11/12/2019
Poradnik powstał we współpracy z kancelarią Chabasiewicz Kowalska i Partnerzy Radcowie Prawni.
Mnogość regulacji prawnych, zarówno na poziomie krajowym jak i europejskim, dotyczących również działalności w Internecie niejednokrotnie może rodzić wiele wątpliwości przedsiębiorców. Jednym z takich zagadnień jest kwestia uzyskiwania od klientów odpowiednich zgód.
Zgoda na przetwarzanie danych osobowych
Jeżeli przedsiębiorca przykładowo chciałby wykorzystywać dane kupujących (np. adres e-mail) w celach marketingowych, lub w celu rozsyłania newsletterów, zasadnym jest uzyskanie od kupujących zgód na przetwarzanie danych osobowych w tym konkretnym celu. Unijne rozporządzenie RODO(1) na administratorów nakłada szczegółowe obowiązki związane z przetwarzaniem danych osobowych. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy istnieje podstawa przetwarzania. Jedną z najpopularniejszych podstaw przetwarzania jest właśnie zgoda osoby na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów. Zgodnie z RODO zgoda musi być dobrowolna, odwoływalna w każdym czasie (o czym należy poinformować osobę, zanim wyrazi zgodę), a wycofanie zgody musi być równie łatwe jak jej wyrażenie. Samo zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Zgoda rozumiana jest jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych zgodnie z przepisami RODO. Przedsiębiorca będący administratorem musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Nie ma przeciwwskazań, aby to wyrażenie zgody miało na przykład formę elektronicznego oświadczenia, np. zgodę można udzielić poprzez zaznaczenie okienka wyboru (tzw. checkbox) na stronie internetowej.
Do błędów niestety popełnianych jeszcze przez przedsiębiorców podczas pobierania zgód należą m.in.:
- „wymuszanie” zgód przez system, zaznaczone automatycznie checkboxy;
- brak informacji o możliwości wycofania zgody;
- pozyskiwanie jednej zgody na przetwarzanie danych osobowych w kilku odmiennych celach (prawidłowo: jeden cel – jedna zgoda).
Zgodnie z przepisami RODO podczas pozyskiwania danych osobowych administrator ma obowiązek przekazywać osobie, której dane osobowe będą przetwarzane określone informacje (jest to temat na kolejny poradnik).
Każdy przedsiębiorca powinien zadbać o prawidłowe wywiązanie się z obowiązków wynikających z RODO, gdyż naruszenie przepisów dotyczących zasad przetwarzania, w tym warunków zgody podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Zgoda na przesyłanie informacji handlowej
Wymóg zgody na przetwarzanie danych osobowych wynika z RODO. Natomiast zgodnie ze wspomnianą ustawą o świadczeniu usług drogą elektroniczną przesyłanie informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej jest dopuszczalne gdy odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Przykładem takiej informacji handlowej przesyłanej przez przedsiębiorców jest newsletter, w którym przedsiębiorcy przedstawiają np. informacje o nowościach na swoich stronach internetowych oraz informacje dotyczące oferowanych produktów i usług. Zaś za niezamówioną informację handlową uznaje się tzw. spam. Rozsyłanie niezamówionej informacji handlowej traktowane jest jako wykroczenie i zagrożone jest karą grzywny, która na podstawie kodeksu wykroczeń może wynosić nawet do 5 000 zł. Ściganie takiego wykroczenia następuje z wniosku pokrzywdzonego, czyli w tym wypadku konsumenta do którego taka informacja handlowa dotarła.
Zgoda na realizację celu marketingu bezpośredniego
Zgodnie z ustawą Prawo telekomunikacyjne zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zgodnie z treścią dyrektywy 2002/58/WE(2), niedozwolone jest wysyłanie niezamówionych komunikatów do celów marketingu bezpośredniego w szczególności przez urządzenia do wywołań automatycznych, telefaksy i wiadomości z poczty elektronicznej (e-maile), w tym wiadomości SMS. Wysłanie takich niezamówionych komunikatów marketingowych, bez zgody użytkownika końcowego lub abonenta (w omawianym przypadku – klienta e-sklepu) może zostać usankcjonowane przez Prezesa Urzędu Komunikacji Elektronicznej (UKE) karą sięgającą nawet do 3% przychodu przedsiębiorstwa uzyskanego w poprzednim roku kalendarzowym. Należy podkreślić, że do uzyskania zgody abonenta lub użytkownika końcowego na marketing bezpośredni, jak również zgody usługobiorcy na przesyłanie niezamówionych informacji handlowych, o której mowa była powyżej, stosuje się przepisy o ochronie danych osobowych.
Obowiązek udostępnienia regulaminu
Regulacje dzielimy na dwie grupy – regulaminy świadczenia usług drogą elektroniczną i pozostałe.
Regulamin świadczenia usług drogą elektroniczną
Przedsiębiorca świadczący usługi drogą elektroniczną w myśl przepisów ustawy o świadczeniu usług drogą elektroniczną zobowiązany jest do udostępnienia nieodpłatnie regulaminu świadczenia usług drogą elektroniczną. Powinno to nastąpić przed zawarciem umowy o świadczenie takich usług, a także – na żądanie usługobiorcy – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca. Regulamin jest wiążący dla usługodawcy i powinien zawierać w szczególności:
- rodzaje i zakres usług świadczonych drogą elektroniczną;
- warunki świadczenia usług drogą elektroniczną, w tym: wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca; zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym;
- warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;
- tryb postępowania reklamacyjnego.
Pozostałe regulaminy
W praktyce jednak częstym sposobem przekazania większości wymaganych głównie na podstawie ustawy o prawach konsumenta informacji w jednym miejscu, jest stworzenie regulaminu określającego podstawowe zasady obowiązujące konsumentów w relacjach z danym sklepem internetowym. Zgodnie z przepisami kodeksu cywilnego, regulamin wiąże drugą stronę o ile zostały doręczone drugiej stronie przed zawarciem umowy. Zwyczajowo, aby mieć pewność, że konsument zapoznał się z udostępnionymi regulaminami, przedsiębiorcy wymagają zaznaczenia odpowiedniego checkboxa w celu wyrażenia akceptacji regulaminu.
Podsumowanie cyklu
O ile sprostanie wszelkim wymogom informacyjnym jest obligatoryjne, to przedsiębiorcy nie muszą wykazywać, że konsument faktycznie się z nimi zapoznał – jest to traktowane jako możliwość i przywilej konsumenta, ale nie jego obowiązek. Liczne przepisy prawa mają na celu w pierwszej kolejności zapewnienie konsumentowi pełnej przejrzystości co do procesu zakupowego w e-sklepie, począwszy od identyfikacji przedsiębiorcy, przez dokładny opis produktu, aż po zasady realizacji zamówienia, a w dalszej perspektywie – mają doprowadzić do ograniczenia liczby sporów powstałych pomiędzy przedsiębiorcą a konsumentami. Natomiast z perspektywy przedsiębiorcy, skrupulatne wypełnienie wszelkich obowiązków informacyjnych pozwoli uniknąć ryzyka możliwości nałożenia kar, które dla małych i średnich przedsiębiorców mogą być bardzo dotkliwe finansowo. Ten artykuł jest czwartą i zarazem ostatnią już częścią naszego prawnego poradnika, tworzącego kompendium na temat obowiązków informacyjnych w sklepie internetowym. Zapraszamy do lektury poprzednich trzech, które omawiają: podstawowe obowiązki informacyjne, zagadnienia dotyczące cen i produktów oraz rodzaje i sposoby przekazywanych informacji.
Źródła:
1) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)