Obowiązki związane z prowadzeniem bloga, serwisu lub sklepu internetowego

Coraz więcej osób decyduje się prowadzić swój biznes lub rozwijać hobby w Internecie. Niektórym wystarczy prosty blog wraz z możliwością zostawiania komentarzy, inni świadczą usługi o bardzo szerokim spektrum. To że nie zarabia się na serwisie, nie oznacza że nie trzeba spełnić pewnych obowiązków wynikających z przepisów o ochronie danych osobowych, prawa telekomunikacyjnego czy ustawy o świadczeniu usług elektronicznych. Zwłaszcza, że nieznajomość prawa nie zwalnia z odpowiedzialności.

Po pierwsze regulamin

Jest to rzecz, do której wiele osób nie przywiązuje wagi, a jednak jeżeli poprzez serwis świadczymy jakiekolwiek usługi, to powinniśmy opracować regulamin tej usługi. Przede wszystkim, aby zabezpieczyć własny interes prawny. Poza tym jest to obowiązek wynikający wprost z ustawy o świadczeniu usług drogą elektroniczną:

Art. 8 ust. 1. Usługodawca:

1) określa regulamin świadczenia usług drogą elektroniczną, zwany dalej „regulaminem”;

2) nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także – na jego żądanie – w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca.

Usługami, dla których powinien być stworzony regulamin są m.in.:

sklep internetowy
newsletter
program bonusowy dla użytkowników serwisu
forum internetowe
formularz kontaktowy
serwis, który po zalogowaniu umożliwia korzystanie z jego usług

Jeżeli jesteś blogerem i dajesz możliwość pozostawiania komentarzy pod swoimi wpisami, to także powinieneś opracować regulamin.

Odnośnie zabezpieczenia interesu prawnego prowadzącego stronę internetową zgodnie z art 8 ust. 2. uśude: Usługobiorca nie jest związany tymi postanowieniami regulaminu, które nie zostały mu udostępnione w sposób, o którym mowa w ust. 1 pkt 2.

Tutaj podkreślenia wymaga fakt, że regulamin udostępnia się PRZED rozpoczęciem świadczenia usługi. Spotkałam się z tym, że nie był udostępniany wcześniej, dopiero po założeniu konta i rozpoczęciu korzystania z serwisu. Taki regulamin nie jest wiążący dla użytkownika.

Po drugie pliki cookies

Tutaj nie ma wyjątków, informacje o cookies musi posiadać każda strona. Wynika to z art. 173, 174, 209 Prawa Telekomunikacyjnego, które dotyczą plików „cookies”, nazywanych ciasteczkami. Prawo Telekomunikacyjne nakłada na właścicieli serwisów internetowych obowiązek informowania ich użytkowników wykorzystywanych przez nich plikach cookies. Zatem zanim internauta rozpocznie korzystanie z serwisu musi zaakceptować lub odrzucić regulamin odwiedzanego serwisu dot. dostępu i ładowania plików „cookies”. Stąd witające nas informacje o tym, że serwis wykorzystuje pliki cookies oraz odniesienie do polityki prywatności, która informuje jakie ciasteczka oraz w jakim celu są wykorzystywane.

Po trzecie zgoda na przetwarzanie danych

Właściwie za każdym razem, gdy za pośrednictwem naszego serwisu zbieramy dane osobowe, potrzebna jest zgoda osoby, której dane pozyskujemy. Pierwszą zgodę użytkownik wyraża akceptując politykę prywatności, a drugą powinien wyrazić, gdy przekazuje nam dane, na przykład:

daje nam swój adres e-mail do otrzymywania newslettera
wypełnia formularz kontaktowy na stronie
zakłada konto w serwisie, aby korzystać z jego usług
zostawia komentarz pod wpisem

Warto pamiętać że za zgodą idzie w parze obowiązek informacyjny. Zbierając dane osobowe mam obowiązek poinformować w jakim celu te dane zbieramy, komu będziemy przekazywać, jakie są prawa osoby której dane gromadzimy i czy podanie tych danych jest dobrowolne. Na bazie nowych przepisów RODO należy także podać kontakt z którego osoba możne skorzystać, a także informację jaka jest podstawa prawna przetwarzania danych. Pisałam o tym w tym wpisie.

Czy potrzebna jest zgoda osoby, która korzysta ze sklepu internetowego?

To pytanie często do mnie trafia w związku z wątpliwością właścicieli sklepów internetowych wynikających z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, z którego wynika, że podstawą przetwarzania danych osobowych może być umowa zawarta z osobą, której dane dotyczą (czyli jest to alternatywa dla zbierania zgody). A sprzedaż towaru przez Internet jest równoważna z zawarciem umowy z konsumentem. Zazwyczaj nie jestem w stanie udzielić odpowiedzi nie znając regulaminu sklepu (regulamin to podstawa), jednak najprościej odpowiedzieć tak, jedyną sytuacją, w której właściciel sklepu nie musi prosić klienta o wyrażenie zgody na przetwarzanie danych, jest sprzedaż towaru klientowi, gdy ten klient nie posiada konta w sklepie, a jego dane nie będą wykorzystywane w żadnym innym celu, niż zrealizowanie zamówienia. W mojej ocenie, gdy klient staje się jednocześnie użytkownikiem sklepu internetowego, to jego dane są przetwarzane w szerszym zakresie, niż wynika to z umowy konsumenckiej na zakup towaru i konieczne jest pozyskanie zgody.

Dwa słowa o polityce prywatności

Należy zwrócić uwagę na wtyczki i usługi, z których korzysta nasz serwisu, np. wtyczka Facebooka, czy Google Analitics. Są to aplikacje, które zbierają dane osobowe naszych użytkowników i przesyłają je na swoje serwery. Użytkownik naszego serwisu powinien o tym wiedzieć i na to się zgodzić. Zwłaszcza, że są do programy, które dokonują tak zwanego profilowania. Najczęściej umieszcza się potrzebne informacje w polityce prywatności, która jest akceptowana przez użytkownika podczas pierwszej wizyty na stronie, wraz z ciasteczkami.

Zabezpieczenie danych

Na końcu ale tak naprawdę najważniejsze. Jeżeli poprzez naszą stronę internetową zbieramy dane osobowe ( na przykład email odbiorcy newslettera), to koniecznie musimy zabezpieczyć moment wprowadzenia tych danych na naszą stronę oraz przesyłanie ich do nas na serwer. W tym celu stosuje się między innymi certyfikat SSL. Co ciekawe jest to jedna z tych rzeczy której najczęściej brakuje na różnych stronach internetowych szczególnie tam gdzie są formularze konkursowe, kontaktowe ale bardzo często spotykam się też z tym że moment zakładania konta w serwisie internetowym oraz późniejsze korzystanie z tego konta w żaden sposób nie jest zabezpieczone. Zwracam na to Waszą szczególną uwagę.

Podsumowanie

Właściciel bloga

Powinien mieć politykę prywatności i plików cookies, którą akceptują jego użytkownicy
Jeżeli ma możliwość pozostawiania komentarzy, powinien być regulamin usługi, a osoby dodające komentarze powinny wyrazić zgodę na przetwarzanie ich danych osobowych (nawet jeżeli dodają anonimowo, to właściciel serwisu często jest w stanie sprawdzić z jakiego adres IP zostało to dodane).
Jeżeli jest formularz kontaktowy lub newsltter, to powinien być regulamin oraz zgoda na przetwarzanie danych
Zabezpieczenie wprowadzanych i przesyłanych danych

Właściciel strony internetowej (np. firmowej)

Powinien mieć politykę prywatności i plików cookies, którą akceptują jego użytkownicy
Jeżeli jest formularz kontaktowy lub newsletter, to powinien być regulamin oraz zgoda na przetwarzanie danych
Zabezpieczenie wprowadzanych i przesyłanych danych

Właściciel sklepu internetowego

Powinien mieć politykę prywatności i plików cookies, którą akceptują jego użytkownicy
Jeżeli ma możliwość pozostawiania komentarzy, powinien być regulamin usługi, a osoby dodające komentarze powinny wyrazić zgodę na przetwarzanie ich danych osobowych (nawet jeżeli dodają anonimowo, to właściciel serwisu często jest w stanie sprawdzić z jakiego adres IP zostało to dodane).
Jeżeli jest formularz kontaktowy, to powinien być regulamin oraz zgoda na przetwarzanie danych
Powinien mieć regulamin sklepu oraz zgodę na przetwarzanie danych użytkowników sklepu
Jeżeli zalogowany użytkownik może skorzystać z dodatkowych usług, np. program bonusowy, dodatkowy regulamin programu bonusowego oraz zgoda na wykorzystywanie danych w tym celu
Zabezpieczenie wprowadzanych i przesyłanych danych

Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

Spodobał Ci się ten wpis?