Mentionsy

Tyle się mówi o ochronie tych danych osobowych, ale przecież w czym problem?

Chodzi o to, żeby sprzedać.

Jakie kary?

Prawo dla biznesu.

Podcast skierowany do wszystkich przedsiębiorców, którzy prowadząc firmę chcą w łatwy sposób zrozumieć zasady działania prawa w biznesie.

Cześć, z tej strony Piotr Kantorowski i witam Was w kolejnym odcinku podcastu Prawo dla biznesu.

Dzisiaj porozmawiamy o temacie...

Ochrony danych osobowych w e-commerce, temat sztampowy, oklepany, ale jakby to powiedzieć wciąż aktualny i wracając trochę do początku tego odcinka, tej pseudo mini scenki, no kary są i to są poważne, duże i nakładane wcale nierzadko, chociaż oczywiście na pewno nie na wszystkich, bo...

do naruszeń w ochronie danych osobowych myślę, że jest więcej niż kar, co daje duże perspektywy rozwoju, jeżeli chodzi o działalność prezesa Urzędu Ochrony Danych Osobowych, chociaż nie mam takiego wrażenia, że akurat ten urząd jakby bazuje na tym, żeby te kary były jakoś tak szczególnie

Często nakładane, no tu też jest trochę inna filozofia niż w przypadku prezesa Urzędu Ochrony Konkurencji i Konsumentów, no WOKiK działa bardzo medialnie, jeżeli chodzi o płodo.

No nie działa aż tak medialnie, więc troszeczkę ma to inny charakter.

Pytanie na ile to dobrze, na ile to niedobrze, bo jednak ta medialna działalność wokiku daje takie większe wyobrażenie społeczeństwu, co wolno, czego nie wolno, jak działać legalnie, jak działać nielegalnie.

Chyba też, bo można powiedzieć, że niektórzy zamiast się uczyć to powielają dokładnie to, co już było przedmiotem licznych kar.

Nie mówię tu o zmowach cenowych, bo to jakby zupełnie inny temat, a chodzi bardziej o takie powielane...

Błędy, rok 2024, 2025, tam jest bardzo dużo kar za coś, co można by było po prostu najkrócej określić jako dark patterns.

A wciąż te zwodnicze interfejsy powstają i są tworzone.

Ale przejdźmy do sedna, bo poopowiadałem, poopowiadałem, ale nie o tym, co trzeba.

Dzisiejszy odcinek taki będzie bardzo teoretyczny, ale pamiętajcie, nie ma nic bardziej praktycznego niż dobra teoria.

Zacznę od tego, jakie w ogóle mamy podstawy do przetwarzania danych osobowych, bo jest to, powiedziałbym, bardziej niż istotne.

Jest ich siedem.

Zasada zgodności z prawem rzetelności i przejrzystości, zasada celowości ograniczonego celu, co istotne.

Zasada minimalizacji danych, zasada prawidłowości, zasada ograniczenia czasowego przechowywania tych danych, zasada bezpieczeństwa i integralności, poufności i zasada rozliczalności.

Ta jest bardzo ciekawa, bo ona sprowadza się w gruncie rzeczy

do tego, że musimy się móc i to szybko, użyję tego sformułowania, wyspowiadać z tego, na jakich zasadach i jak spełniamy wszystkie pozostałe zasady przetwarzania danych osobowych, bo to my mamy obowiązek wykazać, że przetwarzamy dane osobowe zgodnie z prawem, a nie organ ma obowiązek wykazać nam, że my robimy to niezgodnie z prawem.

Przy czym już na wstępie dam też taki disclaimer mały dzisiaj, o tym chyba nawet nie powiem jakoś szerzej, ale nawet fakt naruszenia, który będzie miał miejsce w naszej firmie nie musi oznaczać, że my za to naruszenie będziemy odpowiadać.

Może być jakiś atak hakerski, który mimo, że stosowaliśmy zabezpieczenia, które technicznie były właściwe,

mieliśmy wszystko od strony ludzkiej, personalnej zabezpieczone także właściwie, no to może się skończyć w ten sposób, że no jednak gdzieś te dane wyciekną do Darknetu i tam ktoś będzie nimi handlował, a my o tym dowiemy się z prasy.

No to niekoniecznie jeszcze musi oznaczać, że ponosimy odpowiedzialność w kontekście RODO, bo no nie jest to, i to już przesądziło orzecznictwo, odpowiedzialność

na zasadzie ryzyka.

Jest to jednak odpowiedzialność związana z tym, że nie zastosowaliśmy właściwych zabezpieczeń, procedur, zbieraliśmy dane nadmiarowo albo dla przykładu utrzymaliśmy je ponad rozsądny termin albo wykorzystaliśmy je dla celów, do których ich nie zbieraliśmy.

Wszystkie te kwestie mogą się

zdarzyć, ale życzę Wam, żeby się nie zdarzyły.

Ok, dobra, mamy już zasady, a teraz podstawy przetwarzania danych osobowych.

Wymienię w zasadzie wszystkie zasady, w zasadzie

Ale nie będziemy się na wszystkich skupiać bo nie wszystkie dotyczą tak realnie e-commerce.

Tu też tak trochę uprzedzając to o czym powiem niebawem to dodam tylko tyle że

To jest podstawa nadużywana, już nie tak jak kiedyś, ale jest nadużywana.

Wykonanie umowy, obowiązek prawny, czyli przetwarzanie danych wynika z prawa, dla przykładu dane związane ze stosunkiem pracy, chociaż to też dotyczy e-commerce'ów, przecież tam też mamy pracowników.

Ochrona żywotnych interesów to raczej nie będzie dotyczyło kwestii związanych z e-commerce, zadania realizowane w interesie publicznym, to też nas raczej nie będzie interesować i prawnie uzasadniony interes administratora danych.

Dobra, jesteśmy już na tym etapie, więc możemy sobie przejść dalej i porozmawiać o szczegółach.

Czyli o tym na przykład jak powinna wyglądać zgoda.

Temat był ostatnio mocno poruszany, choćby z tego względu, że przepisy RODO dotyczące zgody stosuje się też w trochę innych obszarach.

Mianowicie dla przykładu, jeżeli chodzi o...

banery cookies i zgody sprawa komunikacji elektronicznej to tam też jest odesłanie do RODO i był duży szum jak to te banery pozmieniać żeby mówiąc najkrócej wszystko działało tak jak trzeba a zarazem

Żeby nie dochodziło do naruszeń prawa.

Myślę, że to się udało w skali globalnej mniej niż bardziej, ale w dalszym ciągu idziemy z duchem czasu i myślę, że niebawem temat się jeszcze bardziej zmieni na plus legalnych rozwiązań.

W każdym razie zgoda powinna być dobrowolna, konkretna, świadoma, jednoznaczna i możliwa do wycofania.

To po pierwsze jeżeli chodzi o e-commerce dobrowolność zgody ja bym w szczególności połączył z tym, że nie może być tam żadnych zmanipulowanych interfejsów,

żadnych dark patternów, żadnych wykorzystań, już pomijam, że nie można, że to są zakazane systemy AI, które manipulują użytkownikiem w ten sposób, żeby mówiąc najkrócej, wymusić na nim określone działanie albo zaniechanie, więc dobrowolnie

konkretna zgoda musi być, czyli musi być na pewne określone działania.

Świadomość, no to bym z tą dobrowolnością połączył, bo nie można dobrowolnie i nieświadomie wyrazić zgody, raczej trzeba zawsze świadomie wyrazić zgodę, żeby ona była dobrowolna.

Jednoznaczność, no tutaj też nie powinno być żadnych możliwości interpretacyjnych, czy ta zgoda jest wyrażona, na co ta zgoda jest wyrażona.

No i możliwość wycofania zgody.

No jeżeli się posługujemy zgodą, to proszę Państwa, jakby to ładnie powiedzieć, bez możliwości jej wycofania, no to żadna zgoda.

No to już się staje wtedy przymusem.

Zgoda jest tak dobrowolna na wejściu, jak i na wyjściu.

No można ją po prostu wycofać w każdym możliwym momencie.

Jeżeli chodzi o sposoby wyrażenia zgody to tak na e-commerce przekładając będzie to albo checkbox albo ewentualnie będzie to jakieś działanie potwierdzające czyli np.

wpisanie adresu e-mail w polu newslettera.

Więc tutaj mamy takie możliwości.

Ale tych możliwości oczywiście jest więcej, łącznie z ustnym oświadczeniem, no ale tak życzę powodzenia w dowodzeniu ustnej zgody.

Myślę, że to się może nie udać w przypadku sporu, więc jednak lepiej to gdzieś gromadzić.

No i pamiętajcie też o tym, że sam fakt, że ktoś wam tam checkboxa odkliknął, no to super, tylko żebyście jeszcze mieli taką bazę.

gdzie macie to wskazane, bo tu już nie będę szukał daleko, my też mamy newsletter i no dostaliśmy tam kiedyś takie miłe zapytania, jakim prawem przetwarzacie Państwo moje dane i tam oczywiście ze wskazaniem na to, że wszyscy zostaną na świecie zawiadomieni oczywiście od ŁOKiKu do Prezesa Urzędu Ochrony Danych Osobowych, a kończąc na Rzeczniku Dyscyplinarnym, no a akurat

Śmieszna historia, bo osoba, która nas o to spytała, pytała nas o to jeszcze pięć lat wcześniej, więc nawet nie musieliśmy do żadnych rejestrów sięgać, starczyło tylko sprawdzić maila.

No i tam już wyjaśnialiśmy temu panu, że po prostu tę zgodę udzielił w pewnych określonych okolicznościach.

Także pozdrowienia dla tego pana i możemy przejść dalej.

Jeżeli chodzi o najczęstsze błędy, to myślę, że to jest brak dobrowolności, trudne słowo, długie słowo, brak konkretyzacji, jednoznaczności, czyli ta zgoda, nie wiadomo w ogóle na co ona jest, bo to nie tylko chodzi o przetwarzanie danych osobowych, ale też

Często jest zgoda dotycząca marketingu bezpośredniego, informacji handlowej, potem się okazuje, że to w ogóle nie wiadomo na co tę zgodę kto udzielał, bo albo na przykład jest zgoda na przetwarzanie danych osobowych, ale ktoś zapomniał, to już może jest odrębnie od RODO, ale o tym, żeby tam napisać też o jakiejś informacji handlowej.

Problem z wycofaniem zgody, czyli

te takie nasze ulubione okienka czy nie chcesz się wypisać z newslettera tak nie chcę nie nie chcę można poklikać sprawdzić co z tego wyjdzie ale już od momentu pojawienia się takiego okienka zgoda jest mówiąc krótko

cofnięta i dane są przetwarzane nieskutecznie, a to, że jest lead dalej na liście, no to tylko podstawa do nałożenia później kary.

Kolejna podstawa to jest wykonanie umowy.

To tutaj przede wszystkim istnienie umowy jest istotne.

Od razu wyjaśnię, że jeżeli sprzedajecie w e-commerce i dojdzie do odstąpienia od umowy to tutaj ewentualne dalsze przetwarzanie danych może być w zależności konkretnie od zakresu, ale raczej wykonanie obowiązku przewidzianego prawem, a z drugiej strony będzie to też czasami niekiedy uzasadniony interes administratora danych.

Jeżeli chodzi o wykonanie umowy, to jest też istotne, żeby to przetwarzanie było niezbędne, no bo fajnie, że podpisaliśmy tam jakąś umowę, ale jakby to ładnie ująć, jak sobie zaczniemy przetwarzać te dane na każdy dowolny zakres, okej, do marketingu usług własnych to o tyle możemy

przetwarzać te dane, że jakby to ładnie ująć, będziemy mieli inną podstawę prawną, ta inna podstawa prawna to akurat będzie uzasadniony interes administratora danych, pod pewnymi warunkami wrócę do tego, ale no właśnie na to zwróćmy uwagę.

główne błędy jakie się tu zdarzają no po pierwsze nadmiarowe zbieranie danych czyli jest to jakaś umowa zawierana drogą elektroniczną dajmy na to jest to umowa dostarczenia darmowego ebooka a prosimy kurcza blada o wszystkie możliwe rzeczy łącznie z numerem buta

No oczywiście może ktoś to wypełnić, ale powiedziałbym, że tym gorzej dla nas.

Tak bym to ujął, że to ewidentnie tym gorzej dla nas, bo z perspektywy...

naruszenia danych osobowych, to faktycznie idziemy w dobrym kierunku.

Ograniczenie celu, no jeżeli przetwarzamy na podstawie umowy, no to tylko i wyłącznie do wykonania tej umowy, a nie na wszystkie inne potrzeby, czyli krótko mówiąc jak zawarliśmy umowę o dostarczenie przesyłki, no to już nie możemy na przykład tych danych wykorzystać potem

przynajmniej na podstawie wykonania umowy do zaoferowania ubezpieczenia jakiegoś albo czegoś tam innego.

Potem kwestia obowiązku informacyjnego, no to jak zawieramy umowę warto pamiętać, żeby była klauzula informacyjna.

prawidłowo przygotowana, prawa osób, których dane dotyczą i dokumentacja tego całego procesu, szczególnie w kontekście rozliczalności.

No tu taki przykład spoza e-commerce'u, ale często są jakieś zgody na przetwarzanie

danych osobowych i wizerunków, umowach na wykonanie zdjęć na weselach i tam się ci młodzi przyszli, zobowiązują imieniem wszystkich gości, nieważne kto przyjdzie, z kim przyjdzie, ale oni się wszystkich imieniem...

godzą na podstawie umowy na przetwarzanie tych danych osobowych.

Także tutaj na to bym też zwrócił umowę.

Okej, to tutaj połączyłem w pewnym sensie zasady związane z przetwarzaniem danych na podstawie umowy, z najczęstszymi błędami, które się tam zdarzają.

No i takim naj...

Ale to takim kluczowym jeszcze, o którym powiem, to jest właśnie brak ważnej umowy.

To czasami też się zdarza, że po prostu nie dojdzie do skutecznego podpisania umowy, bo podpiszą ją pracownicy, którzy nie są w ogóle do tego umocowani.

No i potem pytaniem otwartym jest, no co z tym fatem zrobić, pewnie większość umów w takiej sytuacji da się potwierdzić, nawet przez jakieś dorozumiane oświadczenia związane z wykonaniem umowy, ale to też na to zwracam uwagę.

No i teraz ostatnia już podstawa, którą ja sobie dzisiaj tutaj pozwolę omówić, no to jest, to jest mówiąc krótko,

Podstawa związana z uzasadnionym interesem administratora danych.

I tu się okazuje przy tej podstawie, że wcale nie jest największym problemem w robieniu marketingu internetowego kwestia związana z...

Kwestia związana z RODO, bo RODO to w ogóle daje nam podstawę do robienia marketingu usług własnych do osób, które u nas kupiły towar lub na rzecz których świadczyliśmy usługę.

Problem tylko taki, że będziemy musieli kartki świąteczne wysyłać drogą tradycyjną, no bo tutaj nie, znaczy powiedziałbym niestety, ale chyba na szczęście, bo

I tak nie możemy się wygrzebać zazwyczaj z tego, co przychodzi na nasze skrzynki.

Natomiast mówiąc najkrócej, sytuacja wygląda w ten sposób, że możemy na podstawie RODO i uzasadnionego interesu robić ten marketing,

ale do robienia go w internecie potrzebujemy jeszcze zgody z ustawy Prawo Komunikacji Elektronicznej, także na to też zwracam uwagę.

No i tutaj najczęstsze błędy to jest brak testu równowagi.

Nie chcę tu jakoś szczegółowo wchodzić w jakieś niuanse, ale trochę jest tak, że jak mamy...

sklep o odpowiednio niszowym profilu, no to potem wykorzystywanie tych danych i wysyłanie maili, no to tak różnie może wyjść.

Nie wiem, jeżeli ktoś prowadzi sklep z asortymentem erotycznym, to może ten, kto tam kupił, nie chce dostawać potem

kartek do domu i folderów reklamowych z jakąś informacją taką, że mamy dla ciebie specjalnie przygotowane nowe promocje, no może tak się zdarzyć, nie wiem, nie wiem.

Może ktoś też oczekiwać takich mailin, to pewnie zależy od sytuacji życiowej.

Po drugie, jeżeli przetwarzamy na tej podstawie dane osobowe, to też musimy pamiętać o tym, że zawsze może być wniesiony sprzeciw.

A poza tym musimy pamiętać, i to taka sprawa była, że jeżeli chcemy sobie na tej podstawie robić badanie satysfakcji klienta, no to zwróćmy uwagę, czy to nie jest klient, co do którego tam 15 reklamacji w międzyczasie wpłynęło na nasze usługi i on w ogóle jest totalnie niezadowolony, straszy nas rzecznikiem praw konsumentów i tym podobnymi rzeczami.

No to by było może istotne, bo nam wyjdzie, że ten test równowagi jednak świadczy o tym, że nie możemy takiej osobie wysyłać korespondencji.

No uczulam, bo była taka sprawa, ona się tam może wielką karą nie skończyła, ale no właśnie.

Temat, który pozostał, ale to już kolejny, inny odcinek, to powierzenie przetwarzania danych osobowych i profilowanie na te dwa tematy uczulam, ale to do usłyszenia w kolejnym odcinku podcastu Prawo dla pisarzy.

biznesu, bo dzisiaj już przekroczyliśmy 20 minut, a staram się nie przekraczać tej objętości odcinka.

No i co powiem jeszcze od siebie?

W ramach autopromocji zapraszam Was na prawodlabiznesu.eu, gdzie znajdziesz jeszcze więcej takich treści oraz nasz sklep z materiałami prawnymi do wykorzystania w Twojej działalności online, ale nie tylko online.

Także zapraszam i do usłyszenia już za dwa tygodnie.