Sprzedaż w Internecie – jak robić to legalnie?

Myślisz o własnym sklepie online, chcesz prowadzić sprzedaż w Internecie… Niezależnie, czy będziesz sprzedawać produkty fizyczne, czy cyfrowe, czy będziesz to robić przez sklep internetowy, własną stronę internetową, czy media społecznościowe (np. sklep na Insta lub FB) – pamiętaj o swoich obowiązkach. Dziś skupimy się na RODO. Dlaczego? Dane osobowe na Twojej liście mailingowej to podstawa biznesu online. To Twój kapitał, który pozwoli Ci stabilnie prowadzić sprzedaż i zarządzać swoim biznesem. A jeśli chcesz te dane gromadzić i przetwarzać (bo będziesz to robić, prowadząc sprzedaż i marketing), to musisz robić to zgodnie z zasadami i legalnie.

Czy koronawirus zmieni coś w przepisach RODO

Spotykam się z pytaniami, czy skoro rząd wychodzi naprzeciw przedsiębiorcom i wprowadza pewne udogodnienia prawne, to czy poluzuje lub zmieni jakoś przepisy dotyczące RODO. Nie. Tak się nie stanie. Dlaczego? Z dwóch powodów. Pierwszy, to fakt, że RODO jest rozporządzeniem wprowadzonym na poziomie Unii Europejskiej i polskie ustawodawstwo musi być z nim zgodne. Drugi powód jest taki, że nie ma potrzeby nic zmieniać, bo RODO jest już dostosowane do takich sytuacji, jaką mamy teraz. Zatem taryfy ulgowej nie będzie. Jeśli przetwarzasz dane osobowe np. klientów, subskrybentów swojego newslettera, swojej społeczności w mediach społecznościowych a także osób, z którymi kontaktujesz się przez komunikatory internetowe , czy jeszcze inaczej – nie ma wyjścia – musisz być RODOzgodna.

Od czego zacząć sprzedaż w Internecie

RODO jest nadal na Twojej liście rzeczy do zrobienia, bo nie wiesz, od czego zacząć? Jesteś przekonana, że to zbyt duży temat, by szybko się z nim uporać? Spokojnie, gdy się to robi krok po kroku nie jest to takie straszne. Skoro tytuł artykułu Cię przyciągnął i chcesz zacząć prowadzić sprzedaż w Internecie, to zacznijmy od jednego z pierwszych obowiązków, jakie należy spełnić w związku z RODO. Jest to obowiązek informacyjny. Co on oznacza i jak go spełnić?

Obowiązek informacyjny oznacza, że osobę, której dane już przetwarzasz lub zamierzasz to robić, należy o tym poinformować, a także o zasadach, na jakich będziesz to robić oraz o prawach, jakie przysługują tej osobie w związku z tym. W akapitach poniżej znajdziesz listę informacji, jakie powinny się znaleźć w treści, za pomocą której będziesz realizować swój obowiązek informacyjny jako administratorki danych.

Polityka prywatności – czy muszę ją mieć

Nie musisz, ale warto ją stosować. Polityka prywatności to forma, która przyjęła się jeszcze, zanim RODO zaczęło obowiązywać, a po jego wprowadzeniu przyjęła się na dobre, szczególnie gdy chodzi o sprzedaż w Internecie. W jednym miejscu możesz zebrać wszystkie elementy obowiązku informacyjnego. A dla Twoich klientów, czytelników newslettera, czy osób kontaktujących się z Tobą przez Twoją stronę lub sklep, jest to pierwsze miejsce, gdzie będą szukać informacji dotyczących przetwarzania ich danych przez Ciebie. I właśnie za pomocą polityki prywatności możesz spełnić swój obowiązek informacyjny.

Polityka prywatności to swojego rodzaju dobra praktyka, która się przyjęła w działalności przedsiębiorców online, szczególnie jeśli chodzi o sprzedaż w Internecie. Nie jest jednak żadnym wymogiem. Wymogiem jest spełnienie obowiązku informacyjnego wobec osoby, której dane przetwarzasz lub będziesz przetwarzać. Możesz go spełnić w inny sposób. A jeśli nie polityka prywatności, to co? To może być np. formułka zamieszczona pod formularzem zamówienia lub zapisu na newsletter. To może być odpowiednia treść zawarta w umowie, którą zawierasz z klientem. To może być odpowiednia treść przesłana w potwierdzeniu zapisu na newsletter. Taka treść nazywana jest klauzulą informacyjną. Ze względu na ilość informacji, jakie trzeba przedstawić, nie będzie to krótka treść. Sama zdecyduj, czy taka treść w formularzu podniesie, czy osłabi jego konwersję i czy nie lepsza będzie krótka informacja, w której skierujesz daną osobę do polityki prywatności.

Drugą istotną kwestią jest aktualność danych w takiej klauzuli informacyjnej. Jeśli umieszczasz ją w każdym miejscu na stronie, dodajesz do treści swoich emaili lub zawieranych umów, to w przypadku konieczności jej aktualizacji, masz więcej pracy. A w takiej sytuacji łatwiej o błąd. I tu wracamy do polityki prywatności. Masz ją na swojej stronie internetowej w jednym nie miejscu. W jednym miejscu dokonujesz poprawek i zawsze jest aktualna. I zawsze wiadomo, gdzie jej szukać. Oczywiście należy do niej zamieścić link w odpowiednim miejscu formularza, czy korespondencji z klientami, współpracownikami i kontrahentami. Nie zapomnij o tym.

Co powinno się znaleźć w polityce prywatności

Obowiązek informacyjny jest wymagany jako realizacja zasady rzetelnego i przejrzystego przetwarzania danych. Każda osoba, której dane przetwarzasz ma prawo być poinformowana o tym, że jej dane są przetwarzane oraz o okolicznościach i kontekście przetwarzania. A oto lista, o czym dokładnie powinnaś poinformować daną osobę, od której dane zbierasz:

• Kto będzie przetwarzał dane (tak chodzi tutaj o Ciebie)
  Jeśli prowadzisz działalność gospodarczą zarejestrowaną w CEIDG, podajesz swoje dane jako osoby prowadzącej taką działalność. Jeśli chcesz działać za pomocą np. spółki z o.o., wówczas podajesz dane spółki, bo to ona będzie administratorem danych. A jeśli działasz, prowadząc działalność nierejestrową, wówczas podajesz swoje imię i nazwisko oraz adres zamieszkania. Jeśli prowadzisz sprzedaż w Internecie i wystawiasz faktury, to dane, którymi się posługujesz powinny zgadzać się z tym, co masz w CEIDG lub KRS. 
• Dane kontaktowe
  Masz obowiązek podać zawsze kontakt do siebie, by osoby, których dane przetwarzasz mogły realizować swoje prawa. Od Ciebie zależy, jaka to będzie forma kontaktu, powinna być jednak łatwo dostępna.
• Cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania
  Cel przetwarzania to po prostu powód, dla jakiego chcesz przetwarzać dane. Opisujesz to swoimi słowami, zgodnie z rzeczywistością. Podstawę prawną przetwarzania znajdziesz natomiast w art. 6 RODO. Znajduje się tam zamknięty katalog takich prawnych podstaw. I pamiętaj o zasadzie: jeden cel przetwarzania – jedna podstawa. Nie może być takiej sytuacji, że np. realizując zmówienie swojego klienta, gdzie podstawą prawną przetwarzania danych będzie umowa, będziesz prosić dodatkowo o zgodę na przetwarzanie (tak na wszelki wypadek).
• Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją
  Tu wskazujesz, że do danych osobowych mogą mieć dostęp inne podmioty, np. firmy, z usług których korzystasz (np. firmy dostarczające hosting, programy i aplikacje do pracy zdalnej, firmy dostarczające systemy do przetwarzania danych np. do obsługi Twojej listy emailingowej). Nie musisz o nich informować „z imienia i nazwiska”, ale o samym fakcie, że to mam miejsce.
• Informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej
  Chodzi tutaj o taką sytuację, gdy dane, które przetwarzasz miałyby trafić poza obszar, na którym obowiązuje RODO. Myślisz, że Cię to nie dotyczy? A korzystasz ze skrzynki emial na Gmailu, Dropboxa, Mailchimpa? No właśnie. W takich sytuacjach dane trafiają na serwery poza wspomnianym obszarem. I co wtedy? Po pierwsze trzeba sprawdzić, czy firmy te spełniają standardy ochrony danych osobowych wymagane przez RODO i czy Komisja Europejska to potwierdza. A po drugie, trzeba o tym poinformować osobę, której dane będą tam przetwarzane.
• Okres, przez który dane będą przechowywane
  Należy poinformować osobę, której dane przetwarzasz, jak długo będziesz przechowywać jej dane. To może być konkretny termin lub opis, w jaki zostanie ustalony. Nie możesz przechowywać danych, jeśli cel, w jakim były przetwarzane, został zrealizowany.
• Informacje o prawach osoby, które jej przysługują w związku z przetwarzaniem przez Ciebie jej danych
  Listę tych praw znajdziesz w od 15 do 22 art. RODO. Należy również poinformować o prawie do cofnięcia zgody, jeśli została wcześniej wyrażona, a także o prawie wniesienia skargi do organu nadzorczego.
• Informacja o tym, czy podanie danych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych
• Informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu
  Sprawdź, jednak wcześniej, czy to o czym myślisz, to na pewno profilowanie.

Dlaczego nie warto kopiować polityki prywatności z innego sklepu lub strony

O ile pewne elementy polityki prywatności będą wspólne dla poszczególnych przedsiębiorców, to pamiętaj, że to jest dokument, który ma odzwierciedlać sytuację u Ciebie. Dotyczy Twojego konkretnego przypadku. A kontekst i sposób przetwarzania danych przez konkretnych przedsiębiorców może być różny. Inaczej będzie na blogu, inaczej, gdy ktoś prowadzi sprzedaż w Internecie, albo ma do tego sklep internetowy. Kopiowanie czyjejś polityki prywatności i jej dostosowanie do siebie nie jest dobrym rozwiązaniem także z innego powodu. Jakiego?

To nie będzie zabawna historia i oczywiście nie może zawierać dokładnych szczegółów, ale wspomnę o niej, bo wydarzyła się nie pierwszy raz. Zgłosiła się do mnie klientka, że ma pewien problem. Jakiś czas temu otworzyła sklep internetowy i prowadzi go z dobrym efektem. Była zadowolona do czasu, gdy otrzymała korespondencję przygotowaną przez prawnika reprezentującego sklep internetowy sprzedający wzory dokumentów takich, jak polityki prywatności i regulaminy sklepów internetowych. Korespondencja dotyczyła naruszenia praw autorskich do tych dokumentów przez klientkę. Zawierała żądanie zaprzestania naruszenia oraz zapłaty wynagrodzenia w wysokości kilku tysięcy złotych. Czujesz powagę sytuacji i zimny pot na plecach? Skąd klientka wzięła treść polityki prywatności, można się tylko domyślać. Internet nie jest zasobem bezpłatnych treści. Pamiętaj, że większość tego, co jest w Internecie ma swojego autora, a on może się domagać odszkodowania za naruszenia.

Czego jeszcze potrzebujesz

Polityka prywatności to nie wszystko. Należy pomyśleć jeszcze o kilku elementach. Na pewno słyszałaś o tzw. cookies. Co z nimi? Na pewno stosujesz je na swojej stronie internetowej, nawet jeśli nie jest to świadome. Ciasteczka są nieodłącznym elementem każdej strony internetowej, bloga, czy sklepu internetowego. Może być ich więcej lub mniej. Niezależnie od tego należy o nich poinformować, że są stosowane na stronie i poprosić o wyrażenie zgody na ich stosowanie. Zgoda ta nie musi być skomplikowaną procedurą, wystarczy informacja, że dalsze używanie strony wiąże się z akceptacją ciasteczek, a o szczegółach można się dowiedzieć… w polityce prywatności. To chyba najpopularniejsze miejsce, gdzie umieszcza się informację o ciasteczkach. Informację tę, jeśli nie masz ich w polityce prywatności możesz zamieścić na oddzielnej podstronie lub w komunikacie, który się wyświetla, gdy jakaś osoba odwiedza Twoja stronę internetową.

Kolejnym ważnym elementem są tzw. zgody na stronie czy w sklepie. Większość informacji masz już w polityce prywatności, ale przy każdym formularzu zamieść krótką informację, że przesłanie danych w formularzu wiąże się z przetwarzaniem danych przez Ciebie.  Podaj również link do polityki prywatności, w której określasz szczegóły tego przetwarzania.

Kolejnym ważnym elementem niezbędnym, gdy prowadzisz sprzedaż w Internecie, jest umowa lub regulamin sprzedaży. Czy to będzie umowa, czy regulamin, a także ich zakres będą zależały od tego, jaki charakter mają Twoje produkty lub usługi oraz kto i jak je kupuje. Ważny będzie też Twój model biznesowy (programy partnerskie, sklep internetowy, czy dropshipping). Przygotowując umowę lub regulamin, na pewno trzeba zapoznać się z wymogami wynikającymi z przepisów. m.in. o prawach konsumentów i świadczeniu usług drogą elektroniczną. Ale to nie wszystko, a ponieważ to obszerny temat, to poruszę go w oddzielnym artykule. Nie chcesz przegapić. Zapisz się na newsletter.

Czy RODO na stronie to wierzchołek góry lodowej

Trochę tak właśnie jest. RODO to nie tylko polityka prywatności i ciasteczka na stronie internetowej. Strona internetowa, media społecznościowe, Twoja skrzynka emailowa, telefon i komunikatory internetowe to jedynie interfejs, przez który zbierasz dane, które potem przetwarzasz w określonych celach. Ale w temacie RODO to nie wszystko. Jako administratorka danych masz do wypełnienia szereg innych obowiązków.

Czy wiesz, że powinnaś mieć wdrożoną u siebie politykę bezpieczeństwa ochrony danych osobowych? I to jest zupełnie inna polityka niż polityka prywatności.  Polityka bezpieczeństwa powinna zawierać procedury, za pomocą których dbasz o zgodność przetwarzania z prawem oraz o fizyczne bezpieczeństwo przetwarzanych  danych. To podstawowe narzędzie, dzięki któremu będziesz miała możliwość wykazania w razie kontroli, że realizujesz zasadę rozliczności. Czy wiesz, czym jest rejestr czynności przetwarzania i jak go prowadzić? Jeśli któreś z tych pytań zatrzymało Cię na chwilę, albo sprawiło, że masz poczucie, że tę wiedzę powinnaś uzupełnić, to zapraszam Cię do obejrzenia nagrań wideo z Wyzwania Soloprenerka ogrania RODO. I mam dla Ciebie prezent. To kod rabatowy na zakup materiałów z tego wyzwania. Wejdź na stronę produktu, wrzuć go do koszyka, wypełnij formularz zamówienia i wpisz kod rabatowy: czytam-i-znam, który obniży cenę o 10%.

Ten artykuł to pierwsza cześć informacji dotyczącej legalnej sprzedaży w Internecie. Oprócz obowiązków wynikających z RODO jest szereg innych np. te wynikające z ustawy o świadczeniu usług drogą elektroniczną oraz z ustawy o prawach konsumenta. Będę o tym pisać już wkrótce. Śledź bloga, a najlepiej zapisz się na mój Newsletter.