W maju 2018 roku, gdy RODO zaczęło obowiązywać, każdy sklep internetowy miał w obowiązku dostosować się do nowych przepisów i wprowadzić zmiany w zakresie pozyskiwania oraz przetwarzania danych osobowych swoich klientów. Jak pozyskiwać zgody od użytkowników e-sklepu, by było to dostosowane do procedur majowego rozporządzenia?
Nadrzędne cele RODO
Jaki cel przyświecał ubiegłorocznym zmianom? Nadrzędnym jest zwiększenie ochrony danych osobowych w sytuacji ich przetwarzania w celach zawodowych lub handlowych. Inny, istotny aspekt rozporządzenia to ujednolicenie prawa w zakresie ochrony danych osobowych na terenie wszystkich krajów Unii Europejskiej. Te punkty są szczególnie istotne dla przedstawicieli różnych branż, w tym wszystkich właścicieli i administratorów danych osobowych sklepów internetowych. Dla osób fizycznych największą zmianą jest lepsza i pełniejsza kontrola nad ich danymi, a także łatwiejszy do nich dostęp.
Jak pozyskiwać zgody w e-commerce?
Z zapisów majowego rozporządzenia jasno wynika, że RODO w branży e-commerce powinno skupić się przede wszystkim na legalnym pozyskiwaniu danych, starannym ich przechowywaniu oraz przetwarzaniu wyłącznie w celach, na które wyraził zgodę użytkownik.
Jak pozyskiwać zgody w branży e-commerce? Przede wszystkim w sposób jawny i otwarty. Każdy check-box ze zgodą powinien być widoczny i czytelny. Chodzi tutaj nie tylko o przystępny i w pełni zrozumiały język, ale również odpowiednią wielkość czcionki i kolor, który nie stopi się z tłem. Istotnym aspektem są precyzyjne sformułowania, które nie dają pola do interpretacji.
Nie jest dobrą i wspieraną przez ekspertów RODO praktyką, by na jednym check-boxie łączyć kilka zgód (np. akceptacja regulaminu sklepu wraz ze zgodą na przetwarzanie danych w celach marketingowych). Każdy cel (w tym przypadku dwa: akceptacja regulaminu sklepu oraz zgoda na otrzymywanie newsletterów) powinien posiadać osobny check-box, a użytkownik mieć możliwość wyboru wyrażenia zgody wyłącznie na jeden cel.
Sposób pozyskiwania zgody od użytkownika
Istotnym aspektem jest sposób pozyskiwania zgód od użytkowników. Jak robić to w zgodzie z RODO? Pozyskanie zgody na przetwarzanie danych osobowych użytkowników powinno się składać minimum z 3 elementów. Pierwszy z nich to nazwa administratora danych osobowych oraz jego siedziba. Drugi to cel przetwarzania danych – w Rozporządzeniu O Ochronie Danych Osobowych szczególne miejsce jest poświęcone temu, by użytkownik zawsze był informowany o celu przetwarzania jego danych. Każdy cel wymaga odrębnej zgody uzyskanej od użytkownika – innym celem będzie akceptacja regulaminu e-sklepu, a innym zgoda na przekazywanie danych do zewnętrznych systemów zbierania opinii. Trzeci, obowiązkowy element wynika bezpośrednio z drugiego – mowa o wyrażeniu zgody na przetwarzanie danych w określonym celu.
Ważność zgody i możliwość jej odwołania
W świetle przepisów RODO każda zgoda użytkownika może zostać przez niego odwołana. Żaden e-sklep nie powinien z tytułu wycofania zgody nakładać na użytkownika negatywnych konsekwencji. Wycofanie zgody powinno być tak samo proste jak akceptacja, sformułowane w sposób jasny, przejrzysty i czytelny. Odwołanie odbywa się ze skutkiem natychmiastowym, ale nie działa wstecz – wszelkie operacje wykorzystujące dane osobowe do momentu odwołania od decyzji są w pełni legalne i zgodne z przepisami.
Jaka jest ważność zgody? Zgoda pozyskana od 25 maja 2018 roku nie traci ważności. Wyjątkiem jest sytuacja, gdy cel przetwarzania danych się zmieni – wówczas należy uzyskać od użytkownika ponowną zgodę na przetwarzanie danych w innym niż dotychczas celu. Również zgody na przetwarzanie danych osobowych przed RODO – bazujące na ustawie o ochronie danych osobowych – nie tracą ważności. Warunkiem, by były aktualne, jest fakt, czy zostały pozyskane w sposób jawny, a zgoda była dobrowolna i świadoma (innymi słowy w zgodzie z wymaganiami RODO). Jeżeli tak, to są one nadal obowiązujące.