Czy silnik Twojego sklepu jest gotowy na RODO!?

Jedną z zasad prawidłowego przetwarzania danych osobowych jest tzw. rozliczalność, czyli m.in. wykazanie prawidłowo odebranej zgody na przetwarzanie danych osobowych. Jak to wygląda w przypadku sklepu internetowego? Jaka jest podstawa prawna do przetwarzania danych osobowych przy realizacji zamówienia, a jaka do wysłania newslettera?

Umowa sprzedaży jako podstawa prawna przetwarzania danych osobowych.

Zgodnie z art. 6 ust. 1 lit. b RODO przetwarzanie danych osobowych nie wymaga zgody jeżeli jest niezbędne do wykonania umowy. W przypadku sklepu internetowego zawierana jest umowa sprzedaży, która jednocześnie stanowi podstawę prawną do przetwarzania danych osobowych klienta – tym samym przedsiębiorca, który oferuje wyłącznie sprzedaż, oprócz klauzuli „Akceptuje regulamin sklepu internetowego” nie musi udostępniać osobnej zgody na przetwarzanie danych osobowych. Jednocześnie przedsiębiorca w celu wykazania udzielenia zgody na przetwarzanie danych osobowych (realizacja zasady rozliczalności) może się posiłkować zestawieniem złożonych zamówień, które jest generowane przez każdy silnik sklepu internetowego automatycznie.

Usługi elektroniczne w sklepie np. prowadzenie konta lub newsletter. Zgoda jako podstawa prawna przetwarzania.

Problem z wykazaniem posiadania podstawy prawnej na przetwarzanie danych osobowych może się pojawić w przypadku usług elektronicznych, które są świadczone przez znaczną cześć sprzedawców. Przedsiębiorca, który chce przesyłać informacje handlowe np. reklamy za pomocą poczty elektronicznej musi uzyskać na to zgodę od użytkownika (art. 6 ust. 1 lit. a RODO) – najczęściej odbywa się przez akceptację oświadczenia (checkboxa) w którym użytkownik zgadza się na przesyłanie takich informacji. Zgoda użytkownika stanowi podstawę do przetwarzania danych osobowych i właśnie do wykazania uzyskania tej zgody przedsiębiorca jest zobowiązany. W związku z powyższym warto zweryfikować mechanizm archiwizacji uzyskanych zgód przez sklep internetowy lub jeżeli w tym celu została zainstalowana aplikacja zewnętrzna przez tę aplikację.

Okres retencji (archiwizacji) danych osobowych

Przetwarzanie danych wiąże się także z ich archiwizacją. W przypadku sprzedaży znajdzie zastosowanie ustawa o rachunkowości i obowiązek przechowywania danych przez okres 5 lat od początku roku następującego po roku obrotowym. Jeżeli chodzi o newsletter – czas przetwarzania danych powinien wynikać ze zgody. Tym samym okres przechowywania danych może trwać, aż do odwołania zgody przez użytkownika tj. bezterminowo lub być ściśle określony np. 10 lat.