Formularz zamówienia zgodnie z RODO

  • Co musi zawierać formularz zamówienia, by można było wykorzystywać dane osobowe w kilku celach?
  • O czym należy poinformować klienta w formularzu zamówienia, aby uzyskać zgodę na działania marketingowe?
  • Kiedy zgoda na przetwarzanie danych osobowych jest niepotrzebna?
ECOM_7_8.jpg

W przypadku zakupów internetowych kupujący wypełniają formularze w formie elektronicznej, niejednokrotnie zakładając konto w danym serwisie sprzedażowym. Wypełnienie formularza zakupowego ma stanowić dowód, że towar został przez klienta zamówiony i zostanie przesłany na podany przez niego adres. Gotowe formularze zamówień wypełnione przez kupującego mają gwarantować mu realizację umowy. Nie wszystkie jednak spełniają wymagania nałożone przez RODO.

Większość przedsiębiorców – administratorów danych musi przeformułować treść formularzy zamówienia i dostosować je do obowiązujących wymogów określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). W motywach preambuły RODO formułuje szereg zasad, jakie musi spełniać administrator danych, aby zbieranie danych było legalne i rzetelne, a co najważniejsze – adekwatne do celów, dla których dane te są przetwarzane.

Dotychczas stosowane formularze zamówień czy też procedury ich przeprowadzania wymuszały na kupującym nie tylko wyrażenie zgody na przetwarzanie danych osobowych, ale także dodatkowych zgód na przesyłanie treści, na które kupujący nie miał potrzeby wyrażania woli, a dopiero których akceptacja wiązała się z realizacją zamówienia. Dane natomiast niejednokrotnie były wykorzystywane do celów innych, aniżeli wynikałoby to z prawidłowej realizacji zamówienia.

W preambule do RODO zawarto postulaty, by osobom fizycznym uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych osobowych. A to wszystko poprzez rozszerzenie obowiązku informacyjnego, jaki wypełnić musi administrator danych, by móc legalnie przetwarzać dane osobowe. Istotnym novum, jakie wprowadza unijny ustawodawca, są zasady nieznane dotychczas polskiej ustawie o ochronie danych osobowych (tj. z dnia 13 czerwca 2016 r., Dz. U. z 2016 r., poz. 922, dalej: „UODO”): zasada rozliczalności oraz przejrzystości. Administrator powinien bowiem móc wykazać, że jego działania są zgodne z zasadami dotyczącymi przetwarzania danych, czyli że podjął skuteczne kroki służące wdrożeniu tych zasad i zabezpieczeniu danych. Zasada przejrzystości wymaga natomiast, by wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania. Konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. A zatem już w chwili składania zamówienia kupujący powinien zostać wyraźnie poinformowany, w jakich celach jego dane osobowe będą zbierane.

Obowiązkowe dane w formularzu

W pierwszej kolejności wskazać należy, iż formularz zamówienia powinien realizować obowiązek informacyjny. Na gruncie ustawy o ochronie danych osobowych obowiązek ten przewidywał podanie następujących danych: nazwy administratora, jego danych kontaktowych, celu przetwarzania danych, informacji o odbiorcach danych osobowych oraz o prawach podmiotu. Na gruncie RODO katalog obowiązków został rozszerzony o poniższe informacje:

  • podstawę prawną przetwarzania;
  • dane kontaktowe inspektora ochrony danych osobowych, jeżeli został on powołany;
  • nazwę i dane kontaktowe przedstawiciela na terenie Unii, jeżeli istnieje;
  • uzasadnienie interesów realizowanych przez administratora lub przez stronę trzecią, jeżeli na tej podstawie odbywa się przetwarzanie;
  • informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu;
  • informacje o prawach osób, których dane dotyczą (prawie do sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, do cofnięcia zgody, prawie wniesienia skarg do organu nadzorczego);
  • poinformowanie osoby, której dane dotyczą, w przypadku gdy administrator danych planuje dalej przetwarzać dane osobowe w celu innym niż ten, w którym dane osobowe zostały zebrane.

Przykładowe cele przetwarzania danych osobowych

Przykładowe cele wraz z podaniem podstawy przetwarzania, dla których dane osobowe mogą być zbierane, można pogrupować następująco:

Na podstawie art. 6 ust. 1 lit. b) i lit. c) RODO – w celu:

  • podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, lub wykonania umowy, której stroną jest osoba, której dane dotyczą (dane niezbędne do zawarcia umowy są wskazane na formularzu zamówienia);
  • wypełnienia obowiązku prawnego ciążącego na administratorze danych.

Na podstawie art. 6 ust. 1 lit. f) RODO (na podstawie prawnie uzasadnionego interesu) – w celu:

  • marketingu produktów lub usług własnych;
  • dochodzenia lub zabezpieczenia roszczeń.

Na podstawie art. 6 ust. 1 lit. a) RODO (odrębnej zgody) – w celu:

  • przekazywania klientowi informacji o proponowanych zmianach umowy, w tym regulaminu i cennika, o zmianie nazwy (firmy), adresu lub siedziby, potwierdzenia przyjęcia reklamacji i udzielenia na nią odpowiedzi na wskazany adres poczty elektronicznej (e-mail);
  • weryfikacji wiarygodności płatniczej klienta;
  • świadczenia usługi newsletter.

Są to jedynie przykładowe cele, dla których administrator danych może przetwarzać dane osobowe. Będą się one różniły w zależności od profilu prowadzonej działalności administratora i powinny być przez niego indywidualnie oceniane.

Wykorzystałeś swój limit bezpłatnych treści

Pozostałe 55% artykułu dostępne jest dla zalogowanych użytkowników portalu. Zaloguj się, wybierz plan abonamentowy albo kup dostęp do artykułu/dokumentu.

Kilka wariantów prenumeraty Pokaż opcje
Dwutygodniowy dostęp bez zobowiązań Wybieram

Abonament już od 83 zł miesięcznie

Dwutygodniowy dostęp bez zobowiązań

Pełen dostęp do wszystkich treści portalu
to koszt 83 zł miesięcznie
przy jednorazowej płatności za rok

WYBIERAM

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Pełen dostęp do wszystkich treści portalu
to koszt 83 zł miesięcznie
przy jednorazowej płatności za rok

Dwutygodniowy dostęp do wszystkich treści
portalu za 99 zł netto, które odliczymy od ceny
regularnej przy przedłużeniu abonamentu

WYBIERAM

Polityka cookies

Dalsze aktywne korzystanie z Serwisu (przeglądanie treści, zamknięcie komunikatu, kliknięcie w odnośniki na stronie) bez zmian ustawień prywatności, wyrażasz zgodę na przetwarzanie danych osobowych przez EXPLANATOR oraz partnerów w celu realizacji usług, zgodnie z Polityką prywatności. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Usługa Cel użycia Włączone
Pliki cookies niezbędne do funkcjonowania strony Nie możesz wyłączyć tych plików cookies, ponieważ są one niezbędne by strona działała prawidłowo. W ramach tych plików cookies zapisywane są również zdefiniowane przez Ciebie ustawienia cookies. TAK
Pliki cookies analityczne Pliki cookies umożliwiające zbieranie informacji o sposobie korzystania przez użytkownika ze strony internetowej w celu optymalizacji jej funkcjonowania, oraz dostosowania do oczekiwań użytkownika. Informacje zebrane przez te pliki nie identyfikują żadnego konkretnego użytkownika.
Pliki cookies marketingowe Pliki cookies umożliwiające wyświetlanie użytkownikowi treści marketingowych dostosowanych do jego preferencji, oraz kierowanie do niego powiadomień o ofertach marketingowych odpowiadających jego zainteresowaniom, obejmujących informacje dotyczące produktów i usług administratora strony i podmiotów trzecich. Jeśli zdecydujesz się usunąć lub wyłączyć te pliki cookie, reklamy nadal będą wyświetlane, ale mogą one nie być odpowiednie dla Ciebie.