Jak prowadzić sklep internetowy zgodnie z prawem?

E-commerce
jak prowadzić sklep internetowy zgodnie z prawem
Jak prowadzić sklep internetowy zgodnie z prawem?

Sklep internetowy w dzisiejszych czasach może stanowić dla wielu przedsiębiorców atrakcyjną alternatywę dla tradycyjnego modelu prowadzenia biznesu. Nie należy jednak zapominać, że  założenie strony internetowej z modułem sprzedażowym nie wystarczy, aby nasze działania były zgodne z prawem.

Mówiąc o legalnym wdrożeniu sklepu internetowego mamy na myśli dostosowanie strony internetowej, dokumentów i procedur do obowiązujących przepisów prawa. 

Patrząc z perspektywy najbardziej interesujących nas regulacji, będą to przepisy ustawy o prawach konsumenta i RODO. Pamiętajmy jednak, że szereg zagadnień w kontekście e-commerce i sprzedaży online znajduje się w ustawie o świadczeniu usług drogą elektroniczną, prawie telekomunikacyjnym, ochronie konkurencji i konsumentów czy kodeksie cywilnym.

Jakie elementy prawne powinno zawierać wdrożenie sklepu internetowego?

Wdrażając sklep internetowy w sensie technicznym powinniśmy brać równolegle pod uwagę odpowiednie dostosowanie jego funkcjonowania do obowiązujących przepisów prawa. W praktyce inaczej będzie przebiegał audyt prawny sklepu internetowego, który już funkcjonuje na rynku, a inaczej zaprojektowanie i wdrożenie rozwiązań prawnych dla powstającego sklepu internetowego. Pierwsza sytuacja może niekiedy wiązać się z gruntownym przebudowaniem strony internetowej i treści, jakie się na niej znajdują. W drugim przypadku mamy możliwość zgodnie z zasadą privacy by design wynikającą z przepisów RODO, na bardzo wczesnym etapie zaprojektować rozwiązania prawne adekwatne zarówno do obowiązujących regulacji prawnych, jak też profilu prowadzonej działalności i zakresu usług oferowanych w ramach sklepu internetowego.

  • Legalny sklep internetowy:
  • Audyt prawny
  • Regulamin sklepu internetowego
  • Formularze odstąpienia i reklamacji
  • Regulaminy promocji/rabatów/programu lojalnościowego
  • Polityka prywatności
  • Polityka cookies
  • Klauzule dot. zgody marketingowej, cookies
  • Klauzule informacyjne
  • Odpowiednio skonstruowane checkboxy
  • Rejestr czynności przetwarzania danych osobowych
  • Rejestr naruszeń/incydentów związanych z naruszeniem danych osobowych

Regulamin sklepu internetowego

Regulamin jest jednym z ważniejszych dokumentów, które powinny znaleźć się na stronie sklepu internetowego. Stanowi umowę zawieraną pomiędzy sprzedającym, a kupującym oraz określa wzajemne prawa i obowiązki stron. Prawidłowo skonstruowany regulamin powinien być sformułowany jasno i czytelnie oraz stosownie zabezpieczać interesy sprzedającego, aby nie narazić go na niepotrzebne straty finansowe i spory z konsumentami. Głównym aktem prawnym regulującym obowiązki informacyjne sprzedawcy jest ustawa o prawach konsumenta, która stanowi drogowskaz przy sporządzeniu regulaminu sprzedaży. W obrębie państw UE przepisy dotyczące ochrony praw konsumentów zostały zasadniczo zharmonizowane, jednakże w przypadku sprzedaży poza UE należy każdorazowo dopasować rozwiązania prawne do praw konsumentów danego państwa. 

Sklep internetowy powinien na swojej stronie uwzględnić formularze dotyczące prawa do odstąpienia od umowy oraz formularz reklamacji, stanowiące wyraz realizacji obowiązków wynikających z przepisów dotyczących praw konsumenta. Formularze mogą stanowić osobną zakładkę lub mogą zostać załączone we wcześniej przygotowanym regulaminie. 

Oferując klientom produkty w ramach promocji bądź zapraszając do zapisania się do programu lojalnościowego należy pamiętać o sporządzeniu odpowiednich regulaminów promocji/rabatów/programu lojalnościowego. W takim regulaminie powinny zostać uwzględnione m.in. podstawowe zasady przystąpienia, czas trwania, produkty objęte bądź wyłączone z promocji, zasady rezygnacji.

  • Zagrożenia płynące z kopiowania cudzego regulaminu (!)
  • Skopiowanie regulaminu ze strony znanego, działającego wiele lat na rynku sklepu internetowego nie oznacza, że postanowienia w nim zawarte będą tak samo chronić naszą działalność gospodarczą.
  • Skopiowany regulamin może zawierać merytoryczne błędy, klauzule abuzywne, może być nieaktualny lub wybrakowany.
  • Regulamin sprzedaży powinien być indywidualnie dostosowany do rodzaju działalności oraz usług i produktów oferowanych przez konkretny sklep internetowy.
  • Pamiętaj, że kopiując cudzy utwór narażasz się na naruszenie praw autorskich posiadanych przez autora do tego utworu.

RODO w sklepie internetowym

Przepisy RODO nie narzucają uniwersalnych dokumentów, którymi powinien posługiwać się każdy przedsiębiorca prowadzący sklep internetowy celem wykazania zgodności działania z przepisami dot. ochrony danych osobowych (zasada rozliczalności). Z tego względu tak ważne jest dostosowanie kwestii prawnych oraz przygotowanie spersonalizowanego zbioru dokumentów w odniesieniu do konkretnej działalności danego przedsiębiorcy. Inny bowiem z uwagi na ustawy szczególne będzie zakres obowiązków dla przedsiębiorcy, który w swoim sklepie internetowym oferuje suplementy diety czy kosmetyki, a inny w sytuacji oferowania usług czy spersonalizowanej biżuterii.

Projektowanie rozwiązań z zakresu RODO dla e-commerce powinno uwzględniać zasady privacy by design i privacy by default. Z punktu widzenia bezpieczeństwa danych osobowych faza projektowania procedur, systemów IT, procesów, produktów jest kluczowa i nie powinna być pomijana. 

  • Privacy by design czyli projektowanie prywatności
  • Zasada wynikająca z art. 25 ust. 1 RODO wprowadzająca konieczność uwzględnienia ochrony danych osobowych na etapie projektowania.
    Przykład: otwierając sklep internetowy należy zadbać o ochronę danych użytkowników w fazie współpracy z programistą tworzącym stronę internetową i platformę sprzedażową, a więc zdecydowanie przed uruchomieniem sklepu.
  • Privacy by default czyli zasada minimalizacji
  • Zasada wyrażona w art. 25 ust. 2 RODO oznacza domyślną ochronę danych polegającą na założeniu, że wdrożone rozwiązania zapewniają odpowiedni stopień bezpieczeństwa.
    Przykład: udostępniając w sklepie internetowym formularz kontaktowy powinniśmy pamiętać o tym, aby zbierane w nim dane użytkownika były niezbędne do zrealizowania jego zapytania. O ile adres e-mail i imię można uznać za dane niezbędne dla udzielenia odpowiedzi, to żądanie podania numeru PESEL czy nazwiska nie będzie zgodne z zasadą minimalizacji.

Wskazywaliśmy powyżej elementy, jakie zgodnie z obowiązującymi przepisami, w tym RODO, powinny znaleźć się na stronie internetowej sklepu. Nie ulega wątpliwości, że polityka prywatności / polityka ochrony danych osobowych będzie jednym z dokumentów, który pełni zasadniczą rolę w przypadku sklepu internetowego. Poprzez politykę prywatności spełniony zostaje obowiązek informacyjny wynikający m.in. z RODO, ustawy prawo telekomunikacyjne i ustawy o świadczeniu usług drogą elektroniczną.

W powyższym kontekście powinniśmy zwrócić uwagę na konieczność uzupełnienia obowiązku informacyjnego o zamieszczenie na stronie sklepu polityki plików cookies. Polityka cookies informuje użytkownika o tym, jakie ciasteczka stosowane są na stronie internetowej, o okresie ich trwania, celach stosowania oraz o innych technologiach śledzących. Dokument może mieć formę osobnej podstrony lub stanowić element polityki prywatności. 

Realizując omówione już obowiązki ciążące na administratorze danych nie sposób nie wspomnieć o odpowiednio dostosowanych klauzulach informacyjnych oraz klauzulach dotyczących zgody marketingowej, zgody na subskrypcję newslettera oraz zgody na stosowanie plików cookies. Klauzule zgód powinny być sformułowane w  sposób odpowiadający wymogom przepisów ustawy o świadczeniu usług drogą elektroniczną, ustawy prawo telekomunikacyjne oraz RODO. 

Projektując klauzule należy do ich treści dostosować checkboxy, których zaznaczenie albo odznaczenie będzie warunkowało przykładowo zapis do newslettera, bądź możliwość skorzystania z formularza kontaktowego. Nie można natomiast uzależnić korzystania ze strony internetowej od udzielenia zgody na stosowanie plików cookies. Takie działanie uznaje się za sprzeczne z ogólnymi zasadami RODO.

  • Rejestr czynności przetwarzania danych osobowych
  • Prowadzenie rejestru wynika z art. 30 ust. 1 RODO (oraz z zasady rozliczalności), zgodnie z którym administrator oraz podmiot przetwarzający (z pewnymi wyjątkami) mają obowiązek ewidencjonowania i porządkowania danych osobowych w kontekście celu i podstawy ich przetwarzania. Każdy podmiot wymaga indywidualnej oceny pod kątem obowiązku lub zwolnienia z prowadzenia rejestru. Co do zasady przedsiębiorca, który zatrudnia powyżej 250 osób lub gdy w przypadku jego działalności występuje wysokie ryzyko naruszenia ochrony danych osobowych, powinien taki rejestr prowadzić. Nie zawsze jednak prowadzenie rejestru czynności przetwarzania jest w pełni oczywiste.
    Przykład: niewielki sklep internetowy przetwarzający dane swoich klientów w związku ze składanymi zamówieniami oraz stosowanym profilowaniem powinien rozważyć prowadzenie rejestru. Wynika to z faktu, że jedynie całkowity brak przetwarzania danych nie rodzi ryzyka wystąpienia naruszeń.
  • Rejestr naruszeń/incydentów związanych z naruszeniem danych osobowych
  • Obowiązek zgłaszania naruszeń ochrony danych określa art. 33 RODO, w myśl którego administrator dokonuje zgłoszenia organowi nadzorczemu, a więc Prezesowi UODO. Na zgłoszenie administratorowi został wyznaczony termin 72 godzin od stwierdzenia naruszenia. Analogiczny obowiązek został nałożony na podmiot przetwarzający wobec administratora. Ponownie, zasada rozliczalności nakłada obowiązek udokumentowania działań podejmowanych w zakresie ochrony danych osobowych.
    Przykład: naruszeniem będzie wysyłka e-maili bez ukrycia danych pozostałych odbiorców czy też kradzież niezabezpieczonego komputera lub telefonu służbowego z dużą ilością danych osobowych klientów.

Audyt prawny sklepu internetowego

Prowadzenie sprzedaży online wiąże się z wieloma aspektami prawnymi, których przedsiębiorca powinien być świadomy. Ciążą na nim szczególne obowiązki w stosunku do konsumentów, a także obowiązek zachowania wysokiego stopnia staranności w działania podejmowanych w związku z prowadzonym biznesem. Oprócz ogólnych przepisów dotyczących odpowiedzialności, również przepisy RODO (art. 83) nakładają na przedsiębiorców działających w sieci obowiązki, których nieprzestrzeganie wiąże się z dotkliwymi karami finansowymi.

  • Nasza usługa audytu prawnego dla istniejącego sklepu internetowego
  • Analiza stosowanych przez sklep internetowy dokumentów (polityki prywatności, polityki cookies, klauzul informacyjnych, klauzuli cookies, marketingowej, zapisu na newsletter) i procedur.
  • Dostosowanie procesu zakupowego, w tym formularzy odstąpienia, reklamacji, kontaktowych i informacyjnych dla klienta.
  • Dostosowanie treści reklamowych znajdujących się na stronie sklepu z uwzględnieniem profilu prowadzonej działalności, rodzaju sprzedawanych produktów/usług oraz odbiorców.
  • Dostosowanie prowadzonej sprzedaży produktów do obowiązujących w tym zakresie przepisów szczególnych.
  • Zaprojektowanie spersonalizowanego regulaminu sklepu internetowego oraz regulaminów i formularzy w zależności od modelu biznesowego oraz potrzeb przedsiębiorcy, w szczególności regulaminu promocji, regulaminu rabatu, regulaminu programu lojalnościowego, regulaminu konkursu.
  • Dostosowanie treści na stronie internetowej sklepu, w tym procesu sprzedażowego do przepisów RODO, obejmujące sporządzenie polityki prywatności, polityki cookies, klauzul informacyjnych, klauzuli cookies, marketingowej, zapisu na newsletter oraz właściwe umiejscowienie i sformułowanie treści checkboxów.
  • Sporządzenie rejestru czynności przetwarzania danych oraz rejestru naruszeń ochrony danych osobowych, w tym zaprojektowanie odpowiednich procedur.
  • Analiza prawna w zakresie stosowania umów powierzenia przetwarzania danych osobowych, rejestru osób upoważnionych do przetwarzania danych oraz innych obowiązków z tym związanych.
  • Audyt końcowy będący podwójną weryfikacją wprowadzonych rozwiązań prawnych.
  • Rekomendacje odnośnie wprowadzonych rozwiązań prawnych.
  • Nasza usługa wdrożenia prawnego dla powstającego sklepu internetowego
  • Podstawą wdrożenia jest analiza profilu działalności przedsiębiorcy, oferowanych produktów/usług oraz określanych w tym procesie potrzeb biznesowych.
  • Wdrożenie polega na zaprojektowaniu od podstaw dokumentów, procedur i klauzul, zgodnych z przepisami prawa - uwzględniając elementy określone powyżej w opisie audytu prawnego dla istniejącego sklepu internetowego.
  • Projektując rozwiązania w procesie wdrożenia ochrony danych osobowych kierujemy się zasadami privacy by design i privacy by default.
  • Audyt końcowy jako weryfikacja wprowadzonych rozwiązań.
  • Rekomendacje dotyczące zaprojektowanych dokumentów i procedur oraz ich stosowanie.
Nie wiesz czy Twój sklep internetowy działa zgodnie z prawem? Przeprowadzimy Cię przez proces legalnego wdrożenia sklepu internetowego lub wykonamy audyt prawny już istniejącego, wskażemy sposoby działania i rekomendacje.
kancelaria legal bay
  • LEGALBAY
  • Kancelaria Prawna Anna Musiał
  • +48 507 517 365
  • biuro@legalbay.pl