You've successfully subscribed to edrone Blog
Great! Next, complete checkout for full access to edrone Blog
Welcome back! You've successfully signed in.
Success! Your account is fully activated, you now have access to all content.
Success! Your billing info is updated.
Billing info update failed.

Zapytaj o RODO w e-commerce – Q&A z inspektorem ochrony danych

Jan Wieczorkiewicz (IOD w SMSAPI) udowadnia, że dobre praktyki związane z pozyskiwaniem, przechowywaniem i wykorzystaniem informacji działają na korzyść firm sprzedających w sieci.

Marcin Lewek
Marcin Lewek

Podobno 83% firm nie ma problemu z kwestiami związanymi o ochroną danych osobowych klientów. A jak jest w branży e-commerce? RODO to nadal czynnik blokujący działania marketingowe?

Zacznijmy od przedstawienia odpowiadającego na pytania. Jan Wieczorkiewicz od 2013 zajmuje się ochroną danych osobowych w SMSAPI oraz międzynarodowej grupie LINK Mobility. 31 maja o 10:00 odpowiadał na żywo na pytania publiczności podczas webinaru Zapytaj o RODO.

Sesja Q&A z inspektorem ochrony danych osobowych

Zobacz nagranie godzinnej sesji z inspektorem ochrony danych, podczas której Jan odpowiedział również na pytania odnośnie RODO w e-commerce. Poniżej znajdziesz skrót z czterech zagadnień najważniejszych w handlu online.

1. Jakie korzyści dla e-commerce przyniosło wprowadzenie RODO?

25 maja minął czwarty rok jak na terenie Unii Euroepjskiej obowiązuje rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które przyjęło się potocznie nazywać RODO.

Kwestię, kiedy poszczególne sklepy faktycznie wdrożyły zalecenia i dostosowały swoją działalność do rozporządzenia pozostawiam otwartą. Nie ulega jednak wątpliwości, RODO wprowadziło w polskiej branży e-handlu sporo zamieszania… i w efekcie wiele spraw uporządkowało.

Pierwszą, zapewne najważniejszą zdobyczą z perspektywy użytkownika, było wymuszenie większej przejrzystości procesów przetwarzania danych. Dotyczyło to w szczególności pozyskiwania i utrzymania danych osobowych klientów. Rozporządzenie nałożyło na administratorów rygor w postępowaniu z danymi i powtarzalny schemat działań.

Drugą korzyść można postrzegać w kategoriach biznesowych. Porządki w bazach, pozbycie się wątpliwych kontaktów i odejście od archaicznych praktyk pozyskiwania leadów wpłynęło na efektywność komunikacji sprzedażowej.

Praca z grupą odbiorczą faktycznie zainteresowaną produktem przynosi lepsze rezultaty. Można też spodziewać się po niej wyższej konwersji. Dodatkową zaletą są niższe koszty obsługi niezadowolonych klientów.

Trzecią, jakoby wynikającą z dwóch poprzednich, jest generalna poprawa wizerunku marek sprzedających w sieci. Firmy przestały zasypywać klientów niechcianymi komunikatami, ponieważ zrozumiały i nauczyły się lepiej wykorzystywać narzędzia komunikacyjne.

Parafrazyjując znajomego IDO: Mieliśmy w tym czasie panikę przedsiębiorców, zgodozę, peselozę, Gargamelozę (zamiast numerków pseudonimy w przychodniach), a także nadzieję na ukrócenie praktyki wysyłania niechcianych wiadomości oraz wykonywania telefonów i wreszcie pogodzenie się z tym, że każdy musi porozmawiać z botem o fotowoltaice.

2. Z jakimi przepisami RODO sklepy internetowe mają największe problemy? Co nie jest wdrażane prawidłowo?

To pytanie wolałbym pozostawić do odpowiedzi regulatorom naszego rynku. Jako SMSAPI dostarczamy narzędzie dla e-commerce, ale sami bezpośrednio nie działamy w sprzedaży B2C online. Pokuszę się jednak i wskażę kilka kwestii, które z pewnością nie dają spokoju handlującym w sieci.

Najgorętszym tematem ostatnich miesięcy na pewno jest dyrektywa Omnibus, która obowiązuje od 28 maja 2022.

Dyrektywa Omnibus – co to jest i jakie zmiany wprowadza?
Jeśli czytasz ten artykuł, to z pewnością jesteś związany z branżą e-commerce. Mam więc dla Ciebie ważną informację: w najbliższym czasie Twój sklep internetowy czekają spore zmiany, spowodowane wejściem w życie unijnej dyrektywy Omnibus.

Istnieje także szereg istotnych regulacji unijnych i krajowych, które najzwyczajniej trzeba znać. Oszczędzi to sporo problemów, ułatwi i przyśpieszy procesy decyzyjne, innymi słowy zapewni płynność działań.

W branży e-commerce wypada się dostosować do:

  • RODO :)
  • nasza krajowa ustawa o ochronie danych osobowych
  • ustawa o świadczeniu usług drogą elektroniczną
  • prawo telekomunikacyjne

Równie pomocne okaże się zapoznanie się z innymi przepisami:

  • jeśli prowadzimy konkursy: ustawa o grach hazardowych
  • jeśli publikujemy treści na firmowym blogu: prawo prasowe i prawo autorskie
  • w zależności od zakresu oferowanych towarów: ustawa o bezpieczeństwie żywności i żywienia

Wymieniać można bez liku, ponieważ każda nisza ma swoją specyfikę, jednak znajomość przynajmniej podstawowych zagadnień jest must-have w e-commerce. Zwyczajnie nie opłaca się działać w ciemno i liczyć, że nic się nie wydarzy.

3. Na co uważać przy tworzeniu dokumentu polityki prywatności? (błędy, dobre praktyki)

Polityka prywatności jest pojęciem jednoznacznie kojarzącym się z RODO. A jednak, w samym rozporządzeniu próżno szukać odniesienia do polityki prywatności. Nie zostało użyte w nim ani razu.

RODO natomiast nakłada na administratorów obowiązki informacyjne wynikające z art. 13/14 rozporządzenia. Należy je spełnić w zasadzie przy każdym pobieraniu danych od osoby: odwiedzającej stronę, dokonującej zakupów czy chcącej się zapisać do newslettera. Każdy z tych celów przetwarzania jest inny, podstawa prawna przetwarzania także jest inna.

Administratorzy tworząc takie polityki prywatności chcą zebrać „do kupy” wszystkie te czynności przetwarzania i poinformować osobę o wszystkich aspektach w ramach jednego dokumentu, niż tworzyć kilka osobnych dokumentów i umieszczać je w różnych miejscach na stronie internetowej.

Błędy i dobre praktyki? Zagadnienia się przeplatają. Niestety, art. 13/14 zmusza nas do przekazania wielu informacji w ramach obowiązku informacyjnego. Dobrą praktyką jest np. tworzenie polityki w formie pytań i odpowiedzi w oparciu o wymogi art. 13/14. Informacja powinna być przekazana w sposób zrozumiały, jasny i przejrzysty dla odbiorcy. Powinny także zawierać wszystkie wymagane punkty wynikające z przepisu, do którego niniejszym odeślemy zainteresowanych.

Przepisy zawarte w art. 5 ust. 3 Dyrektywy o prywatności i łączności elektronicznej przetransponowane do ustawy PT (art. 173) nakładają na nas (tj. wszystkich operatorów stron internetowych) wymóg uzyskania zgody, po uprzednim udzieleniu jasnych i wyczerpujących informacji na temat instalowanych cookies.

Nie ma tutaj większego znaczenia do czego strona jest wykorzystywana, ale samo wykorzystywanie technologii ciasteczek.

Cookiesy możemy podzielić z grubsza na kilka rodzajów:

  • niezbędne – pliki konieczne do poprawnego działania witryny (np. logowanie)
  • preferencyjne – zapisujące ustawienia użytkownika korzystającego z witryny (np. język wyświetlania)
  • statystyczne – wewnętrzne lub zewnętrzne, zbierające np. informacje o ilości wizyt
  • marketingowe – głównie zewnętrzne, pozwalające na wyświetlanie reklam użytkownikom na podstawie ich zbudowanych profili

Pliki cookies można podzielić również ze względu na pochodzenie:

  • first party – „nasze cookiesy” – ustawiane przez domenę, na której użytkownik się znajduje
  • third party – cookiesy stron trzecich – ustawiane przez domeny stron trzecich (np. Google Analytics, Facebook itp.)

Nie potrzebujemy zgody użytkownika końcowego w przypadku cookiesów wymaganych dla poprawnego działania strony internetowej (np. logowania czy utrzymania sesji). W przypadku pozostałych rodzajów uprzednia zgoda jest wymagana.

Zgodnie z wytycznymi EROD nr 05/2020 dotyczącymi zgody: Milczenie lub bezczynność po stronie osoby, której dane dotyczą, jak również po prostu kontynuowanie korzystania z usługi nie mogą zostać uznane za aktywne wskazanie wyboru.

Eliminuje nam to możliwość pobrania zgody od użytkownika poprzez np. „scollowanie w dół strony” czy też przez „dalsze korzystanie ze strony”. Działanie musi być wyraźne, konkretne i świadome. Na rynku dostępnych jest kilka narzędzi do obsługi plików cookies, które są w stanie obsłużyć nasze ciasteczka, zebrać wymagane zgody oraz przedstawić użytkownikowi wyczerpującą informację.

Dobre rady odnośnie plików cookies w e-commerce:

  • zrób inwentaryzację swoich cookies (first party, third party, niezbędne, pozostałe)
  • nie wysyłaj cookiesów z grupy pozostałych przed otrzymaniem zgody i wyświetleniem obowiązku informacyjnego
  • zadbaj o odpowiedni obowiązek informacyjny i opisz:
  • jakie ciasteczka instalujesz,
  • w jakim celu je instalujesz,
  • jak długo będą przechowywane,
  • poinformuj użytkownika, jeżeli przekazujesz jakieś dane do krajów trzecich,
  • zapewnij bezpieczeństwo przechowywania zgód,
  • zapewnij możliwość wycofania zgody.
Czym są dane Zero-Party (i dlaczego ich potrzebujemy)
Przepisy dotyczące prywatności danych i coraz surowsze ograniczenia narzucane przez przeglądarki internetowe sprawiają, że coraz trudniej jest śledzić aktywność online.
CookiesRODO

Marcin Lewek

Digital marketer and copywriter experienced and specialized in AI, design, and digital marketing itself. Science, and holistic approach enthusiast, after-hours musician, and sometimes actor.