Harmonogram stosowania AI Act – oś czasowa, której nie można ignorować

Wbrew wielu opiniom przedsiębiorców, którzy wolą nie martwić się na zapas, kwestia „odkładania na później” nie dotyczy tematu AI Act. Przepisy częściowo zaczęły wchodzić w życie 1 sierpnia 2024 r. i od tego czas unijne rozporządzenie obowiązuje również w Polsce. Nie jest prawdą, że AI Act dotyczy jedynie wielkich graczy, dlatego temat dostosowania się do przepisów unijnego rozporządzenia nie powinien być odkładany na później przez żadnego przedsiębiorcę, który stosuje choćby sporadycznie narzędzia oparte na modelu sztucznej inteligencji. Wszystko zależeć będzie tu od sposobu i celu użytkowania.

Kogo zatem, tak naprawdę, obowiązuje rozporządzenie o systemach sztucznej inteligencji i jakie są terminy wprowadzenia przepisów?     

Kogo i od kiedy obowiązuje AI Act?

Co do zasady AI Act obowiązuje wszystkie podmioty używające w jakiś sposób w celach zarobkowych systemów sztucznej inteligencji. Przede wszystkim sposób użycia systemów AI będzie decydował o tym, jakie przepisy rozporządzenia będą się z tym wiązać. Jak zatem przedstawia się harmonogram stosowania AI Act?

• 1 sierpnia 2024 r. – wejście w życie AI Act;
• 2 lutego 2025 r. – przepisy ogólne z rozdz. I-II, zakazy z art. 5, AI Literacy (art. 4);
• 2 sierpnia 2025 r. – przepisy dotyczące sztucznej inteligencji ogólnego przeznaczenia (modele GPAI), obowiązki spoczywające na dostawcach modeli AI ogólnego przeznaczenia, wyznaczenie organów nadzoru przez państwa członkowskie (Polska w tej kwestii ma opóźnienie);
• 2 sierpnia 2026 r. – wydaje się, że to data kluczowa dla przedsiębiorców, zaczynają obowiązywać przepisy dotyczące systemów AI wysokiego ryzyka zawarte w Załączniku III, przepisy dotyczące przejrzystości (art. 50), właściwie rozpoczyna się egzekwowanie AI Act na szczeblu krajowym i unijnym;
• 2 sierpnia 2027 r. – przepisy dotyczący systemów wysokiego ryzyka z załącznika I, czyli produktów regulowanych (np. maszyny i urządzenia, transport i motoryzacja, ochrona zdrowia i bezpieczeństwo, produkty konsumenckie). 

Data 2 sierpnia 2026 r. jest kluczowa dla obszarów związanych z działem HR, outsourcingiem, fintechem, ocena kredytów, świadczeń, rozpoznawaniem biometrycznym. Będą dotyczyć:

• dostawców AI, czyli providers;
• użytkowników AI, czyli deployers – będą to np. pracodawcy, firmy rekrutacyjne.

Czym jest Digital Omnibus?

W kontekście przepisów AI Act trudno jest nie wspomnieć o przygotowywanym przez Parlament Europejski Cyfrowym Omnibusie. Ten pakiet deregulacyjny ma uprościć i ujednolić przepisy dotyczące cyberbezpieczeństwa i prywatności. W kontekście AI Actu Digital Omnibus ma proponować, między innymi:

• rozszerzenie uproszczeń dla małych i średnich przedsiębiorstw;
• ułatwianie przestrzegania przepisów o ochronie danych poprzez umożliwienie dostawcom i podmiotom stosującym wszystkie systemy i modele AI przetwarzania szczególnych kategorii danych osobowych w celu zapewnienia wykrywania i korygowania stronniczości, przy zapewnieniu odpowiednich zabezpieczeń;
• powiązanie harmonogramu wdrażania przepisów dotyczących systemów AI wysokiego ryzyka z dostępnością norm lub innych narzędzi wsparcia.

Digital Omnibus wiąże się z propozycją PE o odroczeniu części obowiązków dla systemów wysokiego ryzyka – najwcześniej do 2 grudnia 2027 r. To założenie mogłoby faktycznie opóźnić wejście wymogów, które zgodnie z AI Act swój termin mają 2 sierpnia 2026 r. Jednakże Cyfrowy Omnibus nie stanowi jeszcze przyjętych przepisów, dlatego bezpieczniej dla każdego przedsiębiorcy będzie przygotowywanie swojej działalności tak, aby była zgodna z przepisami, które wejdą w życie 2 sierpnia 2026 r.    

Krajowa ustawa implementacyjna Ministerstwa cyfryzacji

Projekt ustawy o systemach sztucznej inteligencji, który został przyjęty przez Radę Ministrów 31 marca 2026 r., a następnie przekazane do Sejmu, powinien, przynajmniej w teorii, wejść w życie do 2 sierpnia 2026 r. Do tego czasu Polska ma obowiązek uruchomienia przynajmniej jednej piaskownicy regulacyjnej, w której uczestnictw dla MŚP oraz startupów ma być bezpłatne.

Jakie są najważniejsze założenia, na tę chwilę, wersji projektu ustawy?

• zostanie ustanowiony nowy organ nadzorczy – Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji – który ma być niezależny od rządu i ma kontrolować przestrzeganie AI Act i ustawy;
• do zadań Komisji należeć będzie między innymi współpraca z Komisją Europjeską i Europejską Radą ds. AI, tworzenie piaskownic regulacyjnych, wydawanie wyjaśnień ogólnych (niewiążących, edukacyjnych) czy nakładanie kar;
• jedną z istotniejszych funkcji Komisji będzie możliwość wydawania wiążących opinii indywidualnych dla przedsiębiorców, które umożliwią za opłatą, w terminie 30 dni lub 60 dla spraw bardziej skomplikowanych uzyskanie opinii na temat złożonego zapytania na temat przepisów – będzie to mechanizm wzorowany na interpretacjach podatkowych;
• sankcje i kary mają wynikać bezpośrednio z AI Act, co dokładniej umówię poniżej;
• ustawa ma dotyczyć każdego przedsiębiorcy wprowadzającego systemy AI do obrotu lub stosującego je w działalności, a także dostawców i operatorów w rozumieniu AI Act. 

Struktury ryzyka a obowiązki przejrzystości w Rozporządzeniu o Sztucznej Inteligencji

Zbytnim uproszczeniem byłoby mówić o istnieniu 4 poziomów ryzyka w AI Act, gdyż tak naprawdę unijne rozporządzenia nie tworzy spójnej drabinki od systemów o minimalnym ryzyku aż do systemów zakazanych. Ponadto każda z kategorii ma swoją podstawę prawną w zupełnie innym artykule AI Act. Jak zatem to wygląda w praktyce?

Systemy zakazane obejmuje bezwzględny zakaz ich używania i nie istnieją żadne wyjątki od tej zasady. Podstawa prawna mieści się w art. 5 AI Act, który dotyczy przede wszystkim bezwzględnego zakazu manipulacji, dyskryminacji czy naruszeń praw podstawowych przy określonym zastosowaniu AI. Jakie najważniejsze zakazane praktyki obejmuje:

• bezwzględny zakaz najbardziej ryzykownych zastosowań AI (dotyczy naruszenia prawa człowieka, bezpieczeństwa lub wolności podejmowania decyzji);
• zakaz manipulacji i wpływania na decyzje użytkowników;
• zakaz wykorzystywania słabości osób w celu wpłynięcia na ich zachowanie w sposób szkodliwy;
• zakaz scoringu społecznego i profilowania „ryzyka przestępczego”;
• zakaz niektórych zastosowań biometrii (np. analizowanie emocji pracowników);
• silne ograniczenia dla rozpoznawania twarzy w przestrzeni publicznej.

Systemy wysokiego ryzyka są w jakimś stopniu dopuszczalne, ale obarczone jednocześnie rygorystycznymi obowiązkami, co szczegółowo omawiam poniżej. Podstawą prawną będzie tu art. 6 oraz załączniki I i III AI Act.

Odrębną kategorią są obowiązki przejrzystości, które reguluje art. 50 AI Act – można powiedzieć, że jest to odrębny reżim obowiązków informacyjnych, który może nakładać się na systemy z każdej innej kategorii. Wejście w życie obowiązków przejrzystości ma nastąpić właśnie 2 sierpnia 2026 r.

 Czego dotyczą obowiązki przejrzystości – kogo obowiązuje art. 50 AI Act?

Obowiązki przejrzystości, które wynikają z art. 50 AI Act, dotyczą przede wszystkim podmiotów będących:

• dostawcami systemów AI – nie tylko wielkie firmy, ale również np. te polskie, które opierają się na narzędziach modelu GPAI;
• wdrażającymi systemy AI;
• operatorami systemów AI ogólnego przeznaczenia (GPAI).

Przepisy art. 50, które dotyczą biznesu, można podsumować w następujący sposób:

• obowiązek informowania użytkownika o interakcji z AI;
• oznaczanie treści generowanych przez AI;
• informowanie o rozpoznawaniu emocji i biometrii – osoby poddawane takiej analizie muszą być o tym uprzednio poinformowane, poza tym dodatkowo obowiązuje zgodność z przepisami o ochronie danych osobowych;
• obowiązek oznaczania deepfake’ów;
• liczy się moment i forma przekazania informacji – to znaczy muszą być przekazane najpóźniej przy pierwszej interakcji oraz w jasny, zrozumiały i dostępny dla użytkownika sposób;
• art. 50 AI Act działa równolegle z RODO oraz innymi obowiązkami transparentności w prawie UE oraz krajowym.

Czym są systemy wysokiego ryzyka (art. 6 AI Act)?

Systemy wysokiego ryzyka sztucznej inteligencji są dokładnie opisane w art. 6 AI Act oraz w załącznikach I oraz III. Co istotne, nie można zamknąć tej kwestii w sztywnej definicji, gdyż bardzo istotnym aspektem będzie tu mechanizm samooceny. Jak zatem kwalifikować systemy wysokiego ryzyka AI i na co zwrócić szczególną uwagę?

Dwie ścieżki kwalifikacji systemów high-risk

Art. 6 AI Act wprowadza dwie ścieżki kwalifikacji uznania systemu AI jako wysokiego ryzyka:

1. Pierwsza jest niezależna od katalogu zastosowań z załącznika III rozporządzenia i dotyczy systemów AI związanych z bezpieczeństwem produktów regulowanych w prawie UE. Aby system został uznany za high-risk musi spełnić jednocześnie dwa warunki:
2. jest wykorzystywany jako element związany z bezpieczeństwem produktu lub sam stanowi produkt objęty regulacjami UE (załącznik I AI Act) – np. AI w urządzeniu medycznym albo w systemach przemysłowych, AI pełni tutaj rolę tzw. safety component;
3. produkt lub sam system AI jako produkt podlega ocenie zgodności przez stronę trzecią – oznacza to, że tylko taki system AI będzie systemem wysokiego ryzyka, który podlega formalnej procedurze certyfikacyjnej.

Data wejścia w życia stosowania tego przepisu to 2 sierpnia 2027 r.

• Bardziej kluczowa dla większości firm usługowych (HR, marketing, fintech, SaaS) będzie kwalifikacja druga oparta na katalogu obszarów zastosowań. Są to systemy AI używane w określonych obszarach życia społecznego i gospodarczego, które opisano w załączniku III AI Act. Są to między innymi obszary związane z:
• identyfikacją i kategoryzacją biometryczną osób fizycznych;
• zarządzaniem infrastruktura krytyczna i jej eksploatacją;
• kształceniem i szkoleniem zawodowym;
• zatrudnianiem, zarządzaniem pracownikami i dostępem do samozatrudnienia;
• zarządzaniem migracją, azylem i kontrolą graniczną;
• dostępem do podstawowych usług prywatnych oraz usług i świadczeń publicznych, a także korzystanie z nich.

Data wejścia w życie stosowania tego przepisu to 2 sierpnia 2026 r.

Kluczowy wyjątek – mechanizm samooceny

Mechanizm samooceny stanowi istotne odstępstwo od ogólnej zasady, zgodnie z którą systemy AI wymienione w załączniku III uznaje się za systemy wysokiego ryzyka (art. 6 ust. 3–4 AI Act). Zgodnie z tym przepisem, system AI nie musi być kwalifikowany jako wysokiego ryzyka, jeżeli nie stwarza znaczącego ryzyka szkody dla zdrowia, bezpieczeństwa lub praw podstawowych osób fizycznych, w szczególności z uwagi na brak istotnego wpływu na wynik procesu decyzyjnego. Reasumując kluczowa będzie tutaj praktyczna rola i wpływ na decyzje dotyczące użytkownika.

Na czym będzie polegać brak istotnego wpływu na decyzję? Należy ocenić czy system AI realnie wpływa na decyzję dotyczącą człowieka – to znaczy nie włączymy go do systemów wysokiego ryzyka, jeśli AI:

• jedynie wspiera podejmowanie decyzji przez użytkownika;
• nie zmienia wyniku podejmowanej decyzji;
• nie ogranicza autonomii decyzyjnej człowieka.

W jakich wypadkach można zastosować wyjątek mechanizmu samooceny?

• przy wąsko określonych zadaniach proceduralnych, gdzie AI wykonuje techniczne, pomocnicze czynności – jak np. wstępna klasyfikacja danych, sortowanie dokumentów;
• poprawie wyniku decyzji człowieka – działanie AI następuje po zakończeniu decyzji i nie wpływa na jej treść – jak np. korekta błędów, optymalizacja raportów;
• wykrywanie wzorców bez wpływu na decyzję – AI analizuje i wskazuje wzorce, ale nie zastępuje człowieka ani nie wpływa na decyzję bez jego weryfikacji;
• w zadaniach przygotowawczych – AI przygotowuje dane do decyzji, ale jej nie podejmuje – jak np. analiza CV przez oceną rekrutera.

UWAGA! – Nawet w wypadku spełnienia powyższych warunków, jeśli system AI dokonuje profilowania osób fizycznych, to zawsze będzie uznawany za high-risk!

 Dostawca, który uzna dany system za niebędący systemem wysokiego ryzyka, ma obowiązek udokumentować swoją ocenę i zrobić to przed wprowadzeniem systemu na rynek.

Główne obszary wysokiego ryzyka z Annex III – czy Twoja firma tu działa?

 Dochodzimy do momentu, gdzie zapewne jako przedsiębiorca zadajesz sobie pytanie czy faktycznie nowe przepisy, które wejdą 2 sierpnia 2026 r., będą miały realny wpływ na Twoją firmę? Czy Twoja firma działa w obszarach objętych wysokim ryzykiem, które wymienia załącznik III AI Act?

Działalność, która w szczególności powinna przeanalizować użycie systemów AI w kontekście high-risk to:

• HR i zatrudnienie, agencje pracy tymczasowej, outsourcing – dotyczy to zastosowania AI przy screeningu CV, rankingu kandydatów, oceny pracowników, decyzji o awansie czy zwolnieniu;
• scoring finansowy stosowany w fintech czy e-commerce – jak np. ocena zdolności kredytowej, scoring klientów, decyzje o dostępie do usług;
• edukacja i szkolenia
• infrastruktura krytyczna, jak zarządzanie energią czy transport;
• administracja i migracja – stosowanie AI przy decyzjach administracyjnych, kontroli granicznej;
• wreszcie wymiar sprawiedliwości, który już samych przedsiębiorców nie dotyczy.

Przykład praktyczny – agencja pracy i system ATS

PRZYKŁAD: agencja pracy korzysta z zewnętrznego systemu ATS (Applicant Tracking System) z funkcją automatycznego rankingowania i wstępnego odrzucania kandydatów na podstawie analizy CV.

ANALIZA KWALIFIKACJI HIGH-RISK:

• obszar zastosowania – rekrutacja i selekcja pracowników (jest to pkt 4 Załącznika III AI Act);
• funkcja systemu – automatyczny i realny wpływ na decyzję o zaproszeniu lub odrzuceniu kandydata;
• wniosek – brak podstaw di zastosowania wyjątku mechanizmu samooceny, a zatem system kwalifikuje się jako wysokiego ryzyka.

KONSEKWENCJE PODMIOTU STOSUJĄCEGO:

• agencja jako deployer ma obowiązek korzystania z z sytemu wyłącznie zgodnie z instrukcją dostawcy (art. 26 ust. 1 AI Act);
• obowiązek poinformowania kandydatów i przedstawicieli pracowników o korzystaniu z AI w procesie rekrutacji (art. 26 ust. 7 AI Act);
• obowiązek monitorowania działania systemu i zgłaszania poważnych incydentów;
• ewentualny obowiązek przeprowadzenia oceny skutków systemów AI wysokiego ryzyka dla praw podstawowych (art. 27 AI Act).

 Jakie są obowiązki dla systemów wysokiego ryzyka?

Wracając jeszcze na chwilę do powyższego przykładu dodam, że wspomniana agencja pracy może błędnie sądzić, że będąc „tylko” użytkownikiem gotowego narzędzia AI od zewnętrznego dostawcy jej obowiązki są minimalne. Nic mylnego. AI Act nakłada obowiązki nie tylko na dostawcę, ale również właśnie na deployera, czyli podmiot stosujący. Dzieje się to niezależnie od tego, kto wyprodukował system AI.

Obowiązki dostawcy – providera (art. 9-17 AI Act)

Jakie zatem obowiązki ciążą na dostawcach systemów AI, czyli w wypadku naszego przykładu – na firmie, która udostępniła system ATS agencji pracy?

• przede wszystkim to system zarządzania ryzykiem – identyfikacja, analiza, ciągłe monitorowanie prze cały cykl życia systemu;
• wysokiej jakości dane treningowe;
• dokumentacja techniczna – szczegółowy opis systemu, logika algorytmu, parametry;
• rejestrowanie i logowanie działania systemu (audit trail) – możliwość odtworzenia procesu decyzyjnego;
• ocena zgodności przed wdrożeniem (conformity assessment) – w wielu przypadkach wymagany jest udział jednostki notyfikowanej (czyli niezależna, zewnętrzna organizacja);
• rejestracja w unijnej bazie danych (Eu Database).

Obowiązki podmiotu stosującego – deployer (art. 26-27 AI Act)

Pamiętaj, że nawet jeśli korzystasz z gotowego narzędzia AI od zewnętrznego dostawcy, to jako podmiot stosujący nie jesteś zwolniony z odpowiedzialności i ciążą na Tobie osobne obowiązki wynikające wprost z AI Act. Jakie będę te wymogi stawiane przez unijne rozporządzenie?

• w pierwszej kolejności korzystanie zgodnie z instrukcją dostawcy;
• konieczność zapewnienia nadzoru człowieka w funkcjonowaniu systemu AI;
• monitorowanie działania systemu i zgłaszanie poważnych incydentów organowi nadzoru – zgodnie z projektem polskiej ustawy – Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji;
• poinformowanie pracowników i ich przedstawicieli o korzystaniu z systemów AI wysokiego ryzyka w miejscu pracy, co jest szczególnie istotne dla działów HR i agencji pracy (art. 26 ust. 7);
• dokonanie oceny wpływu na prawa podstawowe (FRIA – Fundamental Rights Impact Assessment), co jest obowiązkowe dla podmiotów publicznych, podmiotów świadczących usługi publiczne oraz instytucje finansowych.

Obowiązek AI Literacy – czym jest i od kiedy obowiązuje?

W początkowej fazie artykułu, przy przepisach obowiązujących od 2 lutego 2025 r., wspomniałem o AI Literacy. Obowiązek ten dotyczy praktycznie każdej firmy używającej jakiegokolwiek narzędzia AI i nie ma tu większego znaczenia, czy jest uznawany za high-risk. AI Literacy to zapewnienie odpowiedniego poziomu kompetencji w zakresie AI wśród pracowników zajmujących się obsługą i wykorzystywaniem systemów AI. Wynika on z art. 4 AI Act i dotyczy wszystkich dostawców oraz podmiotów stosujących systemy AI, niezależnie od klasyfikacji ryzyka. W skrócie sens tego wymogu polega na wcieleniu w życie umiejętności efektywnego, a zarazem bezpiecznego wykorzystania systemu AI w codziennej pracy.

Jakie są unijne sankcje za naruszenia AI Act i brak regulacji w systemach AI wysokiego ryzyka?

Obowiązujące progi kary za naruszenie AI Act i brak regulacji w systemach AI wysokiego ryzyka wyznacza sam tekst unijnego rozporządzenia. Także projekt polskiej ustawy skierowany obecnie do Sejmu powołuje się na wysokość sankcji sugerowanych przez AI Act. Omówione są one w Rozdziale XII (art. 99-101).

Jak zatem wyglądają progi kar grzywny w wypadku naruszenia AI Act?

• Najwyższa kara przewidziana jest za naruszenie dotyczące zakazanych praktyk AI (art. 5) i wynosi ona aż do 35 mln euro lub jeśli sprawcą jest przedsiębiorstwo – do 7% globalnego rocznego obrotu (w zależności od tego, która z tych kwot jest wyższa).
• Nieprzestrzeganie któregokolwiek z przepisów dotyczących operatorów lub jednostek notyfikowanych, innych niż przepisy ustanowione w art. 5, w tym za naruszenie obowiązków dla systemów wysokiego ryzyka przez podmioty stosujące (art. 26) czy naruszenie obowiązków przejrzystości (art. 50)obowiązuje kara w wysokości do 15 mln euro lub 3 % obrotu (w zależności od tego, która z tych kwot jest wyższa).
• Wreszcie za podanie nieprawidłowych, niekompletnych lub wprowadzających w błąd informacji jednostkom notyfikowanym lub właściwym organom krajowym w odpowiedzi na ich wniosek kara wynosi do 7,5 mln euro lub 1 % obrotu (w zależności od tego, która z tych kwot jest wyższa).

W Polsce karę nakładać będzie nowy organ nadzorczy, czyli Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji.

Jak przygotować firmę – pięć kroków, aby sprostać wymogom zgodności z AI Act

Jeśli Twoja firma stosuje narzędzia AI, powinieneś je poddać odpowiedniej audytowi/analizie, żeby mieć pewność, jakie obowiązki AI Act będą dotyczyć Twojej działalności. Najlepiej dokonać tego z wykwalikowaną ku temu kancelarią prawną. Przygotowanie takie można przedstawić w 5 poniższych krokach:

1. Inwentaryzacja systemów AI – identyfikacja wszystkich narzędzi AI w firmie, w tym „gotowych” rozwiązań SaaS i zewnętrznych dostawców;
2. Analiza funkcji i celu systemu – czy system wpływa realnie na decyzje dotyczące osób fizycznych’
3. Porównanie z Załącznikiem II AI Act – dopasowanie do katalogu obszarów wysokiego ryzyka;
4. Ocena art. 6 ust. 3 – analiza czy możliwe jest zastosowanie wyjątku, jeśli tak, należy wykonać udokumentowanie oceny, a jeśli nie, uruchomić procedury compliance;
5. Dokumentacja i procedury – przygotowanie dokumentacji technicznej, polityk nadzoru, procedur zgłaszania incydentów oraz spełnienia obowiązku AI Literacy.

Najczęstsze błędy firm w zakresie systemów wysokiego ryzyka modeli AI ogólnego przeznaczenia

Wśród najczęściej popełnianych błędów w zakresie systemów wysokiego ryzyka można wyliczyć:

• brak inwentaryzacji systemów AI – założenie, że „to tylko narzędzie od zewnętrznego dostawcy” i niebranie pod uwagę obowiązków podmiotu stosującego;
• automatyczne uznanie systemu za high-risk bez przeprowadzenia analizy art. 6 ust. 3 – wiąże się to z niepotrzebna nadregulacją lub odwrotnie – błędne wykluczenie systemu bez dokumentacji;
• ignorowanie art. 26 ust. 7 – brak informowania pracowników i ich przedstawicieli o stosowaniu systemów wysokiego ryzyka;
• ignorowanie obowiązku AI Literacy (art. 4) – który obowiązuje już od lutego 2025 r.;
• utożsamianie braku, póki co, przyjęcia polskiej ustawy o systemach sztucznej inteligencji z brakiem obowiązków (AI Act jest rozporządzeniem unijnym, co jest równoznaczne z obowiązywaniem we wszystkich krajach UE, nawet pomimo braku ustawy implementacyjnej).

Jak nasza Kancelaria może pomóc w przygotowaniu się przed 2 sierpnia 2026 r.?

2026 r. wydaje się być dość przełomowym w kontekście wprowadzania w Polsce zmian w przepisach dotyczących systemów AI. Zbliżająca się data 2 sierpnia 2026 niesie ze sobą wejście w życie kolejnych obowiązków AI Act powiązanych z systemami wysokiego ryzyka czy obowiązkami przejrzystości, które pełnią kluczową w wielu obszarach istotnych na polskim rynku: sektorze HR, outsourcingu, agencjach pracy, fintechu czy medtechu. Dodatkowo trwają równoległe prace nad polską ustawą o sztucznej inteligencji, których zakończenie powinno zbiec się z terminem sierpniowym przepisów AI Act. Dlatego tak istotne jest przygotowywanie swojej firmy do tych kluczowych zmian już teraz.

Nasza Kancelaria oferuje kompleksowe wsparcie w zakresie dostosowania działalności do wymogów AI Act, projektowanych regulacji krajowych oraz działających równolegle do rozporządzenia unijnego przepisów, jak RODO, które idą z nim niejednokrotnie „ramię w ramię”. Wesprzemy naszych Klientów w identyfikacji i klasyfikacji systemów AI, przygotowaniu dokumentacji samooceny czy wdrożeniu procedur zgodnych z AI Act. Pomagamy także w przeprowadzeniu analiz wpływu na prawa podstawowe (FRIA), opracowaniu polityk i procedur wewnętrznych oraz dostosowaniu komunikacji z pracownikami (co ma szczególne znaczenie dla agencji zatrudnienia i działów HR). Zapewniamy też doradztwo w zakresie zgodności z RODO, w czym specjalizujemy się od lat oraz wsparcie przy kontrolach czy w kontaktach z organem nadzorczym. Naszym celem jest zapewnienie Twojej firmie zgodności z przepisami, co wiąże się z ograniczeniem ryzyk prawnych związanych z wdrażaniem i wykorzystaniem systemów AI w działalności gospodarczej.

Artykuł Systemy wysokiego ryzyka AI Act – czy Twój biznes jest zagrożony? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Jak to się jednak mówi – qui pro quo, czyli nie ma nic za darmo. Nie mam tu na myśli jedynie prowizji, jaką muszą otrzymywać agenci. W umowie agencyjnej należy pamiętać o nie tylko sposobie rozliczania się czy wysokości wynagrodzenia. Istnieje wiele aspektów charakterystycznych dla umowy prowizyjnej, na które należy uważać i pamiętać o nich. Przepisy są dość jasno określone i przy zawieraniu takiej umowy trzeba zachować ostrożność, gdyż swoboda na modyfikacje na potrzeby obydwu stron jest tu dość ograniczona. O czym zatem należy pamiętać? Na co zwrócić uwagę przy zawieraniu umowy agencyjnej?

Czym jest umowa prowizyjna?

Przepisy umowy agencyjnej reguluje Kodeks cywilny, a dokładniej art. 758-764⁹. Zgodnie z treścią art. 758 §1 przez umowę agencyjną przyjmujący zlecenie (agent) zobowiązuje się, w zakresie działalności swego przedsiębiorstwa, do stałego pośredniczenia, za wynagrodzeniem, przy zawieraniu z klientami umów na rzecz dającego zlecenie przedsiębiorcy albo do zawierania ich w jego imieniu.

Co istotne, do zawierania umów w imieniu dającego zlecenie oraz do odbierania dla niego oświadczeń agent jest uprawniony tylko wtedy, gdy ma do tego umocowanie (art. 758 §2). Czyli przy umowie prowizyjnej, gdzie stronami są przedsiębiorca oraz agent, nie można domyślnie przyjmować, że ten drugi ma prawo przyjmować oświadczenia i zawierać umowy w imieniu klienta (przedsiębiorcy). Agent musi posiadać do tego stosowny dokument pełnomocnictwa.   

Co w umowie agencyjnej należy umieścić – postanowienia umowne?

Umowa agencyjna nie musi być zawierana w formie pisemnej. Jej forma może być dowolna, również ustna, ale każda ze stron może żądać od drugiej pisemnego potwierdzenia treści umowy oraz postanowień ją zmieniających lub uzupełniających, a zrzeczenie się tego uprawnienia jest nieważne (art. 758²).

Niezależnie od formy, w umowie agencyjnej warto zawrzeć następującego postanowienia:

• określenie, co jest przedmiotem umowy, czyli ogólnie do czego zobowiązuje się agent, wobec kogo i jaki kształt ma mieć wynagrodzenie;
• szczegółowy zakres obowiązków/uprawnień agenta wobec zleceniodawcy;
• zakres obowiązków zleceniodawcy- w tym w zakresie dotyczącym współpracy z agentem oraz udzielania mu niezbędnych informacji;
• opis jak wygląda proces pozyskiwania klientów przez agenta;
• sposób i termin, w jakim zleceniodawca informuje agenta o zawarciu umowy z pozyskanym przez agenta klientem (jeśli agent nie ma uprawnienia do zawierania umów w imieniu zleceniodawcy);
• agent powinien zabezpieczyć sobie przekazywanie informacji przez zleceniodawcę o wysokości umówionego z klientem wynagrodzenia – na wypadek nieprzekazania takiej informacji w terminie warto zastrzec sobie karę umowną;
• dokładne omówienie do czego jest umocowany agent – tutaj może być właśnie zawarte umocowanie-pełnomocnictwo do np. zawierania umów w imieniu zleceniodawcy;
• podanie danych kontaktowych obydwu stron umowy;
• informacja na temat poufności – zgodnie z art. 760 KC każda ze stron zobowiązuje się do zachowania lojalności wobec drugiej, częstym jest jednak także dodawanie dodatkowych postanowień w tym zakresie- definiowanie, czym jest poufność, a także zastrzeżenie kary umownej na wypadek naruszenia tych postanowień;
• omówienie wynagrodzenia agenta – termin wystawienia faktury VAT, termin wypłaty wynagrodzenia, zwrot ewentualnych kosztów, jeśli pozyskanie czy też polecanie klienta wiązało się z dodatkowymi kosztami, a także, czy wynagrodzenie jest w formie prowizji czy stałego wynagrodzenia w danym miesiącu (ryczałtu) albo ma formę mieszaną;
• określenie czasu trwania umowy agencyjnej – czy na czas oznaczony czy nieoznaczony oraz sposób rozwiązania umowy agencyjnej.

Jakie są obowiązki agenta przy zawieraniu z klientami umów na rzecz dającego zlecenie?

Agent w działalności zgodnie z zawartą umową prowizyjną jest przedstawicielem przedsiębiorcy, więc jest on, w pierwszej kolejności, obowiązany do zachowania tajemnicy przedsiębiorstwa oraz lojalności wobec zleceniodawcy. Zgodnie z art. 760¹ §1 agent ma obowiązek w szczególności przekazywać wszelkie informacje mające znaczenie dla dającego zlecenie oraz przestrzegać jego wskazówek uzasadnionych w danych okolicznościach, a także podejmować, w zakresie prowadzonych spraw, czynności potrzebne do ochrony praw dającego zlecenie. Powyższy obowiązek nie może zostać wyłączony z umowy.

Tak jak wspomniałam, w zależności od ustaleń, jakie są zawarte w umowie, agent posiada, lub też nie, umocowanie do wykonywania czynności w imieniu przedsiębiorcy (zleceniodawcy). Może być to np.:

• zawieranie umów lub podejmowanie innych czynności prawnych;
• przyjmowanie w imieniu zleceniodawcy oświadczeń woli lub innych oświadczeń, w tym reklamacji;
• przyjmowanie w imieniu zleceniodawcy wynagrodzenia lub innych korzyści finansowych lub materialnych;

Przy reprezentowaniu przedsiębiorcy, agent ma obowiązek posługiwać się oficjalnymi dokumentami uzyskanymi od zleceniodawcy. Ponadto zobowiązuje się zachować w poufności wszelkie informacje będące tajemnicą przedsiębiorstwa.

W ramach zobowiązań umownych agenta można również wymienić:

• przedstawienie oferty handlowej przedsiębiorcy;
• negocjowanie warunków umów i zawarcie umowy (w przypadku odpowiedniego umocowania);
• poświadczenie posiadania stosownych kwalifikacji do świadczenia usług, których dotyczy umowa;
• w wypadku braku umocnienia do zawierania umów w imieniu zleceniodawcy – określenie sposobu i terminu, w jakim agent poinformuje przedsiębiorcę o zainteresowanym podjęciem kontaktu klientem.

W celu uniknięcia wątpliwości interpretacyjnych warto, aby w umowie jasno wskazać, czy agent ma umocowanie do zawierania umów lub składania oświadczeń w imieniu zleceniodawcy i w jakim zakresie. Można przykładowo zezwolić agentowi na negocjowanie z klientem warunków umów, jednak zastrzec, że umowa musi zostać podpisana przez zleceniodawcę osobiście.

Jakie są obowiązki zleceniodawcy – uregulowanie zapłaty i obowiązek informacyjny?

Główne obowiązki zleceniodawcy określa art. 760² KC.  Zleceniodawca jest zobowiązany przekazywać agentowi dokumenty i informacje potrzebne do prawidłowego wykonania umowy oraz w rozsądnym czasie zawiadomić agenta o przyjęciu lub odrzuceniu propozycji zawarcia umowy oraz o niewykonaniu umowy, przy zawarciu jakiej agent pośredniczył lub którą zawarł w imieniu dającego zlecenie. Tutaj wszystko zależy od umocowania, jakie posiada agent. Ponadto zleceniodawca ma obowiązek zawiadomić agenta o tym, że liczba umów, których zawarcie przewiduje, lub wartość ich przedmiotu będzie znacznie niższa niż ta, której agent mógłby się normalnie spodziewać.  Co istotne – umowy agencyjne, które są sprzeczne z powyższymi postanowienia są nieważne. Przepisy nie wykluczają jednak możliwości doprecyzowania przepisów, w szczególności poprzez wskazanie terminów, w jakich zleceniodawca powinien powiadomić agenta o przyjęciu lub odrzuceniu możliwości zawarcia umowy.   

Zleceniodawca jest również zobowiązany do wypłacania agentowi wynagrodzenia na warunkach uzgodnionych w umowie. W wypadku, gdy agent nie ma umocowania do zawierania umów czy przyjmowania wynagrodzenia od klienta, zleceniodawca musi poinformować, w ustalonym w umowie terminie, o wystawieniu faktury VAT klientowi. Ma on także obowiązek zwrócić agentowi dodatkowe koszty (np. podróży służbowej), o ile tamten je wcześniej zgłosił.

Jak ustala się prowizję – od czego zależy wysokość wynagrodzenia za zlecenie i kiedy należy się ona agentowi?

Prowizja rozumiana jest jako wynagrodzenie, którego wysokość zależna jest od liczby i/lub wartości zawartych umów przez agenta. W wypadku, gdy nie została ona określona w umowie, należy się ona w wysokości zwyczajowo przyjętej w stosunkach danego rodzaju, w miejscu działalności prowadzonej przez agenta, a w razie niemożliwości określenia prowizji w ten sposób, należy mu się prowizja w odpowiedniej wysokości, która uwzględnia wszystkie okoliczności bezpośrednio związane z wykonaniem zleconych mu czynności przez przedsiębiorcę (art. 758¹).  Aby uniknąć konfliktów w zakresie ustalenia wysokości należnej prowizji zawsze należy określić zasady jej ustalania jak najbardziej szczegółowo. Zazwyczaj w umowach przyjmuje się odpowiedni procent z wartości zawartej umowy lub płatności uiszczanych przez klienta.

Kiedy agent może żądać prowizji?

• może jej żądać od umów zawartych w trakcie trwania umowy agencyjnej, o ile do ich zawarcia doszło w wyniku działań agenta lub jeśli zostały one zawarte z klientami pozyskanymi przez agenta poprzednio z umów tego samego rodzaju (art. 761 §1);
• gdy zostało mu przyznane prawo wyłączności w odniesieniu do oznaczonej grupy klientów lub obszaru geograficznego, a w czasie trwania umowy została bez udziału agenta zawarta umowa z klientem z tej grupy lub obszaru (art. 761 §2);
• już po rozwiązaniu umowy agencyjnej – jeśli spełnione są powyższe warunki, a propozycję zawarcia umowy dający zlecenie lub agent otrzymał od klienta przed rozwiązaniem umowy agencyjnej (art. 761¹ §1);
• już po rozwiązaniu umowy agencyjnej – o ile do zawarcia umowy z klientem doszło w przeważającej mierze w wyniku działalności agenta w okresie trwania umowy agencyjnej, a zarazem w rozsądnym czasie od jej rozwiązania (art. 761¹ §2).  

Jakie są natomiast terminy związane z nabywaniem prowizji?

• Kiedy nie ma odmiennego postanowienia w umowie agent nabywa prawo do prowizji z chwilą, w której dający zlecenie powinien był, zgodnie z umową z klientem, spełnić świadczenie albo faktycznie je spełnił, albo swoje świadczenie spełnił klient. Jednakże strony nie mogą umówić się, że agent nabywa prawo do prowizji później niż w chwili, w jakiej klient spełnił świadczenie albo powinien był je spełnić, gdyby dający zlecenie spełnił świadczenie (art. 761³ §1);
• termin wymagalności roszczenia o zapłatę prowizji stanowi upływający ostatni dzień miesiąca następującego po kwartale, w którym agent nabył prawo do prowizji (art. 761³ §2);
• dający zlecenie ma obowiązek złożyć agentowi oświadczenie zawierające dane o należnej mu prowizji nie później niż w ostatnim dniu miesiąca następującego po kwartale, w którym agent nabył prawo do prowizji (761⁵ §1).

Interesującym przypadkiem jest tzw. prowizja del credere, czyli otrzymana za odrębnym wynagrodzeniem. W umowie agencyjnej można zastrzec, że agent za odrębnym wynagrodzeniem, w uzgodnionym zakresie, odpowiada za wykonanie zobowiązania przez klienta. Jeżeli umowa nie stanowi inaczej, agent odpowiadałby za to, że klient spełni świadczenie. W wypadku niezachowania formy pisemnej poczytuje się umowę agencyjną za zawartą bez takiego zastrzeżenia. Co więcej odpowiedzialność agenta może dotyczyć tylko oznaczonej umowy lub umów z oznaczonym klientem, przy których zawarciu pośredniczył albo które zawarł w imieniu dającego zlecenie (art. 761⁷). Nie jest jednak dopuszczalne zawieranie umowy agencyjnej w taki sposób, że prowizja del credere byłaby jedynym wynagrodzeniem agenta. Jednocześnie, agent nie może żądać prowizji, gdy oczywiste jest, że umowa z klientem nie zostanie wykonana na skutek okoliczności, za które dający zlecenie nie ponosi odpowiedzialności, jeżeli zaś prowizja została już agentowi wypłacona, podlega ona zwrotowi. Ustawa zastrzega przy tym, że postanowienie umowy agencyjnej mniej korzystne dla agenta jest nieważne.

Wypowiedzenie umowy agencyjnej – warunki i świadczenie wyrównawcze

W wypadku zawarcia umowy agencyjnej na czas nieoznaczony termin jej wypowiedzenia to na miesiąc naprzód w pierwszym roku, na dwa miesiące naprzód w drugim roku oraz na trzy miesiące naprzód w trzecim roku i następnych latach trwania umowy. Co ważne – ustawowe terminy wypowiedzenia umowy nie mogą być skracane, ale mogą zostać umownie przedłużone. O tyle, że termin ustalony dla dającego zlecenie nie może być krótszy niż termin ustalony dla agenta. Jeśli umowa nie stanowi inaczej, to termin jej wypowiedzenia upływa z końcem miesiąca kalendarzowego. Przepisy te mają również zastosowanie do umowy na czas oznaczony, gdy przekształciła się ona w umowę na czas nieoznaczony (art. 764¹).

Terminy wypowiedzenia nie chronią jednak strony, które nie wypełniają warunków umowy. Nawet jeśli umowa zawarta jest na czas oznaczony, to gdyby jedna ze stron w całości lub w znacznej części nie wypełniała obowiązków umowy (także w przypadku zaistnienia nadzwyczajnych okoliczności), umowę taką można wypowiedzieć bez zachowania terminów wypowiedzenia (art. 764²).

W wypadku rozwiązywania umowy strony mogą, w formie pisemnej pod rygorem nieważności, ograniczyć działalność agenta mającą charakter konkurencyjny na okres po rozwiązaniu umowy agencyjnej. Nie być to na dłuższy okres niż 2 lata od rozwiązania umowy (art. 764⁶). Ograniczenie jest ważne, jeżeli dotyczy grupy klientów lub obszaru geograficznego, objętych działalnością agenta, oraz rodzaju towarów lub usług stanowiących przedmiot umowy.

W kontekście rozwiązania umowy agencyjnej warto wspomnieć również o świadczeniu wyrównawczym, którego może żądać agent od dającego zlecenia już po upływie terminu tejże umowy. Może on wysunąć takie żądanie, jeśli w czasie trwania umowy pozyskał nowych klientów lub doprowadził do istotnego wzrostu obrotów z dotychczasowymi klientami, a dający zlecenie nadal by czerpał znaczne korzyści z umów z tymi klientami. W treści KC przywołane zostają względy słuszności, które miałby decydować czy takie roszczenie faktycznie przysługuje agentowi. Oznacza to, że należy wziąć pod uwagę wszystkie okoliczności, a zwłaszcza utratę przez agenta prowizji od umów zawartych przez dającego zlecenie z tymi klientami (art. 764³ §1). Takie świadczenie nie może przekroczyć wysokości wynagrodzenia agenta za jeden rok, obliczonego na podstawie średniego rocznego wynagrodzenia uzyskanego w okresie ostatnich 5 lat.

Kiedy natomiast świadczenie wyrównawcze na pewno nie będzie przysługiwało agentowi (art., 764⁴)?

• Jeżeli dający zlecenie wypowiedział umowę na skutek okoliczności, za które odpowiedzialność ponosi agent, usprawiedliwiających wypowiedzenie umowy bez zachowania terminów wypowiedzenia;
• jeżeli agent wypowiedział umowę – z wyjątkiem sytuacji, gdy wypowiedzenie jest uzasadnione okolicznościami, za które odpowiada dający zlecenie, albo jest usprawiedliwione wiekiem, ułomnością lub chorobą agenta, a względy słuszności nie pozwalają domagać się od niego dalszego wykonywania czynności agenta;
• jeżeli za zgodą dającego zlecenie agent przeniósł na inną osobę swoje prawa i obowiązki wynikające z umowy.

Należy jednak podkreślić, że kwestie związane z wynagrodzeniem dla agenta po zakończeniu obowiązywania umowy często są wprost regulowane przez strony w umowie. W szczególności strony umowy określają jak długo oraz w jakiej wysokości należne jest wynagrodzenie po zakończeniu umowy- co dotyczy oczywiście klientów pozyskanych przez agenta jeszcze w trakcie trwania umowy.

O czym należy pamiętać w 2025 r.?

Zawierając umowę agencyjną, warto pamiętać, że mimo pozornie dużej swobody, jest to stosunek prawny ściśle regulowany przepisami Kodeksu cywilnego. Kluczowe znaczenie ma precyzyjne określenie obowiązków obu stron – zarówno agenta, jak i dającego zlecenie. Szczególną uwagę należy zwrócić na kwestie umocowania, wynagrodzenia, ustaleń co do formy prowizji oraz formy i terminu rozwiązania umowy agencyjnej. Nie można też zapominać o obowiązkach informacyjnych oraz o możliwości dochodzenia świadczenia wyrównawczego przez agenta po rozwiązaniu umowy. Wszystkie postanowienia warto zawrzeć w formie pisemnej lub dokumentowej, nawet jeśli nie jest ona obowiązkowa – dla celów dowodowych i uniknięcia nieporozumień. Co istotne, niektóre przepisy są bezwzględnie obowiązujące i nie mogą być modyfikowane przez strony. Najlepiej skonsultować treść umowy agencyjnej z wykwalifikowanym prawnikiem. 

Artykuł Umowa prowizyjna za pozyskanie klienta – co warto wiedzieć o umowie agencyjnej? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Od 10 listopada 2024 r. obowiązuje w Polsce Prawo komunikacji elektronicznej, którego przepisy mają ścisły związek z wysyłaniem informacji handlowej. Urząd Komunikacji Elektronicznej (UKE) uznaje za działanie marketingowe właściwie każdy kontakt, który prowadziłby w jakikolwiek sposób do sprzedaży. Przedsiębiorcy, aby uniknąć kar za niezamówioną informację handlową, muszą dysponować odpowiednią podstawą przetwarzania danych, gdyż właśnie do RODO w zakresie formalnych wymogów zgody odwołuje się wspomniane PKE. Co zatem należy wiedzieć? Jakie praktyki są dozwolone? Czy koniecznie sprzedawca musi posiadać zgodę na przedstawienie informacji handlowej?

Czym jest niezamówiona informacja handlowa?

W celu zdefiniowania informacji handlowej należy sięgnąć do innej ustawy, a dokładniej ustawy o świadczeniu usług drogą elektroniczną. Art. 2 mówi, że informacja handlowa to każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, co właściwie jest tożsame z przywołanym już zdaniem UKE. Zatem właściwie każdą informację, która będzie prowadzić bezpośrednio lub pośrednio do sprzedaży, można nazwać informacją handlową.

Zgodnie z przepisami zawartymi w PKE, niezamówioną informacją handlową będzie taka, na której przedstawienie nie było zgody. Czas zatem, aby przyjrzeć się bliżej podstawom prawnym.

PKE i RODO – podstawy prawne dotyczące wysyłania niezamówionej informacji handlowej

Na temat stosowania informacji handlowej, w rozumieniu przywoływanej definicji z ustawy o świadczeniu usług drogą elektroniczną, traktuje art. 398 PKE. Mówi on, że zakazuje się, bez zgody abonenta lub użytkownika końcowego, stosowania do celów przesyłania informacji handlowej:

• automatycznych systemów wywołujących, czyli np. nagrane systemy głosowe, zautomatyzowane wiadomości SMS;
• telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej.

Zgoda może być wyrażona przez udostępnienie swojego adresu e-mail, przy czym istotne jest to, że takie udostępnienie musi mieć miejsce wyraźnie w celu przesyłania informacji handlowej, a w sprawach spornych to wysyłający komunikat handlowy będzie musiał przedstawić argumenty potwierdzające, że celem udostępnienia było właśnie otrzymywanie takich komunikatów. Najlepszym rozwiązaniem będzie tu pozyskiwanie takiego adresu przy wypełnianiu formularzy kontaktowych, zapisów na różne wydarzenia, przy okazji składania oświadczeń. W wypadku pozyskiwania danych osobowych, właśnie w oparciu o zgodę, warto, o ile to możliwe pod katem technicznym, żeby korzystać z opcji tzw. double opt-in. Takie podwójne potwierdzenie to mechanizm, który polega na potwierdzeniu podanego adresu e-mail oraz na potwierdzeniu zainteresowania poprzez dodatkowe potwierdzenie przesłanego zgłoszenia.

Według art. 400 PKE do uzyskania zgody stosuje się przepisy o ochronie danych osobowych, czyli RODO. Na co więc należy zwrócić uwagę i o czym pamiętać?

Zgoda na otrzymywanie oferty – kiedy e-mail staje się spamem, czyli co zrobić, aby nie naruszyć? 

Zgoda jest dobrowolnym, konkretnym, świadomym i jednoznacznym okazaniem woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt. 11 RODO). Nie może być ona domyślna czy domniemana, tylko musi mieć zawsze charakter aktywnego zachowania. Udzielenie zgody można pozyskać np. poprzez zaznaczenie okienka na stronie internetowej. Musi w każdym razie taka czynność wskazywać w sposób jasny, że osoba, której dane dotyczą, akceptuje proponowane warunki przetwarzania jej danych.

Zgodnie z art. 7 ust. 3 udzielona zgoda może zostać w dowolnym momencie wycofana (art. 7 ust. 3) i wycofanie musi być równie łatwe, co jej wyrażenie. Przykładowo, marketingowa wiadomość e-mail powinna zawierać także link do wypisania się z newslettera.

Przy prowadzonych działaniach marketingowo-sprzedażowych należy zwrócić ponadto uwagę na art. 5 RODO i na podstawowe zasady przetwarzania danych:

• dane mają być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, nie mogą być również przetwarzane dalej w sposób niezgodny z tymi celami;
• przetwarzane dane mają być prawidłowe, w razie potrzeby uaktualniane – należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
• zgodnie z zasada minimalizacji danych, muszą być one przetwarzane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane;
• dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane – przetwarzanie danych przez ograniczony i określony przedział czasu;
• zgodnie z zasada integralności i poufności, dane mają być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych – kluczowe jest tu przestrzeganie wewnętrznych polityk ochrony danych osobowych.

Podstawą przetwarzania danych osobowych może być również, patrząc z perspektywy regulacji RODO, w przypadku marketingu uzasadniony interes prawny administratora. Musi zachodzić jednak istotny i odpowiedni rodzaj powiązania pomiędzy administratorem a osobą, której dane dotyczą – np. jest to klient administratora. Musi zostać przeprowadzona dokładna ocena czy w czasie i kontekście, kiedy zbierane są dane osobowe, osoba, której dane dotyczą, posiada rozsądne przesłanki, żeby spodziewać się, że nastąpi przetwarzanie jej danych. W tym celu należy wziąć pod uwagę szereg elementów, jak np.:

charakter relacji zachodzącej pomiędzy administratorem a osobą, której dane dotyczą, sposób wykorzystania danych, sposób komunikacji albo fakt, czy dane zostały zebrane bezpośrednio od osoby, której dane dotyczą.

Czy zapytania typu coldmailing i coldcalling są dozwolone – jakie są praktyki przedsiębiorców?

Cold mailing oraz cold calling jako takie są przez PKE zabronione. Przypomnę, że każdy kontakt prowadzący w szerokim pojęciu do sprzedaży rozumiany jest jako marketing i niezbędna jest do niego uprzednia zgoda. Rynek jednak szuka wyjścia i przedsiębiorcy stosują praktyki w celu zminimalizowania ryzyka. Wśród nich można wymienić postępowanie zgodnie z poniższymi zasadami:

• podejmowany kontakt nie może mieć charakteru stricte marketingowego – celem może być zaproszenie na rozmowę, nawiązanie do uczestnictwa we wspólnym evencie;
• preferowanie kontaktu z wykorzystaniem nieosobowych danych kontaktowych, jak np. kontakt@… biuro@…;
• kontakt na e-mail spersonalizowany tylko w wypadku, kiedy mamy pewność, że adresat sobie tego życzy lub kiedy może otrzymać w związku z kontaktem jakąś wartość;
• kontakt telefoniczny tylko w dni robocze, najlepiej w godzinach 9-17;
• próby kontaktu nie mogą być nachalne, ani nagminne, najlepiej maksymalnie raz w tygodniu, a po trzech nieskutecznych próbach próby powinny zostać zaprzestane, a kontakt usunięty;
• należy usuwać dane także, jeśli osoba, z którą się kontaktujemy, wyraża sprzeciw;
• w razie wyrażenie zainteresowania ewentualną współpracą, powinno się zachęcić np. do kontaktu przez formularz, aby zmienić podstawę przetwarzania z uzasadnionego interesu administratora na zgodę.   

Ponadto powinno się przyjąć ogólną zasadę, że dobiera się potencjalnych klientów na zasadzie prawdopodobieństwa, kto potencjalnie mógłby być faktycznie zainteresowany ofertą – w szczególności danych firm pozyskanych np. z CEiDG, a nie osób fizycznych.

Jakie są niedopuszczalne praktyki marketingowe?

Wśród absolutnie niedopuszczalnych praktyk marketingowych można wymienić:

• wykonywanie połączeń telefonicznych na numery z posiadanej bazy danych, jednocześnie informując rozmówców, że ich numer został wygenerowany losowo;
• korzystanie z narzędzi marketingowych niezgodnych z RODO albo w sposób niezgodny z RODO;
• zdecydowanie bardziej ryzykowne jest prowadzenie działań marketingowych wobec osób fizycznych (konsumentów) niż przedsiębiorców.

Co prawda stosowanie niezamówionej informacji handlowej nie wiąże się z odpowiedzialnością karną, ale stosowne urzędy jak UKE czy UOKiK mogą nakładać na przedsiębiorców kary finansowe z jednoczesnym nakazem zaprzestania niedozwolonych praktyk. Decydując się na stosowanie niedozwolonych praktyk, warto w tej kwestii odpowiedzieć sobie na pytanie nie tylko o opłacalność ryzyka ewentualnej kary, ale także, czy warto ryzykować nadszarpnięcie dobrej opinii o naszej firmie oraz utratę zaufania kontrahentów oraz klientów.

Artykuł Jak uniknąć niezamówionej informacji handlowej – pobieranie zgody, unikanie spamu, prawidłowe przetwarzanie danych  pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Jak zatem zadbać o legalne i zgodne z prawem prowadzenie sprzedaży w sklepie internetowym w modelu dropshippingowym?

Czym jest dropshopping i jakie korzyści może z niego czerpać sklep internetowy?

Dropshipping jest modelem handlowym wykorzystywanym w sprzedaży e-commerce. Sklep internetowy, który nie chce zamrozić nadmiarowego towaru lub też po prostu nie ma możliwości magazynowania go, zawiera umowę z dostawcą, który przejmuje od tego sklepu obowiązki związane z wysyłką sprzedanych produktów. Sam dokładny kształt współpracy w dużej mierze zależy od tego, jak skonstruowana zostanie umowa pomiędzy sklepem internetowym a hurtownią i jak podzielą się one obowiązkami. Można przyjąć, że umowy dropshippingowe dzielą się na dwa typy:

• pierwszy, gdy to sklep internetowy pełni rolę głównie pośrednika poszukującego klientów i sprzedającego im towar, a całą obsługą klienta (zwrotami, reklamacjami itd.) przechowywaniem towaru i wysyłką zajmuje się hurtownia;
• drugi, kiedy to sklep internetowy ma obowiązki nie tylko marketingowe i sprzedażowe, ale również w zakresie całej obsługi klienta, a hurtownia jedynie przesyła sprzedany towar.

W praktyce nie istnieją oczywiście te dwa sztywno ograniczone modele dropshippingu, gdyż może on ewoluować w zależności od tego, jak umówią się obie strony. Przykładowo, dropshippingiem będzie również sytuacja, gdy przedsiębiorca A zapewnia stronę www, cieszącą się dużą renomą, za pośrednictwem której sprzedawany jest towar należący do przedsiębiorcy B, ale procesem sprzedaży, obsługą klienta i wysyłką zajmuje się przedsiębiorca B korzystający z tej strony internetowej jako swoistego marketu.

W tym dropshippingu sklep internetowy nie musi inwestować w żaden magazyn. Nie musi on również płacić za towar, stąd nie zamraża pieniędzy na większe ilości towaru. Dzięki temu sklep może poszerzyć swoją ofertę bez inwestowania w taką strategię większych kwot, które przez długi czas mogłyby się nie zwrócić przy normalnej sprzedaży detalicznej. Przedsiębiorca B może w zależności od zainteresowania klientów zwiększać lub zmniejszać ilość towarów i zamówień. Oczywiście drugą stroną medalu będzie nieco mniejszy zysk z prowadzenia sklepu przez przedsiębiorcę A niż w wypadku sprzedaży i wysyłki przez sam sklep internetowy, gdyż w tym modelu przedsiębiorca A będzie jedynie otrzymywać prowizję od sprzedanych za pośrednictwem jego strony produktów przedsiębiorcy B.

Kto może zawrzeć umowę dropshippingową z dostawcą?

Umowę z hurtownią może zawrzeć przedsiębiorca prowadzący działalność gospodarczą, choćby jednoosobową. Wcale nie oznacza to jednak, że tylko najmniejsze przedsiębiorstwa z niego korzystają. Znacznie większe sklepy internetowe, które z różnych względów potrzebują przyjęcia tej specyficznej logistyki handlowej, również bardzo chętnie przechodzą na taki model sprzedaży. Każdy przedsiębiorca musi jednak pamiętać, że decydując się na ten sposób sprzedaży, ma obowiązek przygotowania wszystkich potrzebnych dokumentów i wypełnienia stosownych przepisów, które zapewnią mu legalne działanie.

Co powinna zawierać umowa sklepu internetowego z hurtownią – zwroty, reklamacje, wysyłka?

Umowa zawierana z hurtownią jest chyba jednym z głównych wyróżników sprzedaży dropshippingowej, gdyż cały proces wysyłki zostaje przejęty przez dostawcę. Co jednak warto podkreślić, to sklep internetowy, jeśli ten dokonuje sprzedaży towaru klientowi, zawiera z nim stosowną umową, a więc jest on stroną, do jakiej zwróci się konsument w razie problemów. Dlatego bardzo ważne wydaje się, aby dopilnować jak najkorzystniejszej umowy dla przedsiębiorcy. Najważniejsze kwestie, jakie należy ustalić w dokumencie to:

• czas realizacji zamówienia – obecnie czas, jaki upływa pomiędzy sprzedażą a wysyłką towaru, jest dla konsumenta bardzo istotnym argumentem przy wyborze sklepu; dlatego uściślenie w umowie przedziału czasowego, w którym miałaby nastąpić wysyłka, stanowi bardzo ważny element umowy z hurtownią;
• reklamacja wysłanego towaru lub jego zwrot – to właściwie sine qua non w sprzedaży wysyłkowej, konsument musi wiedzieć, gdzie zwracać towar i na jakich zasadach. Sprzedawca właściwie nie uczestniczy w procesie wysyłki, a to do niego najczęściej konsument będzie się zwracał w takiej sprawie. Dlatego konieczne jest dookreślenie odpowiedzialności w tych kwestiach. Możliwe jest także wynegocjowanie, aby reklamacją i zwrotem zajmowała się sama hurtownia, co niewątpliwie byłoby najkorzystniejsze dla sklepu internetowego;
• wysokość marży, jaką pobiera hurtownia – np. „przerzucenie” na hurtownię obsługi zwrotów i reklamacji mogłoby podnieść wysokość marży dla dostawcy.

Sprawna i oparta na jasnych zasadach współpraca na linii sklep internetowy-hurtownia ostatecznie wpływa na zadowolenie konsumenta i jego opinię na temat sklepu, w jakim dokonuje zakupów. Dlatego tak ważne jest dopracowanie takiej umowy pod kątem prawnym.

Dostosowanie strony internetowej sklepu – regulamin i polityka prywatności

Konsument, który dokonuje zakupu w sklepie internetowym, musi posiadać jasne i konkretne informacje, które dotyczą sposobu składania zamówienia, sposobu płatności, dostępnych opcji wysyłki, czasu realizacji zamówienia i wysłania go, a także warunków reklamacji oraz zwrotu zakupionego towaru. Wszystkie te kwestie należy zawrzeć w regulaminie sklepu. Przeważnie to właściciel sklepu internetowego jest stroną w umowie, jaką zawiera konsument przy zakupie towaru, dlatego tak ważne jest, aby regulamin był dostosowany do danego sklepu internetowego, a nie bezwiednie powielany od innego sprzedawcy.

            Przy sprzedaży dropshippingowej konsument musi wiedzieć, kto wysyła towar, więc jeśli jest to magazyn zewnętrzny, musi zostać o tym poinformowany. Kluczowy jest kształt umowy z dostawcą, gdyż od niej zależy czas realizacji zamówienia i wysyłki. Pomimo że przedsiębiorca w tym przypadku nie zajmuje się wysyłką, to powinien on zadbać o jak najbardziej konkretne określenie w regulaminie, kiedy zakupiony przez klienta towar zostanie wysłany i jaką drogą. To samo dotyczy tematu reklamacji oraz zwrotów – również należy w umowie dokładnie ustalić z hurtownią, kto za to odpowiada, aby móc zawrzeć stosowne informacje w regulaminie.

Przy tworzeniu regulaminu sklepu internetowego trzeba pamiętać oczywiście o wielu innych kwestiach, jak np. wypełnieniu obowiązku informacyjnego, unikaniu klauzul niedozwolonych itd. 

Więcej na temat napisania regulaminu sklepu e-commerce dowiesz się w tekście „Regulaminy i umowy dla branży e-commerce – jak napisać regulamin sklepu internetowego?”

Drugim ważnym dokumentem, który ma wpływ korzystanie z modelu dropshippingu, jest polityka prywatności. To tutaj koniecznie należy powiadomić klientów, kto jest odbiorcą danych osobowych, jakie oni przekazują. Tutaj nie będzie to jedynie sklep internetowy czy wybrana przez sklep firma kurierska, ale właśnie zewnętrzny dostawca. Zgodnie z RODO osoby, których dane dotyczą, muszą wiedzieć, kto będzie przetwarzał ich dane osobowe.

Więcej na temat dostosowania sklepu internetowego do RODO i samej polityki prywatności przeczytasz w tekście „RODO dla sklepu internetowego – jak zabezpieczyć się w branży e-commerce?”

Umowa powierzenia danych pomiędzy sprzedawcą a hurtownią – ochrona danych osobowych konsumenta 

Bezpieczeństwo przetwarzania danych jest obszarem, któremu przedsiębiorca powinien poświęcić szczególną uwagę w handlu e-commerce. Model dropshippingu wymaga natomiast jeszcze szerszych działań w porównaniu z sytuacją, gdy sklep internetowy realizuje wszystkie swoje zamówienia samodzielnie. W przypadku dropshippingu sklep musi przekazać dostawcy liczne dane osobowe klientów, żeby ten mógł prawidłowo zrealizować wysyłkę (imię, nazwisko, adres, adres mailowy, często numer telefonu). Danych może być jeszcze więcej, kiedy to hurtownia miałaby zająć się obsługą klienta związaną ze zwrotami oraz reklamacjami. Aby wszystko odbyło się zgodnie z przepisami RODO musi zostać zawarta umowa powierzenia danych osobowych.

            Podstawą prawną jest tutaj art. 28 RODO, w którym znajdziemy kluczową informację – „jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”. Oznacza to, że sklep internetowy, jako strona zawierają umowę sprzedaży z konsumentem, musi upewnić się, że warunki przetwarzania danych, jakimi dysponuje hurtownia, której powierza dane osobowe klientów, są wystarczające oraz zgodne z RODO.

            Umowa powierzenia danych powinna zawierać m.in.:

• informacje czy podmioty, którym hurtownia podpowierza dane (firmy kurierskie, wysyłkowe) spełniają również stosowne warunki bezpieczeństwa;
• informacje czy środki techniczne i organizacyjne, jakimi dysponuje dostawca są wystarczające dla bezpiecznego przetwarzania;
• określenie kategorii osób, których dane dotyczą;
• informacje, jakie dokładnie dane będą dalej przetwarzane;
• określenie dokładnego czasu trwania przetwarzania;
• określenie charakteru przetwarzania;
• określenie dokładnych zadań i obowiązków podmiotu przetwarzającego, przetwarzanie danych tylko na polecenie administratora danych (kiedy sklep przekaże hurtowni zamówienie do realizacji).

Więcej na temat umowy powierzenia danych przeczytasz w tekście „Umowa powierzenia przetwarzania danych osobowych zgodna z RODO – odpowiedzialność administratora a podmiotu przetwarzającego” (TU ADRES).

W czym możemy ci pomóc – co zrobić, żeby uniknąć kar i skarg klientów?

Najważniejszym aspektem prawnym w dropshippingu wydaje się dopilnowanie, aby nie naruszyć przepisów RODO. Kary za naruszenie RODO mogą spotkać w tym wypadku sklep internetowy za np.:

• brak umowy powierzenia danych osobowych;
• brak polityki prywatności;
• brak odpowiednich i aktualnych środków technicznych i organizacyjnych;
• w wypadku naruszenia danych – brak zgłoszenia o incydencie;
• brak rejestrowania czynności przetwarzania.

W zależności od rodzaju naruszenia kary nakładane przez PUODO wynoszą 2% lub 4% całkowitego światowego rocznego obrotu firmy z roku poprzedzającego lub też 10 mln lub 20 mln euro.

Dlatego też tak ważne jest, aby w umowie pomiędzy sklepem a dostawcą zawrzeć wszystkie najważniejsze aspekty oraz w sposób jasny i konkretny wyznaczyć obowiązki. Dzięki temu będzie można uniknąć wzajemnego przerzucania się odpowiedzialnością w sytuacji, gdyby doszło do wycieku danych osobowych. Dobrym pomysłem byłoby np. dokonanie pewnego rodzaju audytu RODO, zanim doszłoby do rozpoczęcia współpracy.

To samo dotyczy kwestii reklamacji, zwrotów i zasadniczo obsługi klienta. Nienajlepszy dla opinii sklepu internetowego byłby chaos informacyjny, jaki napotkałby klient w chwili zagubienia przesyłki, chęci jej zareklamowania, przedłużającego się czasu wysyłki czy też po prostu chęci zwrotu towaru. Warto zatem zadbać, żeby wszystkie dokumenty oraz umowy zostały zawarte w sposób prawidłowy, najlepiej z pomocą wykwalifikowanej kancelarii prawnej.   

Artykuł Obsługa prawna e-commerce w zakresie dropshippingu – umowa, sprzedaż, ochrona danych osobowych pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Obsługa w procesie sprzedaży – stworzenie bezpiecznego regulaminu sklepu internetowego (m.in. reklamacje, zwroty, gwarancja)

Regulamin jest jednym z najważniejszych, jeśli nie najważniejszym dokumentem w sklepie internetowym. Od tego czy jest on stworzony w odpowiedni sposób, czy uwzględnia całą specyfikę sklepu, a przede wszystkim wymogi prawne zależy bardzo wiele. Niestety niejednokrotnie właściciele sklepów internetowych nie zdają sobie sprawy, jak bardzo może utrudnić im życie źle skonstruowany regulamin. Idą na przysłowiową łatwiznę czasami wręcz kopiując teksty regulaminów z innych sklepów albo też nie przykładają się specjalnie, tworząc dokument pospiesznie, bez uwzględnienia charakteru własnego biznesu.

Wykwalifikowana kancelaria prawna może pomóc przedsiębiorcy w napisaniu regulaminu – pomóc, ponieważ dobry prawnik wie, że w stworzeniu regulaminu sklepu musi brać udział jego właściciel. To on zna najlepiej jego specyfikę, cele, obszary rozwoju. Obsługa prawna służy między innymi temu, żeby wszystkie te cechy w odpowiedni sposób uwzględnić przy tworzeniu dokumentów prawnych, a także temu, by wskazać, w jakich rejonach konieczne jest odpowiednie zabezpieczenie.

            W czym zatem w sklepie internetowym pomaga prawnik?

• w stworzeniu tekstu regulaminu, uwzględniającego grupę docelową (czy sklep skierowany będzie do przedsiębiorcy czy konsumenta, a może do obydwu tych grup, a może będzie uwzględniał także dodatkowe elementy grupy docelowej i będzie to sklep specjalistyczny) oraz sam sposób działania, czyli rodzaj sprzedawanych towarów lub usług, stosowanych sposobów dostawy i płatności, funkcjonowania strony internetowej sklepu;
• w optymalizacji regulaminu tak, aby wypełniał wymagania kluczowych dla e-commerce aktów prawnych, np. dyrektywy Omnibus (prawidłowy sposób informowania o cenach, publikowania opinii, stosowania promocji), dyrektywy towarowej (prawidłowy sposób przeprowadzenia procesu reklamacji, prawidłowa informacja o sprzedawanym towarze, obowiązki przedsiębiorcy przy zwrotach oraz reklamacjach), dyrektywy cyfrowej (reklamacja materiałów cyfrowych, pobieranie opłaty za materiały „darmowe”, np. ebooka,  w postaci danych osobowych), Rozporządzenia GPSR (o bezpieczeństwie produktów), Aktu o usługach cyfrowych (DSA), a także ustawy o prawach konsumenta, czy ustawy o świadczeniu usług drogą elektroniczną;
• w opracowaniu wzorów dokumentów odstąpienia od umowy i reklamacji, a także gwarancji, o ile przedsiębiorca podejmie decyzję o jej udzieleniu;
• w przypadku, gdy sklep już istnieje (zatem musi już posiadać regulamin) lub też pojawieniu się zmian w prawie – dokonanie audytu prawnego sklepu internetowego i wprowadzeniu wymaganych zmian do regulaminu w związku z tymi zmianami;

Więcej o samym stworzeniu regulaminu sklepu internetowego przeczytasz w tekście „Regulaminy i umowy dla branży e-commerce – jak napisać regulamin sklepu internetowego?”.

Obsługa prawna e-commerce w kontekście RODO – zabezpieczenie ochrony danych osobowych

Branża e-commerce ma to do siebie, że właściwie opiera się na przetwarzaniu danych osobowych. Cały proces działania opierający się na marketingu, sprzedaży oraz obsłudze klienta wymaga odpowiedniego, a zatem zgodnego z RODO, postępowania, które chroni dane osobowe klientów. Zaniedbanie w kwestiach bezpieczeństwa danych może doprowadzić do naruszenia ochrony danych osobowych  o poważnych konsekwencjach dla klientów, a także samych przedsiębiorców. Kary za naruszenia ochrony danych osobowych to tylko jedna strona tego, co spotyka wtedy sklepy. Zszargana opinia u klientów może być znacznie poważniejszą konsekwencją.

Jak kancelaria może w tym wypadku wspierać firmę?

• przeprowadzenie audytu RODO, tj. dokonanie wszechstronnej oceny całej działalności firmy pod kątem zgodności tej działalności z RODO, stosowanych w działalności narzędzi oraz dokumentów (m.in. art. 32 RODO – środki techniczne i organizacyjne, art. 25 – ochrona w fazie projektowania);
• prowadzeniu marketingu zgodnego z przepisami prawa – zadbanie o odpowiednie zaprojektowanie newslettera, zbieranie zgód, informowanie klientów o przetwarzaniu ich danych osobowych;
• stworzenie polityki prywatności oraz polityki cookies – spełnienie obowiązku informacyjnego administratora (art. 13 RODO), tutaj między innymi konieczne jest zawarcie celów przetwarzania, informacji kto przetwarza, a więc także komu powierzane są dane osobowe konsumentów, informacji o ewentualnym zautomatyzowanym podejmowaniu decyzji (art. 22 RODO), profilowaniu itd., a także przedstawienie szczegółowej informacji na temat stosowanych plików cookies.

Więcej na temat zastosowania RODO w sklepie internetowym znajdziesz w tekście „RODO dla sklepu internetowego – jak zabezpieczyć się w branży e-commerce?”

Wsparcie prawne w międzynarodowym e-biznesie – przygotowanie sklepu do sprzedaży zagranicą

Prowadzenie sklepu internetowego często wiąże się ze sprzedażą poza granicami Polski. Wiele sklepów swoje działania handlowe prowadzi nawet nie tylko w rejonach UE, ale również poza nią. Każda sprzedaż wiąże się z prawidłowym opodatkowaniem (podatek OSS, doliczanie cła).

Transakcja międzynarodowa to również transfer danych poza Polskę. Odpowiednia obsługa prawna e-commerce będzie w tym wypadku bardzo istotna, ponieważ przy transferze danych osobowych do krajów trzecich konieczne jest podjęcie stosownych działań, aby operacje te przebiegały zgodnie z prawem. Każdy transfer danych musi być zabezpieczony odpowiednim mechanizmem, który jest uznany i akceptowalny na gruncie RODO. 

Dużo zależy oczywiście, do jakiego kraju transfer się odbywa. Operacje transferu do krajów trzecich reguluje głównie V rozdział RODO, zaś art. 46 zawiera informacje dotyczące wyboru odpowiednich zabezpieczeń transferu poza granicę Europejskiego Obszaru Gospodarczego (EOG). Od lipca zeszłego roku, dzięki Data Privacy Framework (DPF), bezpieczny jest już transfer do USA. Warunkiem jest tylko posiadanie odpowiedniego certyfikatu przez przedsiębiorstwo, które mieści się na terenie Stanów Zjednoczonych. Najpopularniejszymi mechanizmami zabezpieczającym transfer są standardowe klauzule umowne oraz wiążące reguły korporacyjne.

Więcej na temat transferu danych osobowych do państw trzecich możesz przeczytać w tekście „Transfer danych do państwa trzeciego – jak prawidłowo przekazywać dane osobowe do państw trzecich zgodnie z RODO?”

Obsługa prawna sklepów internetowych we wdrożeniu dokumentacji wewnętrznej w firmie

Wewnętrzna dokumentacja musi regulować stosunki wewnętrzne, w tym z pracownikami i współpracownikami. Rolą pomocy prawnej jest z jednej strony zapewnienie, aby wszelkie działania, dokumenty i umowy były zgodne z przepisami, a z drugiej zapewnia  wsparcie w sytuacjach spornych pomiędzy pracodawcą a pracownikiem. Wyróżnić tu można przykładowo obszary:

• RODO – stworzenie i wdrożenie dokumentacji RODO (m.in. polityka naruszeń ochrony danych osobowych, polityka reagowania na wnioski podmiotów danych, rejestr osób upoważnionych do przetwarzania danych, rejestr czynności przetwarzania oraz kategorii czynności przetwarzania danych osobowych, instrukcja zarządzania systemami informatycznymi) oraz w razie potrzeby świadczenie usługi Inspektora ochrony danych osobowych (IOD);
• umowy pracownicze, umowy B2B, umowy zlecenia, umowy o dzieło, umowy o świadczenie usług;
• przygotowanie niezbędnych dokumentów pracowniczych – np. regulaminów pracy, regulaminów pracy zdalnej (w tym zagranicą), regulaminów wynagradzania, opracowanie informacji o warunkach zatrudnienia itp.

Kancelaria prawna oferuje pomoc w zabezpieczeniu kontaktów przedsiębiorcy z kontrahentami

W branży e-commerce, choć to kontakt z klientami jest najczęstszy, to również konieczna jest współpraca z kontrahentami. Konieczne jest zawieranie stosownych umów, aby ochraniać dane osobowe konsumentów, rozszerzać rynek sprzedaży przez wyszukiwanie pośredników, niejednokrotnie korzystanie z zewnętrznej księgowości, obsługi marketingowej czy dostawców IT. Za każdym razem przedsiębiorca musi zawrzeć umowę, aby chronić klientów, a przede wszystkim samego siebie. Dobra obsługa prawna w tym wypadku wydaje się niezbędna.

            Czego może dotyczyć pomoc kancelarii w tym zakresie?

• Umowa dropshippingowa – zachodzi najczęściej, gdy sklep internetowy decyduje się z różnych względów na nieprzechowywanie sprzedawanych towarów u siebie, ale w zewnętrznych magazynach dostawcy. Umowa ta musi zawierać m.in.: ustalenie, kto zajmuje się obsługą klienta (zwrotami, reklamacjami), czas realizacji zamówienia, wysokość pobieranej przez hurtownię prowizji. Należy pamiętać, że taki model handlowy wiąże się także ze odpowiednimi regulacjami w regulaminie sklepu oraz jego polityce prywatności;
• Umowa powierzenia danych osobowych – opiera się na art. 28 RODO, który mówi, że kiedy operacja przetwarzania ma być dokonywana w imieniu administratora, to korzysta on tylko z usług podmiotów zewnętrznych, jakie zapewniają wystarczające gwarancje wdrożenia stosownych środków technicznych oraz organizacyjnych dla ochrony prywatności osób fizycznych, których dane dotyczą. Taka umowa zawierana jest w każdej sytuacji, kiedy dane konsumentów są powierzane podmiotom zewnętrznym;
• Umowy dystrybucji, obsługi marketingowej, obsługi księgowej, umowy z dostawcami IT – umowy niezbędne do prowadzenia działalności, regulujące stosunki z kontrahentami, którzy dostarczają przedsiębiorcy określone usługi.

Kancelaria prawna zapewni pomoc zarówno w przygotowaniu umów, jak również w weryfikacji umów zaproponowanych przez kontrahenta. Celem działań kancelarii w takich przypadkach jest jak najlepsze zabezpieczenie interesów przedsiębiorcy i minimalizowanie ryzyka, które może wiązać się z daną umową.

Więcej o umowach dropshippingowych przeczytasz w tekście „Obsługa prawna e-commerce w zakresie dropshippingu – umowa, sprzedaż, ochrona danych osobowych”

Więcej o umowach powierzenia przeczytasz w tekście „Umowa powierzenia przetwarzania danych osobowych zgodna z RODO – odpowiedzialność administratora a podmiotu przetwarzającego”

Prawnik e-commerce pomocą w zabezpieczeniu marki sklepu – rejestracja i ochrona znaku towarowego

Zarejestrowanie i zabezpieczenie znaku towarowego swojego sklepu internetowego stanowi jedno z kluczowych działań wprowadzających markę na rynek e-commerce. Zgłoszenie znaku towarowego w Polsce następuje w Urzędzie Patentowym. Pełnomocnikiem strony w postępowaniu przed UP może być adwokat, radca prawny, rzecznik patentowy lub osoba świadcząca usługi transgraniczne w rozumieniu ustawy o rzecznikach patentowych. O zarejestrowanie znaku ubiegać się można drogą online, listownie oraz bezpośrednio w Urzędzie. Oczekiwanie na uzyskanie prawa ochronnego wynosi około 6 miesięcy, o ile nie wpłynie żaden sprzeciw ze strony innych przedsiębiorców.  Samo prawo ochronne na znak towarowy trwa 10 lat od daty zgłoszenia w Urzędzie. Następnie można je przedłużać (nie można o tym zapomnieć, gdyż wtedy utraciłoby się prawo ochrony znaku towarowego).

Można ubiegać się również o znak towarowy Unii Europejskiej – ZTUE – co można zrobić drogą elektroniczną. W takim wypadku przedsiębiorca uzyskuje ochronę na terenie całej Unii Europejskiej.

Posiadając już zarejestrowany i chroniony znak towarowy warto zwracać uwagę czy ubiegający się o rejestrację nie używają podobnych lub takich samych znaków. Można wtedy złożyć sprzeciw. Poza tym w przypadku natknięcia się na używanie przez kogoś znaku o dużym podobieństwie do naszego, warto poprzez prawnika skontaktować się z taką firmą z nakazem zaprzestania używania tego logo. W takiej sytuacji przydaje się dowód pierwszeństwa na znak towarowy, który można uzyskać odpłatnie w Urzędzie.

Jakie korzyści daje stała obsługa prawna w zakresie e-commerce?

Pomoc w bieżących problemach prawnych może dla sklepu internetowego przynosić duże korzyści. Każde przedsiębiorstwo ma swoje potrzeby oraz cele i najlepiej samemu ocenić, w jakich obszarach taka pomoc może być przydatna najbardziej. Może być to np.:

• firma, która działa w e-handlu na poziomie międzynarodowym, zawierając sporo umów z zagranicznymi kontrahentami lub konsumentami – może potrzebować obsługi prawnej w zakresie zawieranych umów;
• firma zatrudniająca dużo pracowników – na pewno skorzystałaby z obsługi w zakresie przygotowania pakietu dokumentów pracowniczych;
• właściwie każda firma z branży e-commerce, która przetwarza większe ilości danych osobowych- na pewno skorzystałaby z pomocy własnego Inspektora ochrony danych osobowych oraz kompleksowego audytu w zakresie RODO.

Prowadzenie sklepu internetowego nieodłącznie wiąże się z kontaktem z klientami, współpracującymi firmami, a także z przetwarzaniem dużych ilości danych osobowych. Im większa firma, tym większe prawdopodobieństwo wystąpienia problemów, z którymi zetknie się właściciel sklepu. Zmieniające się prawo oraz nieustannie rozwijające swoje możliwości zagrożenie płynące z sieci powoduje, że sklepy e-commerce wystawiane są, raz za razem, na niebezpieczeństwo naruszenia przepisów czy też kradzieży danych. Profesjonalnie przygotowana dokumentacja, cyklicznie dokonywane audyty bezpieczeństwa, doradztwo w zakresie e-handlu międzynarodowego stwarza solidne i bezpieczne podstawy dla prężnie działającego biznesu.     

Bieżąca obsługa prawna dla branży e-commerce może przynieść przedsiębiorcy wiele korzyści i odpowiednio zabezpieczyć jego biznes. Kancelaria prawna może nie tylko zadbać o odpowiedni regulamin i politykę prywatności na stronie internetowej, ale może również zapewnić odpowiednią pomoc w zakresie przygotowania umów, regulaminów, czy innych dokumentów. Zakres koniecznej obsługi ustalany jest indywidualnie z przedsiębiorcą i zależy od jego potrzeb biznesowych. Jeśli poszukujesz obsług prawnej dla e-commerce skontaktuj się z nami już dziś- omówimy Twoje potrzeby i ustalimy szczegóły.

Artykuł Obsługa prawna e-commerce – czy sklep internetowy potrzebuje prawnika? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Kto powinien zainteresować się przeprowadzeniem audytu prawnego strony internetowej? Kiedy powinien to zrobić? Wreszcie jak taki audyt przebiega?

Czym jest audyt prawny strony internetowej i kiedy go wykonać?

Audyt prawny strony internetowej jest wykonywany przez kancelarię prawną i stanowi proces sprawdzenia całej strony www przedsiębiorstwa pod kątem aktualnych przepisów prawa. Odpowiednio wykwalifikowane osoby analizują strukturę strony, dokumentację w niej zawartą (np. regulaminy, polityki prywatności) oraz jej funkcjonowanie (np. stosowane checkboxy, formularze).

Audyt prawny wykonywany może być przed uruchomieniem całej strony internetowej, kiedy przedsiębiorca chciałby upewnić się, że będzie działać zgodnie z prawem. Może również być przeprowadzany przy poważniejszych zmianach na stronie czy po prostu stanowić element regularnego badania poprawności działania firmy. Audyt stanowi ważną składową strategii analizy ryzyka i pozwala zabezpieczyć się przed ryzykami prawnymi.

Nie da się w sposób generalny wskazać, ile może zająć audyt strony internetowej. Wszystko będzie zależało od stopnia złożoności strony, dokumentów na niej dostępnych, rodzaju działalności firmy, w tym sprzedawanych produktów. Czas trwania audytu jest trudny do przewidzenia. Audyt zakończony jest otrzymaniem przez firmę odpowiedniej dokumentacji wraz z dokładnymi wskazówkami, co wymaga zmiany na stronie internetowej.

Jakie są kluczowe obszary audytu prawnego strony internetowej?

Należy pamiętać, że audyt prawny czy audyt RODO różni się od audytów technicznych stron internetowych. Takie koncentrują się na aspekcie technicznym strony www, prędkości jej działania, sprawnego funkcjonowania, optymalizacji do urządzeń mobilnych itd. Audyt prawny także może nawiązać do wdrożenia technicznych poprawek, z tymże będą one analizowane w kontekście działania strony zgodnie z przepisami prawa. 

Jak już wspomniałem przebieg samego audytu prawnego oraz badane podczas niego obszary zależą w dużej mierze od tego, czego oczekuje firma objęta audytem oraz od sytuacji, w jakiej audyt się odbywa. Na przykładzie sklepu internetowego można jednak wyróżnić elementy strony, które są weryfikowane podczas audytu pod kątem ochrony praw konsumenta, dyrektyw Omnibus oraz towarowej, ochrony danych osobowych czy też wprowadzonych niedawno – Prawa Komunikacji Elektronicznej oraz dyrektywy DSA. Kluczową dla przedsiębiorcy informacją są z pewnością konsekwencje w postaci kar finansowych, jakie mogą spotkać firmę za niewypełnianie obowiązujących przepisów.

Weryfikacja regulaminu sklepu internetowego

Temat tworzenia regulaminu jest bardzo rozległy, dlatego przybliżę go w dość skrótowy sposób. Więcej o pisaniu regulaminu dla sklepu internetowego możesz przeczytać w tekście „Regulaminy i umowy dla branży e-commerce – jak napisać regulamin sklepu internetowego?”.

Podstawą prawna do stworzenia regulaminu są liczne przepisy prawa, których nie zamyka nawet poniższa lista:

• ustawa o prawach konsumenta;
• ustawa o ochronie konkurencji i konsumentów;
• ustawę o świadczeniu usług drogą elektroniczną;
• prawo komunikacji elektronicznej;
• dyrektywa Omnibus;
• Kodeks cywilny;
• RODO.

To właśnie poprawność prawna w kontekście tych przepisów będzie sprawdzana podczas wykonywania audytu prawnego. Mieści się tu między innymi temat reklamacji, zwrotów (regulamin musi zawierać odpowiednie wzory formularzy), praw konsumenta (np. art. 12 ustawy o prawach konsumenta wymienia, jakie informacje powinny być przedstawione konsumentowi). Poza tym zwracana jest również uwaga na ewentualną obecność klauzul abuzywnych, czyli niedozwolonych – obecność ich w tekście regulaminu może spowodować nałożenie kar przez UOKiK (nawet do 10% obrotu z roku poprzedzającego ten, w którym nałożono karę). W samym regulaminie powinno się też zawrzeć omówienie krok po kroku samego procesu sprzedaży, od samego rozpoczęcia dodawania produktów do internetowego „koszyka”, poprzez wybór sposobów zapłaty i dostawy, realizację zamówienia oraz jego wysyłkę.

Niekiedy na stronach internetowych spotykamy się z wieloma podstronami, które wyodrębniają poszczególne informacje z regulaminu, tworząc osobne zakładki. Wówczas w czasie audytu konieczne jest sprawdzenie także tego typu podstron i upewnienie się, że są spójne z regulaminem. Brak spójności w tym zakresie mógłby powodować wątpliwości odnośnie wzajemnych obowiązków stron. 

Przetwarzanie danych osobowych – polityka prywatności oraz polityka cookies

Tak jak regulamin stanowi główny dokument regulujący zasady panujące w Twoim sklepie internetowym, tak można powiedzieć polityka prywatności wraz z polityką cookies wspierają u klienta poczucie bezpieczeństwa podczas korzystania z Twojej strony internetowej oraz są podstawą zbudowania zaufania wobec marki firmy. Obydwa dokumenty muszą być faktycznym odzwierciedleniem zgodności z RODO – opisem jak wykorzystywane są zbierane od klientów dane osobowe i jak są przetwarzane. 

Podczas audytu prawnego sklepu internetowego konieczna jest także jej weryfikacja pod kątem RODO. Na co zatem zostaje zwrócona szczególna uwaga?

• na podane informacje dotyczące celów przetwarzania danych osobowych oraz sprawdzenie czy uwzględnieni są wszyscy odbiorcy, do jakich trafiają dane osobowe (konsument musi wiedzieć, co dzieje się z jego danymi);
• wyjaśnienie i podanie informacji na temat transferu danych osobowych do krajów trzecich, o ile taki transfer ma miejsce (w praktyce taki transfer jest często możliwy w przypadku korzystania z narzędzi IT);
• sprawdzenie poprawności wypełnienia wszystkich obowiązków informacyjnych administratora wobec konsumenta włącznie z podaniem w polityce prywatności informacji o prawach przysługującym osobom, których dane dotyczą (prawo do dostępu do danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo do usunięcia danych, prawo do wniesienia sprzeciwu do przetwarzania, prawo do wycofania zgody, prawo do wniesienia skargi do organu nadzorczego);
• prawidłowe informacje na temat zautomatyzowanego przetwarzania danych (profilowania), o ile takie występuje;
• prawidłowe zgody od konsumentów – pliki cookie;
• sprawdzenie prawidłowości checkboxów, aby były zgodne z RODO i dyrektywą DSA;
• dostosowanie zgód do wymagań zawartych w przepisach.

Więcej na temat polityki prywatności przeczytasz w tekście w tekście: „RODO dla sklepu internetowego – jak zabezpieczyć się w branży e-commerce?”

Co jeszcze oferuje audyt strony internetowej – marketing, proces sprzedaży, formularz rekrutacyjny

Audyt prawny strony internetowej może dotyczyć jeszcze wielu rzeczy, jak stosowne dokumenty, umowy, formularze, klauzule, regulaminy – wszystko zależy od kształtu strony, co się na niej znajduje i czym zajmuje się sama firma. Można jednak wymienić tu jeszcze kilka tematów, które często sprawdzane są podczas audytu, w szczególności strony sklepu internetowego. Są to m.in.:

• newsletter – czy prawidłowo pobierane są zgody, czy jest prawidłowo skonstruowany;
• program lojalnościowy – czy skonstruowany jest zgodnie z RODO, czy posiada własny regulamin, czy zawiera w razie potrzeby stosowne informacje o obniżkach uwzględniające dyrektywę Omnibus;
• czy w sklepie znajdują się prawidłowe informacje o towarach oraz prawidłowe informacje o cenach, w tym z uwzględnieniem rozporządzenia GSPR (tj. rozporządzenia o bezpieczeństwie produktów);
• czy proces sprzedaży przebiega w sposób prawidłowy – np. czy pojawia się wymagane pole „potwierdzam zakup z obowiązkiem zapłaty”, czy pojawił się checkbox z akceptacją regulaminu oraz polityki prywatności;
• czy rekrutacje są prowadzone w sposób prawidłowy (jeśli są prowadzone za pomocą strony internetowej)– czy na stronie jest stosowny formularz rekrutacyjny, który informuje o przetwarzaniu danych osobowych podczas procesu rekrutacji (taka informacja może być również zawarta w polityce prywatności).

Dlaczego przedsiębiorca powinien przeprowadzić audyt prawny strony www?

Przede wszystkim audyt prawny nie powinien być rozumiany jako przymusowy obowiązek do wypełnienia, ale – spoglądając na sprawę od drugiej strony – niewymierna pomoc dla przedsiębiorcy w ulepszeniu swojej strony internetowej i jako ważne działanie profilaktyczne. 

Audyt prawny najlepiej wykonać przed rozpoczęciem działania strony, a także powtarzać go cyklicznie w czasie jej funkcjonowania. Istniejąca już strona internetowa może czerpać wiele korzyści z przeprowadzonego audytu. Dzieje się tak choćby w wypadku, gdy zmienia się prawo w kluczowy dla funkcjonowania strony sposób albo strona przechodziła gruntowną przebudowę i zmienił się jej sposób/zakres działania. Przedsiębiorca może również, korzystając ze stałej opieki prawnej, przeprowadzać okresowe audyty, które z pewnością uchronią go przed problematycznymi sytuacjami – poczynając od sporów z konsumentami, na karach nałożonych np. przez PUODO czy UOKiK, kończąc. Dlatego nie warto oszczędzać na operacji audytu prawnego i potraktować ją jako inwestycję, samemu biorąc w niej aktywny udział. Nikt przecież nie wie więcej na temat strony internetowej niż jej właściciel. 

Artykuł Przebieg audytu prawnego strony internetowej na przykładzie sklepu internetowego – czy każda firma go potrzebuje? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Czym jest GPSR i kogo dotyczy?

Rozporządzenie GPSR (General Product Safety Regulation) z dnia 13 maja 2024 r., czyli rozporządzenie w sprawie ogólnego bezpieczeństwa produktów stanowi zmianę dla rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1025/2012, dyrektywy 2020/1828 oraz uchylenie dyrektywy 2001/95/WE i dyrektywy Rady 87/357/EWG.  Rozporządzenie GPSR dotyczy produktów, które są wytwarzane na terenie UE, ale również tych importowanych z państw trzecich. Przypomnę, że przepisy przyjmujące kształt rozporządzenia mają zasięg na teren całej Unii i jest bezpośrednio stosowana w każdym kraju członkowskim.

Przepisy nowego rozporządzenia unijnego dotyczą praktycznie całej branży e-commerce, gdyż wymagania i obowiązki muszą zostać spełnione przez importerów, producentów, dostawców, dystrybutorów, a także internetowe platformy handlowe, oraz wszystkie podmioty gospodarcze sprzedające na odległość. Art. 2 rozporządzenia 2023/988 wskazuje, że nie ma ono zastosowania jedynie do:

• produktów leczniczych;
• żywności;
• pasz;
• żywych roślin i zwierząt;
• produktów ubocznych pochodzenia zwierzęcego i produktów pochodnych;
• produktów ochrony roślin;
• sprzętu wykorzystywanego w usługach transportu pod warunkiem, że nie jest on obsługiwany przez samych konsumentów;
• samolotów;
• antyków.

Wymogi GPSR – UE wprowadza nowe przepisy dotyczące bezpieczeństwa produktów

Krótki w treści art. 5 GPSR stanowi ważny odnośnik dla całego rozporządzenia, gdyż stanowi on właściwie najważniejszy przepis rozporządzenia. Przedstawia on ogólne wymaganie bezpieczeństwa, a mianowicie zaznacza, że „podmioty gospodarcze mogą wprowadzać do obrotu lub udostępniać na rynku tylko produkty bezpieczne”.

W celu ocenienia czy produkty są bezpieczne należy wziąć pod uwagę następujące aspekty (art. 6 GPSR):

• właściwości produktu (m.in.  projekt, właściwości techniczne, skład, opakowanie, instrukcję montażu);
• oddziaływanie na inne produkty – gdy mógłby być używany z innymi produktami;
• oddziaływanie, jakie inne produkty mogą mieć na produkt poddawany ocenie, w przypadku, gdy można racjonalnie przewidzieć, że inne produkty będą używane wraz z tym produktem;
• sposób prezentacji produktu, oznakowania na produkcie, w tym oznakowania informujące, czy produkt jest odpowiedni dla dzieci w określonym wieku, ostrzeżenia i instrukcje jego bezpiecznego używania i utylizacji, a także inne wskazówki lub informacje na temat produktu;
• kategorie konsumentów używających produktu, w szczególności poprzez ocenę ryzyka dla konsumentów podatnych na zagrożenia (np. dzieci);
• wygląd produktu, jeżeli mógłby on skłonić konsumentów do używania produktu w sposób inny niż ten, dla którego został on zaprojektowany (np. gdy produkt, który nie jest żywnością, przypomina ją, i można by go z nią pomylić ze względu na kształt, zapach, kolor, wygląd, opakowanie itd.);
• gdy wymaga tego charakter produktu – odpowiednie właściwości cyberbezpieczeństwa niezbędne do ochrony produktu przed wpływami zewnętrznymi;
• gdy wymaga tego charakter produktu – ewoluujące, uczące się i predykcyjne funkcje produktu.

Oznacza to, że przed wprowadzeniem produktu do obrotu należy w pierwszej kolejności ocenić, czy produkt jest bezpieczny, uwzględniając powyższe czynniki.

W Polsce, zgodnie z projektem ustawy organem, który będzie sprawował nadzór w kwestii bezpieczeństwa produktów będzie Prezes UOKiK. Kontrole będą przeprowadzane przez inspektorów Inspekcji handlowej. Wojewódzcy Inspektorzy Inspekcji Handlowej będą mogli przeprowadzać kontrolę z urzędu lub też w efekcie doniesienia-skargi złożonej np. przez konsumenta. W założeniach projektu ustawy będzie on mógł dokonywać również kontroli zdalnej dla produktów sprzedawanych na odległość[1].

Jakie obowiązki, związane z bezpieczeństwem produktów i ochroną konsumentów, wprowadza nowe rozporządzenie GPSR?

Rozporządzenie GPSR wprowadza określone obowiązki dla podmiotów odpowiedzialnych za wprowadzanie do obrotu i rozprowadzanie produktów konsumpcyjnych. Przewidziane są wymogi dla producentów, dostawców, importerów, dystrybutorów, dostawców internetowych platform handlowych oraz dla handlujących przez internet, czyli podmiotów gospodarczych sprzedających na odległość. Jednym słowem nowe unijne przepisy poszerzają odpowiedzialność za bezpieczeństwo produktów wprowadzanych na rynek dla tych wszystkich wymienionych podmiotów.

Nowe regulacje GPSR – obowiązki producentów

Rozporządzanie wymienia liczne wymogi dla producentów produktów. Muszą oni:

• przestrzegać art. 5 GPSR – ogólnego wymogu bezpieczeństwa;
• dokonać analizy ryzyka przed wystawieniem do sprzedaży;
• zapewnić aktualność dokumentacji technicznej;
• zapewnić zgodność produktów produkowanych seryjnie z art. 5;
• opatrzyć produkty numerem typu, partii lub serii, albo dopilnować aby posiadały inny widoczny i czytelny dla konsumenta element umożliwiający identyfikację;
• podać swoje imię i nazwisko lub nazwę firmy, zarejestrowana nazwę handlową lub zarejestrowany znak towarowy, swój adres pocztowy i elektroniczny (także dla pojedynczego punktu kontaktowego, o ile różni się od tego producenta) – informacje umieścić należy na produkcie lub opakowaniu dołączonym do produktu;
• dołączyć jasne instrukcje;
• przestrzegać wymienionych w rozporządzeniu procedur w wypadku stwierdzenia, że produkt jest niebezpieczny;
• podać do wiadomości publicznej kanały komunikacji (numer telefonu, adres mailowy itd.), dzięki którym konsument może złożyć skargę lub poinformować o problemach związanych z produktem;
• badać złożone skargi oraz informacje dotyczące wypadków, które zgłosił konsument;
• przestrzegać RODO – przetwarzać dane zgodnie z wymogami: nie przetrzymywać danych osobowych w rejestrze skarg dłużej niż to niezbędne do celu zbadania skargi, nie dłużej niż 5 lat od ich wprowadzenia.

Zgodnie z treścią rozporządzenia osobę fizyczną uznaje się za producenta, gdy wprowadza ona produkt pod nazwiskiem, nazwą lub znakiem towarowym danej osoby fizycznej lub prawnej.  

Nowe wymogi dla importerów

Głównym obowiązkiem importerów jest – zanim jeszcze produkt zostanie wprowadzony do obrotu – zapewnienie, że produkt jest zgodny z art. 5 oraz dopilnowanie, że producent dokonał analizy ryzyka i sporządził dokumentację techniczną (art.9 ust. 2) oraz wypełnił obowiązek informacyjny w postaci umieszczenia na produkcie numeru typu, partii lub serii produktu lub innego elementu pozwalającego konsumentowi na identyfikację produktu (art. 9 ust. 5) oraz podał wszystkie potrzebne dane kontaktowe (art. 9 ust. 6). W wypadku, gdy warunki te nie zostaną spełnione importer nie może wprowadzić produktu do obrotu.

Ponadto importerów dotyczą podobne obowiązki jak producentów – oni w równym stopniu są odpowiedzialni za bezpieczeństwo produktu. Należą do nich:

• podanie imienia i nazwiska, zarejestrowanej nazwy handlowej lub znaku towarowego, adres pocztowy oraz elektroniczny, również punktu kontaktowe, jeśli różni się od adresu importera.

Dodatkowym wymogiem jest zapewnienie, że te etykiety nie będą kolidować i utrudniać z etykietami umieszczonymi przez producenta (np. naklejona jedna na drugiej);

• dołączenie jasnych instrukcji do produktu;
• zapewnienie o warunkach przechowywania i transportu, aby nie zagrażały bezpieczeństwa produktu – w czasie, gdy importer ponosi odpowiedzialność za produkt;
• sprawna współpraca z organami;
• przechowywanie kopii dokumentacji technicznej;
• weryfikacja kanałów komunikacji;
• odpowiednie postępowanie według procedury (art. 11 ust. 8) przy stwierdzeniu braku bezpieczeństwa produktu;
• analiza otrzymanych skarg i informacji dotyczących bezpieczeństwa produktu;
• zgodne z RODO przetwarzanie i przechowywanie danych osobowych.

Unijne obowiązki dystrybutorów

W tej „drabince” odpowiedzialności za bezpieczeństwo produktu dystrybutorom przypada obowiązek weryfikacji czy producent, a także – jeśli to dotyczy – importer spełnili odpowiednie wymagania. Poza wymienionymi powyżej obowiązkami producenta, powinni sprawdzić jeszcze czy dołączył on stosowne instrukcje i informacje na temat bezpieczeństwa produktu. Co do weryfikacji wymagań importera chodzi o:

• sprawdzenie czy podał on stosowne informacje na etykiecie lub opakowaniu produktu (m.in. imię i nazwisko, zarejestrowaną nazwę handlową lub znak towarowy itd.);
• sprawdzenie czy produkt ma dołączone jasne instrukcje oraz informacje na temat bezpieczeństwa w języku łatwo zrozumiałym dla konsumentów.

W przypadku, kiedy dystrybutor stwierdzi brak spełnienia tych wymogów nie powinien on udostępnić danego produktu. Dodatkowym obowiązkiem jest przejęcie odpowiedzialności za produkt, mianowicie muszą oni zapewnić, że warunki przechowywania i transportu produktu są zgodne z ogólnym wymaganiem bezpieczeństwa, w okresie, kiedy to oni ponoszą odpowiedzialność za produkt. Natomiast w razie sytuacji, gdy dystrybutor stwierdzi brak bezpieczeństwa lub ma takie podejrzenie powinien postępować według określonych procedur – natychmiast poinformować dystrybutora i importera, zadbać o podjęcie odpowiednich środków naprawczych oraz za pośrednictwem portalu Safety Business Gateway poinformować organy państw członkowskich (w tym UOKiK).

Przepisy GPSR dla sprzedawców na odległość, podmiotów gospodarczych sprzedających  produkty online

Wszystkie podmioty gospodarcze, które udostępniają produkty sprzedawane online muszą umieścić w sposób jasny i widoczny dla konsumenta poniższe informacje:

• imię i nazwisko lub też zarejestrowaną nazwę handlową lub znak towarowy producenta, a także adres pocztowy oraz mailowy, pod jakim można się z tym podmiotem gospodarczym skontaktować;
• jeśli producent produktu nie ma miejsca zamieszkania lub siedziby na terenie UE, należy podać imię i nazwisko, adres pocztowy i mailowy osoby odpowiedzialnej (zgodnie z art. 16 ust. 1 GPSR);
• wszystkie informacje, które umożliwią zidentyfikowanie produktu – w tym obraz, rodzaj, inne identyfikatory produktu;
• wszelkie ostrzeżenia i informacje na temat bezpieczeństwa.

Należy podkreślić, że rozporządzenie wskazuje, że ww. informacje powinny znaleźć się w „ofercie produktu”. Wątpliwości budzi, czy wobec tego należy przy każdym produkcie podawać dane rejestrowe oraz kontaktowe producenta, czy wystarczy, aby umieścić je w zakładce „Kontakt”. Literalne brzmienie przepisu wskazuje jednak, że dane powinny znaleźć się przy każdym produkcie.

Obowiązki dostawców internetowych platform handlowych w zgodności z GPSR

Wreszcie pora, aby przyjrzeć się, jaką rolę w tej układance pełnią dostawcy internetowych platform handlowych, czyli platform umożliwiających konsumentom zawieranie z przedsiębiorcami umów na odległość na sprzedaż produktów. . W pierwszej kolejności muszą wyznaczyć punkt kontaktowy, który umożliwi bezpośrednią komunikację online z organami nadzoru rynku państw UE w związku z ewentualnymi problemami dotyczącymi bezpieczeństwa produktów. Taki punkt powinien umożliwić konsumentom sprawny, bezpośredni kontakt i szybką komunikację.

            Jakie pozostałe obowiązki spoczywają na dostawcach internetowych platform handlowych?

• podejmowanie niezbędnych środków w celu otrzymania i przetwarzania nakazów oraz podejmowanie działań bez zbędnej zwłoki – w tym usunięcia wszystkich identycznych treści odnoszących się do oferty danego produktu niebezpiecznego;
• zaprojektowanie swojego interfejsu w taki sposób, aby przedsiębiorcy, którzy oferują produkty, mogli podać wszystkie niezbędne informacje, a jednocześnie dopilnowanie, że przy braku spełnienia wymagań przez przedsiębiorców podjęcie zawieszenia współpracy z nimi;
• korzystanie z portalu Safety Gate w celu zapewnienia bezpieczeństwa produktom i sprawdzania czy spełniają one warunki rozporządzenia;
• w razie wycofania niebezpiecznego produktu zapewnienie konsumentom wszelkich niezbędnych informacji;
• współpracowanie z organami nadzoru rynku (w Polsce UOKiK), z przedsiębiorcami, podmiotami gospodarczymi w celu ograniczenia i wyeliminowania ryzyka.

Informacje o bezpieczeństwie – współpraca z organami nadzoru oraz na czym polega Safety Gate?

Safety Gate jest unijnym systemem szybkiego ostrzegania o niebezpiecznych produktach żywnościowych. Wszystkie Państwa członkowskie UE zgłaszają za jego pośrednictwem środki naprawcze podjęte przez ich organy lub też podmioty gospodarcze. Organy krajowe przekazują takie zgłoszenie nie później niż w ciągu 4 dni roboczych po odjęciu środka naprawczego.

Za pośrednictwem Safety Gate mogą również zgłaszać wszelkie aktualizacje, zmiany lub też przypadki wycofania środków naprawczych. Na tym portalu znajduje się również lista niebezpiecznych produktów prowadzona przez Komisję Europejską, do której mają dostęp konsumenci. KE nawet zachęca ich, aby przed dokonaniem zakupu odwiedzili w tym celu Safety Gate. KE opublikowała nawet wskazówki dla kupujących online, aby zakupy odbywały się bezpiecznie. Zachęca w nich również konsumentów do zarejestrowania zakupionego produktu, wtedy będą mogli być informowani o wszelkich problemach z bezpieczeństwem związanych z tym produktem.

Ponadto KE prowadzi również portal Safety Business Gateway, który umożliwia podmiotom gospodarczym i dostawcom internetowych platform handlowych łatwe przekazywanie informacji konsumentom oraz organom nadzoru rynku.

GPSR wprowadza kary pieniężne przewidziane za brak bezpieczeństwa produktów na rynku

Art. 44 rozporządzenia 2023/988 mówi o tym, że państwa członkowskie mają ustalić odpowiednie sankcje za łamanie przepisów unijnego rozporządzenia dotyczącego ogólnego bezpieczeństwa produktów. Kary mają być skuteczne, proporcjonalne i odstraszające. Projekt polskiej ustawy o ogólnym bezpieczeństwie produktów zawiera propozycje sankcji w art. 62-90.

Przykładowo – jeśli producent i importer wprowadzą produkt wbrew art. 5 dyrektywy GPSR, to według projektu będą podlegać administracyjnej karze pieniężnej w wysokości do 1 mln zł. Zaś brak spełnienia przez producenta art. 9 ust. 2, 5 i 6 zakończy się sankcją do 100 tys. zł – chodzi tu o:

• brak przeprowadzonej analizy ryzyka i wprowadzenia dokumentacji technicznej przed wprowadzeniem produktu;
• brak umieszczenia na etykiecie lub opakowaniu elementów umożliwiającym konsumentowi identyfikację produktu (jak np. nr typu, partii lub serii);
• brak podanych danych kontaktowych przez producenta na produkcie lub dokumencie dołączonym do produktu.

Taką samą grzywną zgodnie z projektem zostanie ukarany importer, który dopuściłby produkt, nie sprawdzając czy producent spełnił wyżej wymienione obowiązki.

Dystrybutor, który udostępni na rynku produkt wbrew art. 5, czyli ogólnemu wymaganiu bezpieczeństwa, zostanie według projektu ukarany grzywną w wysokości do 500 tys. zł. Podmiot gospodarczy, który nie wykona obowiązków z art. 19 GPSR (wymienione powyżej obowiązki podmiotów gospodarczych) zapłaci według projektu karę do 500 tys. zł.

Oczywiście powyżej przedstawiono jedynie propozycje sankcji, zawarte w polskim projekcie ustawy. Według założeń ustawa ma zostać przyjęta do końca pierwszego kwartału 2025 r. Rozporządzenie jednak już obowiązuje i ww. obowiązki należy wprowadzić w życie. Na marginesie należy pamiętać, że w Polsce w dalszym ciągu obowiązuje ustawa z dnia 12 grudnia 2003 r. o ogólnym bezpieczeństwie produktów (Dz.U. 2003 nr 229 poz. 2275), której przepisy należy uwzględnić do czasu wprowadzenia nowej ustawy. 

[1] https://www.gov.pl/web/premier/projekt-ustawy-o-ogolnym-bezpieczenstwie-produktow.

[1] Projekt dostępny na stronie Rządowego Centrum Legislacji: https://legislacja.rcl.gov.pl/projekt/12387803/katalog/13072996#13072996

Artykuł Unijne rozporządzenie GPSR – kogo dotyczy nowe rozporządzenie o ogólnym bezpieczeństwie produktów? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Czym jest platforma internetowa?

Platforma internetowa handlowa jest usługą korzystającą z oprogramowania, w tym strony internetowej, części strony internetowej lub aplikacji, obsługiwanej przez przedsiębiorcę lub w jego imieniu, która umożliwia konsumentom zawieranie umów na odległość z innymi przedsiębiorcami lub konsumentami[1]. Definicję uzupełnia Akt o usługach cyfrowych, który platformę internetową rozumie jako „dostawcę usługi hostingu, który na żądanie odbiorcy usługi przechowuje i rozpowszechnia publicznie informacje” (rozdz. I, art. 2 lit. h). DSA (Digital Service Act) jednocześnie wyłącza z dostawców usługi hostingu te podmioty, których wyżej wymienione działanie stanowi nieznaczną i wyłącznie poboczną funkcję innej usługi (podawanym przykładem jest serwis informacyjny, który pobocznie daje możliwość wstawiania komentarzy).

Pojęcie platformy internetowej jest jednak na tyle szerokie, że na potrzeby tego tekstu chciałbym głównie skupić się na tej odmianie handlowej, która wiąże się z branżą e-commerce.

Regulamin platformy e-commerce to także regulamin sklepu internetowego – RODO, polityka prywatności, obowiązek informacyjny

Poza specyficznymi wymogami, które dotyczą platform internetowych, nałożonych przez akty prawne takie jak Omnibus i DSA, przy tworzeniu regulaminu dla platformy należy pamiętać o całej reszcie przepisów, jakie wiążą się z pisaniem tego dokumentu dla sklepu internetowego. Przepisy prawa, których wypełnienie jest konieczne, aby regulamin platformy był prawidłowy, są liczne. Do tych najważniejszych należą:

·         ustawa o prawach konsumenta;

·         ustawa o ochronie konkurencji i konsumentów;

·         ustawa o świadczeniu usług drogą elektroniczną;

·         prawo komunikacji elektronicznej;

·         Kodeks cywilny;

·         RODO.

Najważniejszą zasadą, jaką powinien kierować się właściciel sklepu internetowego, przy tworzeniu regulaminu jest pamiętanie, żeby nie iść na łatwiznę kopiując go z innych stron. Regulamin to jeden z najważniejszych dokumentów na stronie i pisząc go należy koniecznie wziąć pod uwagę jego specyfikę, co się oferuje na stronie, jakie usługi, produkty. Np. jeżeli konsument może wystawiać opinie na temat usługi lub produktu, trzeba poinformować, kto może je wystawiać – czy każda osoba, niezależnie od tego, czy dokonała zakupu, co zmniejsza wiarygodność tak wystawionych opinii, czy może tylko zweryfikowani nabywcy produktu lub usługi.

W kontekście praw konsumenta trzeba pamiętać o zawarciu odpowiednich formularzy zwrotu, rezygnacji itd. Klient musi być poinformowany w jasny i prosty sposób, co do procesu zakupu oraz o prawach, jakie mu przysługują. Ochrona danych osobowych poprzez RODO, którego wypełnieniem jest przede wszystkim polityka prywatności wraz z polityką cookies, w regulaminie musi również mieć swoje odzwierciedlenie. Obowiązek informacyjny, czyli zawarcie wszelkich niezbędnych informacji o sprzedającym, jest podstawowym obowiązkiem każdego administratora strony. 

Wreszcie należy pamiętać o dwóch sprawach:

• jeśli czegoś nie zawrzemy w regulaminie sklepu internetowego, to nie będziemy tego mogli wymagać od klienta.
• w regulaminie nie możemy zawrzeć czegokolwiek i traktować tego jako nienaruszalnego prawa.

Klauzule abuzywne, czyli niedozwolone, stanowią postanowienia, których zawarcie w regulaminie grozi wysokimi karami finansowymi. Ich przykładami będą:

• całkowite wyłączenie odpowiedzialności sprzedającego za niezgodność towaru z umową;
• automatyczne przenoszenie kosztów zwrotu towaru na konsumenta;
• zmiana regulaminu sklepu ze strony przedsiębiorcy, bez uzasadnienia i prawa konsumenta do odstąpienia od umowy.

Więcej na temat stworzenia regulaminu dla sklepu internetowego przeczytasz w tekście „Regulaminy i umowy dla branży e-commerce – jak napisać regulamin sklepu internetowego?”.

Obowiązek informacyjny dużych platform internetowych – ochrona konsumenta i obowiązki wobec zewnętrznych dostawców według dyrektywy Omnibus

Dyrektywa Omnibus, czyli dyrektywa Parlamentu Europejskiego i Rady (EU) 2019/2161 z 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywy Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE, została zaimplementowana do polskiego prawa 1 stycznia 2023 r. Upłynęły już ponad 2 lata od tego unowocześnienia unijnych przepisów dotyczących ochrony konsumenta. Dostawcom platform internetowych zostały wtedy narzucone nowe obowiązki, które w założeniu mają unormować zobowiązania pomiędzy dostawcą platformy a podmiotem, który sprzedaje na tej platformie oraz zaoferować lepszą ochronę konsumentom.

Zgodnie z niniejszą dyrektywą dostawca platformy ma obowiązek udzielić konsumentowi wszelkich potrzebnych informacji, w sposób jasny i zrozumiały, zanim ten zostanie związany umową zawieraną na odległość lub jakąkolwiek ofertą w tym zakresie na internetowej platformie handlowej. Takie informacje dostawca platformy może również zebrać w treści regulaminu platformy – w szczególności powinien podać tam zasady podziału obowiązków z osobą trzecią, która oferuje towary na tej platformie.

Jakie obowiązki dla platform wiążą się z dyrektywą Omnibus?

• podanie ogólnych informacji dotyczących głównych parametrów decydujących o plasowaniu ofert przedstawianych konsumentowi w wyniku wyszukiwania – w skrócie konsument w klarowny sposób musi zostać powiadomiony dlaczego w takiej, a nie innej kolejności wyświetlają się wyniki wyszukiwania towarów; jeśli jest to efekt płatnej reklamy, konsument musi o tym wiedzieć. Uwaga – taka informacja nie może być „zaszyta” w regulaminie. Jak najbardziej można, a wręcz powinno się ją tam zawrzeć, ale musi być ona również zaprezentowana na głównej stronie, w łatwo dostępnym dla konsumenta miejscu;
• konsument musi zostać jasno poinformowany, jakie obowiązki ma wobec niego przedsiębiorca sprzedający mu towar, a jakie dostawca platformy handlowej;
• jeśli sprzedającym jest osoba fizyczna, to dostawca platformy musi o tym poinformować konsumenta i powiadomić wtedy, że nie obowiązują w takim wypadku prawa konsumentów, które wynikają z unijnego prawa ochrony konsumentów;
• dostawca platformy musi zweryfikować czy sprzedawca jest osobą fizyczną czy też przedsiębiorcą – powinno się wymagać od sprzedawców określenia swojego statusu np. za pomocą oświadczenia;
• dostawca platformy musi również umożliwić zewnętrznym sprzedawcom przekazanie konsumentowi wszelkich danych kontaktowych, cenie produktu, a także tożsamości sprzedawcy;
• informując o cenach zebranych ofert dostawca musi pamiętać w wypadku promocji o obowiązku podawania także najniższej możliwej ceny w ciągu ostatnich 30 dni;
• dostawca platformy musi informować o tym, czy weryfikuje każdą wystawioną opinię – co ciekawe, pomimo obecności w prawie dyrektywy Omnibus od ponad 2 lat, to w internecie wciąż można napotkać firmy, które w sposób jawny oferują kupowanie opinii.     

Prywatność i bezpieczeństwo w świecie e-commerce – obowiązki platform handlowych w kontekście Aktu o usługach cyfrowych (rozporządzenie DSA)

Rozporządzenie DSA (Digital Services Act, Akt o Usługach Cyfrowych) weszło w życie 17 lutego 2024 r. i postrzegane jest jako jedna z najważniejszych regulacji dla całej branży internetowej. Jego celem jest stworzenie warunków bezpiecznego, przewidywalnego i budzącego zaufanie środowiska internetowego, a także dostosowanie istniejących wcześniej przepisów do zmieniających się technologii. Chodzi tu między innymi o dyrektywę 2000/31/WE o handlu elektronicznym (dyrektywa e-commerce). DSA dotyczy firm internetowych, które świadczą usługi pośrednie, czyli między innymi internetowych platform handlowych. W ich wypadku świadczenie usług następuje drogą elektroniczną, więc konieczne jest dostosowanie regulaminu do treści Aktu o usługach cyfrowych. Poza umieszczeniem ich w regulaminie powinno się je podać w miejscu łatwo dostępnym dla konsumenta, w formacie nadającym się do odczytu maszynowego.

DSA przewiduje wiele obowiązków dla platform internetowych, ale należy zaznaczyć, że wyłącza się z nich te, które kwalifikują się jako mikro- i małe przedsiębiorstwa. Wymogi te obejmują m.in.:

• opracowanie wewnętrznego systemu rozpatrywania skarg – użytkownik platformy ma do 6 miesięcy prawo odwołania się od decyzji dostawcy internetowej platformy handlowej (jak np. zawieszenie/zamknięcie konta);
• zakaz stosowania tzw. dark patterns;
• informacje o pozasądowym rozwiązywaniu sporów;
• zawieszenie świadczenia usług podmiotom często przekazującym nielegalne treści;
• tzw. mechanizm „trusted flaggers” –  mechanizm zgłaszania i działania o zarządzanie zgłoszeniami pochodzącymi od zaufanych podmiotów sygnalizujących (czyli tzw. zaufani sygnaliści);
• zapewnienie prywatności i bezpieczeństwa małoletnim;
• zapewnianie transparentności reklam – użytkownik platformy nie może mieć wątpliwości, że prezentowana treść jest reklamą (czyli również należy wskazać w czyim imieniu jest ta reklama);
• należy zapewnić identyfikowalność przedsiębiorcom, którzy oferują produkty lub usługi;
• należy zaprojektować interfejs internetowy, który pozwali na realizację obowiązków dotyczących umowy, zgodności i bezpieczeństwa produktów przez przedsiębiorców;
• obowiązek informowania o nabyciu nielegalnego produktu lub usługi;
• poinformowanie czy i jak są moderowane oceny produktów, jak są weryfikowane;
• wyznaczenie punktu kontaktowego – dla użytkowników oraz organów nadzorczych, aby mieli możliwość szybkiego kontaktu drogą elektroniczną z dostawcą platformy.

Ochrona bezpieczeństwa produktów jako obowiązek dostawców internetowych platform handlowych

Rozporządzenie 2023/988 – GPSR, czyli o ogólnym bezpieczeństwie produktów, zaczęło obowiązywać 13 grudnia 2024 r. Głównym jego założeniem jest zapewnienie zdrowia i bezpieczeństwa konsumentów. Art. 22 rozporządzenia mówi właśnie o szczególnych obowiązkach dostawców internetowych platform handlowych. Wśród najważniejszych można wymienić:

• wyznaczenie punktu kontaktowego zapewniającego szybką i bezpośrednią komunikację;
• wprowadzenie wewnętrznych procedur dotyczących bezpieczeństwa produktów;
• podejmowanie niezbędnych środków w celu otrzymania i przetwarzania nakazów oraz podejmowanie działań bez zbędnej zwłoki – w tym usunięcia wszystkich identycznych treści odnoszących się do oferty danego produktu niebezpiecznego;
• korzystanie z programu Safety Gate – czyli unijnego systemu szybkiego ostrzegania o niebezpiecznych produktach żywnościowych, w regulaminie można poinformować, że konsumenci mogą znaleźć w Safety Gate listę niebezpiecznych produktów prowadzoną przez Komisję Europejską;
• bez zbędnej zwłoki – maksymalnie do 3 dni – rozpatrywanie zawiadomień dotyczących bezpieczeństwa produktów oferowanych do sprzedaży online za ich platformy;
• projektowanie i organizacja interfejsu, aby umożliwić przedsiębiorcom prowadzącym sprzedaż za pośrednictwem platformy danego dostawcy, podanie konsumentom wszystkich niezbędnych informacji (np. imię, nazwisko lub nazwa, zarejestrowana nazwa handlowa lub zarejestrowany znak towarowy, informacje umożliwiające identyfikacje produktu, wszelkie ostrzeżenia lub informacje na temat bezpieczeństwa produktu);
• zawieszanie świadczenia usług platformy przedsiębiorcom – po uprzednim uprzedzeniu świadczenia usług – którzy często oferują produkty niezgodne z GPSR;
• wreszcie współpraca z organami nadzoru rynku, przedsiębiorcami i odpowiednimi podmiotami gospodarczymi.

Więcej na temat rozporządzenia GPSR przeczytasz w tekście „Unijne rozporządzenie GPSR – kogo dotyczy nowe rozporządzenie o ogólnym bezpieczeństwie produktów?”

Jakie kary przewidziane są dla internetowych platform handlowych za nieprawidłowe warunki świadczenia usług?

Z powodu mnogości przepisów, które wpływają na obowiązki platform internetowych, kar związanych z ich nieprzestrzeganiem może być wiele. Poczynając od naruszenia RODO w regulaminie czy w polityce prywatności, za które UODO wyznacza karę do 2 lub 4% całkowitego rocznego globalnego obrotu z poprzedniego roku.

Za złamanie przepisów związanych z Aktem o usługach cyfrowych wiąże się kara do 6% światowego obrotu. Karą dla platformy za nieprzestrzeganie dyrektywy Omnibus – jak np. brak obowiązku informacyjnego, manipulowanie przy opiniach, cenach – może wynosić aż 10% obrotu rocznego.

Polskie przepisy, które mają ustanowić grzywny za łamanie rozporządzenia o ogólnym bezpieczeństwie produktów (GPSR) są obecnie w fazie projektu ustawy. Według założeń zaczną obowiązywać do końca pierwszego kwartału 2025 r. Proponowane kary dla dostawcy internetowych platform handlowych wyniosą do 1 mln zł. Tak wysoka kara co prawda jeszcze nie obowiązuje, ale już teraz warto wdrożyć odpowiednie zmiany, ponieważ termin wprowadzenia ustawy to koniec marca 2025 r.

[1] https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32019L2161.

Artykuł Regulamin dla platform internetowych – świadczenie usług, dyrektywa Omnibus i akt o usługach cyfrowych a nowe obowiązki dla operatorów platform e-commerce pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Jakie są podstawowe zasady tworzenia regulaminu sklepu internetowego?

Fundamentem stworzenia prawidłowego regulaminu są przepisy prawa, które kryją się za licznymi przepisami. Należałoby tu wymienić (choć nie jest to lista kompletna):

• ustawę o prawach konsumenta;
• ustawę o ochronie konkurencji i konsumentów;
• ustawę o świadczeniu usług drogą elektroniczną;
• prawo komunikacji elektronicznej;
• dyrektywę Omnibus, która została zaimplementowana właśnie w powyższych ustawach;
• Kodeks cywilny;
• RODO.

Wszystkie te przepisy będą przewijać się podczas analizy w tym artykule. Na początek jednak warto przywołać art. 8 ustawy o świadczeniu usług drogą elektroniczną, z którego wynika, że właściwie każdy usługodawca musi na stronie swojego sklepu umożliwić usługobiorcy, czyli klientowi, pozyskanie, odtworzenie i utrwalanie (np. pobranie w formacie pdf) treści regulaminu. Powyższy przepis porusza bardzo ważną kwestię, która na pewno jeszcze tu powróci, a mianowicie – klienta nie obowiązują postanowienia regulaminu, których usługodawca w nim nie zawarł. To znaczy, że jeśli właściciel sklepu e-commerce nie zawarł czegoś istotnego w regulaminie, to nie może oczekiwać, że usługobiorca zaakceptował takie postanowienie. Działa to także w drugą stronę – wpisanie do regulaminu treści niezgodnych z przepisami prawa (tzw. klauzul niedozwolonych czy też abuzywnych) nie sprawi, że klienta będą one obowiązywać.

Kluczowymi aspektami ogólnymi przy tworzeniu regulaminu są przede wszystkim przejrzystość, jasność i zrozumiałość. Nie powinno się „upychać” wszystkiego do regulaminu, tworząc potężny dokument, w którym trudno się będzie komukolwiek odnaleźć. Tekst ma być jasny dla czytelnika, a jego najważniejsze postanowienia łatwe do zlokalizowania. Ponadto kluczowa jest tutaj dostępność – samo umiejscowienie regulaminu na stronie internetowej sklepu. Regulamin powinien najlepiej prowadzić do podstrony, do której przekierowanie znajdowałoby się np. w stopce strony głównej (a nie zaszyte gdzieś głęboko w menu).

Co należy zawrzeć w treści regulaminu sklepu internetowego?

Nadrzędną zasadą pisania regulaminu sklepu internetowego jest jasność i prostota. Ważne jest, aby unikać skomplikowanych pojęć, bez ich wyjaśnienia, nie przytłaczać nadmiarem informacji, a jednocześnie wyjaśnić krok po kroku wszystkie kluczowe kwestie. Nie można zapominać, że to tekst pisany do ludzi, który jest jednak wiążący zarówno dla klienta, jak i dla sprzedawcy. Regulamin nie jest to jednak dokument, który można pisać w dowolny sposób. Istnieją określone informacje, które muszą być w nim zawarte.

Regulamin sklepu – wymogi ustawy o świadczeniu usług drogą elektroniczną

Każdy sklep internetowy, poza prowadzeniem sprzedaży produktów, świadczy na rzecz użytkowników także usługi drogą elektroniczną – udostępnia im stronę swojego sklepu, umożliwia zapoznanie się z treściami na stronie, a także zazwyczaj umożliwia założenie konta w sklepie oraz jego obsługę. W związku z powyższym, przedsiębiorca powinien spełnić wymogi ustawy o świadczeniu usług drogą elektroniczną – powinien udostępnić regulamin, który dotyczy tych usług. Zazwyczaj postanowienia regulaminu świadczenia usług drogą elektroniczną stanowią część regulaminu sprzedaży. Ustawa wymaga od nas w szczególności podania informacji na temat:

1) rodzajów i zakresów usług świadczonych drogą elektroniczną;

2) warunków świadczenia usług drogą elektroniczną, w tym:

a) wymagań technicznych niezbędnych do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca,

b) zakazu dostarczania przez usługobiorcę treści o charakterze bezprawnym;

3) warunków zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną;

4) trybu postępowania reklamacyjnego.

Z powyższego wynika, że w sklepie internetowym nie wystarczy opisać procesu sprzedaży produktów, ale należy także odnieść się do usług elektronicznych, które w nim świadczymy. Warto także zwrócić uwagę na to, że ww. usługi mogą stanowić usługi cyfrowe w rozumieniu ustawy o prawach konsumenta – dlatego niekoniecznie ww. elementy będą wystarczające i być może konieczne będzie dalsze doprecyzowanie kwestii związanych z tymi produktami oraz uprawnieniami reklamacyjnymi klienta w stosunku do tych produktów.

Ustawa o prawach konsumenta – przewodnik po regulaminie

W pozostałym zakresie, aby ustalić obowiązkowe elementy regulaminu sprzedaży warto sięgnąć do ustawy o prawach konsumenta, która w art. 12 precyzuje, jakich informacji powinien udzielić sprzedawca przed zawarciem umowy sprzedaży z konsumentem. Oczywiście, ww. zasady stosują się do konsumentów oraz tzw. przedsiębiorców na prawach konsumenta, warto jednak posiłkować się tymi zasadami także wówczas, gdy tworzymy regulamin sprzedaży dla przedsiębiorców. Pomimo tego, że w tym drugim przypadku mamy pewną elastyczność to musimy pamiętać, że regulamin stanowi wiążącą umowę pomiędzy sprzedawcą a klientem – dlatego należy pamiętać o uregulowaniu w nim wszystkich kwestii istotnych z punktu widzenia zawieranej umowy.

Informacje o sprzedawcy – sklep internetowy musi mieć obowiązkowy numer telefonu

W pierwszej kolejności należy podać wszystkie dane identyfikacyjne sprzedawcy. Klient musi wiedzieć od kogo kupuje, z kim zawiera umowę. Zatem usługodawca wpisuje pełną nazwę firmy, jej siedzibę z adresem, NIP lub KRS, REGON, dane kontaktowe. Dyrektywa Omnibus wymogła, aby poza adresem e-mail, koniecznie w regulaminie znalazł się również numer telefonu, pod którym klient z łatwością skontaktuje się ze sprzedawcą. Z punktu widzenia konsumenta jest to ważna zmiana, ponieważ przed nowelizacją przepisów zdarzało się, że sprzedawcy nie udostępniali swojego numeru telefonu do kontaktu.

Sprzedawca może podać także inny środek komunikacji online, jeśli taki udostępnia, przy czym ten środek powinien:

1. warantować zachowanie pisemnej korespondencji pomiędzy konsumentem a przedsiębiorcą, w tym daty i godziny takiej korespondencji,
2. spełniać wymogi trwałego nośnika,
3. umożliwiać szybkie i efektywne kontaktowanie się konsumenta z przedsiębiorcą.

Wydaje się, że tego rodzaju środkiem komunikacji mógłby być komunikator online.

Warto także dodać, że przedsiębiorca zobowiązany jest poinformować o kosztach korzystania ze środka porozumiewania się na odległość w celu zawarcia umowy w przypadku, gdy są wyższe niż stosowane zwykle za korzystanie z tego środka porozumiewania się.

Definicje – czy warto je dodać? 

Pomimo tego, że ustawa tego nie przewiduje wprost to warto w regulaminie sprzedaży umieszczać definicje pojęć, które stosujemy w dokumencie. Jest to istotne z punktu widzenia interpretacji regulaminu, ale także jego zrozumienia przez klientów. Dokładne wyjaśnienie zastosowanych pojęć może także zapobiegać ewentualnym konfliktom na tle regulaminu.  Przykładowo, możemy wyjaśnić pojęcia takie jak klient, sprzedawca, towar, usługa, przedsiębiorca, przedsiębiorca na prawach konsumenta itd. Wynika to także z potrzeby zapewnienia przejrzystości dokumentu – klient czytając powinien nie mieć problemu ze zrozumieniem treści.

Informacje na temat czasu trwania umowy

Przez internet możemy zawrzeć różnego rodzaju umowy- od umów sprzedaży, które będą dotyczyły jednorazowego zakupu, po umowy subskrypcyjne, zawierane na określony okres czasu lub odnawialne na określone okresy rozliczeniowe. Czas, na jaki zawierana jest umowa, powinien być określony w regulaminie – przy czym może to dotyczyć także umów dotyczących np. prowadzenia konta w serwisie. W zależności od funkcjonalności danej strony przedsiębiorca powinien wskazać czas trwania umowy, sposób i przesłanki jej wypowiedzenia – w przypadku umów zawieranych na czas nieoznaczony lub automatycznie przedłużanych, a także o minimalnym czasie trwania zobowiązań konsumenta wynikających z umowy. Przedsiębiorca powinien także precyzyjnie wskazać, w jaki sposób może dojść do zmiany regulaminu (a tym samym zmiany umowy) i w jakich przypadkach tak się dzieje. Warto te kwestie określić precyzyjnie i w taki sposób, aby nie budziły wątpliwości konsumenta i nie zostały uznane za praktyki naruszające zbiorowe interesy konsumentów.

Opisy towarów i usług

Ustawa wymaga od sprzedawcy, aby poinformował konsumenta o głównych cechach świadczenia z uwzględnieniem przedmiotu świadczenia oraz sposobu porozumiewania się z konsumentem. Sprzedawca powinien zatem przed zawarciem umowy z konsumentem w sposób jasny poinformować go, co jest przedmiotem umowy – co klient kupuje, jakie są cechy tego produktu, do czego on służy itp.

W regulaminie zazwyczaj zawarte będą jedynie ogólne informacje na temat przedmiotu świadczeń oferowanych konsumentom. Oczywiście, możliwości jest bardzo dużo – od fizycznych przedmiotów, przez produkty cyfrowe, po usługi świadczone online (np. szkolenia, webinaria itp.). Szczegółowe informacje na temat poszczególnych produktów/usług znajdą się natomiast raczej bezpośrednio na stronie internetowej – zawsze jednak należy w regulaminie wskazać choćby w ogólny sposób, co jest przedmiotem umów zawieranych w sklepie.

W regulaminie należy także zawrzeć informacje odnośnie cen produktów lub usług. Zgodnie z przepisami należy z wyprzedzeniem wskazać klientowi łączną cenę lub wynagrodzenie za świadczenie wraz z podatkami albo, jeśli charakter świadczenia na to nie pozwala, sposób, w jaki podatki będą obliczane. Dodatkowo, należy poinformować o wszelkich innych kosztach: opłatach za transport, dostarczenie, usługi pocztowe oraz innych kosztach, a gdy nie można ustalić wysokości tych opłat – o obowiązku ich uiszczenia. Jeśli natomiast mówimy o umowie, obejmującej prenumeratę (np. abonament), to należy podać łączną cenę za okres rozliczeniowy albo przy stałej stawce – łączne miesięczne płatności.

W przypadku towarów z elementami cyfrowymi, treści cyfrowych lub usług cyfrowych sprzedawca powinien wskazać ich funkcjonalności, a także poinformować o mających zastosowanie technicznych środkach ich ochrony. Nadto, powinien poinformować o mających znaczenie kompatybilności i interoperacyjności towarów z elementami cyfrowymi, treści cyfrowych lub usług cyfrowych.

Zwróćmy uwagę, że nie wszystkie ww. informacje muszą znaleźć się stricte w treści regulaminu. Część z nich, bardziej ogólnych, możemy umieścić w regulaminie, ale już ceny za poszczególne produkty (których w sklepie może być bardzo dużo) mogą znaleźć się bezpośrednio na stronach poszczególnych produktów, a także w podsumowaniu zamówienia, widocznym przed jego złożeniem.

W regulaminie powinniśmy także zawrzeć informacje o indywidualnym dostosowaniu ceny na podstawie zautomatyzowanego podejmowania decyzji, jeżeli ma to zastosowanie w danym sklepie internetowym. W regulaminie należy również zawrzeć informacje na temat algorytmów, które decydowałyby o kolejności, w jakiej wyświetlają się towary, jeżeli takie algorytmy są stosowane. Chodzi o stworzenie warunków, żeby klient mógł podjąć świadomą i samodzielną decyzję dotyczącą zakupu.

Warunki sprzedaży, dostawy oraz formy płatności

W regulaminie należy omówić poszczególne kroki zamówienia, czyli od wyboru towaru, aż do finalizacji jego zakupu. Warto zwrócić uwagę na każdy punkt z listy, gdyż np. nie jest wystarczające, aby za moment zamówienia brać kliknięcie w baner złożenie zamówienia. Według przepisów baner powinien być oznaczony dopiskiem „z obowiązkiem zapłaty” lub temu podobnym (art. 17 ust. 3 Ustawy o prawach konsumenta)[1]. Chodzi tutaj znów o klarowność sytuacji, aby klient wiedział dokładnie, w którym momencie powstaje obowiązek opłacenia wybranego produktu.

Zgodnie z ustawą musimy konsumenta poinformować o sposobie i terminie zapłaty, a także o sposobie i terminie spełnienia świadczenia przez przedsiębiorcę oraz stosowanej przez przedsiębiorcę procedurze rozpatrywania reklamacji.  W Regulaminie w jasny sposób należy określić, gdzie znajduje się informacja na temat czasu i opcji dostawy. Powinna się tam znaleźć także informacja lub ewentualnie odnośnik do osobnej podstrony, która wyjaśniałaby warunki dostawy i wszystkie jej opcje, przedział czasowy, jaki obejmuje oczekiwanie na zakupiony produkt. Ponadto należy podać dostępne formy płatności, a w szczególności w tym wypadku zawrzeć w regulaminie informację, która wyjaśniałaby konsekwencje braku opłacenia produktu – jak długo sklep czeka na płatność i po jakim czasie zamówienie zostaje anulowane. Należy również podać do wiadomości klienta, w jaki sposób otrzymuje on potwierdzenie opłacenia, wysłania i dostarczenia produktu. Powinno pojawić się także omówienie opcji zakupu: jako zarejestrowany użytkownik sklepu lub też jako gość (bez potrzeby rejestracji). W wypadku, jeśli sklep oferuje jakieś promocje, np. dla nowych klientów, to jej warunki i zasady powinny zostać dokładnie i jasno przedstawione w regulaminie. W regulaminie należy także wskazać istnienie i treść gwarancji i usług posprzedażnych oraz sposobie ich realizacji.

Zwroty, rękojmia, reklamacje i zasady odstąpienie od umowy

Konsument, który dokonuje zakupu w sklepie internetowym ma określone uprawnienia, które mogą obejmować:

– prawo odstąpienia od umowy;

– prawo do złożenia reklamacji;

– prawo do skorzystania z uprawnień gwarancyjnych.

W zakresie wszystkich ww. uprawnień przedsiębiorca musi spełnić określone obowiązki informacyjne wobec konsumenta. W pierwszej kolejności powinien poinformować konsumenta o tym, że przysługuje mu prawo odstąpienia od umowy, w jaki sposób i w jakim terminie może on od umowy odstąpić, a także powinien przedstawić mu odpowiedni wzór odstąpienia. Sprzedawca powinien przy tym poinformować o kosztach zwrotu towaru w przypadku odstąpienia od umowy, które ponosi konsument oraz o kosztach zwrotu towarów, jeżeli ze względu na swój charakter towary te nie mogą zostać w zwykłym trybie odesłane pocztą. W regulaminie należy także zawrzeć informację, że jeśli konsument odstąpi od umowy po zgłoszeniu żądania wykonania usługi przed upływem terminu do odstąpienia od umowy to jest zobowiązany do poniesienia uzasadnionych kosztów – proporcjonalnie do zakresu spełnionego świadczenia.

W regulaminie warto także dodać informację o braku prawa odstąpienia od umowy na podstawie art. 38 ustawy o prawach konsumenta lub okolicznościach, w których konsument traci prawo odstąpienia od umowy. Przykładowo, jeżeli mamy do czynienia z produktami wyprodukowanymi według wskazówek klienta to wówczas prawo do odstąpienia od umowy będzie wyłączone.

W regulaminie musimy zawrzeć nadto informację o przewidzianej przez prawo odpowiedzialności przedsiębiorcy za zgodność świadczenia z umową oraz o zasadach dotyczących rękojmi. Sprzedawca może udzielić gwarancji, lecz nie jest to obowiązkowe – jeśli jednak decydujemy się na udzielenie gwarancji to musimy zawrzeć informację o jej treści, jak również o usługach posprzedażowych i sposobie ich realizacji.

Dodatkowo, każdy przedsiębiorca, który zawiera umowę z konsumentem, zobowiązany jest do zawarcia informacji o możliwości skorzystania z pozasądowych sposobów rozpatrywania reklamacji i dochodzenia roszczeń oraz zasadach dostępu do tych procedur.

Opisane powyżej informacje powinny zostać przekazane konsumentowi „najpóźniej w chwili wyrażenia przez konsumenta woli związania się umową na odległość”. Na podstawie art. 14 ust. 2 przedsiębiorca ma obowiązek udzielić informacji, o których mowa w art. 12 w sposób odpowiadający rodzajowi użytego środka porozumiewania się na odległość, w sposób czytelny i wyrażonych prostym językiem. Zazwyczaj całość informacji jest udostępniona najpóźniej w momencie składania zamówienia, na której również klient zazwyczaj musi złożyć oświadczenie, że zapoznał się z regulaminem sklepu.  Niezależnie od sposobu, w jaki dochodzi do przekazania ww. informacji, klient musi otrzymać komplet informacji przed złożeniem zamówienia.

Ochrona danych osobowych w sklepie internetowym – polityka prywatności i polityka cookies

Przedsiębiorca może zawrzeć w treści regulaminu wszystkie przepisy związane z RODO, w praktyce jednak szczegółowe informacje na ten temat zostają umieszczone w osobnych podstronach – polityce prywatności oraz polityce cookies. W celu zachowania przejrzystości i klarowności przekazu treści regulaminu można opisać ogólnie podstawowe obowiązki sprzedającego oraz prawa kontrahenta w zakresie RODO w samym regulaminie, a następnie wstawić w jego treści odpowiednie odnośniki do wspomnianych podstron.

            Obowiązki sprzedającego wynikają m.in. z art. 13 RODO, który mówi o informacjach podawanych w przypadku zbierania danych od osoby, której dane dotyczą. Osoba, której dane będą przetwarzane, musi uprzednio zostać poinformowana kto, jak, co, w jakim celu i na jakiej podstawie będzie to robił. A więc należy podać m.in.:

• dokładne dane administratora, wraz z danymi kontaktowymi swojego przedstawiciela;
• w niektórych przypadkach będzie wymagane podanie tożsamości i danych kontaktowych inspektora danych osobowych;
• cele i podstawy prawne przetwarzania;
• jakie dane będą przetwarzane w razie np. zapisu do newslettera;
• poinformowanie o prawach konsumenta do dostępu do danych czy ich usunięcia;
• sposobie przechowywania pozyskanych danych;
• jakim innym podmiotom mogą zostać ewentualnie udostępnione dane osobowe.

Z uwagi na to, że najczęściej ww. informacje będą bardzo obszerne jest uzasadnione, aby wydzielić szczegóły w powyższym zakresie do osobnych polityk, a w regulaminie głównym pozostawić wyłącznie informacje podstawowe.

Co jeszcze powinien zawierać regulamin? 

Wymienione powyżej postanowienia, które należy zawrzeć w regulaminie nie mają charakteru wyczerpującego. Wraz z kolejnymi przepisami albo zmianami w istniejących przepisach, a także zależności od rodzaju działalności przedsiębiorcy, postanowień może być więcej. Przykładowo, usługi przedsiębiorcy mogą podlegać pod Akt o Usługach Cyfrowych, co powoduje konieczność spełnienia dodatkowych obowiązków i dodania dodatkowych informacji do regulaminu. Innym przykładem może być funkcjonalność dodawania opinii- jeśli taka funkcjonalność jest udostępniania w sklepie to przedsiębiorca musi dodać odpowiednie treści w tym zakresie do regulaminu.

Część postanowień może także wynikać z potrzeb przedsiębiorców – np. w zakresie postanowień dotyczących praw autorskich oraz licencji, czy chęci wprowadzenia bardziej szczegółowych zasad odnośnie oferowanych produktów.  Zawsze warto takie dodatkowe postanowienia skonsultować jednak z prawnikiem, który doradzi, czy dane postanowienie jest akceptowalne z punktu widzenia przepisów, w tym zwłaszcza przepisów konsumenckich albo podpowie, które z przepisów nie stosują się lub mogą nie stosować się do przedsiębiorców (przykładowo, w stosunku do klientów będących przedsiębiorcami można wyłączyć uprawnienia z rękojmi).

Co to są klauzule abuzywne, czyli niedozwolone?

Klauzule abuzywne są to postanowienia umowy zawieranej z konsumentem, które nie są z nim indywidualnie uzgodnione oraz kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy. Nie dotyczy to postanowień określających główne świadczenia stron, w tym cenę lub wynagrodzenie, jeżeli zostały sformułowane w sposób jednoznaczny (art. 385¹ KC). Co to oznacza nieuzgodnione? Są to takie postanowienia, na które konsument nie miał rzeczywistego wpływu.

Wstawienie takich klauzul do regulaminu, który zostanie zaakceptowany przez konsumenta (bez względu czy będzie to wynikało z jego niewiedzy czy też pośpiechu), nie będzie oznaczało, że będą one obowiązywać. Niedozwolone klauzule nie będą dla konsumenta wiążące. Skutkiem dla przedsiębiorcy, który wstawi takie postanowienia do regulaminu będzie właśnie ich nieważność, a poza tym kary wyznaczone przez UOKiK. W art. 385³ Kodeksu cywilnego zawarty jest przykładowy katalog postanowień, które mogą zostać uznane w razie wątpliwości za klauzule niedozwolone.

            Przykładami klauzul niedozwolonych będą np.:

• zmiana regulaminu sklepu ze strony przedsiębiorcy, bez uzasadnienia i prawa konsumenta do odstąpienia od umowy;
• całkowite wyłączenie odpowiedzialności sprzedającego za niezgodność towaru z umową;
• automatyczne przenoszenie kosztów zwrotu towaru na konsumenta.

Potwierdzenie złożenia zamówienia

Przedsiębiorca ma obowiązek przekazać konsumentowi potwierdzenie zawarcia umowy na odległość na trwałym nośniku w rozsądnym czasie po jej zawarciu, najpóźniej w chwili dostarczenia towaru lub przed rozpoczęciem świadczenia usługi. Potwierdzenie obejmuje wszystkie informacje, które zawarte w art. 12 ustawy o prawach konsumenta oraz, jeśli dotyczy, informację o udzielonej przez konsumenta zgodzie na dostarczenie treści cyfrowych w okolicznościach powodujących utratę prawa odstąpienia od umowy. Zazwyczaj ww. obowiązek jest realizowany przez przesłanie podsumowania zamówienia z wyszczególnieniem produktów, sposobu dostawy, ceny oraz regulaminem sprzedaży zawartym w załączniku w formie pdf.

Jakie kary grożą przedsiębiorcom za nieprzestrzeganie przepisów podczas wprowadzania regulaminu sklepu e-commerce?

Za brak wprowadzenia regulaminu czy też wprowadzenie do niego wspominanych powyżej klauzul abuzywnych, przedsiębiorcom grozi do 10% obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary. Wynika to z ustawy o ochronie konkurencji i konsumentów i taką karę zgodnie ze art. 106 tej ustawy Prezes UOKiK może właśnie nałożyć na sklep internetowy.

            Ponadto, jeśli przedsiębiorca nie spełni w regulaminie obowiązku informacyjnego wobec konsumentów, zostanie ukarany grzywną do 5 tys. zł, co wynika z art. 139b Kodeksu wykroczeń.

            Również za nieprzestrzeganie przepisów wynikających z RODO grożą kary z kolei ze strony Prezesa UODO. Zgodnie z art. 83 RODO grożą tu kary nawet do 20 mln euro lub też do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Podsumowanie – o czym pamiętać przy tworzeniu regulaminu sklepu internetowego?

Regulamin może napisać przedsiębiorca samodzielnie, kierując się przepisami, a także naszymi wskazówkami, zawartymi w niniejszym artykule, albo może także zwrócić się z takim zadaniem np. do kancelarii prawnej. Jeśli zdecydują się Państwo na tę drugą drogę to zachęcamy do kontaktu z naszą Kancelarią Adwokacką Pałucki & Szkutnik s.c. Współpracowaliśmy z wieloma przedsiębiorcami, dla których stworzyliśmy regulaminy szyte na miarę, uwzględniające potrzeby ich biznesu – od regulaminów sklepów, poprzez regulaminy platform szkoleniowych, czy platform zapewniających dostęp do specjalistycznych usług lub programów. W przypadku tworzenia regulaminu istotna jest ścisła współpraca ze strony przedsiębiorcy, ponieważ ważne jest, aby treść regulaminu dostosować do charakteru prowadzonej działalności, sprzedawanych produktów, usług świadczonych przez sprzedawcę.

            Tworząc regulamin należy pamiętać, że nie jest to zadanie jednorazowe. Koniecznie trzeba trzymać rękę na pulsie i śledzić zmieniające się przepisy i w razie czego dostosowywać i zmieniać treść regulaminu, aby zgadzał się on z aktualną literą prawa. Należy pamiętać, że o zmianach musimy informować klientów, w określonych przypadkach dając im możliwość wypowiedzenia umowy.

            Warto przede wszystkim zwrócić uwagę na rzetelne wypełnienie obowiązku informacyjnego, dostosowanie funkcjonowania strony, a co za tym idzie treści regulaminu i polityki prywatności do RODO, zadbanie o prawidłowe zapisy powiązane z zasadami reklamacji, rękojmi i zwrotów, a także o niestosowanie klauzul abuzywnych.

[1] por. uokik.gov.pl/kto-sprzedaje-na-platformie-temu.

Artykuł Regulaminy i umowy dla branży e-commerce – jak napisać regulamin sklepu internetowego? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Każda firma, która sprzedaje cokolwiek przez internet, w jakiś sposób dokonuje operacji przetwarzania danych, co chcąc nie chcąc jest terenem, na jakim rządzi RODO. 

Jakie są podstawy przetwarzania danych osobowych w branży e-commerce?

Zgodnie z art. 4 RODO pojęcie przetwarzania danych jest bardzo szerokie. Oznacza ono operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Jak widać od razu w działalności e-commerce wykonujemy przynajmniej część z nich, licząc choćby podstawowe działania, jak np. przechowywanie danych klientów, czy pobieranie danych dotyczących płatności itd.

Danych, jakie są zbierane w sklepie internetowym, nie da jednoznacznie sklasyfikować, ponieważ wszystko zależy tu od działalności, jaka jest prowadzona oraz od samego przedsiębiorcy. Dane osobowe przetwarzane są przede wszystkim podczas procesów, które wiążą się z sama sprzedażą (rachunkowością, księgowością, wysyłką) oraz marketingiem, czyli ofertami, jakie przesyłane są do klientów. Działalność e-commerce opiera operacje przetwarzania głównie na podstawach prawnych wskazanych art. 6 ust. 1 lit. a) oraz lit. b) RODO. 

Przetwarzanie danych, gdzie podstawą jest umowa między sprzedawcą a klientem (lit. b), wiążę się umożliwieniem wysyłki i płatności za towar lub usługę. Dane takie jak: imię, nazwisko, adres, numer telefonu są konieczne do wykonania  zawartej pomiędzy stronami umowy. Musimy jednak uważać, aby nie zbierać danych nadmiarowych – tj. takich, które nie są niezbędne z punktu widzenia danego procesu. Żadna księgarnia internetowa nie powinna zbierać od konsumenta np. numeru PESEL wysłania do niego towaru. Nie ma żadnego wzorca, a każdy przedsiębiorca kieruje się swoją działalnością i musi do niej dostosować zakres zbieranych danych. Należy przy tym pamiętać o dwóch rzeczach. Po pierwsze zawsze kierować się zasada minimalizacji danych, czyli zbierać tyle danych, ile jest niezbędnych do osiągnięcia celu – im mniej danych zbierzemy, tym mniejsze wiąże się z tym ryzyko. Oraz po drugie – zbieranie od klientów nawet samego adresu e-mail będzie już uznawane za przetwarzanie danych osobowych.

Drugą podstawą przetwarzania danych osobowych przez sklepy internetowe jest zgoda klienta (lit. a). Administrator danych musi tu pamiętać, że zgoda musi być dobrowolna, jednoznaczna, świadoma i nie może zależeć od niej zawarcie umowy. Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (art. 7 ust. 2 RODO). Zgoda wykorzystywana jest tu przede wszystkim do działalności marketingowej.

Polityka prywatności – jak spełnić obowiązek informacyjny RODO w sklepie internetowym 

Administrator sklepu internetowego spełnia obowiązek informacyjny poprzez wprowadzenie na stronę internetowa polityki prywatności. Informacje, jakie powinien on tam zawrzeć, znajdują się w art. 13 RODO, lecz dobra polityka prywatności nie jest jedynie spełnieniem tych wytycznych. Musi być przejrzysta, napisana w prosty sposób, aby osoba, której dane dotyczą, nie może mieć problemów ze znalezieniem najpotrzebniejszych wiadomości. Prostota również tutaj będzie najlepszym drogowskazem.

            Co zatem powinno znaleźć się w dokumencie polityki prywatności?

• dane administratora – nazwa firmy, imię nazwisko, adres, dane kontaktowe; a także informacje o powołaniu inspektora ochrony danych osobowych (jeśli został powołany)
• cele przetwarzania danych osobowych oraz podstawa prawna przetwarzania;
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
• informacje o przekazywaniu danych;
• informacja o prawach przysługującym osobom, których dane dotyczą, czyli: prawo dostępu do danych, prawo do ograniczenia przetwarzania danych, prawo do usunięcia danych, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu do przetwarzania, prawo do wycofania zgody, wniesienia skargi do organu nadzorczego;
• okres, przez który dane osobowe będą przechowywane lub kryteria jego ustalenia;
• informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
• informację o zautomatyzowanym podejmowaniu decyzji/profilowaniu.

Pozyskanie zgody klienta na przetwarzanie danych osobowych w sklepie internetowym

Zgoda jest jedną z głównych podstaw przetwarzania danych osobowych wykorzystywanych w internecie przez przedsiębiorców. W branży e-commerce bywa ona najczęściej wykorzystywana do działań marketingowych. Opisane przez mnie powyżej warunki prawidłowo przeprowadzonej zgody – dobrowolność, jednoznaczność, wyrażenie jej w pełni świadomie – mimo że klarownie zawarte w art. 7 RODO, często nie są przestrzegane przez administratorów. W szczególności w przypadku plików cookies, czyli popularnych ciasteczek, stosowane są nielegalne praktyki w postaci utrudniania użytkownikom cofnięcia zgody na śledzenie ich ruchu w internecie. Domyślne zaznaczanie zgody na wszystkie warunki czy ukrywanie co ważniejszych opcji to tylko jedne ze stosowanych praktyk. Wiele w tej sprawie zmieniły jednak rozporządzenia DSA (Digital Services Act) oraz DMA (Digital Market Act).

Zgoda na wykorzystywanie plików cookies w sklepie internetowym

Pliki cookies są niewielkimi plikami tekstowymi, które stanowią swoisty ślad obecności na stronie internetowej konkretnej osoby. Innymi słowy są to pliki wysyłane do przeglądarki przez witrynę, w chwili naszych odwiedzin na niej. Służą do zapamiętaniu danych z odwiedzenia tej strony, dzięki czemu kiedy odwiedzimy ją ponownie będzie działać sprawniej „pod nas”, dostosowując się pod nasze preferencje. Dosyć wygodne, a jednocześnie jest to element profilowania osób, których dane dotyczą. Wyrażając zgodę na to otrzymujemy np. reklamy rzeczy, które faktycznie nas interesują, gdyż po prostu chwilę wcześniej szukaliśmy ich w sieci. Nic dziwnego, że tak chętnie korzystają z tego sklepy internetowe.

Od dnia 17 lutego 2024 r. w całej UE zaczął obowiązywać akt o usługach cyfrowych (wspominany DSA), natomiast chwilę wcześniej, bo w maju 2023 r., wszedł w życie akt o rynkach cyfrowych (DMA). Obydwa rozporządzenia nieco unormowały wykorzystywanie plików cookies.. Wprowadzane zasady nie dotyczą jedynie technologicznych gigantów, choć o nich jest najgłośniej. Właściwie każdy przedsiębiorca z branży e-commerce musi dostosować sposób uzyskiwania zgody na wykorzystywanie „ciasteczek”. Wymagania sprowadzają w sumie do jednego – uproszczenia i większej przejrzystości podanych informacji, tak aby osoba, której dane dotyczą, mogła wyrazić świadomą i dobrowolną zgodę. Belka z informacjami na temat wykorzystania plików cookie, która wyświetla się w momencie odwiedzenia witryny internetowej musi zawierać na jednym banerze możliwość jasnej zgody lub odmowy, informacje jak wykorzystywane są pliki cookies i dokładne opisanie ich oraz zgód. Ponadto domyślnie te zgody powinny być wyłączone, tak aby nie wpływać na wydaną zgodę. Należy także pamiętać, że na stronie sklepu internetowego powinna być także aktualna polityka plików cookies, w której użytkownik będzie w stanie znaleźć wszystkie niezbędne informacje.

Profilowanie w działaniach marketingowych w sklepie online – jakie są podstawy przetwarzania danych? 

Profilowanie ma na celu jak najlepsze poznanie klienta, aby być w stanie przewidywać jego potrzeby. Cechą immanentną profilowania jest to, że polega ono na dowolnym zautomatyzowanym przetwarzaniu danych osobowych, które pozwala ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą. Często jest ono wykorzystywane właśnie do działań marketingowych.

Podstawą takich działań wykorzystywanych w programach lojalnościowych, z których osoby, których dane dotyczą, czerpią korzyści (w zasadzie taka jest ich idea) jest najczęściej uzasadniony interes administratora lub umowa. Na potrzeby marketingowych kontaktów mailowych czy smsowych potrzebna będzie natomiast zgoda klienta, co wynika z ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego.

Bardzo ważne jest w wypadku profilowania, aby uczestnicy programów lojalnościowych mieli klarownie przedstawione zasady – za co otrzymują specjalne, indywidualne oferty. Przypomnijmy, że osoba, której dane dotyczą, ma prawo do sprzeciwu, czyli do tego, żeby nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu danych (art. 22). Poza tym przedsiębiorcy wykorzystujący profilowanie w działaniach marketingowych muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapobiec ewentualnej dyskryminacji osób fizycznych. Ryzyko opiera się na wyciąganiu nieprawdziwych wniosków z uzyskanych wyników opartych wyłącznie na zautomatyzowanym przetwarzaniu danych.

Rejestr czynności, klauzule i dokumenty – o czym przedsiębiorca powinien pamiętać przy wewnętrznej dokumentacji RODO dla sklepu internetowego?

Poza zewnętrzną dokumentacją, czyli tą udostępnianą klientowi, sklep internetowy musi również posiadać dokumentację wewnętrzną. Tworzy się ją z myślą o współpracujących z przedsiębiorstwem firmach czy pracownikach, w celu zapewnienia zgodnej z RODO działalności firmy. Do takiej dokumentacji należą m.in.:

• polityka bezpieczeństwa – polityka ochrony danych osobowych;
• polityka naruszeń ochrony danych osobowych;
• polityka reagowania na wnioski podmiotów danych;
• klauzule informacyjne – wzory klauzul dla różnych grup podmiotów i w razie potrzeby dostosowywane je do różnych kategorii odbiorców;
• analiza ryzyka i ocena skutków dla ochrony danych;
• umowy powierzenia danych osobowych (np. z zewnętrznymi firmami księgowymi, dostawcami narzędzi IT);
• upoważnienia do przetwarzania danych osobowych – wszyscy dopuszczeni do danych osobowych muszą mieć takie upoważnienie oraz muszą być zobowiązani do zachowania poufności;
• rejestr osób, które są upoważnione do przetwarzania danych osobowych;
• instrukcja zarządzania systemami informatycznymi – np. jak robić kopie zapasowe, jakie stosować hasła, jak używać w sposób bezpieczny systemów informatycznych;
• rejestr czynności przetwarzania oraz kategorii czynności przetwarzania danych osobowych.

Powyższy katalog ma częściowo charakter przykładowy. Dokumentacja wewnętrzna powinna być dostosowana do konkretnego przedsiębiorstwa i jego specyfiki. Zakres dokumentacji może być nieco inny w zależności od branży, w jakiej działa firma, a także skali tej działalności. Z tego względu warto jest przeprowadzić tzw. audyt ochrony danych osobowych w firmie.

Audyt RODO

Audyt RODO w firmie, czyli audyt ochrony danych osobowych, polega na kompleksowym zbadaniu całości działania firmy pod kątem bezpieczeństwa przetwarzania danych osobowych. W trakcie audytu należy przeanalizować poszczególne elementy działalności i zbadać, w jaki sposób zbierane są dane osobowe i w jaki sposób następnie są one przetwarzane czy wprowadzone są odpowiednie okresy retencji danych i czy dane osobowe są po tych okresach usuwane. W ramach audytu konieczne jest przeanalizowanie dokumentów stosowanych w firmie – zarówno dokumentów z zakresu ochrony danych osobowych, ale także innych, dotyczących ogólnych kwestii, a także sprawdzenie strony internetowej firmy oraz weryfikacja stosowanych w firmie narzędzi i praktyk.  Celem audytu jest ocena całości działalności firmy pod kątem zapewnienia należytej ochrony danych osobowych. Dopiero po przeprowadzeniu audytu można stwierdzić, jaką dokumentację RODO (zarówno wewnętrzną, jak i skierowaną do klientów i kontrahentów) dana firma powinna wdrożyć.

Zapewnić klientowi komfort

W całej operacji wdrażania RODO w witrynie internetowej, jaką jest sklep internetowy, chodzi nie tylko o samo przestrzeganie przepisów, ale przede wszystkim o to, do czego to ono prowadzi, a mianowicie do poczucia bezpieczeństwa klienta, który odwiedza naszą stronę. Dlatego tak istotna jest jasność komunikatu, unikanie zgubienia się w bełkotliwej treści przepisu, a w jej miejsce oferowanie klarownych i zrozumiałych informacji. Klient musi z łatwością móc odnaleźć się na stronie – nie tylko w celu znajdowania interesujących go towarów, ale także w wypadku, jeśli szuka informacji o administratorze, wzoru reklamacji czy odstąpienia od umowy. Musi mieć jasny przekaz na co się zgadza oraz wprost podaną możliwość braku wyrażenia zgody. Administrator sklepu internetowego musi nie tylko zadbać o obecność na stronie wszystkich wymaganych przepisów, lecz przede wszystkim zapewnić, formą przekazania, ich użyteczność i dostępność. 

Artykuł RODO dla sklepu internetowego – jak zabezpieczyć się w branży e-commerce? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

                Branża e-commerce przez ostatnie lata musiała najpierw „znaleźć wspólny język” z RODO, następnie konieczne było wdrożenie odpowiednich przepisów wprowadzanych wraz z dyrektywą Omnibus i idącymi z nią dyrektywami towarową i cyfrową. Wreszcie 10 listopada 2024 r. w Polsce zaczęło obowiązywać, z opóźnieniem w stosunku do UE, Prawo komunikacji elektronicznej, które według wielu ekspertów miało wiele zmienić, między innymi w działaniach marketingowych sklepów internetowych. Jak zatem faktycznie wygląda prawna sytuacja? Na ile można pozwolić sobie w procesie zdobywania nowych klientów? Co jest dozwolone, a co bezwzględnie zakazane? Czy naprawdę nastąpił przełom w przepisach dotyczących ochrony odbiorców działań marketingowych?

Prowadzenie marketingu sklepu internetowego tak, aby nie naruszyć prawa

Wydaje się, że przedsiębiorcy, którzy działają w branży e-commerce, są dość otoczeni różnymi przepisami ograniczającymi prawnie ich działania marketingowe. Obawy firm, jakie towarzyszyły wprowadzaniu RODO, wiązały się z restrykcjami, które miały utrudniać ich rozwój i zdobywanie nowych klientów. Podobnie dzieje się ponad pięć i pół roku później, kiedy w Polsce wchodzi w życie Prawo komunikacji elektronicznej. Surowość tych przepisów, według których do jakichkolwiek kontaktów marketingowych niezbędna jest uprzednia zgoda odbiorcy, jest komentowana niemal jako stojąca ponad RODO.

W czasach obecnych marketing bezpośredni, newslettery, programy lojalnościowe czy targetowane kampanie reklamowe stały się integralną częścią marketingu w branży e-commerce. Trudno oczekiwać, żeby musiała ona zupełnie zrezygnować z niektórych praktyk, choć niewątpliwie nowe przepisy zmuszają do ponownego przemyślenia niektórych strategii marketingowych. Technologia z pewnością będzie jednak podążać jak zwykle za potrzebami, ułatwiając dalszy rozwój przy jednoczesnym działaniu zgodnym z prawem. Z drugiej strony, choć prawo do prywatności podlega bezspornie ochronie cywilistycznej dóbr osobistych, to praktyka życiowa i działalność sądów sprawiają, że przedsiębiorcy niejednokrotnie pewne ryzyka akceptują w kontaktach marketingowych z klientami. Wydaje się, że w praktyce rynek z pewnością znajdzie swoją drogę do funkcjonowania.

Ochrona danych osobowych – RODO a marketing e-commerce

Przedsiębiorca, który zamierza przetwarzać dane osób, których dane dotyczą, w działaniach marketingowych, powinien po pierwsze kierować się głównymi zasadami wynikającymi z RODO. Zgodnie z zasadą przejrzystości, której funkcjonowanie można znaleźć w art. 12-22, należy:

·         udzielać wszystkich niezbędnych informacji osobom, których dane dotyczą na temat przetwarzania ich danych – w sposób łatwo dostępny, zwięzły, jasny, jednoznaczny i zrozumiały;

·         komunikacja z osobami, których dane dotyczą, powinna być jasna i przejrzysta;

·         udzielać stosownych informacji przed rozpoczęciem operacji przetwarzania danych, a także w trakcie i po jej zakończeniu;

Wszelkie dane mają być przetwarzane w sposób rzetelny i zgodny z prawem. Zasada celowości mówi natomiast, że wszystkie dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b). Ta zasada wiąże się oczywiście z obowiązkiem informacyjnym każdego administratora. Nie można zatem np. zbierać danych w celu przesyłania newslettera, a następnie wykorzystać ich w celu ich profilowania. Cele przetwarzania muszą być określone w sposób jasny i precyzyjny. Ten sam przykład można przywołać w kontekście zasady minimalizacji danych, które powinny być przetwarzane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne.

Przetwarzane dane muszą być przechowywane zgodnie z zasadą ograniczenia przechowywania, czyli nie dłużej niż jest to konieczne dla osiągnięcia celu. Poza tym administrator musi zapewnić osobom, których dane dotyczą, ich prawo do dostępu do danych, sprostowania, usunięcia oraz sprzeciwu wobec przetwarzania danych. To znaczy np. rezygnacja powinna być równie prosta i szybka jak wyrażenie zgody.

Dane osobowe muszą być przetwarzane według jednej z podstaw przetwarzania danych, które oferuje RODO, co w kontekście marketingu internetowego wiążę się przede wszystkim z uzyskaną zgodą lub uzasadnionym interesem administratora. Co do przetwarzania na podstawie zgody, to wiemy, że nie może ona budzić wątpliwości. A mianowicie zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Natomiast zgoda na podstawie uzasadnionego interesu administratora służy za podstawę przetwarzania danych głównie aktualnych klientów. Przedsiębiorcy wykorzystują jednak często tę możliwość do pozyskiwania nowych klientów. W takim wypadku administratorzy muszą wykonać tzw. test uzasadnionego interesu prawnego.

Czym jest test uzasadnionego interesu prawnego?

Przedsiębiorcy, którzy chcą przetwarzać dane np. klientów potencjalnych, na podstawie art. 6 ust. 1 lit. f, czyli uzasadnionego interesu administratora, muszą przeprowadzić test uzasadnionego interesu prawnego, to znaczy:

·         test celowości – ustalenie, jaki ma być cel przetwarzania danych i czy jest on zgodny z prawem;

·         test niezbędności – ustalenie czy przetwarzanie danych jest niezbędne do osiągnięcia wskazanego celu;

·         test równowagi – ustalenie czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem, nie mają nadrzędnego charakteru wobec interesów administratora danych;

·         oceniony został wpływ na prawa lub wolności osoby fizycznej – ustalenie czy przetwarzanie rodzi ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.  

W teście równowagi, który wydaje się kluczowy, należy uwzględnić naturę przetwarzanych danych i uzasadnione oczekiwania. Przypomnijmy, że możliwość przetwarzania danych w oparciu o uzasadniony interes prawny jest uzależniona od istnienia istotnego i odpowiedniego rodzaju powiązania między odbiorcą komunikatu marketingowego, a jego nadawcą. Upraszczając na przykładzie – czym innym byłoby oferowanie szkoleń informatycznych dla konkretnie sprecyzowanej grupy programistów (firmy zatrudniającej takich pracowników), a czym innym ogólna oferta sprzedaży sprzętu kuchennego prezentowana przeciętnemu użytkownikowi. Wykazanie istnienia powiązania w ostatnim wskazanym przypadku może być co najmniej trudne, a czasem niemożliwe.

Uczciwość przedsiębiorcy a nieuczciwa konkurencja – fałszywe obniżki i kupowanie opinii

Przepisy implementujące do polskiego porządku prawnego regulacje wynikające z Dyrektywy Omnibus obowiązujące od stycznia 2023 r. nałożyły na przedsiębiorców nowe obowiązki, dotyczące w dużej mierze branży e-commerce. Pierwszym z nich jest obowiązek prawidłowego informowania o cenach w celu przeciwdziałania nieuczciwym praktykom rynkowym:

·         wszystkie produkty lub usługi objęte promocją, które są oferowane w sprzedaży w czasie krótszym niż 30 dni, mają posiadać obok obniżonej ceny, również tę najniższą, jaka obowiązywała w okresie rozpoczęcia oferowania towaru lub usługi aż do dni wprowadzenia obniżki.

Zasada ta ma uniemożliwić stosowanie nieuczciwych promocji – w tym sztucznego podwyższania ceny tuż przed rozpoczęciem obniżki, a przez to wprowadzania w błąd konsumentów.   

Drugim ważnym aspektem, którym zajęła się dyrektywa Omnibus, są opinie o sklepie. Nieuczciwe praktyki sprowadzały się do kupowania opinii w internecie w celu zwiększenia wiarygodności firmy i budowania w ten sposób swojej marki, przy jednoczesnym wprowadzaniu konsumentów w błąd. Dlatego też sprzedawca jest zobowiązany do poinformowania, czy publikowane na jego portalu opinie są przez niego weryfikowane, czy też nie. W przypadku odpowiedzi pozytywnej, sprzedawca powinien dołożyć należytej staranności, aby publikacja opinii osób, które faktycznie nabyły dany produkt. 

Prawo w marketingu 2.0 – Prawo komunikacji elektronicznej a marketing bezpośredni

Od 10 listopada 2024 r. w Polsce obowiązuje Prawo komunikacji elektronicznej, które zastąpiło Prawo telekomunikacyjne, a także częściowo ustawę o świadczeniu usług drogą elektroniczną. Nowe prawo stanowi wdrożenie tzw. dyrektywy EKŁE, czyli Europejskiego kodeksu łączności elektronicznej. Głównym jej celem, który wiążę się z branżą e-commerce, jest poprawienie bezpieczeństwa oraz sytuacji konsumentów.

Wszelkie korzystanie z automatycznych systemów wywołujących, czyli oprogramowania, które automatycznie generuje i wybiera numery telefonów jest zabronione i użycie uch będzie traktowane jako czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy o zwalczaniu nieuczciwej konkurencji (z dnia 16 kwietnia 1993 r.). Skupiając się na sferze działań marketingowych największej zmianie, o jakiej się mówi, stanowi przede wszystkim konieczność zebrania zgody od konsumenta jeszcze przed podjęciem działań dotyczących marketingu bezpośredniego. W praktyce ma to nie tyle ograniczyć, co wręcz uniemożliwić tzw. cold mailing czy cold calling, na co przedsiębiorcy znajdowali furtkę w przepisach RODO. 

Te „skłócenie” dwóch przepisów prawnych niekoniecznie jednak spowoduje aż taką rewolucję w sferze marketingu e-commerce, o jakiej w dyskusjach eksperckich się mówi. Tak jak obecnie branża internetowe działa w tej sferze często na zasadzie niepisanych, a powszechnie przyjętych praktyk, tak być może stanie się również w kontekście PKE. Nie tylko przecież przedsiębiorcom marketing przynosi korzyści. Konsumenci także przyzwyczajeni są już przecież do otrzymywania ofert przypisanych konkretnie do ich potrzeb i oczekiwań. Skuteczność ostrzejszych przepisów będzie mimo wszystko głównie od działań organu odpowiedzialnego za realizację przepisów PKE.

Pobieranie zgody od konsumenta w poszanowaniu polskiego prawa

Prawo komunikacji elektronicznej skupia także na samym procesie pobierania zgody od konsumenta do działań marketingu bezpośredniego (model opt-in). Położony zostaje nacisk na właściwości udzielanej zgody, o których wcześniej już pisałem, a przede wszystkim jej świadome, jednoznaczne i dobrowolne udzielenie. Tutaj oprócz działań marketingowych, typu: newsletter, powiadomienia sms, kluby lojalnościowe czy inne kampanie, które wymagają zgody konsumenta na otrzymywanie informacji handlowych, podkreślony zostaje sposób pobierania zgody na przetwarzanie danych za pomocą np. plików cookies. Wszystkie zapytania o zgody powinno się umieszczać na jednej belce, tak aby konsument nie musiał przedzierać się przez kolejne podstrony. Wyrażenie zgody na wykorzystanie danych nie może być domyślnie zaznaczone, aby nie wpływać na decyzję konsumenta. Taka zgoda nie może być też warunkiem do skorzystania ze strony internetowej. 

Ponadto na każdy kanał komunikacji z konsumentem powinna być osobna zgoda, tak aby nie „zaszywać” pod zgodą na otrzymywanie newslettera, zezwolenia na inne działania marketingowe. Wyrażona zgoda musi być jednoznaczna i dobrowolna. Jednym ze sposobów jest wykorzystanie tzw. checkboxów, należy jedynie pamiętać, żeby nie zaznaczać domyślnie opcji wyrażenia zgody i akceptacji warunków.        

                Konsument powinien być również jasno informowany, jakie jego dane będą przetwarzane, prze kogo oraz jak długo. Musi mieć on również, jak to już wspominałem przy okazji RODO, równie prostą drogę do cofnięcia zgody lub rezygnacji, co podczas jej udzielania. 

Jakie są powszechnie przyjęte praktyki marketingowe – krucha granica między tym, co niedozwolone a zasadami prawa?

Na chwilę obecną wciąż dość powszechnie stosowany jest przez przedsiębiorców uzasadniony interes prawny jako podstawa przetwarzania danych w marketingu bezpośrednim. W teorii od 10 listopada praktyka cold mailingu lub cold callingu jest zabroniona przez PKE, w praktyce jednak trudno weryfikować, jak egzekwowane będą te przepisy. Potencjalna skala możliwości administracyjnego czy sądowego karania za ich łamanie, wydaje się przemawiać za tym, że przedsiębiorcy wciąż będą świadomie podejmować te ryzyko.

Wśród nieformalnych standardów stosowanych przez firmy działające w bezpośrednim marketingu można wymienić kilka przykładów, m.in.:

·         kontaktowanie się tylko z osobami, które mogłyby odnieść korzyść z nawiązania współpracy/sprzedaży (przywoływany przykład informatyków vs oferta sprzętu kuchennego dla przysłowiowego Nowaka);

·         kontakt nie częstszy niż 2-3 razy, a przy braku zainteresowanie, zakończenie prób;

·         odstępy co najmniej kilku dni między próbami kontaktu;

·         kontaktowanie się w dni robocze, najlepiej w godzinach pracy;

·         wysyłanie maili z ofertą na adresy mailowe nieosobowe, jak np. sekretariat@;

·         prowadzenie rozmów lub korespondencji mailowej w sposób nienachalny, a w razie wyrażenia sprzeciwu wobec przetwarzania danych osobowych, przerwanie kontaktu – dalszego przetwarzania danych do celów marketingowych.

Ochrona konsumenta – jak dbać o obowiązek informacyjny podczas działań marketingowych e-commerce?

Na temat obowiązku informacyjnego pisałem już w kilku miejscach, jednak warto tę kwestię uporządkować, gdyż jest to podstawowy obowiązek każdego administratora sklepu internetowego, który prowadzi działania marketingowe. Zadbanie o rzetelne informowanie konsumentów o przetwarzaniu ich danych osobowych w zgodności z RODO stanowi nie tylko wypełnienie kluczowych przepisów, ale również element strategii budowania relacji opartej na zaufaniu z klientami oraz samej marki sklepu.

                Najważniejsze będzie tu kierowania się zasadami w samym tekście RODO: przejrzystością, rzetelnością, prostotą przekazu i przede wszystkim jego jasnością. Tak powinna zostać napisana polityka prywatności – dokument, w którym zawarte powinny zostać wszystkie kwestie związane z przetwarzaniem danych osobowych. Link do polityki prywatności musi być widoczny i łatwo dostępny. Informacje najlepiej przedstawić w sposób klarowny i zwięzły, aby konsument otwierając plik nie stykał się z kilkustronicową ścianą tekstu.

                Wspominane już informowanie o używanych plikach cookies również powinno cechować się zwięzłością. Zgodnie z PKE dane na temat wykorzystywania popularnych „ciasteczek” powinny zostać wyświetlone na jednym banerze, gdzie również należy umieścić pytanie o zgodę na ich używanie. Trzeba w sposób klarowny wyjaśnić funkcjonalność poszczególnych plików cookies (np. analitycznych, marketingowych), a następnie umożliwić jak najprostszą formułę akceptowania lub jego braku. Oczywiście nie można zapominać o trzymaniu ręki na pulsie i stosownym aktualizowaniu wszelkich informacji czy zgód, aby były one adekwatne do aktualnych przepisów.

                W temacie obowiązku informacyjnego należy poza tym pamiętać o pełnym przedstawieniu wszelkich praw przysługujących osobom, których dane dotyczą – na czele z prawem cofnięcia zgody na przetwarzanie danych. W wypadku używania zautomatyzowanej formy marketingu opartej na profilowaniu konieczne jest, aby zebrać stosowne zgody i w sposób jasny poinformować konsumenta o podleganiu przez niego tej formie marketingu (zgodnie z art. 21 oraz 22 RODO). Musi mieć on możliwość podjęcia świadomej decyzji w tej kwestii. 

Artykuł Prawo w marketingu – jak zgodnie z przepisami prowadzić marketing w branży e-commerce? pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

W 1989 r. Gene Spafford, specjalista ds. bezpieczeństwa, powiedział: „Jedynym prawdziwie bezpiecznym systemem będzie ten, który pozbawimy zasilania, zatopimy w betonowym bloku i zamkniemy w ołowianym bunkrze pilnowanym przez uzbrojonych ochroniarzy. Jednak nawet w tym przypadku miałbym pewne wątpliwości…”.

Teza ta, pozostając aktualną, mimo upływu ponad 30 lat od jej postawienia, może powodować u przedsiębiorców swoisty dysonans poznawczy – czy przedsiębiorca może podjąć skuteczne działania prewencyjne dające gwarancję przestrzegania przepisów o ochronie danych osobowych, w sytuacji, gdy specjaliści od bezpieczeństwa niezmiennie na pytanie o ziszczenie się zagrożenia cyberbezpieczeństwa odpowiadają nie „czy” to nastąpi, ale „kiedy” to nastąpi.

Analiza ryzyka ma niezmiennie kluczowe znaczenie

Wskazane zagadnienie jest tym bardziej istotne, że konstrukcja przepisów o ochronie danych osobowych kreuje swoiste domniemanie winy przedsiębiorcy. Administrator jest bowiem odpowiedzialny za przestrzeganie przepisów i powinien być w stanie wykazać ich przestrzeganie. Dotyczy to również konieczności uzasadnienia stosowania odpowiednich środków technicznych i organizacyjnych.

Kilkuletnia praktyka stosowania przepisów z zakresu ochrony danych osobowych, potwierdzona orzecznictwem wojewódzkiego sądu administracyjnego w Warszawie oraz Naczelnego Sądu Administracyjnego[1], wskazuje, że odpowiedzialność administratora nie ma charakteru absolutnego. Nawet bowiem przy podjęciu adekwatnych środków bezpieczeństwa może dojść do naruszenia ochrony danych osobowych, a przedsiębiorca nie powinien być za to karany.

Należy bowiem pamiętać, że dobór odpowiednich środków technicznych i organizacyjnych powinien uwzględniać aktualny stan wiedzy technicznej, koszt wdrożenia danego rozwiązania oraz charakter, zakres, kontekst i cele przetwarzania. Wreszcie, dobór właściwych środków winien uwzględniać ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Kluczowe jest zatem przeprowadzenie analizy ryzyka, która pomoże przedsiębiorcy w podjęciu decyzji co do zastosowania danych środków. Oczywistym jest bowiem, że inne środki podejmie bank, szpital, sklep e-commerce, a inne samozatrudniony stale współpracujący z software housem.

W wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r., sygn.  II SA/Wa 2559/19, wskazano, że „(…) koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka.

Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki  i procedury, które będą adekwatne do oszacowanego ryzyka.”

Nie ma zatem wątpliwości co do tego, że analiza ryzyka jest w procesie doboru odpowiednich środków kluczowa.

Niemniej jednak dotychczasowa praktyka orzecznicza Prezesa Urzędu Ochrony Danych Osobowych stanowi bogate źródło wiedzy o środkach bezpieczeństwa, które w dużej mierze mają lub mogą mieć charakter uniwersalny. Oznacza to, że ich wdrożenie powinno być dla organizacji, w danym kontekście przetwarzania danych, w zasadzie obowiązkowe. Warto wiedzieć, jakie środki bezpieczeństwa uchodzą za swoisty standard.

Aktualizacja oprogramowania nie jest truizmem

W trakcie audytów bezpieczeństwa nie bez przyczyny jak mantra pada pytanie, czy administrator korzysta wyłącznie z bieżąco aktualizowanego oprogramowania. Odkładanie w czasie aktualizacji oprogramowania lub korzystanie z oprogramowania, które nie jest już wspierane przez producenta, może prowadzić do poważnych konsekwencji. Takie nieakceptowalne sytuacje wciąż niejednokrotnie się zdarzają, o czym świadczą wydane przez PUODO decyzje administracyjne.

W decyzji administracyjnej z dnia 23 czerwca 2022 r., sygn. DKN.5131.11.2022, wskazano, że:

„Administrator nie przewidział jednak zastępowania systemów operacyjnych ani innych systemów wykorzystywanych do przetwarzania danych osobowych, które utraciły już wsparcia ich producenta, systemami, które takie wsparcie posiadają z dokonanych ustaleń wynika, że to właśnie poprzez nieposiadający wsparcia producenta system operacyjny urządzenia służącego do wydawania kluczy (e-dozorca), tj.[…], nastąpiło przełamanie zabezpieczeń przez złośliwe oprogramowanie”.

Z dalszej treści decyzji wynika, że administrator danych osobowych zaniedbał aktualizacji nie tylko jednego oprogramowania: „W raporcie wskazano też na błędy, które przyczyniły się do wystąpienia naruszenia, tj.: na „podpięciu e-dozorcy do głównego vlanu sieci LAN Urzędu Miasta O. (…)” oraz „przy zakupie rozwiązania e-dozorcy nie sprawdzono specyfikacji produktu (można było wymusić na producencie aktualizację systemu operacyjnego oraz instalację systemu antywirusowego)”. Wskazać należy, że ww. system utracił podstawowe wsparcie producenta w dniu […] stycznia 2011 r., natomiast świadczenie usługi wsparcia rozszerzonego dobiegło końca w dniu […] stycznia 2016 r. W toku postępowania ustalono jednak, że system […] nie był jedynym systemem informatycznym używanym przez Administratora, który nie posiadał wsparcia jego producenta. Kolejnym oprogramowaniem stosowanym w Urzędzie Miasta O. bez takiego wsparcia był system operacyjny […]. Wskazać należy, że ww. system stracił wsparcie producenta w dniu […] stycznia 2020 r. ([…]). Oznacza to, że od dnia […] stycznia 2016 r. (w przypadku systemu […]) i od dnia […] stycznia 2020 r. (w przypadku systemu […]), zgodnie z informacjami podanymi przez producenta oprogramowania, dla tych systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek.”

Z kolei w decyzji administracyjnej z dnia 11 stycznia 2021 r., sygn. DKN.5130.2815.2020, wskazano, że: „(…) stwierdzono, że do pracy wykorzystywano system operacyjny E, dla którego zgodnie z informacją podaną na stronie producenta termin wsparcia technicznego zakończył się […] stycznia 2020 r. (https:// […]) oraz system baz danych B, dla którego wsparcie techniczne zakończono […] lipca 2019 r. (https:// […]). Oznacza to, że od tego momentu zgodnie z informacjami podanymi przez producenta oprogramowania dla ww. systemów nie były wydawane aktualizacje oprogramowania oraz aktualizacje zabezpieczeń i poprawek. Wobec braku zastosowania przez administratora danych innych środków technicznych i organizacyjnych mających na celu zminimalizowanie ryzyka naruszenia bezpieczeństwa danych w związku z zakończeniem wsparcia przez producenta oprogramowania używanego przez Spółkę do przetwarzania danych osobowych, stwierdzić należy, że Spółka nie zapewniła odpowiedniego zabezpieczenia danych przetwarzanych przy ich użyciu”.

Powyższe przykłady potwierdzają, że podstawą bezpieczeństwa niezmiennie pozostaje używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury teleinformatycznej.

Korzystanie z systemów operacyjnych, w tym z tych najpopularniejszych, które były przedmiotem decyzji, oraz systemów informatycznych służących do przetwarzania danych osobowych po zakończeniu wsparcia technicznego przez ich producenta w sposób istotny obniża ich poziom bezpieczeństwa, zwiększając podatność na cyberataki. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko infekcji za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach.

Wieloskładnikowe uwierzytelnienie jako standard przy dostępie do baz danych

Co prawda decyzja z dnia 10 września 2019 r., sygn. ZSPR.421.2.2019, dotycząca spółki Morele, została uchylona przez NSA w bieżącym roku, to bez wątpienia zawarte w niej tezy odnoszące się do adekwatnego standardu bezpieczeństwa pozostają aktualne. Była to bowiem pierwsze decyzja, w której PUODO wprost wskazał, jaki punkt odniesienia należy przyjąć w kontekście doboru adekwatnych środków bezpieczeństwa, ale również jak należy ograniczyć dostęp do baz danych, w których przetwarzane są dane osobowe. Przedstawiając środki bezpieczeństwa oczami PUODO, nie można pominąć tej decyzji, która jawi się jako kanon.

W rzeczonej decyzji PUODO wskazał m.in., że: „kontrola dostępu i uwierzytelnianie to podstawowe środki bezpieczeństwa mające na celu ochronę przed nieautoryzowanym dostępem do systemu informatycznego wykorzystywanego do przetwarzania danych osobowych. Zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa, na którą wskazuje m.in. norma PN-EN ISO/IEC 27001:2017-06.

Wskazówek konkretyzujących w tym przedmiocie dostarczają obowiązujące standardy i normy, w szczególności normy ISO, które ulegają również ciągłym przeglądom i zmianom warunkowanym postępem technologicznym.

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r.[1] z uwzględnieniem ww. normy (w wersji z 2013 r.) oraz przepisów rozporządzenia 2016/679, w ramach kontroli dostępu i uwierzytelniania rekomenduje stosowanie mechanizmu uwierzytelnia dwuetapowego dla systemów obejmujących dostęp do danych osobowych.”

W dalszej części rozstrzygnięcia organ nadzorczy uwypuklił znaczenie wieloskładnikowego uwierzytelnienia oraz potwierdził znaczenie takich standardów bezpieczeństwa jak OWASP czy NIST: „Fundacja OWASP, międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania, w swoim dokumencie „OWASP Top 10 – 2017”[2], przedstawia listę największych zagrożeń dla aplikacji internetowych wraz z metodami zapobiegania im. Jednym z nich jest przełamanie środka uwierzytelniającego (najczęściej jednoetapowego). Jako środek zapobiegawczy rekomendowane jest stosowanie wieloetapowego uwierzytelniania jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń. (…) Również ten dokument, jak i przytoczona wyżej norma odwołują się do opracowania amerykańskiej agencji federalnej – Narodowego Instytutu Standaryzacji i Technologii (ang. National Institute of Standards and Technology, NIST) dokumentu – „NIST 800-63B: Wytyczne dotyczące tożsamości cyfrowej: uwierzytelnianie i zarządzanie cyklem życia aplikacji” (ang. Digital Identity Guidelines: Authentication and Lifecycle Management)”.

Choć decyzja odnosiła się do uwierzytelnienia przy dostępie do baz danych, to z pewnością administratorzy danych osobowych powinni stosować lub co najmniej rozważyć stosowanie dwuskładnikowego uwierzytelniania również w innych przypadkach takich jak: logowanie do poczty służbowej, logowanie do wewnętrznych komunikatorów, umożliwienie swoim użytkownikom dwuskładnikowego uwierzytelnienia do kont w podmiotach e-commerce.

Hasło (nie) należy zmieniać

Dotychczas wydane decyzje administracyjne zawierają także wskazówki co do tego, jakich algorytmów nie należy stosować w kontekście dodatkowego zabezpieczania haseł. W decyzji z 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, Prezes Urzędu Ochrony Danych osobowych stwierdził, że: „Zastosowanie funkcji skrótu opartej na algorytmie MD5 (bez dodatkowych technik zabezpieczających) oraz ograniczenie złożoności zabezpieczanego w ten sposób hasła (…) stanowi niewystarczający środek techniczny, co stanowi o naruszeniu art. 32 ust. 1 rozporządzenia 2016/679. Słabość algorytmu MD5 jest powszechnie znana, a jego stosowanie w obecnych systemach teleinformatycznych niezalecane. Dodatkowo, mimo stosowania złożoności hasła w ww. zakresie, zastosowany algorytm wpływa na obniżenie czasochłonności uzyskania pierwotnej treści hasła.”

Podobnie orzekł francuski organ nadzorczy, uznając, że przechowywanie haseł do kont w bazie produkcyjnej w formie zaszyfrowanej za pomocą funkcji MD5 nie jest akceptowalne.

Korzystanie z tego typu funkcji jest zatem obarczone dużym ryzykiem.

PUODO w swoich materiałach edukacyjnych wskazuje również, że zmiana haseł w świetle aktualnych standardów bezpieczeństwa, nie jest wskazana[2]. Takie podejście zgodne jest ze stanem aktualnej wiedzy potwierdzanym przez różnego rodzaju instytucje i organizacje zajmujące się bezpieczeństwem. W tym kontekście warto przywołać rekomendacje CERT Polska dotyczące zasad uwierzytelniania użytkownika, które obejmują m.in. zasady tworzenia i (braku) zmiany haseł[3].

Zawierają one m.in. rekomendacje stosowania bezpiecznego algorytmu hashującego do przechowywania haseł (np. Argon2, Bcrypt), brak wymuszania okresowej zmiany haseł użytkowników (chyba że zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione), minimalną długość hasła na co najmniej 12 znaków, zalecenie wsparcia dla uwierzytelnienia dwuskładnikowego oraz wyświetlenie użytkownikowi wskaźnika szacującego siłę nowo tworzonego hasła.

Stosowanie opisanych rekomendacji w odniesieniu do mechanizmów uwierzytelnienia z pewnością powinno być coraz bardziej powszechne.

Logi i ich monitorowanie

Praktycznym problemem, z jakim zmagają się przedsiębiorcy, nie tylko z branży IT, jest to, jakie zasady należy stosować przy zbieraniu logów, a przede wszystkim czas ich przechowywania. Jest to istotne zagadnienie, ponieważ logi umożliwiają ustalenie tego, jakie działania nastąpiły w systemie informatycznym, a przede wszystkim to, który użytkownik wykonał daną akcję. Ustalenie tego nie tylko może być przydatne w przypadku wystąpienia naruszenia ochrony danych, ale wręcz jest wymagane jako element rozliczalności.

Przedsiębiorcy nie są skłonni do nadmiernego przechowywania logów, bo zajmują one bardzo wiele przestrzeni dyskowej, a jej utrzymywanie jest kosztogenne.

W tym kontekście pewną wskazówką może być decyzja z dnia 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, gdzie wskazano, że:  „W niektórych przypadkach ustalenie, czy doszło do ujawnienia danych osobowych, może wymagać czasu. Biorąc pod uwagę okoliczności, w jakich Administrator dowiedział się o naruszeniu (informacja od podmiotu trzeciego) oraz zebrany materiał dowodowy i ustalony na jego podstawie stan faktyczny, nie można stwierdzić, iż administrator wdrożył odpowiednie środki techniczne i organizacyjne pozwalające na szybkie wykrycie i zbadanie incydentu w celu ustalenia, czy faktycznie i w jaki sposób doszło do naruszenia ochrony danych osobowych, a jeżeli tak – podjąć działania zaradcze  i, w razie konieczności, zgłosić naruszenie i zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych. Uprawniona nawet wydaje się konstatacja, że administrator nie dokonałby stwierdzenia naruszenia bez sygnału od podmiotu trzeciego, a niektóre ustalenia dokonane we Wstępnej analizie powłamaniowej byłyby niemożliwe, chociażby przez nieprzeanalizowanie zasadności 4-tygodniowego przechowywania logów (dzienników zdarzeń) maszyny wirtualnej. Dopiero po naruszeniu, w wyniku rekomendacji zawartej w ww. analizie, administrator zmienił dotychczasową praktykę i wydłużył okres przechowywania logów do […] tygodni.”

W okolicznościach niniejszej sprawy istotnym było to, że przedsiębiorca nie tylko nie monitorował logów, ale także przechowywał je przez zbyt krótki czas. Wyprowadzanie uniwersalnych, daleko idących wniosków, na kanwie opisanej sprawy byłoby zbyt dalekim uproszczeniem, niemniej jednak odnotować należy, że z decyzji wynika konieczność przeprowadzenia wnikliwej analizy zasadności przechowywania logów przez okres dłuższy niż 4 tygodnie.

Przepisy ogólnego rozporządzenia dotyczącego ochrony danych osobowych nie zawierają kanonu środków bezpieczeństwa. Nie wynika z nich również wprost i bezpośrednio obowiązek szkolenia własnych pracowników. Taki obowiązek jednak istnieje, a wyprowadzić go można z ogólnych obowiązków administratorów, co potwierdza praktyka orzecznicza.

Potwierdzenie powyższego znaleźć można w decyzji PUODO z 1 czerwca 2022 r., sygn. DKN.5131.2.2022, gdzie wskazano, iż „Przeprowadzanie szkoleń z zakresu ochrony danych osobowych, aby mogło zostać uznane za adekwatny środek bezpieczeństwa, musi bowiem być realizowane w sposób cykliczny, co zapewni stałe przypominanie, a w konsekwencji utrwalenie, zasad przetwarzania danych osobowych objętych szkoleniem”. Organ nadzorczy nie tylko potwierdził, że szkolenie jest istotnym środkiem zwiększającym bezpieczeństwo przetwarzanych danych, ale także podkreślił konieczność podejmowania w tym zakresie cyklicznych działań.

Interesujący wniosek płynie również z decyzji PUODO z dnia 9 grudnia 2021 r., sygn. DKN.5130.2559.2020, w której stwierdzono, że: „Nie można bowiem uzasadniać wskazywanych zabezpieczeń jako adekwatnych do ryzyka, wskazując na scenariusz działania sprawcy wykraczający poza schemat przyjęty w ocenie ryzyka, nie przedstawiając ku temu żadnych dowodów (analiza ryzyka). Trudno mówić o przyjmowaniu pewnych założeń dotyczących zagrożeń, nie przeprowadzając pełnego formalnego audytu systemu, w tym testów penetracyjnych, nie mając tym samym świadomości, jakie możliwości ma osoba uzyskująca nieuprawniony dostęp do systemu informatycznego. Należy wyraźnie podkreślić, że analizując ryzyko, w przyjmowanych scenariuszach (wektorach potencjalnego ataku), należy mieć świadomość, jakie realne możliwości ma atakujący, uwzględniając m.in. metody socjotechniczne, stan wiedzy technicznej, fizyczne aspekty bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, przy czym wspomnianego atakującego należy rozpatrywać zarówno z punktu widzenia osoby nieznającej organizacji administratora oraz jej infrastruktury informatycznej, jak również osoby, która wiedzę tę posiada”.

Organ zasugerował bowiem, że w pewnych przypadkach przeprowadzenie testów penetracyjnych nie powinno być traktowane w kategoriach zbędnego kosztu, a wręcz powinno mieć charakter obowiązkowy.

Dotychczas wydane decyzje administracyjne zawierają kompendium wiedzy co do akceptowalnego w danym kontekście przetwarzania danych osobowych zakresu możliwych do zastosowania środków technicznych i organizacyjnych. I choć nie można zapominać, że w okolicznościach danej sprawy zawsze istotne jest przeprowadzenie analizy ryzyka, to szereg wniosków płynących z przywołanych w artykule decyzji można traktować w kategoriach istotnego punktu odniesienia.

[1] Wyrok NSA z dnia 9 lutego 2023 r., sygn. akt III OSK 3945/21 w sprawie Morele czy wyrok WSA w Warszawie w sprawie Virgin Mobile (II SA/Wa 272/21 – Wyrok WSA w Warszawie).

[2] https://techinfo.uodo.gov.pl/hasla-praktyczne-wskazowki-czy-naprawde-trzeba-zmienic-haslo-co-30-dni/

[3] https://cert.pl/posts/2022/01/rekomendacje-techniczne-systemow-uwierzytelniania/

Artykuł Środki techniczne i organizacyjne według polskiego organu nadzorczego pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Privacy be design a privacy by default

Ochrona danych w fazie projektowania, czyli privacy by design, polega na tym, że administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą (zob. art. 25 ust. 1 RODO). Innymi słowy, administrator planując i wdrażając określony proces dba o odpowiedni poziom zabezpieczenia danych osobowych już od samego początku każdego procesu oraz w czasie, gdy został on już wdrożony.

Natomiast privacy by default oznacza, że administrator ma zapewnić, aby istniał domyślny standard ochrony danych osobowych. Domyślnie przetwarzane miałyby być wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. W szczególności środki te zapewniają, żeby domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych[2]. Domyślna ochrona danych ma działać w trakcie przetwarzania i skutecznie chronić dane osobowe, pomagając przestrzegać administratorowi obowiązki określone w art. 25. RODO.   

Ochrona danych w fazie projektowania – o co tak naprawdę chodzi?

Aby ochrona była skuteczna wszelkie środki i zabezpieczenia należy skonstruować i przygotować jeszcze przed podjęciem procesu przetwarzania. Co to oznacza? Jeżeli planujesz wdrożyć nowe rozwiązanie informatyczne albo masz pomysł na całkiem nowy program informatyczny lub zmiany w już istniejącym to zanim przystąpisz do jego realizacji najpierw zastanów się czy i jak będzie się on wiązał z przetwarzaniem danych osobowych. Następnie tak zaplanuj i zorganizuj swoje działania, aby we właściwy sposób zabezpieczyć to przetwarzanie. Organizacja działań powinna dać możliwość utworzenia solidnych zabezpieczeń, a także analizę potencjalnych zagrożeń oraz zmian, które umożliwiłyby wdrożenie dodatkowych środków w celu zminimalizowania ryzyka.

Co należy wziąć pod uwagę przy planowaniu odpowiednich zabezpieczeń?

W art. 25 ust. 1 RODO zostały wymienione elementy, które administrator musi uwzględnić przy określaniu środków dotyczących konkretnej operacji przetwarzania. Wszystkie te elementy pomagają ustalić czy wybrany środek będzie odpowiedni dla  skutecznego wdrożenia zasad. Z tego względu każdy z tych elementów nie stanowi celu samego w sobie, ale jest jednym z czynników, które należy uwzględnić łącznie, aby osiągnąć cel[3]. Spróbujemy zatem przyjrzeć się im bliżej. Będą to:

– stan wiedzy technicznej;

– koszt wdrażania;

– charakter, zakres, kontekst i cele przetwarzania;

– ryzyko naruszenia praw i wolności osób fizycznych.

Typowo, powyższe czynniki, będą przedmiotem analizy ryzyka, która pozwoli ustalić, które środki techniczne i organizacyjne faktycznie powinny zostać wdrożone.

Stan wiedzy technicznej, czyli musisz trzymać rękę na pulsie

Przepis art. 25 RODO nakłada obowiązek na administratorów, aby śledzili oni postęp w zakresie technologii, jakie znajdują się na rynku. Powinni śledzić zmiany i dostosowywać zaprojektowaną już ochronę, aktualizować zabezpieczenia i dokonywać ponownej analizy ryzyka. Jak zauważa EROD, pojęcie „stanu wiedzy technicznej” jest pojęciem dynamicznym, więc przygotowanie zabezpieczeń przez administratora nie może mieć charakteru jednorazowego w określonym czasie, ale poprzez śledzenie zmian powinien on stale dostosowywać zastosowane środki technologiczne. Mówiąc wprost – brak śledzenia zmian może skutkować brakiem zgodności z art. 25 RODO. Ponadto warto zauważyć, że termin ten nie wiąże się jedynie ze środkami technologicznymi, ale również może znaleźć zastosowanie w środkach organizacyjnych, jak np. organizacji szkoleń w zakresie technologii, bezpieczeństwa i ochrony dla pracowników zaangażowanych w ochronę danych osobowych.

Przykład:

Software House zaprojektowało aplikację, w której wykorzystywana jest technologia oparta o szyfrowanie. Po pewnym czasie okazało się, że zastosowane szyfrowanie stało się przestarzałe i jest łatwe do obejścia. W tej sytuacji SH ponownie przeprowadza analizę ryzyka i wdraża nowy rodzaj szyfrowania, oparty o najnowszy stan wiedzy technicznej.

Koszty wdrożenia proponowanych rozwiązań

Wymieniona w art. 25 przesłanka kosztów wdrażania nie zmusza administratora do wydatkowania nieproporcjonalnie dużych zasobów, o ile tylko istnieją jakiekolwiek inne, bardziej ekonomiczne, które zapewnią równie skuteczne środki. Jednak wybrane środki muszą zapewniać, aby czynność przetwarzania danych przewidziana przez administratora nie odbyła się z naruszeniem zasad, niezależnie od kosztów[4]. Powinien on zarządzać kosztami w taki sposób, żeby skutecznie dobrać środki zapobiegające utraty ochrony danych osobowych.

Charakter, zakres, kontekst i cele przetwarzania

     Podczas projektowania ochrony danych administrator powinien brać pod uwagę charakter, zakres, kontekst i cele przetwarzania danych. Wiążą się one nie tylko z art. 25 RODO, ale również art. 24 – obowiązkami administratora, art. 32 – bezpieczeństwem przetwarzania oraz art. 35 – przeprowadzeniem kwalifikowanej analizy ryzyka, czyli oceny skutków dla ochrony danych. Ww. czynniki to cechy, które wiążą się z danym przetwarzaniem danych osobowych. Charakter przetwarzania oznacza jego cechy, takie jak np. ciągłość, powtarzalność, albo przeciwnie – incydentalność. Zakres oznacza wielkość i zasięg przetwarzania danych, natomiast kontekst to dodatkowe okoliczności, które mogą mieć wpływ na ocenę danej operacji przetwarzania. Cele przetwarzania danych również powinny mieć wpływa na to, w jaki sposób będziemy projektować ochronę tych danych.

Przykład

Inaczej będziemy projektować zasady ochrony danych osobowych w przypadku aplikacji służącej do przetwarzania badań diagnostycznych pacjentów, gdzie pacjent będzie mógł mieć dostęp do wszystkich swoich aktualnych i archiwalnych wyników badań, a inaczej w przypadku tworzenia aplikacji zwykłego sklepu internetowego, gdzie sprzedawana jest przykładowo odzież. W pierwszym przypadku mamy do czynienia z przetwarzaniem w sposób ciągły (charakter przetwarzania) danych osobowych wrażliwych – dotyczących zdrowia (kontekst przetwarzania), w szerokim zakresie (potencjalnie wszystkie badania diagnostyczne pacjenta) w celu zapewnienia pacjentowi dostępu do wyników (cel przetwarzania). Natomiast w przypadku przetwarzania danych w sklepie internetowym celem przetwarzania będzie umożliwienie zakupów, dane będą przetwarzane w zakresie wąskim i będą miały zwykły charakter. W związku z powyższym nie ulega wątpliwości, że administrator, który projektuje i wdraża aplikację zawierającą wyniki badań będzie zobowiązany do zaplanowania i wdrożenia wyższego poziomu zabezpieczeń niż administrator, który zakłada sklep internetowy.

Analiza ryzyka to podstawa

Pomimo że administratorzy korzystają z powyższych narzędzi, to muszą oni za każdym razem przeprowadzać indywidualną analizę ryzyka w zakresie ochrony danych w odniesieniu do każdorazowej operacji przetwarzania, a ocena ta powinna podlegać okresowym aktualizacjom. Powinno się również zwracać szczególną uwagę na zagrożenie związane z brakiem dobrowolnej zgody związanej z przetwarzaniem danych osobowych dzieci i młodzieży poniżej 18. roku życia. Bardzo istotne jest, aby wdrażać odpowiednie środki w celu ograniczenia i skutecznego zminimalizowania określonych zagrożeń związanych z grupą osób, których dane dotyczą.

Przy ochronie danych osobowych kluczowe są działania zapobiegawcze oraz aspekt czasu, w którym dochodzi do reakcji administratora. Zdaniem EROD w interesie administratora leży jak najszybsze wdrożenie zasad privacy by design oraz privacy by default, albowiem późniejsze ich wdrożenie, w ramach gotowego już procesu, może być znacznie droższe.

Domyślna ochrona danych

Termin „domyślnej” ochrony danych będzie tu odnosić się do podejmowanych decyzji dotyczących wartości konfigurujących lub opcji przetwarzania, które są zapisane w systemie przetwarzania (np. aplikacja, usługa, urządzenie) mających wpływ na ilość zgromadzonych danych, zakres, w jakim są przetwarzane, okres ich przechowywania oraz ich dostępność. Kluczowa w wyborze przez administratora odpowiednich środków będzie ocena konieczności (niezbędności), która powiązana jest z art. 6 ust.1 RODO, gdzie opisane są prawne podstawy przetwarzania. Wiąże się to, mówiąc krótko, z tym, że administrator nie będzie gromadził większej ilości danych, niż jest to niezbędne, ani też przechowywał ich dłużej niż jest to niezbędne.

Wymiary obowiązku privacy by default

Warto opisać tu wymiary obowiązku wdrożenia privacy by default opisane w art. 25 ust. 2 RODO. Administrator powinien określić i porównać ryzyko; większe ryzyko wiąże się z sytuacją, gdy gromadzone są duże ilości szczegółowych danych, podczas gdy ryzyko będzie mniejsze podczas gromadzenia mniejszych ilości danych lub mniej szczegółowych danych. Jeżeli tylko w wystarczającym stopniu dla celu przetwarzania mniej szczegółowe dane osobowe są wystarczające, to należy dokonać minimalizacji ilości zbieranych danych. To samo będzie dotyczyć zakresu ich przetwarzania – powinno uważać się, aby nie przetwarzać danych w celach innych niż pierwotnie zakładane (art. 6 ust. 4 RODO) i nie wykroczyć poza zakres przetwarzania, który jest zgodny z uzasadnionymi oczekiwaniami osób, których dane dotyczą.

Taka zasada będzie dotyczyć także okresu przechowywania danych. Każdorazowe przetwarzanie danych przez dłuższy okres powinno zostać obiektywnie uzasadnione przez administratora zgodnie z zasadą rozliczalności. W wypadku, gdy uzna się, że dane osobowe nie są już  potrzebne w procesie przetwarzania należy je usunąć lub poddać procesowi anonimizowania. Długość czasu, w jakim dane są przetwarzane, zgodnie z zasadą ograniczenia przetwarzania (art. 5 ust. 1 lit. e), będzie zależeć od celu przetwarzania. Proces usuwania niepotrzebnych już danych osobowych powinien zostać, w ramach domyślnej ochrony, zautomatyzowany.

Przykład

Administrator danych osobowych stosuje program, gdzie archiwizuje wszystkie umowy, które wiążą go z kontrahentami. W ramach programu administrator posiada część archiwalną, gdzie ustawia okresy, po jakich dane klienta są automatycznie usuwane z systemu.

Minimalizacji podlega wreszcie udostępnianie danych – ich treść oraz liczba osób, którym są udostępniane dane osobowe. Administrator domyślnie ogranicza dostępność danych, a także zapewnia osobie, której dane dotyczą, możliwość interwencji przed ich opublikowaniem lub udostępnieniem. Wydaje się to bardzo istotne w kontekście internetu, gdzie łatwo mogłoby to skutkować o wiele szerszemu udostępnianiu danych niż pierwotnie było to zamierzone. Wreszcie konieczne jest podkreślenie, że nawet jeśli dane osobowe będą udostępniane za zgodą i wiedzą osoby, której dane dotyczą, nie będzie to oznaczać, iż każdy inny administrator posiadający dostęp do tych danych mógłby je swobodnie przetwarzać do własnych celów. Musiałby wtedy dysponować odrębną podstawą prawną[5].

Wdrażanie zasad ochrony w praktyce firmy IT

W całym procesie ochrony danych osobowych bardzo istotnym elementem, który umożliwia realizację tej ochrony w fazie projektowania oraz domyślnej ochrony danych, będzie wdrożenie zasad, jakie zostały wymienione w art. 5 oraz motywie 39 RODO. Będą to: przejrzystość, zgodność z prawem, rzetelność, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność oraz rozliczalność. Choć wydaje się, że te rozważania są teoretyczne to zasady te będą miały bardzo duże znaczenie praktyczne w przypadku wdrażania zmian w istniejących systemach informatycznych albo projektowaniu nowych systemów, aplikacji lub programów.

Przejrzystość oraz zgodność z prawem

Administrator, który projektuje politykę prywatności na swojej stronie internetowej w celu spełnienia wymogów przejrzystości, musi zawrzeć w niej informacje sformułowane w jasnym i zwięzłym języku, aby osoby, których dane dotyczą nie miały problemu ze zrozumieniem (przede wszystkim, kiedy są to dzieci lub członkowie innych grup szczególnie uprzywilejowanych). Muszą być one łatwo dostępne i nie nazbyt dużej ilości, żeby najważniejsze punkty były łatwe do znalezienia. W związku z tym administrator dostarcza informacji w sposób wielowarstwowy – szczegółowe, podstawowe dane są łatwo dostępne, a rozwijane menu, linki do innych stron służą dalszemu wyjaśnieniu. Muszą być przekazywane w odpowiednim kontekście (odpowiednim czasie oraz formie) i w stosowny sposób (mają zastosowanie do osób, których dane dotyczą).

Przykład

Dostawca oprogramowania udostępnia na swojej stronie politykę prywatności i cookies. Polityki są łatwo dostępne, napisane są przejrzystym językiem.

Niezbędne jest, aby została określona podstawa prawna przetwarzania danych osobowych. Kluczowe elementy w fazie projektowania i domyślnej ochrony danych mogą obejmować:

–  stosowność (podstawy prawne mają stosowne zastosowanie);

– zróżnicowanie podstaw prawnych co do każdej czynności przetwarzania;

– konkretny cel (właściwa podstawa musi być powiązana z konkretnym celem);

– konieczność, to znaczy przetwarzanie musi być niezbędne i bezwarunkowe, żeby jego cel był zgodny z prawem.

Innymi ważnymi elementami są: autonomia przyznana osobie, której dane dotyczą w odniesieniu do kontroli nad tymi danymi, uzyskanie zgody, a także możliwość wycofania zgody, która powinna być równie prosta, jak jej udzielenie. Bardzo ważne jest przeprowadzenie przez administratora testu równowagi interesów, kiedy podstawą prawną są prawnie uzasadnione interesy. Niezbędne jest, aby istniały środki i zabezpieczenia, jakie mają na celu złagodzenie negatywnego wpływu na osoby, których dane dotyczą. Ponadto podstawa prawna musi być ustalona przed rozpoczęciem jakiegokolwiek przetwarzania danych, a w wypadku, gdy przestaną one mieć zastosowanie, należy odpowiednio przerwać przetwarzanie. Jeśli występuje współadministrowanie, to strony muszą wyraźnie rozdzielić swoje obowiązki w stosunku do osoby, której dane dotyczą[6].

Rzetelność

Rzetelność stanowi nadrzędną zasadę, która wymaga, aby dane osobowe nie zostały przetwarzane w sposób, który byłby bezzasadnie szkodliwy, nieoczekiwany, dyskryminujący lub też wprowadzający w błąd względem osoby, której dane dotyczą. Środki i zabezpieczenia, jakie są podstawą realizowania zasady rzetelności, wspierają także prawa i wolności osób, których dane dotyczą, a w szczególności prawo do informacji (przejrzystości), do interwencji (dostępu, usuwania, przenoszenia, prostowania danych), oraz prawo do ograniczenia przetwarzania. Osobom tym przyznaje się najwyższy zakres autonomii, żeby mogły swobodnie decydować o sposobie wykorzystania ich danych. Przykład:

Administrator nie może stosować algorytmów, które mogłyby prowadzić do dyskryminacji użytkowników danego systemu lub oprogramowania.

Ograniczenie celu oraz minimalizacja danych

Obydwie zasady są ściśle powiązane z wykorzystaniem jedynie niezbędnych danych, które zapewnią osiągnięcie celu. Są jednak dwoma przeciwnymi końcami tego samego procesu – środkami prowadzącymi do celu oraz samym celem. Administrator jest zatem zobowiązany do zebrania danych w konkretnych, wyraźnych i prawnie uzasadnionych celach. W wypadku dalszego przetwarzania należy upewnić się czy cele tego przetwarzania będą zgodne z celami pierwotnymi – administrator powinien zastosować środki techniczne (haszowanie i szyfrowanie) w celu ograniczenia ponownego wykorzystania danych osobowych. Pomocne będą również środki organizacyjne, jak np. strategie i zobowiązania umowne.  

W wypadku zasady minimalizacji danych kluczowe będzie na początek ustalenie przez administratora czy w ogóle dane osobowe muszą być przetwarzane do osiągnięcia odpowiednich celów. Ewentualnie powinien sprawdzić, na ile może przetwarzać mniej danych osobowych lub posiadać mniej szczegółowe lub zagregowane dane. Musi on z góry określić, które cechy parametrów systemów przetwarzania oraz ich funkcje będą dopuszczalne. Powinny być przetwarzane jedynie adekwatne, stosowne, a także ograniczone do tego, co niezbędne do osiągnięcia celu dane osobowe.

Kwestia minimalizacji wiąże się również ze stopniem identyfikacji osoby, której dane dotyczą. W wypadku, gdy cel nie wymaga, żeby ostateczny zbiór danych odnosił się do zidentyfikowanej osoby fizycznej, administrator powinien usunąć lub poddać anonimizacji dane osobowe, gdy identyfikacja nie będzie już konieczna. Natomiast, gdy dalsza identyfikacja będzie konieczna w odniesieniu do innych czynności przetwarzania, dane należy spseudonimizować. W ten sposób zminimalizuje się ryzyko naruszenia praw osób. Podobnie minimalizacji będzie podlegać liczba kopii, czyli nie wytwarzania ich, o ile nie wymaga tego skuteczność przepływu danych. W osiągnięciu tych obowiązku ma pomagać administratorowi aktualny stan wiedzy technicznej, której rozwój powinien on aktywnie śledzić.

Przykład:

Fiński organ nadzorczy wydał decyzję, zgodnie z którą pracodawca, zbierający na potrzeby rekrutacji m.in. takie dane jak dane dot. wyznania kandydata, stanu zdrowia, możliwej ciąży oraz dane dot. członków rodziny, stanowiło naruszenie zasady minimalizacji danych osobowych i nie było niezbędne z punktu widzenia celu przetwarzania danych osobowych[7].

Prawidłowość oraz ograniczenie przechowywania

Przetwarzane dane osobowe powinny pochodzić z wiarygodnych źródeł, a administrator musi usuwać lub też sprostować wszystkie błędne dane bez zbędnej zwłoki. Powinien on dokonać weryfikacji danych przed rozpoczęciem procesu przetwarzania, jak również na różnych jego etapach. W wypadku zautomatyzowanych decyzji opartych na sztucznej inteligencji, administrator musi ograniczyć w miarę możliwości skutki powielanych błędów oraz zmniejszyć liczby fałszywych wyników dodatnich/ujemnych. Natomiast osoby, których dane dotyczą powinny otrzymywać informacje na temat danych osobowych i otrzymać skuteczny dostęp do nich, by mieć możliwość kontroli poprawności czy też sprostowania (zgodnie z art. 12-15 RODO). W tym kontekście administrator powinien także zadbać o odpowiednie okresy retencji.

Integralność i poufność

Zasada integralności i poufności wydaje się kluczowa w ochronie danych osobowych, a w szczególności w przypadku wdrażania zmian w systemach informatycznych. Dotyczy ochrony przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem, przed przypadkową utratą, zniszczeniem albo uszkodzeniem. Służą temu odpowiednie środki techniczne i organizacyjne, które administrator powinien wykorzystywać w tworzeniu doskonalszych zabezpieczeń[8]. W gestii administratora leży przeprowadzanie regularnych przeglądów i zarządzania reagowaniem na incydenty naruszające bezpieczeństwo. Powinien on tez dysponować odpowiednimi procesami, które umożliwiałyby reagowanie na naruszenia i incydenty, aby system przetwarzania był bardziej niezawodny, a zatem w obowiązku administratora jest doskonalenie go. Ochrona powinna być zależna od stopnia obarczenia ryzykiem – im dane bardziej podatne na ryzyko, tym powinny być lepiej chronione, oddzielone od reszty danych osobowych.

Administrator powinien również stosownie zarządzać kontrolą dostępu. Do zadań powiązanych z przetwarzaniem muszą być wyznaczeni jedynie upoważnieni pracownicy, a żaden z nich nie posiadał pełnego dostępu do danych na temat osoby, której dane dotyczą. Należy też, w miarę możliwości zminimalizować liczbę osób zaangażowanych w ochronę. Wreszcie dane osobowe oraz kopie mają być pseudonomizowane w ramach środków bezpieczeństwa.

Przykład:

W 2020 r. doszło do sytuacji, w której pewna spółka działając w branży energetycznej zgłosiła swojemu dostawcy oprogramowania, że działa ono zbyt wolno.  W związku z tym dostawca ten dokonał zmiany systemu w celu poprawy jego wydajności i szybkości działania. Zmiana polegała na stworzeniu i instalacji nowej bazy klientów administratora. Niestety, baza ta została skopiowana przez nieuprawnione podmioty. W bazie nie było danych „wrażliwych”, ale były tam takie dane jak PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy zawartej z administratorem.

Podmiot przetwarzający (dostawca oprogramowania) wskazał, iż na etapie, w którym doszło do wycieku danych osobowych, nie zostały jeszcze wdrożone zabezpieczenia systemu. Etap wdrożenia produkcyjnego i zakończenie wdrażania zabezpieczeń był planowany właśnie w kwietniu 2020 r. W czasie, w którym doszło do wycieku, trwał proces testów, a także zasilanie bazy danymi.

W opisywanej sprawie PUODO wydał decyzję[9], w której wskazał szereg błędów, jakie zostały popełnione przez dostawcę oprogramowania w opisywanym przypadku. Przede wszystkim podmiot przetwarzający już na etapie testowania bazy wprowadził prawdziwe dane osobowe, nie zapewniając w tym zakresie poufności. Skoro jednak takie dane zostały wprowadzone to należało zastosować taki poziom zabezpieczeń jak w systemach produkcyjnych. PUODO wskazał także, że dostawca oprogramowania powinien wdrożyć realnie działające polityki i procedury, które opisywałyby w jaki sposób prawidłowo wdrażać zmiany w systemie informatycznym, określające:

 – sposób dokonywania zmian w systemach informatycznych służących do przetwarzania danych osobowych;

–  konieczność utworzenia środowiska testowego;

– odpowiedniego zabezpieczenia rzeczywistych danych klientów administratora, w przypadku ich wykorzystania do testowania wprowadzanych zmian;

–  zasad kontroli poprawności realizacji poszczególnych etapów projektu;

– zdefiniowanie wymaganych zabezpieczeń.

Rozliczalność

To administrator jest odpowiedzialny za przestrzeganie wszystkich tych zasad i powinien umieć wykazać ich przestrzeganie, o czym stanowi zasada rozliczalności. Ewentualne sankcje pieniężne określają organy nadzorcze, a ochrona danych w fazie projektowania, a także domyślna ochrona danych są również czynnikiem, który określa wysokość kar za naruszenie przepisów RODO[10].

Podsumowanie

Zastosowanie zasad privacy by design i privacy by default  ma charakter wielowątkowy, jednak nie jest skomplikowane. Każdy podmiot, który przetwarza dane osobowe powinien w każdym momencie prowadzonych przez siebie działań mieć na uwadze ochronę danych osobowych oraz wdrożyć takie rozwiązania, które zapewnią, że ta ochrona będzie faktycznie stosowana. Zasady te mają bardzo duże znaczenie w przypadku tworzenia nowych środowisk informatycznych, a także wprowadzania zmian w już istniejących. Dostawca usług informatycznych powinien w związku z tym wdrożyć odpowiednie procedury i polityki, określające sposób postępowania zarówno w nowych projektach, jak i w przypadku wprowadzania zmian w już istniejących systemach. Ważnym elementem będzie tutaj także analiza ryzyka, w wyniku której możliwe będzie określenie, jakie zabezpieczenia powinny być wdrożone. Pamiętajmy, że brak stosowania ww. zasad w praktyce może prowadzić do poważnych konsekwencji, takich jak wyciek danych osobowych, co może się wiązać z konsekwencjami dla przedsiębiorcy. 

[1] Wytyczne nr 4/2019 dotyczące artykułu 25 Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych, dostęp online: https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_pl.pdf

[2] Porównaj art. 25 RODO.

[3] Wytyczne EROD, https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_pl.pdf.

[4] Wytyczne EROD, 2.1.3.2 „koszt wdrażania”, tamże.

[5] Wytyczne EROD, 2.2.2 Wymiary obowiązku minimalizacji danych, tamże.

[6] Porównaj: Wytyczne EROD 3.1-3.2, tamże.

[7] Decyzja Tietosuojavaltuutetun toimisto – 137/161/20, skrócona wersja dostępna tutaj: https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_-_137/161/20

[8] Porównaj: Motyw 78 RODO.

[9] Decyzja z dnia 19 stycznia 2022 r., DKN.5130.2215.2020, dostęp online: https://uodo.gov.pl/decyzje/DKN.5130.2215.2020

[10] Porównaj art. 83 ust.4 RODO.

Artykuł Jak prawidłowo wdrażać zmiany w systemach informatycznych, czyli privacy by design and privacy by default pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Prawa osób, które dane dotyczą określone są w art. 15-22 RODO i obejmują prawo do:

– Dostępu do danych,

– Sprostowania danych,

– Usunięcia danych,

– Ograniczenia przetwarzania danych,

– Przenoszenia danych,

– Sprzeciwu,

– Niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu.

Przejrzysty dostęp do informacji- podstawa procesu rekrutacyjnego

Zgodnie z art. 5 ust. 1 lit. a RODO dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Z tą zasadą przejrzystości, rzetelności i legalności wiąże się obowiązek informacyjny, który powinien przez pracodawcę zostać wypełniony w każdym przypadku, w którym prowadzona jest rekrutacja. Zgodnie z art. 12 RODO obowiązek informacyjny musi być przekazany w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Podczas procesu rekrutacyjnego na pracodawcach spoczywa konieczność przedstawienia klauzuli informacyjnej w momencie zbierania danych osobowych. Każdy kandydat ma prawo wiedzieć, kto zbiera jego dane osobowe, znać cel przetwarzania, przybliżony okres przechowywania danych czy też informacje o możliwości dostępu do swoich danych[1]. Nie może dochodzić do sytuacji, w której osoba, której dane dotyczą, nie wie właściwie, komu przekazuje swoje dane. Dzieje się tak niejednokrotnie, kiedy pracodawcy starają się korzystać z rekrutacji w sposób anonimowy, ujawniając swoje dane dopiero w momencie odpowiedzi na wysłane CV –  taki zabieg byłby wykluczony na gruncie RODO. Dla osoby udostępniającej swoje dane osobowe komunikat musi być jasny i przejrzysty- musi ona wiedzieć, do kogo te dane trafią. Świadomy kandydat powinien o tym pamiętać i uważać, gdyż zdarza się, że nieuczciwe podmioty zbierają w ten sposób bazę danych osobowych w ogóle nawet nie prowadząc procesu rekrutacji. Żądanie usunięcia swoich danych czy też złożenie skargi do PUODO byłoby w takim wypadku niemożliwe, ponieważ kandydat nie posiadałby w ogóle danych kontaktowych do takiego administratora.

Sprawdzenie danych i żądanie do nich wglądu

Zgodnie z art. 15 RODO każda osoba, której dane dotyczą może żądać od administratora danych osobowych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz uzyskania szeregu informacji w tym zakresie, m.in. w zakresie celów przetwarzania, kategorii przetwarzania, informacji o odbiorcach danych, planowanym okresie przetwarzania, prawie żądania sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, informacje o źródle danych, o zautomatyzowanym podejmowaniu decyzji.

Uprawnienie to nie jest jedynie teoretyczne i kandydaci faktycznie zwracają się do pracodawców celem otrzymania ww. informacji. Ciekawym przykładem jest stan faktyczny, który stał się podstawą do wydania decyzji przez belgijski organ nadzorczy (APD/GBA) z dnia 22.12.2022 r.[2]. W tym wypadku firma z branży HR skontaktowała się z kandydatem oferując swoje usługi w zakresie wsparcia w poszukiwaniu pracy. W związku z powyższym kandydat zwrócił się o podanie szeregu informacji dotyczących przetwarzania, w tym w zakresie źródła pozyskania danych. W korespondencji z kandydatem administrator unikał odpowiedzi na niektóre pytania i podał wymagane informacje z opóźnieniem, w związku z czym kandydat złożył skargę do belgijskiego organu nadzorczego. Organ nadzorczy ocenił, że poprzez swoją postawę administrator nie podał kandydatowi wystarczających informacji, w tym m.in. pełnych informacji o źródle pozyskania danych, co było jego obowiązkiem. Powyższy przykład pokazuje, że administrator danych osobowych powinien zadbać o to, aby pozyskiwać dane wyłącznie z legalnych źródeł, ponieważ kwestie te mogą podlegać kontroli.  

Feedback a nieudana rekrutacja

Co ciekawe, prawo dostępu do danych może także dotyczyć etapu po zakończonej rekrutacji, przy czym nie zawsze musi to być rekrutacja zakończona sukcesem. W mediach społecznościowych często można trafić na historie kandydatów rozczarowanych faktem, że po zakończeniu rekrutacji nie uzyskali oni właściwie żadnej informacji na temat tego, z jakiego powodu ich kandydatura została odrzucona. Poznanie tych przyczyn jest dla kandydatów szczególnie pomocne, ponieważ może okazać się kluczowe przy kolejnych rekrutacjach.

Dlatego tak ważny wydaje się wartościowy feedback. Niestety nie każda firma decyduje się na jego przekazanie. W tym zakresie może nam pomóc właśnie RODO, a w szczególności art. 15. Jak była mowa powyżej, przepis ten umożliwia uzyskanie potwierdzenia, czy dane są przetwarzane, a jeżeli ma to miejsce to dana osoba może uzyskać do takich danych dostęp.

 Na wniosek osoby, której dane dotyczą, administrator powinien dostarczyć kopię danych osobowych podlegających przetwarzaniu[3]. Oznacza to, że kandydat, który nie został zatrudniony może żądać kopii wszystkich danych osobowych, które przetwarza jego niedoszły pracodawca. Oznacza to, że kandydat może także i powinien w tym zakresie otrzymać notatki dotyczące jego osoby, które były tworzone w procesie rekrutacji. Prawa, które ma kandydat wymuszają tym samym większy profesjonalizm po stronie pracodawców. Pracodawcy powinni uważać na język, jakim się posługują, nie tworzyć czarnych list kandydatów, nie stosować kryteriów dyskryminacyjnych. Działanie zgodnie z prawem powinno być dla pracodawcy priorytetem, zwłaszcza mając na uwadze fakt, że niedoszły pracownik ma możliwość skontrolowania jego działań we wskazany wyżej sposób. Z punktu widzenia pracownika natomiast możliwość przekonania się, jakie błędy podczas rozmowy kwalifikacyjnej zostały popełnione może okazać się kluczowe na przyszłość.

Prawo do sprostowania danych

Kolejnym uprawnieniem określonym w art. 16 RODO jest prawo do sprostowania danych. Zgodnie z tym przepisem osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Należy podkreślić, że RODO nakazuje, aby przetwarzać dane aktualne. W związku z powyższym, po pewnym czasie, może przykładowo okazać się, że dane osobowe kandydata uległy zmianie (np. kandydat zmienił nazwisko, dane kontaktowe itp.). W takim wypadku kandydat może zwrócić się do pracodawcy o uaktualnienie jego danych osobowych.

Prawo do bycia zapomnianym- czy przysługuje niedoszłym kandydatom?

Prawo do usunięcia danych, tj. prawo do bycia zapomnianym na gruncie prowadzenia rekrutacji wzbudziło ostatnio wiele kontrowersji. Zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z przesłanek wskazanych w tym przepisie. Na czym polega usunięcie danych? Usunięcie jest rozumiane jako zniszczenie – bezpowrotne usunięcie danych, jak również fizyczne unicestwienie nośników danych – lub modyfikacja danych, która uniemożliwi identyfikację osoby, której dane dotyczą[4]. Zgodnie ze wspomnianym art. 17 administrator ma obowiązek usunięcia danych osobowych na żądanie osoby, której dane dotyczą, jeżeli zachodzi m.in. jedna z poniższych okoliczności:

1. dane te okażą się już zbędne do celów, w jakich zostały zebrane;
2. kandydat cofnął zgodę (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a) i nie ma innej podstawy prawnej przetwarzania;
3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO (tj. w zakresie marketingu bezpośredniego) wobec przetwarzania;
4. okaże się, że dane były przetwarzane niezgodnie z prawem;
5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.

Czy pracodawca może przetwarzać dane kandydatów po zakończeniu rekrutacji?

Dotychczas obowiązywało stanowisko UODO w tym zakresie, wyrażone w poradniku wydanym przez ten organ „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” z 2018 r., zgodnie z którym pracodawca powinien usuwać dane kandydatów niezwłocznie po zakończeniu rekrutacji, chyba że kandydat zgodzi się na przetwarzanie danych na potrzeby kolejnych rekrutacji. Zgodnie z twierdzeniem PUODO „co do zasady pracodawca powinien trwale usunąć dane osobowe kandydata (np. poprzez zniszczenie bądź odesłanie), z którym nie zdecydował się zawrzeć umowy o pracę, niezwłocznie po zakończeniu procesu rekrutacji, tj. podpisaniu umowy o pracę z nowozatrudnionym pracownikiem, chyba że ziściły się inne przesłanki uprawniające administratora do ich przetwarzania”.  Stanowisko UODO było krytykowane, ponieważ pracodawca powinien mieć także możliwość przetwarzania takich danych z uwagi na konieczność obrony swoich praw lub celem dochodzenia roszczeń, w tym w przypadku zarzutów związanych z dyskryminacją. Ostatecznie podobne stanowisko zajął Wojewódzki Sąd Administracyjny w Warszawie w Wyroku z dnia 4 sierpnia 2022 r., sygn. akt sygn. akt II SA/Wa 542/22. W sprawie tej Prezes UODO nałożył karę na przedsiębiorstwo, które nie usunęło danych osobowych kandydatki na stanowisko w tamtejszej firmie. Kobieta nie dostała pracy i kiedy dowiedziała się, że jej dane są nadal przetwarzane wniosła skargę do UODO, które zgodnie z treścią wydanego przez siebie poradnika zadecydowało, że przechowywanie danych na wypadek ewentualnych oskarżeń o dyskryminację jest niezgodne z RODO, ponieważ stanowi przetwarzanie danych osobowych „na zapas”. Sąd jednak podważył tę decyzję i opowiedział się po stronie spółki, odwołując się do przepisów Kodeksu Pracy, a mianowicie art.. 183b i 183d KP. Mowa w nich, że osoba, wobec której pracodawca naruszył zasadę równego traktowania w zatrudnieniu, ma prawo do odszkodowania w wysokości nie niższej niż minimalne wynagrodzenie za pracę, ustalane na podstawie odrębnych przepisów[5]. Natomiast przedawnienie takich roszczeń upływa po trzech latach, zgodnie z art. 291 KP, dlatego WSA uznał, że okres przechowywania danych osobowych po zakończeniu rekrutacji byłby dopuszczalny do takiego okresu czasu[6].

Wydaje się, że stanowisko wyrażone przez WSA jest prawidłowe, z tego względu prawo do bycia zapomnianym w przypadku kandydatów do pracy może być ograniczone.  Obawa przedsiębiorców przed wnoszeniem roszczeń przez niedoszłych pracowników (np. o dyskryminację podczas rekrutacji) jest uzasadniona. Usunięcie danych spowodowałoby pozbawienie się możliwości obrony przed tego typu oskarżeniami[7].

Prawo do ograniczenia przetwarzania

Kolejnym uprawnieniem, które przysługuje osobom, których dane dotyczą jest prawo do ograniczenia przetwarzania. Zgodnie z art. 4 pkt 3 RODO ,,ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania. Ograniczenie przetwarzania polega na tym, że administrator danych osobowych przez pewien czas ogranicza przetwarzanie wyłącznie do przechowywania danych. Osoba, której dane dotyczą może żądać ograniczenia przetwarzania w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Powyższe uprawnienie może dotyczyć także w pewnych wypadkach kandydatów do pracy. Kandydat może przykładowo zakwestionować prawidłowość swoich danych osobowych albo może żądać dalszego przetwarzania swoich danych osobowych przez niedoszłego pracodawcę dla celów dochodzenia roszczeń.

Prawo do sprzeciwu

Prawo sprzeciwu przysługuje na mocy art. 21 RODO kandydatowi z uwagi na przyczyny związane z jego szczególną sytuacją. Prawo do sprzeciwu kandydat może wnieść, jeżeli administrator opiera się m.in. na podstawie art. 6 ust. 1 lit. f RODO, tj. na podstawie uzasadnionego interesu. W takim wypadku administrator nie może przetwarzać tych danych, chyba że administrator wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli jednak sprzeciw dotyczy marketingu bezpośredniego (art. 21 ust. 2 RODO) to danych osobowych nie można przetwarzać dalej w żadnym wypadku.

Przepisy powyższe mogą znalazły praktyczne zastosowanie w sprawie opisywanej w poprzednim akapicie, gdzie kandydatka faktycznie wniosła sprzeciw wobec przetwarzania jej danych przez niedoszłego pracodawcę. Łatwo także wyobrazić sobie takie sytuacje w przypadku marketingu bezpośredniego, kierowanego do niedoszłych pracowników.

Prawo do niepodlegania decyzji opartej na wyłącznie zautomatyzowanym przetwarzaniu danych

Zgodnie z art. 22 RODO osoba, której dane dotyczą, ma prawo, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Dzisiejszych czasach nie tak rzadkim przypadkiem będzie sytuacja, gdy przedsiębiorca zdecyduje się przeprowadzić np. pierwszy etap rekrutacji za pomocą bota, który porozmawia z kandydatami i na podstawie zdobytych odpowiedzi dokonana profilowania najlepiej pasujących osób na dane stanowisko. Kandydat w takim wypadku musi przede wszystkim zostać poinformowany o takiej sytuacji, a poza tym ma prawo oczekiwać, aby decyzja była chociaż wsparta udziałem w rekrutacji osoby fizycznej, która zweryfikuje jej prawidłowość. Na marginesie wskażę, że decyzja może być oparta wyłącznie na automatycznym przetwarzaniu, gdy zachodzi jedna z przesłanek wskazanych w art. 22 ust. 2 RODO (jeśli decyzja jest niezbędna do zawarcia/wykonania umowy, jest dozwolona prawem, na podstawie zgody). Więcej o profilowaniu przeczytasz na stronie…… naszego dodatku.

Z powyższej analizy jasno wynika, że prawa osób, których dane dotyczą nie mają charakteru iluzorycznego, ale stanowią realne narzędzia dla kandydatów. Dzięki uregulowaniom zawartym w RODO kandydaci mogą dowiedzieć się kto, dlaczego i w jakim celu przetwarza ich dane osobowe. Kandydaci mają także realny wpływ na to, co dzieje się z ich danymi, a w razie uznania, że dane te są przetwarzane w sposób nieprawidłowy mogą także złożyć skargę do organu nadzorczego.

[1] Porównaj art. 13 RODO.

[2] Zob. streszczenie decyzji w języku angielskim: https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_189/2022 )

[3] Porównaj art. 15 RODO ust. 3.

[4] Porównaj P. Litwinski (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, Legalis

[5] Porównaj art. 183b KP.

[6] Porównaj wyrok WSA w Warszawie – II SA/Wa 542/22 z dnia 4 sierpnia 2022 r.

[7] Tamże.

Artykuł Prawa osób, których dane dotyczą w procesie rekrutacyjnym pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.

Praca zdalna w Kodeksie pracy – zakres nowych regulacji

Obecnie, doczekaliśmy się długo zapowiadanej nowelizacji Kodeksu pracy, która wprowadziła także zapisy odnoszące się do pracy zdalnej. Regulacje wiążące się z pracą zdalną, ze względu na liczne nałożone na pracodawców obowiązki, weszły w życie po dłuższym vacatio legis, co nastąpiło 7 kwietnia 2023 r. Wśród nowych przepisów w Kodeksie pracy pojawił się także artykuł 67²⁶ odnoszący się do zasad ochrony danych. Zgodnie z tym przepisem, pracodawca na potrzeby wykonywania pracy zdalnej przez jego pracowników, określa procedury ochrony danych osobowych oraz przeprowadza wszelkie niezbędne do realizacji tego celu szkolenia czy instruktaże. Natomiast, do obowiązków pracownika należy potwierdzenie na papierze lub w formie elektronicznej, że zapoznał się z procedurami i co za tym idzie, że będzie ich przestrzegał.

Wprowadzona regulacja dotyczy nie tylko danych osobowych przetwarzanych w postaci elektronicznej. Pracownik świadczący pracę zdalnie może także otrzymać papierowe dokumenty zawierające dane i w takim przypadku również musi on przestrzegać obowiązujących u pracodawcy zasad bezpieczeństwa.

Na pracodawcy ciąży zatem obowiązek stworzenia szczegółowych procedur, które jednocześnie będą stanowiły dla pracowników jasne instrukcje dotyczące tego, w jaki sposób mają oni przechowywać dokumenty, przesyłać je, ograniczać ich dostęp dla nieuprawnionych osób – w tym domowników, czy niszczyć dokumenty, które nie są już dłużej potrzebne. Tożsame procedury muszą zostać wprowadzone, aby zapewnić bezpieczeństwo danych przetwarzanych w formie elektronicznej, gdyż bez wątpienia ta forma przetwarzania będzie na porządku dziennym w przypadku osób świadczących pracę w formie zdalnej.

Czy praca zdalna oznacza zwiększone ryzyko po stronie pracodawcy?

Pracownik, powinien w takim samym zakresie przestrzegać zasad bezpieczeństwa pracując zdalnie z domu, jak i świadcząc pracę w biurze. Ze względu na łączący pracownika z pracodawcą stosunek pracy, to pracodawca będzie odpowiadał za każdy błąd pracownika czy wypadek przez niego spowodowany.

Praca zdalna charakteryzuje się świadczeniem pracy przez pracownika w miejscu zdecydowanie mniej hermetycznym niż zakład pracy, czyli we własnym domu. Ze względu na brak stałej możliwości kontroli sposobu, w jaki pracownik pracuje, pracodawca powinien podjąć wszelkie działania, które doprowadzą do zabezpieczenia w zakresie cyberbezpieczeństwa urządzeń, z których korzysta pracownik. Zatem pracodawca musi zadbać nie tylko o przeszkolenie pracownika z zakresu wdrożonych procedur przetwarzania danych, niezbędnych w świetle RODO oraz wdrożenie dopasowanych do realiów pracy zdalnej zapisów w m.in.: polityce bezpieczeństwa, metodyce utrzymywania bezpieczeństwa dokumentacji, czystości biurka oraz dysku twardego komputera czy procedury zgłaszania incydentów naruszeń bezpieczeństwa przetwarzania danych, ale także o sprawdzenie czy urządzenia pracowników posiadają aktualne zabezpieczenia, jak antywirusy, firewalle, czy aplikacje szyfrujące. Każdy pracodawca musi samodzielnie ocenić, jakie zabezpieczenia powinien wprowadzić, przy uwzględnieniu kategorii i ilości przetwarzanych danych przez jego pracowników.

Ustawodawca nie wymaga od pracodawcy, konkretnej formy określenia procedur postępowania z danymi osobowymi, mogą one przybrać formę zarówno aktu generalnego jak i indywidualnego. Niezależnie od wybranej formy, każdorazowo pracownik zobligowany jest do potwierdzenia zapoznania się z owymi procedurami, co może nastąpić zarówno w formie elektronicznej, jak i papierowej. Biorąc pod uwagę charakter zapisu dotyczącego obligatoryjnego potwierdzenia przez pracownika, zapoznania się z procedurami obowiązującymi u pracodawcy, odmowa potwierdzenia zapoznania się z procedurami bezpieczeństwa lub odmowa świadczenia pracy w sposób zgodny z nimi przez pracownika zdalnego uzasadnia wypowiedzenie umowy o pracę.

Cyberbezpieczeństwo a praca zdalna

Każdy pracodawca zainteresowany świadczeniem pracy zdalnej przez jego pracowników, w sposób bezpieczny i zgodny z obowiązującymi w firmie procedurami, powinien przyłożyć dużą wagę do szkoleń. Powinny one uczulać pracowników w zakresie wykrywania i reagowania na wiadomości phishingowe (np. podszywanie się pod osoby uprawnione do autoryzacji działań pracownika) czy formy ochrony przed atakami ransomware (np. pod postacią pobrania niebezpiecznego oprogramowania, w skutek korzystania przez pracownika z niezabezpieczonego dostępu do sieci). Dodatkowo, ze względu na stale rozwijająca się technologie, a wraz z nią nowe zagrożenia, każda firma powinna stale monitorować przestrzeganie zasad bezpieczeństwa i doszkalać personel w razie zajścia takiej potrzeby.

Szkolenia skupiające się na ochronie przed atakami ransomware, nie mogą jednak stanowić zastępstwa profesjonalnych narzędzi, które pracodawca powinien zapewnić swoim pracownikom, na używanym przez nich sprzęcie. Dodatkowo, procedury powinny także odnosić się do regularnego tworzenia kopii zapasowych oraz ich testowania, przechowywania czy usuwania danych, gdy ich okres retencji już upłynie, gdyż właśnie te działania uznawane są za jeden z najskuteczniejszych sposobów radzenia ze skutkami ataku ransomware.

Ponadto, pracodawcy powinni rozważyć korzystanie z narzędzi, które wspomagają kontrolę urządzeń, z których korzystają pracownicy. Stosowanie rozwiązań, umożliwiających zarządzanie wszystkimi urządzeniami przez administratora danych osobowych, może zdecydowanie przyspieszyć czas reakcji, w przypadku wystąpienia incydentu naruszenia bezpieczeństwa danych. Dodatkową pomocą będzie zapewnienie pracownikom przez pracodawcę stałego wsparcia ze strony zespołu technicznego IT, co znacznie ogranicza ryzyko rozwiązywania problemów technicznych przez pracowników na własną rękę. Specjaliści z branży IT dodatkowo mogą uczulać pracowników na zagrożenia w postaci m.in.: ataków DDoS czy typu man-in-the-middle, sniffery, a także stanowić wsparcie w przypadku skutecznego ataku.

Kontrola pracownika świadczącego pracę zdalną

Nawet najlepiej przeszkolony pracownik realizujący swoje zadania w formie zdalnej może być kontrolowany przez pracodawcę. Ze strony pracownika kontrola może być oceniana jako przejaw niedostatecznego poziomu zaufania pracodawcy względem pracownika, jednak ze strony pracodawcy jest niczym innym jak jedną z cech stosunku pracy i realizowaniem uprawnień kierowniczych, które z tego stosunku wynikają.

Jednak mimo posiadania kierowniczych uprawnień, pracodawca w związku z obowiązkiem poszanowania dóbr osobistych pracownika, wynikającym z art. 11¹ Kodeksu pracy, nie ma całkowitej swobody kontrolowania pracownika. Dopuszcza się kontrolowanie pracowników pod warunkiem przestrzegania przez pracodawcę poniższych zasad:

• czynności kontrolne powinny cechować się celowością tj. mieć związek ze stosunkiem pracy, w jakim pozostaje pracownik;
• powinny być jak najmniej uciążliwe dla pracownika (oceniając ich metodę oraz intensywność), a także prawnie dopuszczalne;
• pracodawca jest zobligowany do uprzedzenia pracowników o metodach i zakresie stasowanej wobec nich kontroli.

Co istotne, prawo pracodawcy do kontroli pracownika dotyczy każdej formy pracy zdalnej, zatem bez znaczenia będzie miał fakt, czy jest ona dobrowolna, polecona (przymusowa) czy okazjonalna.

Na podstawie art. 67²⁰ § 5 pkt 5–7 i art. 22³ Kodeksu pracy, wyróżniamy następujące metody kontroli:

1) bieżącą kontrolę wykonywania pracy przez zdalnego pracownika;

2) kontrolę w zakresie BHP;

3) kontrolę przestrzegania wymogów w zakresie bezpieczeństwa i ochrony informacji – w tym danych osobowych;

4) monitoring poczty elektronicznej.

Metody kontroli opisane w pkt 1–3 muszą wynikać z indywidualnego porozumienia lub być zawarte w regulaminie dotyczącym pracy zdalnej. W przeciwnym razie, rodzaje i metody kontroli powinny zostać określone w poleceniu pracodawcy, o którym mowa w art. 67¹⁹ § 3 KP.

Kontrolę w zakresie BHP oraz przestrzegania wytycznych w zakresie bezpieczeństwa i ochrony informacji – w tym danych osobowych, pracodawca przeprowadza w miejscu wykonywania pracy zdalnej w godzinach pracy pracownika, po uprzednim uzgodnieniu z pracownikiem tych kwestii.

Jak ma wyglądać kontrola?

Na to pytanie nie znajdziemy jednoznacznej odpowiedzi. Kodeks pracy nie reguluje, czy z racji formy w jakiej realizowana jest praca zdalna, również kontrola powinna zostać przeprowadzona przy użyciu środków porozumiewania się na odległość, czy też powinna odbyć się w miejscu zamieszkania pracownika. Zgodnie z wprowadzonymi przepisami, pracodawca powinien dostosować adekwatną metodę przeprowadzanej przez niego kontroli, przy uwzględnieniu miejsca wykonywania pracy zdalnej oraz jej rodzaju.

Bieżąca kontrola zdalnego pracownika może sprowadzać się do stałego utrzymywania z nim kontaktu służbowego, korzystając przy tym z użycia obrazu i/lub dźwięku czy wymiany korespondencji. Także, dopuszczalna jest forma ewidencjonowania wykonanych przez pracownika zdalnego zadań, pomimo, że w Kodeksie pracy metoda ta nie została wskazana jako jeden z obowiązków pracowniczych.

Zatem, nie ma przeszkód, aby pracodawca korzystał z powszechnie dostępnych narzędzi takich jak Zoom czy Teams, podczas przeprowadzania rutynowej kontroli pracownika. Rozwiązanie to zdaje się nieść także dodatkową korzyść, w postaci braku groźby naruszenia miru domowego pracownika, czy jego dóbr osobistych. Zasadniczo, kontrolę fizyczną przeprowadzaną w miejscu zamieszkania pracownika, pracodawca powinien przeprowadzać, tylko gdy jej zrealizowanie za pomocą środków komunikacji elektronicznej jest wysoce utrudnione lub zupełnie niemożliwe. Dodatkowo, korzyścią płynącą z przeprowadzania „zdalnej” kontroli jest brak potrzeby uzyskania zgody przez pracodawcę do jej przeprowadzenia, gdyż nie niesie ona za sobą ryzyka naruszenia prywatności pracownika.

Warto zwrócić uwagę, aby sama kontrola odbywała się w czasie świadczenia pracy przez pracownika zdalnego, aby uniknąć ewentualnych skarg i roszczeń pracownika z tytułu pracy w nadprogramowych godzinach. Dodatkowo, nie można przeprowadzać kontroli w sposób, który będzie powszechnie uznany za nadmiernie ingerujący w swobodę i prywatność pracownika. Czym innym będzie poproszenie pracownika o przesłanie nagrania ukazującego jego stanowisko pracy, w celu weryfikacji czy spełnione zostały przez niego wymogi bezpieczeństwa – co jest w pełni uzasadnionym działaniem pracodawcy, a już odmiennie trzeba będzie ocenić żądanie pracodawcy, aby pracownik zdalny świadczył pracę przy bez przerwy włączonej kamerze.

Kontrola zdalnego pracownika w świetle RODO

Postanowienia RODO nie uniemożliwiają przeprowadzania kontroli pracownika zdalnego przez pracodawcę, tyczy się to zarówno kontroli przy wykorzystaniu środków komunikacji elektronicznej, jak i osobistej kontroli, w miejscu, w którym pracownik faktycznie świadczy pracę. Każdy pracodawca musi jednak pamiętać o wymogu dokładnego określenia sposobu przeprowadzania kontroli, zanim ta nastąpi, dlatego, zapisy odnoszące się do kontroli powinny znaleźć się odpowiednio w regulaminie bądź w zawartym z pracownikiem indywidualnym porozumieniu. Ponadto, uregulowane powinny zostać także zasady przestrzegania zasad BHP, a także bezpieczeństwa przetwarzania danych osobowych.

Kolejną rzeczą, o jakiej musi pamiętać pracodawca, to wyposażenie osób kontrolujących w upoważnienia od niego, a także wyznaczenie do realizacji tego celu takich osób, które posiadają odpowiednie kompetencje, ze względu na zajmowane przez nie stanowisko. Przeprowadzenie kontroli może wiązać się także z przetwarzaniem danych osobowych nie tylko pracownika, lecz także, osób z nim zamieszkujących. Z tego powodu niezbędne będzie odpowiednie dostosowanie upoważnień do przetwarzania danych osobowych zgodnie z art. 29 RODO.

Kontrola pracowników wykonujących pracę zdalną wiąże się z podwyższonym ryzykiem naruszenia prywatności pracowników oraz ochrony danych osobowych. Z tego powodu pracodawca przeprowadzając kontrolę musi pamiętać, aby wszystkie podejmowane w trakcie kontroli czynności nie naruszały prywatności zdalnego pracownika, a także innych osób (domowników) oraz nie utrudniały korzystania z pomieszczeń domowych. Zatem pracodawca nie chcąc naruszyć miru domowego pracownika, nie może podczas kontroli podejmować działań ingerujących w życie prywatne pracownika np. zajmując podczas kontroli kuchnie pracownika i ograniczając do niej dostęp.

Pracodawca powinien także pouczyć pracowników, w jaki sposób powinni zabezpieczyć informacje, które przekazują rozmówcom podczas wideokonferencji – ukazując pomieszczenia, w których pracują wyjawiając w ten sposób cenne dane, jak status społeczny, czy zainteresowania pracownika, gdyż te następnie mogą zostać wykorzystane w atakach socjotechnicznych.

Kontrola poczty elektronicznej

Na podstawie regulacji istniejących w Kodeksie pracy pracodawcy zatrudniający pracowników, którzy pracują zdalnie, mogą także wprowadzić monitoring ich poczty elektronicznej. Mowa o działaniach pracodawcy zarówno powtarzający się cyklicznie, jak i incydentalnych.

Pracownicy, w przypadku wprowadzenia takiego rozwiązania przez pracodawcę, powinni zostać poinformowani o tym fakcie z wyprzedzeniem, a ponadto zaleca się, aby zamieścić odpowiednie oznaczenia na skrzynkach pocztowych pracowników, co spełnia walor informacyjny. Uprzedzając pracowników o wprowadzeniu monitoringu poczty trzeba wskazać zakres działań kontrolnych oraz planowaną częstotliwość kontroli. Pamiętać przy tym należy, że badanie treści wiadomości może być stosowane sporadycznie i w wyjątkowych sytuacjach, najczęściej, gdy zachodzi obawa prowadzenia działań niezgodnych z prawem przez pracownika.

W przypadku, naruszenia przepisów Kodeksu pracy dotyczących monitoringu poczty pracownika, można spodziewać się nałożenia na administratora danych, na podstawie art. 83 ust. 5 lit. d RODO przez Prezesa Urzędu Ochrony Danych Osobowych takiej samej administracyjnej kary pieniężnej jak za naruszenie RODO.

Czy przepisy chronią pracodawcę przed nieuzasadnionym nieprzestrzeganiem przez pracownika zasad w zakresie przetwarzania danych?

Tak, jeżeli po przeprowadzonej przez pracodawcę kontroli pracodawca potwierdzi, że po stronie pracownika dochodzi do nieprzestrzegania zasad bezpieczeństwa ochrony danych, to w pierwszej kolejności powinien zobowiązać go do usunięcia stwierdzonych nieprawidłowości, a jeżeli to okaże się bezskuteczne, może cofnąć zgodę na wykonywanie pracy zdalnej. W takiej sytuacji, pracownik nie ma wyjścia i musi podjąć pracę w miejscu, w którym świadczył pracę przed przejściem na pracę zdalną, w terminie określonym przez pracodawcę. Bezpodstawne niezastosowanie się przez pracownika do takiego polecenia pracodawcy, może być uznane za naruszenie podstawowych obowiązków pracowniczych, a przez to skutkować nawet rozwiązaniem umowy o pracę. Warto zaznaczyć, że wybór rozwiązania, które ma zostać zastosowane wobec pracownika, w wyniku przeprowadzonej kontroli zależy od pracodawcy. To on dokonuje oceny, czy nadal może obdarzyć pracownika zaufaniem, skoro w toku kontroli dowiódł, że nie przestrzega on procedur obowiązujących w firmie. Podsumowując, praca zdalna mimo stosowania jej od kilku lat i wprowadzenia regulacji w Kodeksie pracy, to wciąż nowy grunt zarówno dla pracodawców jak
i pracowników, który będzie jeszcze nie raz tematem gorących dyskusji. Obecna forma pracy zdalnej wymaga od pracodawców wprowadzania odpowiednich procedur i regulaminów, w tym z zakresu ochrony danych osobowych, a także odejścia od tradycyjnych form szkoleń z zakresu BHP, czy przeprowadzania onboardingu/offboardingu, a następnie kontroli stosowania przez pracowników obowiązujących u pracodawcy procedur. To jak poradzili sobie pracodawcy z nowymi obowiązkami, będziemy z pewnością oceniać w niedalekiej przyszłości.

Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.

Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj, o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj, o profilowaniu zgodnym z RODO tutaj, jak prawidłowo stosować cookies tutaj, o kontroli trzeźwości w kontekście ochrony danych tutaj oraz o inspektorze ochrony danych ijego roli w firmie tutaj.

Artykuł Kontrola pracy zdalnej w świetle przepisów RODO oraz zagrożenia wiążące się z pracą zdalną pochodzi z serwisu Pałucki & Szkutnik Kancelaria Adwokacka Kraków.