiać.
W zeszłym roku Da Vinci Studio opublikowało raport, w którym sprawdzono ponad 300 polskich sklepów internetowych, właśnie pod kątem spełniania wymagań RODO. Z raportu płynie kilka ważnych wniosków, które możesz (a nawet powinieneś) wykorzystać w swoim sklepie.
Polityka prywatności i regulamin
Te dwa dokumenty to absolutna podstawa każdego szanującego się sklepu internetowego. Po pierwsze, umożliwiają one spełnienie obowiązku informacyjnego, który pełni ważną rolę w RODO (art 13 i 14). A po drugie – chronią Twoje interesy jako sprzedawcy.
POLITYKA PRYWATNOŚCI
Powinna informować o tym, kto jest administratorem danych osobowych, jaki jest zakres i cel przetwarzania tych danych i przez jaki okres są one przechowywane. Powinna znaleźć się też informacja o uprawnieniach konsumentów, np. co do złożenia prośby o zaprzestanie przetwarzania danych lub złożenia skargi do odpowiedniego organu. Dobra wiadomość jest taka, że ponad 90% przebadanych „e-komersów” ma taką politykę. Jednak wskaźnik sklepów, które zawierają w niej wszystkie potrzebne informacje (w tym o zakresie zbieranych danych), wynosi już tylko 66%.
Źródło grafiki: Raport Da Vinci Studio RODO w e-commerce
Z kolei o okresie przechowywania danych osobowych nie informuje aż 62% sprawdzonych polityk. Warto się zatem upewnić, czy Twoja polityka prywatności po pierwsze spełnia wymagania RODO, a po drugie – czy jest dopasowana do specyfiki Twojego biznesu (niestety kopiuj-wklej z innych stron to nie zawsze dobry pomysł).
REGULAMIN
To dokument, który informuje o tym, jakie są warunki świadczenia usług. Najczęściej regulamin zawiera zapisy dotyczące:
- wymagań technicznych niezbędnych do korzystania ze sklepu,
- warunkach płatności, dostawy, zwrotów i reklamacji,
- warunkach zawierania i rozwiązywania umów,
- wyjaśnień najważniejszych terminów, którymi posługuje się sklep w komunikacji z konsumentami.
Jeśli coś jest niejasne dla klienta lub nie wynika bezpośrednio z treści strony lub reklam – należy szukać takiej informacji właśnie w regulaminie.
Polskie sklepy na ogół wiedzą, że regulamin jest konieczny – ma go aż 98% przebadanych e-biznesów. Podobnie jak w przypadku polityki prywatności, problemem jest jednak jego zawartość. Najczęściej brakuje informacji o trybie postępowania reklamacyjnego. Wiele regulaminów nie posiada także wzoru formularza odstąpienia od umowy:
Ponownie, potraktuj to jako wskazówkę, co należy sprawdzić i w razie czego uzupełnić.
Ciasteczka, ciasteczka
Chociaż Google od jakiegoś czasu zapowiada koniec ciasteczek firm trzecich (tzw. third-party cookies), to jeśli Twój sklep wykorzystuje ciasteczka – koniecznie powinieneś o tym poinformować klientów. Najczęściej taka informacja ma postać krótkiego komunikatu, który wyświetla się zaraz po otwarciu strony internetowej. Ważne jest natomiast, aby znalazła się w nim możliwość wyrażenia zgody. Jeśli po prostu informujesz, że wykorzystujesz ciasteczka i klient nie może się na to nie zgodzić, to nie jest to dobre rozwiązanie. Zobacz, jak wygląda prawidłowa informacja o ciasteczkach, w tym wypadku pochodząca ze strony sklepu zoologicznego Kakadu:
Zwróć uwagę na trzy kwestie:
- powiadomienie zawiera link do polityki prywatności, gdzie można doczytać więcej informacji,
- jest informacja, że ustawienia cookies można zmienić w przeglądarce,
- użytkownik ma możliwość wyrażenia zgody na ciasteczka poprzez przycisk „akceptuj”.
Tak to powinno wyglądać. Tymczasem prawie co czwarty sklep internetowy w ogóle takiego powiadomienia nie wyświetla, a jedynie 42% sklepów daje możliwość wyrażenia zgody na pliki cookies.
Formularz kontaktowy i newsletter
Z punktu widzenia RODO to bardzo ważny element, bowiem tutaj klient samodzielnie wpisuje swoje dane osobowe, najczęściej imię, nazwisko i adres e-mail (czasem również numer telefonu). Aby formularz był bezpieczny z punktu widzenia dyrektywy, musi spełniać kilka warunków. Po pierwsze, musi zawierać wyraźną zgodę na przetwarzanie danych osobowych (może być w formie checkboxa, który jednak nie może być domyślnie zaznaczony). Po drugie – formularz powinien odsyłać do polityki prywatności i ewentualnie także regulaminu, aby klient wiedział, na co wyraża zgodę. Dobrą praktyką jest rozwiązanie, które uniemożliwia wysłanie zapytania, jeśli chceckbox ze zgodą na przetwarzanie danych nie zostanie przez klienta zaznaczony.
Jak wynika z badania Da Vinci Studio, niestety tutaj polskie sklepy kuleją. Zdecydowana większość nie dopełnia tych obowiązków. A co z Twoim sklepem?
Zobacz przykład dobrego formularza kontaktowego (przykład pochodzi ze strony sklepu X-kom.pl):
NEWSLETTER
Z newslettera korzysta ponad połowa przebadanych sklepów. Nic w tym dziwnego, bowiem to bardzo przydatne narzędzie. Poprzez newsletter możesz:
- informować o nowych produktach w ofercie,
- zapraszać do skorzystania z rabatów i promocji,
- dystrybuować kody promocyjne dla stałych klientów,
- informować o nowościach i trendach rynkowych.
Jednak tutaj znowu uwaga – klient musi mieć świadomość, że wyraża zgodę na otrzymywanie takiego newslettera na swojego maila. Powinno to wyglądać tak (przykład Media Expert):
Tymczasem prawie trzy-czwarte sklepów nie posiada informacji/checkboxa o przetwarzaniu danych osobowych w okienku z zapisem do newslettera:
Podsumowanie
Wszystkie omówione w tym artykule elementy mają dwie cechy wspólne – cokolwiek robisz związanego z danymi osobowymi Twoich klientów, musisz koniecznie zadbać, aby:
- osoby, których dane są przetwarzane, miały świadomość, że takie przetwarzanie ma miejsce,
- możliwe było dobrowolne wyrażenie zgody (lub nie) na takie przetwarzanie.
Tylko w ten sposób Twój sklep będzie rozporządzać danymi klientów w sposób zgodny z dyrektywą GDPR. Oczywiście w tym krótkim wpisie nie wyczerpaliśmy całego zagadnienia. Jest jeszcze cała masa innych elementów, o których także należy pamiętać, np. w kwestii zabezpieczeń, szyfrowania danych (certyfikat SSL) czy umów ze stronami trzecimi, które także mają dostęp do danych Twoich klientów (żeby wspomnieć tylko o Twoim biurze rachunkowym, operatorze płatności i przewoźnikach).
Jeśli masz wątpliwość, czy na pewno wszystko działa w Twoim biznesie, jak należy, warto skonsultować się z prawnikiem doświadczonym w tematach przetwarzania danych osobowych i e-commerce. Pamiętaj, że potencjalnie kara za niewłaściwe przetwarzanie danych konsumentów może być naprawdę dotkliwa. Warto uchronić się przed tym zagrożeniem, po prostu dbając, aby Twój sklep spełniał wymagania RODO najlepiej, jak to możliwe.
RODO jest szczególnie ważne przy zbieraniu zapytań przez formularz kontaktowy na urzędowych stronach. Bardzo ciekawe informacje.