Zasady przetwarzania danych osobowych klientów przez sprzedawców
Jeśli klient prosi o wystawienie faktury za zakupiony towar albo składa zamówienie na jakiś produkt, który trzeba sprowadzić z innego sklepu lub magazynu, przekazuje sprzedawcy swoje dane osobowe. Do przetwarzania danych na szeroką skalę dochodzi oczywiście również podczas zakupów w sieci. Na jakich zasadach odbywa się przetwarzanie danych klientów?
- Dorota Kraskowska
- /
- 31 grudnia 2019
Na jakiej podstawie sklep przetwarza dane osobowe klientów?
Sprzedawca przetwarza dane klienta, aby móc zrealizować złożone przez niego zamówienie — wysłać towar pod wskazany adres, wystawić fakturę, skontaktować się w sprawie dotyczącej realizacji zamówienia. Podstawą przetwarzania danych w tym przypadku jest więc konieczność wykonania umowy, jaką klient zawiera ze sprzedawcą.
Podstawą przetwarzania danych osobowych może być również tzw. prawnie uzasadniony interes administratora. Cel przetwarzania nie może jednak godzić w prawa, wolności oraz godności osób, których dane dotyczą. W przypadku sklepu takim prawnie uzasadnionym interesem administratora może być na przykład wykorzystywanie danych klientów w celach marketingu bezpośredniego swoich usług i produktów. I na to nie jest potrzebna osobna zgoda klienta. W sytuacji prawnie uzasadnionego interesu należy pamiętać o tym, że klient ma konkretne przywileje:
prawo do informacji o celu przetwarzania danych,
prawo do usunięcia danych, inaczej prawo do bycia zapomnianym, jeżeli np. dane klienta nie są już niezbędne do celów, w których zostały zebrane,
prawo do sprzeciwu wobec przetwarzania danych - jeśli np. klient nie chce otrzymywać w przyszłości żadnych powiadomień z ofertami sklepu.
Istnieją jednak przypadki, kiedy sprzeciw klienta wobec przetwarzania jego danych osobowych może być niewystarczający. Taką okolicznością jest sytuacja, w której dane są dalej przetwarzane w celach zapobiegania oszustwom lub w celach zapewnienia bezpieczeństwa sieci i systemów informatycznych.
Kiedy jest wymagana zgoda klienta na przetwarzanie danych osobowych?
Zgoda klienta wymagana jest w przypadku profilowania, czyli zbierania informacji na podstawie jego zachowań w sieci — na portalach społecznościowych, przeglądanych produktów w wyszukiwarkach, historii zakupów. Takie profilowanie to prawdziwa kopalnia wiedzy o konsumenckich preferencjach klienta. Powstaje gotowy profil klienta, któremu można zaproponować ofertę dostosowaną idealnie do jego indywidualnych potrzeb. Takie działanie wymaga już osobnej zgody klienta.
Zgodnie z artykułem 22 rozporządzenia RODO: osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Zapis ten jednak nie ma zastosowania, jeśli ta decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Sprzedawcy powinni pamiętać, że zgoda klienta jest wymagana nie na sam proces profilowania, ale na proces zautomatyzowanego podejmowanie decyzji w temacie przetwarzania danych, które wywołuje prawne lub inne istotne skutki dla osób fizycznych.
Zgoda klienta jest również konieczna w przypadku przekazywania przez sklep danych klientów innym podmiotom — np. partnerom sklepu, którzy będą te dane wykorzystywać w innych celach niż te, w jakich zostały zebrane (np. w celach marketingowych). Zgoda klienta nie jest konieczna w przypadku powierzenia danych podmiotom świadczącym usługi transportowe, hostingowe, księgowe na rzecz sklepu. W tym przypadku konieczna będzie umowa powierzenia zawierana przez dany sklep z firmą świadczącą usługi zewnętrzne.
Jeśli sklep ma z taką firmą umowę powierzenia przetwarzania danych osobowych, podmiot ten nie może wykorzystywać udostępnionych mu danych osobowych klientów w celach marketingowych. Przetwarzanie tych danych odbywa się tylko w celach określonych w umowie. W przypadku umowy powierzenia z biurem rachunkowym będzie to przetwarzanie danych wyłącznie w zakresie prowadzenia dokumentacji księgowo-kadrowej.
Zgoda musi spełniać określone warunki — klient składa ją dobrowolnie i świadomie, ma pełne prawo do wiedzy na temat podmiotu, który będzie w posiadaniu jego danych oraz o celu, w jakim jego dane osobowe będą przetwarzane.
Klient udzielający zgody na przetwarzanie swoich danych osobowych ma prawo w każdej chwili do wycofania zgody. Wycofanie zgody musi być równie proste i szybkie, jak jej udzielenie. Jeśli zgoda była udzielona na przykład za pośrednictwem strony internetowej lub aplikacji, jej wycofanie powinno być możliwe również za pośrednictwem tego samego narzędzia.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Uwaga na nadmierne gromadzenie danych osobowych klientów
Szał poświątecznych i noworocznych wyprzedaży sprzyja nieuwadze klientów. W celu zdobycie jeszcze większych rabatów, kart lojalnościowych czy kuponów promocyjnych klienci wypełniają przeróżne formularze. W takich okolicznościach nietrudno o bezrefleksyjne zaznaczenie przeróżnych zgód. Może zdarzyć się, że w tego typu formularzach gromadzone są nadmiarowe dane, zupełnie niepotrzebne do celów, w jakich w danym momencie administrator je zbiera. Nie można gromadzić danych osobowych klientów niejako “na zapas”, z zamiarem ich wykorzystania w przyszłości.
Po jakimś czasie od takiego “mechanicznego” udostępnienia danych klient znajduje w swojej skrzynce kupon promocyjny na zakupy z okazji swoich urodzin. Jego data urodzenia nie była daną konieczną do realizacji zamówienia sprzed pół roku. Ale skoro administrator pozyskał te dane, teraz z nich korzysta. Klientowi niezadowolonemu z takiego faktu pozostaje prawo do wycofania zgody na przetwarzanie jego danych osobowych, zgodnie z art. 7 ust. 3 RODO.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?