FAQ - RODO - najczęściej zadawane pytania o ochronę danych osobowych

RODO nakłada obowiązki na obie strony - sklep internetowy i firmę, której zostało powierzone przetwarzanie danych, czyli nas (IAI). To rozwiązuje wiele problemów w zakresie technicznego przetwarzania danych jak zabezpieczenie, back-upy czy privacy-by-design, ale po stronie sklepu internetowego jest kwestia przygotowania swoich procedur, opisania ich i wdrożenia, powołania Inspektorów Ochrony Danych. My (IAI) nie możemy wnikać tak głęboko w procedury w sklepach.

Zgodnie z RODO osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom rozporządzenia. RODO przewiduje bardzo rozbudowany obowiązek informacyjny – podczas wcześniejszego zbierania zgody na pewno nie zostały przekazana spora część wskazanych w RODO informacji np. prawo do wycofania zgody w dowolnym momencie. Brak spełnienia obowiązku informacyjnego zgodnego z RODO nie wpłynie jednak negatywnie na ważność zebranych wcześniej zgód. Także na pewno należy przekazać właściwą klauzulę informacyjną i sprawdzić czy pobrane zgody spełniają warunki wskazane w RODO (art. 13 i 14 RODO).

Nie ma takiego obowiązku, to jest zasadnicza zmiana wprowadzona przez RODO - nie rejestrujemy zbiorów danych w żadnym urzędzie.

Otrzymywane maile to realizacja nałożonego na administratora danych tzw. obowiązku informacyjnego, tj. obowiązku przekazania osobie, której dane dotyczą, pewnych informacji w sytuacji zbierania jej danych osobowych. W ramach prowadzonego sklepu bez wątpienia są zbierane dane osobowe klientów dlatego należy klientom przekazać taką informację zgodną w wymogami wskazanymi w art. 13 RODO.

Do klientów należy przesłać e-mail z informacją o zmianie regulaminu pod kątem danych osobowych, a także link do podstrony z realizacją obowiązku informacyjnego, w szczególności poinformować o możliwości zgłoszenia sprzeciwu co do przetwarzania danych w celach marketingowych. Jak zostało wskazane w RODO zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Natomiast milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Dlatego wskazana propozycja poinformowania klientów nie będzie właściwa.

W tej sprawie najlepiej wysłać do nas komunikat.

Tak, więcej informacji: szablon regulaminu sklepu oraz polityki prywatności

Aktualnie każdy sklep internetowy w IdoSell może skorzystać z certyfikatu Commercial Wildcard SSL w kwocie 115 zł zł netto rocznie.

Nie, ale jest wysoce wskazane. Raz, że jest to coś na co każdy zwraca uwagę od konkurencji, przez urzędy po kupujących. Po drugie jest niezwykle korzystne z punktu widzenia SEO. Dlatego tak czy inaczej warto mieć certyfikat SSL na każdej stronie.

Nie przewidujemy zmian w maskach w związku wejściem RODO.

Wszystkie dane klientów z Unii Europejskiej, są przechowywane na terenie Unii Europejskiej, na ten moment dane są przechowywane na terytorium Polski.

Zarówno zamówienia telefoniczne, elektroniczne jak i dokonywane osobiście zawsze są obarczone jakimś ryzykiem. W przypadku zamówień telefonicznych, gdy rozmowa jest nagrywana należy o tym wcześniej poinformować osobę, której dane dotyczą. Należy również zapewnić właściwe przechowywanie takich nagrań by miały do nich wyłącznie dostęp osoby upoważnione.

Jeżeli sytuacja dotyczy klienta, który już wyraził zgodę na przetwarzanie danych to nie ma potrzeby ją potwierdzać. Jedynie w przypadku gdyby zupełnie nowy klient wyrażał zgodę przez telefon wtedy trzeba by rozmowę nagrać, ale wcześniej trzeba o tym fakcie klienta uprzedzić.

Tak, o ile taki ogólnie pozwalający nam na to zapis będzie w regulaminie, który zaakceptuje klient. Ocena produktów lub całego procesu zakupowego może być naturalnym elementem walidacji lub ewaluacji doświadczenia zakupowego i w tym zakresie przetwarzanie danych osobowych wydaje się mieć biznesowe uzasadnienie.

Tak, jest to zgodne z prawem - poprzez publikację posta użytkownik wyraża na to zgodę. Zazwyczaj polega to na zainstalowaniu na stronie sklepu wtyczki z odniesieniem do opinii z danego serwisu – właściciel sklepu nie ma kontroli nad tym, które konkretnie opinie są wyświetlane. Sam nick nie zawsze będzie stanowił dane osobowe.

Jeżeli wykorzystywany jest system opiniujący np. ceneo to powinna być na to osobna zgoda klienta. Cofnięcie zgody najlepiej jest umożliwić w sposób elektroniczny.

O ile to nie łamie regulaminu Allegro lub eBay można wskazać z jakiego oprogramowania korzysta sklep do procesowania transakcji.

Dane te mają być przechowywane do czasu upłynięcia wszelkich terminów przewidzianych prawem, przez które administrator ma obowiązek dane przechowywać. Są to terminy związane z rachunkowością, przedawnieniem roszczeń, reklamacjami.

Sklep jest administratorem danych osobowych swoich klientów.

Nie ma takiej potrzeby, gdyż te platformy są administratorami danych swoich użytkowników (zarówno indywidualnych, jak i sklepów).

W takiej sytuacji sklep jest administratorem danych klientów. To na sklepie ciąży obowiązek, wysłania informacji do wszystkich klientów o fakcie, że pobierane są dane klientów z Allegro.

Sklep jest administratorem, allegro/ebay podmiotem przetwarzającym dane, co powinno znaleźć swoje odzwierciedlenie w regulaminie usługi.

Tak, taka umowa jest podpisywana równocześnie z zaakceptowaniem regulaminu IdoSell. Jej postanowienia znajdują się w regulaminie.

Polecamy raczej kontakt z wyspecjalizowaną kancelarią prawną, a najlepiej kilkoma i weryfikację cen. W tej chwili na rynku jest wiele wyspecjalizowanych firm, a my nie możemy świadczyć porad prawnych.

Tak, system w jakim pozyskujemy dane nie ma znaczenia. Może je dostać na kartce, telefonicznie lub przez wymianę informacji przez API. Ważne jest to, kto ostatecznie przetwarza dane, a nie jakiego narzędzia używa. Na sklepie który jest administrator tych danych sklep ciąży obowiązek, wysłania informacji do wszystkich klientów.

Imię, nazwisko osoby prowadzącej jednoosobową działalność gospodarczą, nazwa firmy, e-mail, nr telefonu, NIP, REGON, adres siedziby i wiele innych informacji są danymi osobowymi w rozumieniu RODO. Tym samym podmioty, które wykorzystują dane osobowe osób prowadzących jednoosobowe działalności gospodarcze (choćby do wystawienia faktury VAT) stały się administratorami tych danych osobowych, co z kolei pociągnie za sobą konieczność realizacji wszystkich obowiązków narzuconych na administratorów przez RODO.

Jeżeli podstawa prawna (zgoda klienta) była należyta, to nadal można te dane przetwarzać. Jeżeli nie był spełniony obowiązek informacyjny z art. 14 - należy go spełnić.

Jeśli faktycznie jedyną podstawą prawną przetwarzania tych danych jest zgoda, to należy wystąpić o jej potwierdzenie np. w drodze mailowej.

Zgodnie z RODO „dane osobowe” to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Co to zasady - imię i nazwisko nie powiązane z innymi informacjami nie będzie danymi osobowymi. W przeważającej ilości przypadków nie będzie możliwe wskazanie konkretnej osoby, ponieważ takie samo imię i nazwisko może nosić kilkadziesiąt, bądź kilkaset osób (np. Jan Kowalski). Jednak wyjątek stanowią unikatowe imiona i nazwiska. Identyfikacja takiej osoby będzie stosunkowo szybka i prosta, a wówczas imię i nazwisko staje się daną osobową.

Jeśli klient powoła się na to prawo i nie ma żadnych przeciwwskazań, aby je zrealizować, to powinny zostać usunięte jego dane także z kopii zapasowych.

Nigdzie nie zostały określone konkretne wytyczne. Zaleca się przechowywanie dokumentów w wersji papierowej przynajmniej w szafach zamykanych na klucz, by dostęp do nich miały jedynie osoby uprawnione.

Jest to zbyt ogólne pytanie, bo właściwa ocena zabezpieczeń musi być przeprowadzona indywidualnie dla konkretnie prowadzonej działalności. Na pewno trzeba zastosować właściwe zabezpieczenie zarówno dla danych znajdujących się w dokumentacji papierowej jak i tych w systemach informatycznych.

W takiej sytuacji nie jest potrzebna zgoda ani Państwa klienta, ani faktycznego adresata przesyłki. Państwa Klientem jest kupujący i jego dane osobowe, które Państwu ujawnia przetwarzane są jako niezbędne do wykonania umowy (art. 6 ust. 1 lit. b RODO). Jeśli chodzi o dane faktycznego adresata przesyłki, to mamy tutaj do czynienia z sytuacją, w której to kupujący je Państwu przekazuje, a więc danych osobowych nie pozyskano od osoby, której dane dotyczą. Wobec tego przetwarzanie tych danych nie może być oparte o art. 6 ust. 1 lit. b RODO, ponieważ faktyczny adresat nie jest stroną umowy z Państwem. Niemniej wciąż realizują Państwo zobowiązanie wynikające z zawartej umowy z klientem, więc można zastosować tutaj art. 6 ust. 1 lit. f RODO, czyli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów administratora, czyli sklepu.

Z pocztą nie trzeba podpisywać umowy powierzenia, gdyż poczta jest samodzielnym administratorem. Z firmą kurierską należy podpisać umowę powierzenia przetwarzania – podobnie z firmą spedycyjną.

Zgodnie z RODO nie każde naruszenie ochrony danych osobowych związane jest z naruszeniem praw osób, których dane dotyczą. W przypadku pojedynczej pomyłki nie jest konieczne informowanie UODO o zaistniałym zdarzeniu. Na pewno należy dołożyć wszelkich starań, by takie sytuacje nie miały miejsca, ponieważ jeśli doszłoby do takiej „zamiany” na dużą skalę wtedy istnieje konieczność poinformowania UODO (w trybie art. 33 RODO)

Tak. Nie dotyczy to poczty polskiej, która jest osobnym administratorem danych osobowych.

1. Zgodnie z art. 45 ust. 1 RODO przekazanie danych osobowych z terytorium Europejskiego Obszaru Gospodarczego do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja Europejska stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Przez państwo trzecie rozumie się państwo spoza Europejskiego Obszaru Gospodarczego (UE + Liechtenstein, Norwegia i Islandia). Komisja do tej pory stwierdziła, że następujące państwa trzecie zapewniają odpowiedni stopień ochrony: Andora, Argentyna, Kanada, Wyspy Owcze, Guernsey, Izrael, Wyspa Man, Jersey, Nowa Zelandia, Szwajcaria, Urugwaj i USA (pod warunkiem przystąpienia danego adresata danych do Privacy Shield). Listę można sprawdzać na stronie:https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
Takie przekazanie nie wymaga specjalnego zezwolenia. Transfery danych do tych krajów zostały zrównane z transmisjami danych wewnątrz UE, a więc np. w przypadku chęci powierzenia danych do przetwarzania administrator z terenu EOG powinien z podmiotem z uznanego przez Komisję państwa trzeciego zawrzeć standardową, tj. zgodną z art. 28 RODO umowę powierzenia przetwarzania. To samo tyczy się przypadku, gdy podmiot przetwarzający z terenu EOG chciałby podpowierzyć dane osobowe do przetwarzania do podmiotu działającego w jednym z ww. państw trzecich. 
2. Zgodnie z art. 46 RODO, w przypadku, gdy administrator lub podmiot przetwarzający chce przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej, które nie zostały uznane przez Komisję za zapewniające odpowiedni stopień ochrony (np. Chiny, Tajwan, Indie), jest to możliwe wyłącznie, gdy administrator lub podmiot przetwarzający zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. Jest to możliwe do osiągnięcia dwoma ścieżkami: bez zezwolenia organu nadzorczego (w Polsce Prezes Urzędu Ochrony Danych Osobowych) albo z zezwoleniem. 
Odpowiednie zabezpieczenia, o których mowa powyżej, można zapewnić – bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego – za pomocą: 
a) prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi; 
b) wiążących reguł korporacyjnych zgodnie z art. 47 RODO; 
c) standardowych klauzul ochrony danych przyjętych przez Komisję; 
d) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję; 
e) zatwierdzonego kodeksu postępowania zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą; lub 
f) zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie trzecim do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą. 
Jedynym z rekomendowanych rozwiązań jest posłużenie się standardowymi klauzulami umownymi przyjętymi przez Komisję Europejską, o których mowa w pkt c powyżej. Decyzja Komisji w sprawie przyjęcia klauzul umownych jest dostępna tutaj: https://eur-lex.europa.eu/ i nadal obowiązuje zgodnie z art. 46 ust. 5 RODO: "Decyzje przyjęte przez Komisję na podstawie art. 26 ust. 4 dyrektywy 95/46 / WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia, w razie potrzeby, decyzją Komisji przyjętą zgodnie z ust. 2 tego artykułu. 
II. Pod warunkiem uzyskania zezwolenia właściwego organu nadzorczego odpowiednie zabezpieczenia, o których mowa powyżej, można także zapewnić w szczególności za pomocą: 
a) klauzul umownych między administratorem lub podmiotem przetwarzającym a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie trzecim lub organizacji międzynarodowej; lub 
b) postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą. 
3. Trzecia możliwa sytuacja związana z przekazywaniem danych do państwa trzeciego: 
W razie braku decyzji stwierdzającej odpowiedni stopień ochrony w danym państwie lub w razie braku odpowiednich zabezpieczeń określonych w art. 46 RODO, w tym wiążących reguł korporacyjnych, jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że: 
a) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi – ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń – może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę; 
b) przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a administratorem lub do wprowadzenia w życie środków przedumownych podejmowanych na żądanie osoby, której dane dotyczą; 
c) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między administratorem a inną osobą fizyczną lub prawną; 
d) przekazanie jest niezbędne ze względu na ważne względy interesu publicznego; 
e) przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń; 
f) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; lub 
g) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes – ale wyłącznie w zakresie, w jakim w danym przypadku spełnione zostały warunki takiego dostępu określone w prawie Unii lub w prawie państwa członkowskiego. 
Ale, jeżeli przekazanie nie może się opierać na art. 45 ani 46 RODO, w tym na przepisach dotyczących wiążących reguł korporacyjnych, i nie ma zastosowania żaden z ww. wyjątków mających zastosowanie w szczególnych sytuacjach, przekazanie do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie, gdy przekazanie nie jest powtarzalne, dotyczy tylko ograniczonej liczby osób, których dane dotyczą, jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez administratora, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą a administrator ocenił wszystkie okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych. Administrator informuje organ nadzorczy o przekazaniu. Poza informacjami, o których mowa w art. 13 i 14 RODO, administrator podaje osobie, której dane dotyczą, także informacje o przekazaniu i o ważnych prawnie uzasadnionych interesach realizowanych przez niego.

Do zawarcia umowy powierzenia przetwarzania danych IAI S.A. dochodzi poprzez akceptację regulaminu usługi IdoSell. Odpowiednie postanowienia dot. powierzenia są już zawarte w najnowszej wersji regulaminu. Nie jest konieczne w tym celu "fizyczne" podpisywanie umowy z IAI S.A.

Co do zasady newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - tyczy się to zarówno obecnych, jak i potencjalnych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu. Jeśli jednak u Państwa wykształciła się taka praktyka i chcecie ją Państwo kontynuować, możecie Państwo posłużyć się następującym wzorem: "Wyrażam zgodę na przetwarzanie moich danych osobowych przez [...], [...], [...], tel.: [...], adres e-mail: [...], pełniącego funkcję administratora danych, w celach marketingu bezpośredniego oraz na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail newslettera. Oświadczam, iż zapoznałem/-łam się z informacjami dotyczącymi przetwarzania moich danych osobowych dostępnymi [tutaj] "-> link do podstrony, na której znajdą się informacje wymagane przez art. 13 RODO (obowiązek informacyjny)

Tak, w maskach STANDARD są odpowiednie checkboxy zgodne z RODO. [/pl/shop/blog/podsumowanie-nowych-rozwiazan-graficznych-dla-sklepow-iai-od-kwietnia-do-czerwca-2018-1235326385 Więcej informacji o zmianach w maskach STANDARD po kliknięciu w link]

1. Pod formularzem kontaktowym nie jest potrzebna zgoda klienta na przetwarzanie danych osobowych, ponieważ podstawą prawną przetwarzania danych w tym przypadku jest art. 6 ust. 1 lit. b RODO – przetwarzanie danych służące wykonaniu umowy albo podjęciu czynności przed jej zawarciem, a więc kontakt z klientami i potencjalnymi klientami.
Pod formularzem kontaktowym powinien znaleźć się link do klauzuli informacyjnej zgodnej z RODO.

2. Przy rejestracji powinien znaleźć się obowiązkowy checkbox o akceptacji regulaminu sklepu. Nie jest wymaga zgoda klienta na przetwarzanie danych osobowych – podstawą przetwarzania będzie ponownie art. 6 ust. 1 lit. b RODO.
Jeśli sklep chce dodatkowo wysyłać do klienta newsletter, powinien pobrać na to zgodę klienta w formie checkboxa (którego zaznaczenie jest nieobowiązkowe).
Pod formularzem rejestracji powinien znaleźć się link do klauzuli informacyjnej zgodnej z RODO.

Odpowiednie checkboxy są zgodne z RODO. Informacje techniczne znajdują się w linku: [/pl/shop/blog/podsumowanie-nowych-rozwiazan-graficznych-dla-sklepow-iai-od-kwietnia-do-czerwca-2018-1235326385 tutaj]

W tego rodzaju przypadkach prosimy o kontakt z prawnikami, którzy zajmują się tego rodzaju sprawami.

W zakresie zgody udzielanej na otrzymywanie newslettera taki mechanizm już istnieje. przykładowo -> https://electropoland.pl/newsletter.php

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Jest to bardzo szerokie pytanie. Aby na nie odpowiedzieć należałoby najpierw przeanalizować Państwa regulamin pod tym kątem. Punktem wyjścia do zmian może być art. 6, 13 oraz 28 RODO.

IAI S.A. nie dostosowuje regulaminów sklepów do RODO - ten obowiązek ciąży na właścicielach sklepów.

Najlepszym rozwiązaniem, które umożliwi przygotowanie właściwego regulaminu będzie kontakt z wyspecjalizowaną kancelarią prawną, a najlepiej kilkoma i weryfikacja zaproponowanych cen. Przy korzystaniu z gotowego przykładu istnieje spore ryzyko, że mogą zostać pominięte istotne kwestie charakterystyczne dla Państwa sklepu.

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13 i 14), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Pytanie jest zbyt ogólne. Aby móc na nie odpowiedzieć należałoby najpierw przeanalizować Państwa dotychczasowy regulamin i politykę prywatności sklepu pod tym kątem. Punktem wyjścia do zmian może być art. 13 RODO. Na pewno należy stworzyć nową podstronę z informacjami wymaganymi przez RODO, gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Do takich klientów mailing może być wysyłany w oparciu o art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora, czyli sklepu. Nie trzeba uzyskiwać/potwierdzać zgód na przetwarzanie danych w tym celu. Jednak do wszystkich osób z bazy należy wysłać informację o zmianach w polityce prywatności i informację o realizacji obowiązku informacyjnego, w szczególności poinformować o możliwości zgłoszenia sprzeciwu co do przetwarzania danych w celach marketingowych.

Newsletter można przesyłać do klientów na podstawie art. 6 ust. 1 lit. f RODO (tzw. prawnie uzasadniony interes administratora). Ma to zastosowanie do obecnych i przyszłych klientów. Dlatego nie ma konieczności pozyskiwania zgód na przetwarzanie danych w związku z newsletterem.

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku. Do dotychczasowych klientów należy przesłać e-mail z informacją o zmianie regulaminu/polityki pod kątem danych osobowych, a także z linkiem do podstrony z realizacją obowiązku informacyjnego.

Newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - zarówno do obecnych, jak i przyszłych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu.
Jedynie w razie skorzystania przez osobę, której dane dotyczą, z uprawnienia do:
1) sprostowania nieprawidłowych danych osobowych,
2) uzupełnienia niekompletnych danych osobowych,
3) usunięcia danych osobowych w ramach prawa do bycia zapomnianym,
4) ograniczenia przetwarzania danych osobowych,
Na administratorze danych ciąży obowiązek poinformowania każdego odbiorcy, któremu ujawniono dane osobowe, o dokonanej zmianie.

Newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - tyczy się to zarówno obecnych, jak i przyszłych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu. Jeśli jednak u Państwa wykształciła się taka praktyka i chcecie ją Państwo kontynuować, możecie Państwo posłużyć się wzorem: "Wyrażam zgodę na przetwarzanie moich danych osobowych przez [...], [...], [...], tel.: [...], adres e-mail: [...], pełniącego funkcję administratora danych, w celach marketingu bezpośredniego oraz na otrzymywanie drogą elektroniczną na wskazany przeze mnie adres e-mail newslettera. Oświadczam, iż zapoznałem/-łam się z informacjami dotyczącymi przetwarzania moich danych osobowych dostępnymi [tutaj] "-> link do podstrony, na której znajdą się informacje wymagane przez art. 13 RODO (obowiązek informacyjny)

Po pierwsze, co do zasady newsletter można przesyłać w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora - tyczy się to obecnych i potencjalnych klientów. W związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym celu.
Po drugie zgoda musi być udzielona w formie oświadczenia lub wyraźnego działania (może być w formie check-boxa). Zgoda musi być udzielona jawnie i świadomie – nie może być w formie oświadczenia pośredniego; nie może być podpowiedzi na tak, osoba składająca oświadczenie musi samodzielnie wstawić „x” do okienka i następnie zatwierdzić udzielenie zgody, nie jest ważna zgoda domniemana udzielona w sposób pośredni – np. umieszczona w regulaminie, a złożenie oświadczenia musi być dobrowolne. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Cel przetwarzania musi być jasno i jednoznacznie określony. Możliwe jest zbieranie jednej zgody na przetwarzanie danych osobowych w kilku różnych celach.
Jeżeli klient dokonuje zakupu bez zakładania konta i podaje swoje dane wyłącznie w celu zrealizowania umowy wtedy nie jest wymagane uzyskanie zgody na przetwarzanie jego danych. Jeżeli klient zakłada konto wtedy powinien wyrazić zgodę na przetwarzanie jego danych osobowych w tym konkretnym celu. Jeżeli wykorzystywany jest system OPINEO to również powinna być na to osobna zgoda klienta.

Jeżeli klient dokonuje zakupu i podaje swoje dane wyłącznie w celu zrealizowania umowy wtedy nie jest wymagane uzyskanie zgody na przetwarzanie jego danych.

Najlepiej jest informację o tym zamieścić w osobnej zakładce, np. "RODO".

Tego typu profilowanie polega na automatycznej analizie lub prognozie zachowania danej osoby na stronie sklepu np. przez dodanie jakiegoś towaru do koszyka, przeglądanie konkretnego towaru w sklepie, analizę historii zakupów Klienta. Kategorie tych danych osobowych to dane identyfikujące Klienta (imię, nazwisko, e-mail, nr telefonu) oraz dane o jego preferencjach zakupowych. Operacje przetwarzania to przede wszystkim zbieranie tych danych, ich porządkowanie, przechowywanie, modyfikowanie i wykorzystywanie.

Tak, dlatego będzie konieczne zawarcie umowy powierzenia przetwarzania danych.

Nie ma takiej potrzeby. Do zawarcia umowy powierzenia przetwarzania danych IAI S.A. dochodzi poprzez akceptację regulaminu usługi IdoSell. Odpowiednie postanowienia dot. powierzenia są już zawarte w najnowszej wersji regulaminu.

Takie działanie jest profilowaniem, ale zasadniczo nie jest zautomatyzowanym podejmowaniem decyzji, w tym na podstawie profilowania, chyba że ta baza w Excelu jest podpięta z jakimś większym systemem, który dokonuje automatycznie profilowania. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Zgodnie z tą definicją do profilowania dochodzi wtedy, gdy administrator dokonuje oceny jakichkolwiek czynników osobowych jednostki. Zautomatyzowane przetwarzane danych osobowych jest pojęciem znacznie szerszym niż „samo” profilowanie. Można powiedzieć, że w praktyce profilowanie stanowi swoistą podkategorię zautomatyzowanego przetwarzania danych. Profilowanie ma miejsce, kiedy administrator dokonuje oceny czynników osobowych jednostki zarówno w obecnej sytuacji, jak i prognoz określonego zachowania na podstawie zautomatyzowanego mechanizmu profilowania.

Klient ma możliwość skorzystania z prawa do usunięcia danych (tzw. prawa do bycia zapomnianym), ale administrator jego danych czyli sklep nie zawsze musi od razu wszystkie te dane faktycznie usunąć. Administrator może zachować niezbędne dane klienta jeszcze przez określony czas gdy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń, a także do wywiązania się z prawnych obowiązków nałożonych na administratora, a wymagających przetwarzania, np. prowadzenie dokumentacji księgowej, obsługa reklamacji. Co ważne klient może żądać usunięcia danych tylko w określonych przypadkach, np. wtedy, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane (zostało założone konto w sklepie, transakcja sfinalizowana, minęły terminy przedawnienia roszczeń, reklamacji i inne wynikające z przepisów – wtedy można całkowicie klienta usunąć z bazy na jego żądanie) albo wtedy gdy klient cofnął zgodę na przetwarzanie danych (a nie ma innej podstawy prawnej przetwarzania jego danych).

O to powinien zadbać sklep indywidualnie, IAI nie planuje przygotowania na to osobnego mechanizmu.

Na platformie IAI nie ma takiej możliwości.

Po zakończeniu przetwarzania, dane powinny zostać usunięte. Należy jednak pamiętać, że przetwarzanie określonych danych osobowych może mieć kilka podstaw, a tym samym może zaistnieć konieczność ich przechowywania wynikająca z innych celów.

Zgodnie z RODO osoba, której dane dotyczą ma prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane. Niemniej dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń – w tym wypadku reklamacji. Czyli, dopóki klient ma prawo skorzystać z reklamacji są podstawy do przetwarzania jego danych w zakresie niezbędnym do jej uwzględnienia, nawet jeśli klient skorzystał z prawo do "bycia zapomnianym".

Tak, można przygotować taki "przycisk".

Zbieranie danych osobowych powinno się odbywać w konkretnych, wyraźnych i prawnie uzasadnionych celach np. przeprowadzenia rekrutacji. Natomiast przedmiot przetwarzania powinien wskazywać ogólny cel, który ma być osiągnięty przez powierzenie przetwarzania danych osobowych (ze względu na który powierzenie przetwarzania danych stało się konieczne) np. prowadzenie księgowości przez biuro rachunkowe.

Z wiadomości wynika, że nie było ciągłości (np. cesja, inny typ "następstwa" prawnego) między firmą A i firmą B dlatego należałoby o zaistniałej sytuacji poinformować klientów i w związku z faktem, że jest nowy administrator danych, to powinien on zebrać od nich zgody wraz z przekazaniem im właściwego obowiązku informacyjnego. Warto jednak zaznaczyć, że co do zasady sam newsletter można przesyłać do klientów w oparciu o art. 6 ust. 1 lit. f RODO czyli prawnie uzasadniony interes administratora i w związku z tym nie ma konieczności pozyskiwania zgód na przetwarzanie danych w tym konkretnym celu.

Treści wymagane przez RODO należy wkomponować do regulaminu lub polityki prywatności (w zależności do tego, w którym dokumencie uregulowaliście Państwo kwestię danych osobowych), a dodatkowo należy stworzyć nową podstronę z informacjami wymaganymi przez RODO (art. 13), gdzie zrealizowany będzie osobno obowiązek informacyjny - do tej podstrony możecie Państwo odsyłać za każdym razem, gdy zajdzie konieczność zrealizowania obowiązku.
CO do firm zajmujących się remarketingiem, jeśli udostępniane są im dane osobowe, wówczas należy zawrzeć mowę powierzenia.

W przypadku korzystania z remarketingu czy też retargetingu, klient może wnieść sprzeciw wobec takich działań, jednak nie musi wyrażać na nie uprzednio zgody.

Dane osobowe są przetwarzane na podstawie zgody wyłącznie przez czas trwania udzielonej zgody czyli najczęściej do jej odwołania lub do ustania celu w jakim była zbierana (np. klient zlikwiduje konto). Nie trzeba więc w klauzuli zgody ograniczać czasu jej trwania.

Fakt uzyskania zgody powinien być możliwy do udowodnienia. Obowiązek ten wpisuje się w zasadę rozliczalności wskazanej w RODO. W przypadku odbierania zgód w formie elektronicznej za pomocą checkboxa, system informatyczny powinien zapisywać adres IP oraz datę zaznaczenia checkboxa.

Tak, powinna to być informacja o cookies przy wejściu na stronę sklepu i z linkiem do Polityki cookies. Jeśli chodzi o Google Analytics, Google ma status przetwarzającego dane osobowe, które są obsługiwane w usłudze. Należy poinformowania użytkowników o tym, że ich dane są zbierane w celu ich "śledzenia" nawet jeśli nie dokonują zakupów. Dodatkowo pojawiła się konieczność ustawienia czasu przechowywania danych. Jeżeli użytkownik nie odwiedził Państwa witryny w wybranym okresie (np. 14, 26, 38 lub 50 miesięcy), jego dane zostaną usunięte w kolejnym miesiącu podczas automatycznego procesu usuwania.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań do których jest zobowiązany. Inspektor może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. IOD nie mogą być członkowie zarządu i np. informatyk, który jest jedynym kierownikiem w dziale IT, który ma dobierać metody zabezpieczeń.

Nie musi. Zgodnie z RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań do których został powołany.

Zgodnie z RODO inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Inspektor jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań do których został powołany.

W przypadku sklepu internetowego zlecającego realizację zamówienia innemu podmiotowi administratorem danych będzie co do zasady sklep internetowy, w którym klient zamawia towar. To sklep decyduje o celach przetwarzania danych i wdrożonych środkach bezpieczeństwa, w tym o tym, kto będzie wysyłał towary.

Tak, warunkiem przekazania danych klienta swojemu podwykonawczy będzie zawarcie pisemnej umowy spełniającej warunki o których mowa w art. 28 RODO.

W tym przypadku należy zawrzeć umowę powierzenia przetwarzania pomiędzy administratorem (1-os działalność) a magazynem.

Przede wszystkim zależy to od tego z jaką firmą, przedsiębiorcą mamy do czynienia. RODO nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Jednak w przypadku jednoosobowej działalności gospodarczej imię, nazwisko osoby ją prowadzącej, nazwa firmy, e-mail, nr telefonu, NIP, REGON, adres siedziby i wiele innych informacji są danymi osobowymi w rozumieniu RODO. Tym samym podmioty, które wykorzystują dane osobowe osób prowadzących jednoosobowe działalności gospodarcze są administratorami tych danych. Dane osób fizycznych wchodzących w skład struktury osoby prawnej również mogą być danymi osobowymi.

Wszystko zależy od szczegółów danej współpracy. Jeżeli jest to stała współpraca, gdzie samozatrudniony jest freelancerem, to właściwsze będzie nadanie upoważnienia. Jeśli osoba fizyczna prowadząca działalność gospodarczą w praktyce prowadzi przedsiębiorstwo, zatrudnia współpracowników i nie jest Pan jej jedynym kontrahentem to wtedy właściwa będzie umowa powierzenia.

Urząd Ochrony Danych Osobowych może uprzedzić o tym fakcie, nie ma jednak takiego obowiązku.

RODO nie zajmuje się tymi zagadnieniami. Jedynie osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania danych w przypadku, gdy kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych.

Wystarczy zablokować cookies w przeglądarce.

System zbiera dane o interakcjach z towarami (wyświetlenia produktu, dodanie do porównania, dodanie do ulubionych, dodanie do koszyka, ocena produktu, zamówienie towaru).

Nie, dane są przekazywane do nie są przechowywane w bazie sklepu i nie widać ich na karcie klienta.

Jeśli klient nie ma konta zbieramy dane dla anonimowego klienta i wiążemy je z cookie ustawionym na urządzeniu klienta. W momencie rejestracji/złożenia łączymy wcześniej zarejestrowane dane behawioralne z klientem, który zarejestrował się.

Identyfikacja osoby jest niemożliwa. Nie przechowujemy IP ani żadnych danych osobowych. IAI RS posiada tylko id klienta, identyfikatory zamówionych przez niego towarów oraz numer zamówienia.

Jeżeli chodzi o profilowanie, szczególnie jeżeli wykorzystujemy system IAI RS, to konieczne jest jedynie poinformowanie o tym kupującego np. regulaminie. Zapisanie, że sklep w celu lepszej obsługi klienta, lepszego dopasowania oferty wykorzystuje systemy rekomendujące, których ideą jest to, że profilują klienta w kontekście jego preferencji zakupowych.