2 stycznia 2024
Arkadiusz Szczudło

RODO dla sklepu internetowego 2024 – poradnik dla branży e-commerce

Prowadzenie sklepu internetowego to działalność nieuchronnie wiążąca się z przetwarzaniem danych osobowych klientów (takich jak choćby adres dostawy). Dodatkowo, dane te są często przetwarzane przez sprzedawców również w celach innych, niż sama sprzedaż (np. na potrzeby wysyłki newslettera czy prowadzenia programu lojalnościowego). Niezależnie od celu, zasady każdego proces przetwarzania określa RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych.

Podsumowanie na start:

Jako właściciel sklepu internetowego musisz przestrzegać przepisów dotyczących ochrony danych osobowych.
Wdrożenie RODO w sklepie internetowym powinno być dostosowane do Twoich potrzeb.
Przed opracowaniem przydatnej i skutecznej dla sklepu online dokumentacji RODO, powinieneś przeprowadzić dokładny audyt przetwarzania danych osobowych użytkowników sklepu internetowego.
W ramach kolejnego kroku powinieneś określić procesy przetwarzania danych osobowych klientów oraz pracowników i współpracowników.
Następnie, powinieneś określić ryzyka dla danych osobowych przetwarzanych przez Twoją firmę.
Ostatni etap to przygotowanie dokumentacji RODO dla celów wewnętrznych i zewnętrznych.

Wdrożenie RODO w sklepie internetowym jest wyzwaniem, z którym każdy jego właściciel musi się zmierzyć. Jeśli jesteś jednym z nich i temat ochrony danych osobowych spędza Ci sen z powiek, to dobrze trafiłeś/aś. W tym artykule pokażę Ci, że proces wdrażania RODO nie jest aż tak trudny i można przeprowadzić go w kilku prostych krokach.

Dodatkowo, wskażę Ci najważniejszych dokumenty, które powinnieś/powinnaś posiadać chcąc maksymalnie zabezpieczyć interesy Twojej firmy oraz jej klientów. Zaczynamy!

Przeczytaj także artykuły:

[Dalsza część artykułu niżej]

Odsłuchaj webinaru w tym temacie:

Kliknij po więcej informacji: Webinar – Jak założyć sklep internetowy?

Odsłuchaj podkastu dla e-commerce:

Listen to „ECOM 4: Jak dostosować sklep internetowy do nowych zmian prawa z 2023? Najważniejsze informacje!” on Spreaker.

Ten odcinek znajdziesz także na Spotify, Apple Podcast lub w Twojej innej ulubionej aplikacji.

Dlaczego muszę wdrożyć RODO w sklepie internetowym?

Jeśli sprzedajesz swoje towary za pośrednictwem sieci, to niezależnie od tego, czy działasz w modelu B2B, czy B2C, do realizacji każdego zamówienia, konieczne będzie przetworzenia danych osobowych osób fizycznych. Z tego powodu, musisz wdrożyć RODO, jeśli chcesz działać zgodnie z prawem.

Co więcej, nawet jeżeli Twoja firma zarejestrowana jest daleko poza granicami Unii Europejskiej, ale przetwarzasz dane osób przebywających na terenie Unii Europejskiej i robisz to w związku z:

odpłatnym lub nieodpłatnym oferowaniem towarów na terenie Unii, lub
monitorowaniem zachowań tych osób na terenie Unii,

to nadal będziesz musiał/a wdrożyć RODO.

Czy wdrożenie RODO to powtarzalny proces?

RODO wymaga od administratorów danych osobowych zagwarantowania bezpieczeństwa przetwarzania danych, jednak nie wskazuje konkretnego sposobu, w jaki mają ten cel osiągnąć. Z tego powodu proces wdrożenia RODO powinien być dostosowany Twojego sklepu internetowego i modelu biznesowego, w jakim funkcjonuje.

Przykładowo, początkujący sprzedawca działający w modelu dropshippingu będzie potrzebował nieco innych dokumentów, niż sprzedawca zatrudniający pracowników i posiadający magazyn objęty monitoringiem.

Od razu jednak zaznaczę, że większość standardowych dokumentów RODO jest niezbędna u każdego sprzedawcy (niezależnie od skali działalności), a różnice w tym zakresie są relatywnie niewielkie.

Jeśli nabierzesz jakichkolwiek wątpliwości co do tego, jak wdrożyć RODO stosownie do Twoich potrzeb, skontaktuj się z prawnikiem specjalizującym się w ochronie danych osobowych np. wypełniając nasz formularz kontaktowy.

Poniżej przedstawiam 6 kroków, które pomogą Ci wdrożyć RODO w Twoim sklepie internetowym:

zrób szczegółowy audyt procesów przetwarzania danych osobowych w twojej firmie (w szczególności w ramach procesu sprzedażowego);
określ przyszłe procesy przetwarzania danych osobowych;
na podstawie zebranych danych przeprowadź analizę ryzyka dla osób, których dane będą przetwarzane;
dobierz odpowiednie środki bezpieczeństwa;
przygotuj dokumentację RODO na wewnętrzne potrzeby Twojej firmy;
przygotuj dokumentację RODO wykorzystywaną w relacjach z klientami i Twoimi partnerami biznesowymi.

Jak przeprowadzić skuteczny audyt procesów przetwarzania danych osobowych w sklepie internetowym?

Solidny audyt z zakresu przetwarzania danych osobowych stanowi fundament całego procesu wdrażania RODO w każdej organizacji. Im lepiej zostanie przeprowadzony, tym łatwiej będzie przejść przez jego kolejne etapy.

Dlatego już w tym miejscu zwróć szczególną uwagę na:

podstawy przetwarzania – ustal rodzaj danych przetwarzanych w ramach Twojego sklepu internetowego (nie tylko w ramach procesu sprzedażowego, lecz również w odniesieniu do np. formularzy kontaktowych), oraz określ podstawę prawną do ich przetwarzania;
cel i zakres przetwarzania danych osobowych – zgodnie z wynikającą z RODO zasadą minimalizacji, staraj się nie przetwarzać danych, których tak naprawdę nie potrzebujesz;
bezpieczeństwo – zastanów się, w jaki sposób możesz skutecznie zabezpieczyć dane osobowe Twoich klientów. W szczególności przygotuj techniczno-organizacyjny system ochrony danych osobowych oraz przeprowadź analizę możliwości wdrożenia fizycznych i logicznych zabezpieczeń infrastruktury informatycznej, którą będziesz wykorzystywać;
ogólne założenia polityk bezpieczeństwa, backupu danych i zarządzania uprawnieniami – zastanów się, czy rozwiązania planowane do przyjęcia przez Ciebie dobrze zabezpieczą przetwarzane dane osobowe. Następnie przygotuj procedury, które zagwarantują implementację zdefiniowanych zabezpieczeń. Jednocześnie zadbaj o to, aby uprość procesy tak, aby Cię nie przytłoczyły;
działania podejmowane w przypadku naruszeń – zastanów się nad optymalnymi rozwiązaniami w zakresie wykrywania i usuwania skutków naruszeń ochrony danych osobowych;
osoby przetwarzające dane – przeanalizuj kto może mieć dostęp do danych osobowych klientów w Twojej firmie. Zastanów się, czy to będą Twoi pracownicy, współpracownicy czy kontrahenci (np. dostawcy oprogramowania do Twojego sklepu internetowego). Określ, jakie czynności musisz (i możesz w świetle prawa) podjąć, żeby ograniczyć zakres swojej odpowiedzialności za błędy przez nich popełnione;
poziom wiedzy i świadomości Twojego zespołu w zakresie ochrony danych osobowych – w tym zakresie rozważ przeprowadzenie szkolenia z zakresu RODO i ochrony danych osobowych.

Jak określić procesy przetwarzania danych osobowych w sklepie internetowym?

W kolejnym kroku określ procesy przetwarzania danych osobowych w ramach Twojego sklepu internetowego.

W podstawowym zakresie powinieneś/powinnaś zdefiniować rodzaj przetwarzanych przez Ciebie danych. Następnie odpowiedz sobie na pytania:

kto będzie miał do nich dostęp?
co się z nimi będzie działo (jak będą przetwarzane)?
jak powinny być zabezpieczone?

Bezpieczeństwo danych jest kluczowym aspektem RODO, którego celem jest ochrona prywatności i danych osobowych osób fizycznych na terenie Unii Europejskiej. Z tego powodu istotne jest aby zastosować odpowiednie środki techniczne i organizacyjne, aby w związku z przetwarzaniem danych osobowych w ramach Twojego sklepu nie doszło do naruszenia tej kluczowej wartości.

Jak zaraz zobaczysz, solidna praca na tym etapie może zaoszczędzić Ci czasu w przyszłości

Jak określić ryzyka przy wdrożeniu RODO dla sklepu internetowego?

Na bazie zebranych i opracowanych informacji zdefiniuj najważniejsze ryzyka dla osób, których dane będą przetwarzane w Twojej firmie. Zastanów się:

gdzie może dojść do wycieku lub utraty danych oraz jakie zasoby powinny być w związku z tym przez ciebie szczególnie chronione;
określ rodzaj i poziom zagrożeń (np. duże prawdopodobieństwo błędu ludzkiego).

Następnie wskaż sposoby przeciwdziałania zdefiniowanemu przez Ciebie ryzyku. Dzięki temu określisz Twoje najważniejsze potrzeby w zakresie działań jakie musisz podjąć, żeby kompletnie wdrożyć RODO w ramach Twojego sklepu internetowego.

Będzie to szczególnie ważne w wyborze adekwatnych środków bezpieczeństwa dla ochrony danych osobowych. Pamiętaj, że środki te, oprócz odpowiedzi na zdefiniowane uprzednio ryzyka, powinny obiektywnie zapewniać poufność, integralność i rozliczalność przetwarzanych danych osobowych w ramach sklepu online.

Co powinna zawierać wewnętrzna dokumentacja RODO dla sklepu internetowego?

Dokumentacja RODO jest pewnym standardem biznesowym i przygotowanie jej nie powinno nastręczyć Ci większych trudności, jeśli solidnie przepracowałeś poprzednie etapy procesu wdrożeniowego. W szczególności powinna odpowiadać na zdefiniowane przez Ciebie potrzeby i ryzyka.

Gdyś jednak nie był/a pewny/a co do poszczególnych jej elementów, poniżej wskazuję listę dokumentów, które powinny znaleźć się w pakiecie minimum wewnętrznej dokumentacji RODO Twojej firmy:

polityka ochrony danych osobowych – jest to dokument opisujący i implementujący obowiązujące zasady przetwarzania danych osobowych w Twojej firmie;
regulamin sklepu w zakresie bezpieczeństwa dla Członków Personelu – dokument ten określa zasady zachowania bezpieczeństwa przetwarzania danych w Twoim sklepie internetowym;
wykaz środków ochrony danych osobowych – jest to spis rozwiązań wdrożonych w Twojej firmie, dzięki którym przetwarzane przez Ciebie dane osobowe będą odpowiednio zabezpieczone;
rejestr czynności przetwarzania danych osobowych – jest to obowiązkowy wykaz czynności, w ramach których przetwarzasz dane osobowe (jego zawartość określa art. 30 ust. 1 RODO);
rejestr kategorii czynności przetwarzania – jest to rejestr czynności realizowanych przez Ciebie na rzecz podmiotu zewnętrznego, w ramach których przetwarzasz powierzone Ci dane osobowe (w praktyce jest to sytuacja rzadko spotykana);
procedura realizacji uprawnień osób fizycznych – procedura ta określa sposób postępowania w przypadku wniesienia przez daną osobę żądania realizacji jej uprawnień wynikających z RODO (np. w ramach „prawa do bycia zapomnianym”);
procedura postępowania w przypadku naruszeń ochrony danych osobowych – procedura ta określa sposób postępowania w przypadku naruszenia ochrony danych osobowych (np. wycieku danych);
rejestr naruszeń ochrony danych osobowych – rejestr ten zawiera informacje o zaistniałych naruszeniach oraz działaniach podjętych w celu ich usunięcia;
procedura usuwania i niszczenia danych osobowych – procedura ta określa sposób postępowania w przypadku konieczności zniszczenia lub usunięcia danych osobowych;
arkusz analizy ryzyka wiążącego się z przetwarzaniem danych osobowych – jest to dokument, który przeprowadzi Cię krok po korku przez proces analizy ryzyka wiążącego się z przetwarzaniem danych osobowych;
procedura szkoleń z zakresu ochrony danych osobowych – procedura ta zawiera plan przebiegu szkoleń Twoich pracowników z zakresu przetwarzania danych osobowych;
wzór oświadczenia pracownika/współpracownika o zapoznaniu się z zasadami ochrony danych osobowych;
wzór upoważnienia dla pracownika/współpracownika do przetwarzania danych osobowych i rejestr takich upoważnień;
wzór umowy powierzenia przetwarzania danych osobowych i rejestr umów powierzenia przetwarzania danych osobowych – na podstawie tej umowy będziesz mógł powierzyć przetwarzane dane osobowe podmiotowi trzeciemu (np. agencji marketingowej). Każda zawartą umowę powierzenia powinieneś odnotować w odpowiednim rejestrze;
wzory klauzul informacyjnych RODO (np. dla pracowników, zleceniobiorców, wykonawców itp.).

Potrzebujesz pomocy przy wdrożeniu RODO? Wypełnij formularz i umów się z nami na 15 minutową bezpłatną konsultację. Porozmawiamy o tym, jakie masz problemy i jak możemy Ci pomóc.

Nie wiesz jak właściwie sformułować postanowienia poszczególnych dokumentów RODO? Żaden problem, kup gotowe wzory dokumentów w naszym sklepie online.

Gotowy regulamin dla sklepu internetowego

Nasze gotowe dokumenty dla sklepów internetowych stanowią szybkie i ekonomiczne rozwiązanie dla przedsiębiorców, chcących rozwijać swój biznes dynamicznie i zgodnie z prawem.

Pozwalają one nie tylko zaoszczędzić czas, ale również pieniądze, które zazwyczaj trzeba przeznaczyć na wiele różnych spraw.

A jeżeli potrzebujesz indywidualnej pomocy przy swoim sklepie internetowym, napisz do nas korzystając z formularza kontaktowego!

Jakie dokumenty RODO skierowane do podmiotów zewnętrznych powinien posiadać sklep internetowy?

Na koniec przygotuj dokumentację, którą Ty i Twoi pracownicy będziecie wykorzystywać w relacjach z klientami i partnerami biznesowymi. Mowa tu szczególnie o polityce prywatności i cookies oraz o umowach powierzenia przetwarzania danych.

O tym, co powinna zawierać dobra polityka prywatności, piszę w artykule Jak napisać politykę prywatności i cookies zgodnie z RODO?

Z kolei, jak wdrożyć pliki cookies zgodnie z prawem piszę tutaj: Pliki cookies zgodne z prawem – jak je wdrożyć w 2024 roku?

Umowę powierzenia przetwarzania danych osobowych powinieneś zawrzeć wtedy, gdy:

przetwarzasz dane osobowe w cudzym imieniu (np. gdy Twój klient udostępni Ci dane osobowe w celu świadczenia przez Ciebie usług na jego rzecz) lub
jeśli powierzasz przetwarzanie danych użytkowników sklepu w Twoim imieniu innym podmiotom (np. Twoim podwykonawcom: hostingodawcy, firmie IT, firmie kurierskiej, firmie księgowej itp.).

Treść umowy o powierzenie przetwarzania danych reguluje art. 28 ust. 3 RODO. Zgodnie z tym przepisem powinna w szczególności określać:

przedmiot przetwarzania – rodzaj i zakres danych powierzonych Ci do przetwarzania,
czas trwania przetwarzania;
charakter i cel przetwarzania;
kategorię osób, których dane dotyczą;
obowiązki i prawa administratora;
obowiązki podmiotu przetwarzającego (zawarte bezpośrednio w tym przepisie), czyli Twoje.

Jeśli chcesz dowiedzieć się więcej o tym, co powinny zawierać takie umowy, koniecznie sprawdź wpis na naszym blogu: Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe.

Jakie uprawnienia z RODO mają klienci wobec sklepów internetowych?

Choć w powszechnej świadomości RODO kojarzy się przede wszystkim z „prawem do bycia zapomnianym”, musisz wiedzieć, że uprawnień wynikających z przepisów dotyczących ochrony danych osobowych jest znacznie więcej.

Poniżej przedstawiam najważniejsze uprawnienia Twoich klientów, które przysługują im na podstawie przepisów RODO:

prawo dostępu do danych – klient ma prawo żądać od Ciebie informacji o tym, jakie dane osobowe są przetwarzane, w jakim celu, przez jaki okres oraz czy i komu są udostępniane;
prawo do sprostowania danych – klient ma prawo żądać sprostowania swoich danych osobowych, jeśli uważa, że są one nieprawdziwe lub nieaktualne;
prawo usunięcia lub ograniczenia przetwarzania – klient ma prawo żądać ograniczenia przetwarzania swoich danych osobowych, jeśli np. kwestionuje ich prawidłowość lub uważa, że przetwarzanie jest niezgodne z prawem. Jednocześnie klient ma prawo do bycia zapomnianym tj. może żądać usunięcia wszelkich jego danych osobowych, jeśli nie ma już podstaw prawnych do ich dalszego przetwarzania;
prawo do przenoszenia danych – klient ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie, który umożliwia ich przeniesienie do innego administratora danych;
prawo do wniesienia sprzeciwu – klient ma prawo wnieść sprzeciw wobec przetwarzania swoich danych osobowych, jeśli uważa, że prawa i wolności klienta przeważają nad interesem administratora danych. Sprzeciw można wnieść m.in. wobec przetwarzania danych w celach marketingu bezpośredniego;
prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu – klient ma prawo żądać, aby decyzje dotyczące jego osoby nie były oparte wyłącznie na zautomatyzowanym przetwarzaniu danych, jeśli mają one istotny wpływ na jego sytuację (np. profilowanie klientów w celu przyznania im rabatów);
prawo do cofnięcia zgody na przetwarzanie danych – jeśli przetwarzanie danych osobowych odbywa się na podstawie zgody klienta, ma on prawo w dowolnym momencie cofnąć tę zgodę, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Klient powinien być poinformowany o swoich prawach związanych z RODO w polityce prywatności sklepu internetowego, którą powinieneś mu udostępnić przy zbieraniu danych osobowych (np. przy rejestracji konta lub składaniu zamówienia).

Jakie są najpopularniejsze podstawy prawne do przetwarzania danych osobowych innych osób?

Warto pamiętać, że przepisy RODO wskazują szereg podstaw przetwarzania danych osobowych. Co ciekawe, stosunkowo najsłabszą podstawą przetwarzania danych osobowych jest zgoda danej osoby, ponieważ klient w każdej chwili może ją cofnąć.

W praktyce działalności sklepów internetowych, najczęściej wykorzystywanymi podstawami przetwarzania danych osobowych są:

niezbędność przetwarzania danych osobowych do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – podstawa ta obejmuje w szczególności przetwarzanie danych w celu realizacji zamówienia;
niezbędność przetwarzania danych do wypełnienia obowiązku prawnego ciążącego na administratorze – podstawa ta dotyczy w szczególności obowiązków podatkowych (np. wystawienia faktury);
niezbędność przetwarzania danych do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora – podstawa ta dotyczy w szczególności wysyłki newslettera.

Podsumowanie

Jak widzisz, wdrożenie RODO w sklepie internetowym nie jest tak skomplikowane, jak mogłoby się wydawać na pierwszy rzut oka.

Aby cały proces wdrożenia przebiegł prawidłowo, powinieneś/powinnaś:

przeprowadzić dobry audyt procesu przetwarzania danych osobowych przez Twój sklep;
na podstawie wyników audytu określić przyszłe procesy przetwarzania danych osobowych;
przeprowadzić analizę ryzyka w oparciu o zebrane i opracowane materiały (pamiętaj, że jest to stały proces i że w przyszłości na bieżąco będziesz musiał aktualizować dokumentację, procedury oraz procesy pod kątem ochrony danych w Twojego sklepu online);
na podstawie wyników analizy określ swoje potrzeby i dobierz odpowiednie środki zabezpieczenia danych osobowych;
na końcu przygotuj dokumentację RODO przeznaczoną do wykorzystania na potrzeby wewnętrzne oraz w relacjach z podmiotami zewnętrznymi (w szczególności z klientami i Twoimi partnerami biznesowymi)

Gdyby cokolwiek w tym temacie było dla Ciebie niejasne, zapraszam Cię do bezpośredniego kontaktu z nami za pośrednictwem formularza kontaktowego.

(Dalsza część artykułu poniżej.)

Newsletter, który pomoże Ci rozwinąć Twój e-commerce pod kątem prawnym i biznesowym.

Dołącz do społeczności ok. 5500 właścicieli oraz kadry zarządzającej i managerskiej w branży e-commerce! Otrzymuj co 2 tygodnie najważniejsze informacje.

Więcej o naszym newsletterze „Let’s talk e-com” przeczytasz pod linkiem: https://letstalkecom.pl/

Po zapisaniu się odbierz od nas powitalnego maila z bonusami m.in. bezpłatne nagrania webinarów i szkoleń dla branży e-commerce!

W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. Przeczytaj, w jaki sposób przetwarzamy Twoje dane osobowe w naszej Polityce prywatności.

Często zadawane pytania do RODO dla sklepu internetowego

1) Czy RODO dotyczy tylko sklepów internetowych zlokalizowanych w Unii Europejskiej?

Nie. RODO dotyczy wszystkich sklepów internetowych, które obsługują klientów z terenu Unii Europejskiej (niezależnie do państwa, w którym znajduje się sam sklep).

2) Czy klient musi wyrazić zgodę na przetwarzanie danych przy każdym zakupie?

Nie, gdyż podstawą prawną przetwarzania danych osobowych w celu realizacji zamówienia nie jest zgoda, lecz niezbędność przetwarzania do wykonania umowy sprzedaży zawartej z klientem.

3) Czy RODO wprowadza obowiązek zgłaszania naruszeń bezpieczeństwa danych?

Tak. W przypadku naruszenia bezpieczeństwa przechowywania danych, które może prowadzić do naruszenia praw lub wolności osób fizycznych, musisz zgłosić to odpowiedniemu organowi nadzorczemu oraz poinformować o tym osoby, których dane dotyczą (chyba, że zachodzi przewidziana w RODO okoliczność wyłączająca obowiązek informowania o naruszeniu osób, których dane dotyczą).

4) Czy muszę stosować RODO, jeśli gromadzę tylko dane niezbędne do realizacji zamówień?

Tak. RODO dotyczy wszystkich danych osobowych, które są przetwarzane przez sklep internetowy, niezależnie od zakresu i sposobu ich wykorzystania.

5) Czy mogę przekazywać dane klientów innym podmiotom?

Możesz przekazywać dane osobowe klientów innym podmiotom, ale tylko wtedy, gdy masz na to ich zgodę lub jest to uzasadnione prawnie. Ponadto musisz pamiętać o obowiązku informowania klientów o takim przekazaniu.

6) Czy muszę powołać Inspektora Ochrony Danych (IOD) dla mojego sklepu internetowego?

Powołanie IOD w przypadku sklepu internetowego zazwyczaj nie jest obowiązkowe, co jednak każdorazowo powinno być oceniane indywidualnie.

7) Czy mogę stosować pliki cookies na mojej stronie sklepu internetowego?

Tak, możesz stosować pliki cookies, co jednak wiąże się z pewnymi obowiązkami. W szczególności musisz poinformować klientów o stosowaniu plików cookies, umożliwić łatwe zarządzanie ich ustawieniami oraz uzyskać zgodę na ich stosowanie (chyba, że działanie plików cookies jest niezbędne do prawidłowego działania strony).

8) Jakie kary grożą za nieprzestrzeganie RODO?

Kary za nieprzestrzeganie RODO mogą być bardzo surowe. W zależności od rodzaju naruszenia, kary nałożone przez Prezesa Urzędu Ochrony Danych Osobowych mogą wynieść do 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa (w zależności od tego, która wartość jest wyższa). To oczywiście wartości maksymalne, które w odniesieniu do sklepów internetowych powinny być niższe (dużo zależy od rodzaju i skali naruszenia).

9) Czy RODO wprowadza jakieś ograniczenia w przekazywaniu danych osobowych poza Unię Europejską?

Tak, przekazywanie danych osobowych poza Unię Europejską może odbywać się wyłącznie na podstawach wskazanych w RODO. Taką podstawą jest najczęściej decyzja Komisji Europejskiej albo standardowe klauzule umowne.

10) Czy wdrożenie RODO w sklepie internetowym wymaga każdorazowo uzyskania zgody na przetwarzanie danych osobowych?

Nie, gdyż jak wskazałem wcześniej, sprzedawca powinien korzystać z innych podstaw przetwarzania. Zgoda (jako bardzo niepewna podstawa) może być stosowana tylko wówczas, gdy nie można zastosować żadnej innej podstawy.

Zdjęcie dodane przez Vlada Karpovich.

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, wiceprezesem fundacji Creativa Education, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain. Poznaj autora.

Subskrybuj nasz newsletter i bądź na bieżąco!

Otrzymuj informacje o nowościach w prawie, nowych artykułach, produktach, usługach, czy szkoleniach od kancelarii Creativa Legal.

Dołącz do ponad 6000 innych osób, które już nam zaufało!

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Zapoznaj się z naszą Polityką prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Newsletter, który pomoże Ci rozwinąć 🚀 Twoją firmę technologiczną lub software house pod kątem prawnym i biznesowym.

Dołącz do społeczności właścicieli, kadry zarządzającej i managerskiej w firmach technologicznych i software house! Otrzymuj co 2 tygodnie najważniejsze informacje.

Więcej o naszym newsletterze „Let’s talk tech” przeczytasz pod linkiem: https://letstalktech.pl

Po zapisaniu się odbierz od nas powitalnego maila z bonusami. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Zapoznaj się z naszą Polityką prywatności.

Ta strona jest chroniona przez reCAPTCHA. Mają zastosowanie Polityka prywatności oraz Regulamin serwisu Google.

Przeczytaj także inne artykuły

Umowa sprzedaży sklepu internetowego - Poradnik od prawnika

Deklaracja zgodności i oznaczenie CE - wszystko, co musisz wiedzieć

Umowa dystrybucyjna - wszystko, co musisz wiedzieć

Cookie	Czas przechowywania	Opis
__cf_bm	1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
_GRECAPTCHA	6 months	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analityczne	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Czas przechowywania	Opis
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Linkedin set this cookie for storing visitor's consent regarding using cookies for non-essential purposes.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
sp_landing	1 day	The sp_landing is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content.
sp_t	1 year	The sp_t cookie is set by Spotify to implement audio content from Spotify on the website and also registers information on user interaction related to the audio content.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Czas przechowywania	Opis
_clck	1 year	No description
_clsk	1 day	No description
cartflows_session_66305	1 hour	Description is currently not available.
CLID	1 year	No description
cookielawinfo-checkbox-funkcjonalne	1 year	No description
cookielawinfo-checkbox-inne	1 year	No description
cookielawinfo-checkbox-niezbedne	1 year	No description
cookielawinfo-checkbox-optymalizacyjne	1 year	No description
cookielawinfo-checkbox-reklamowe	1 year	No description
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
elementor_split_test_1_variation	1 year	Description is currently not available.
elementor_split_test_client_id	1 year	No description available.
ln_or	1 day	No description
loglevel	never	No description available.
of.cookiesSupported	session	Description is currently not available.
of.firstVisit	session	Description is currently not available.
of.humanVerified	session	Description is currently not available.
of.humanVerified.event	session	Description is currently not available.
of.lastPageviews	session	Description is currently not available.
ofs	session	Description is currently not available.
SM	session	No description available.
wcf_active_checkout	1 hour	Description is currently not available.
wcf-step-visited-66305	1 year	Description is currently not available.
wcf-visited-flow-66305	1 year	Description is currently not available.

Cookie	Czas przechowywania	Opis
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_ga_7Q60WBMH76	2 years	This cookie is installed by Google Analytics.
_ga_VS77N1P0G8	2 years	This cookie is installed by Google Analytics.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
AnalyticsSyncHistory	1 month	Linkedin set this cookie to store information about the time a sync took place with the lms_analytics cookie.
gaVisitorUuid	1 year	Google Analytics Getresponse sets this cookie to track online user behaviour statistically.
MR	7 days	This cookie, set by Bing, is used to collect user information for analytics purposes.
sbjs_current	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_current_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_first_add	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_migrations	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_session	1 hour	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.
sbjs_udata	session	Sourcebuster sets this cookie to identify the source of a visit and stores user action information in cookies. This analytical and behavioural cookie is used to enhance the visitor experience on the website.

Cookie	Czas przechowywania	Opis
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies store information about how the user uses the website to present them with relevant ads according to the user profile.
li_sugr	3 months	LinkedIn sets this cookie to collect user behaviour data to optimise the website and make advertisements on the website more relevant.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Czytaj naszego bloga

Sprawdź nasz sklep z gotowymi dokumentami

Pobierz bezpłatne materiały

Czytaj naszego bloga

Sprawdź nasz sklep z gotowymi dokumentami

Pobierz bezpłatne materiały

RODO dla sklepu internetowego 2024 – poradnik dla branży e-commerce

Spis treści

Podsumowanie na start:

Dlaczego muszę wdrożyć RODO w sklepie internetowym?

Czy wdrożenie RODO to powtarzalny proces?

Jak przeprowadzić skuteczny audyt procesów przetwarzania danych osobowych w sklepie internetowym?

Jak określić procesy przetwarzania danych osobowych w sklepie internetowym?

Jak określić ryzyka przy wdrożeniu RODO dla sklepu internetowego?

Co powinna zawierać wewnętrzna dokumentacja RODO dla sklepu internetowego?

Gotowy regulamin dla sklepu internetowego

Jakie dokumenty RODO skierowane do podmiotów zewnętrznych powinien posiadać sklep internetowy?

Jakie uprawnienia z RODO mają klienci wobec sklepów internetowych?

Jakie są najpopularniejsze podstawy prawne do przetwarzania danych osobowych innych osób?

Podsumowanie

Często zadawane pytania do RODO dla sklepu internetowego

Arkadiusz Szczudło

Subskrybuj nasz newsletter i bądź na bieżąco!

Newsletter, który pomoże Ci rozwinąć 🚀 Twoją firmę technologiczną lub software house pod kątem prawnym i biznesowym.

Przeczytaj także inne artykuły

Skonsultuj rozwiązania prawne dla Twojego biznesu

Sprawdź nas podczas bezpłatnej konsultacji

Magdalena Korol

Arkadiusz Szczudło

Odwiedź nas w social mediach!