Przebieg audytu prawnego strony internetowej na przykładzie sklepu internetowego – czy każda firma go potrzebuje?

Strona internetowa jest czymś więcej dla firm niż tylko ich wizytówką w sieci, w szczególności, jeśli chodzi o sklepy, czy platformy internetowe. To droga kontaktu z klientem, sposób, w jaki firma się przedstawia, co sobą reprezentuje, a także środek umożliwiający prowadzenie działalności. Zadbanie o jej sprawność techniczną to podstawa działalności przedsiębiorstwa. Niemniej ważne jest jej funkcjonowanie w kontekście przepisów prawa. Uchybienia i zaniedbania w tym względzie grożą nie tylko nadwątleniem reputacji samej firmy w oczach klientów, ale przede wszystkim karami finansowymi, z jakimi mogą spotkać się właściciele strony za niedopatrzenia związane choćby z RODO, dyrektywami UE Omnibus i DSA, a także polskimi przepisami, np. ustawy o prawach konsumenta. Jeśli strona była stworzona już jakiś czas temu to warto sprawdzić, czy jej treść odpowiada aktualnym przepisom prawnym i co ewentualnie powinno zostać zaktualizowane.

Kto powinien zainteresować się przeprowadzeniem audytu prawnego strony internetowej? Kiedy powinien to zrobić? Wreszcie jak taki audyt przebiega?

Czym jest audyt prawny strony internetowej i kiedy go wykonać?

Audyt prawny strony internetowej jest wykonywany przez kancelarię prawną i stanowi proces sprawdzenia całej strony www przedsiębiorstwa pod kątem aktualnych przepisów prawa. Odpowiednio wykwalifikowane osoby analizują strukturę strony, dokumentację w niej zawartą (np. regulaminy, polityki prywatności) oraz jej funkcjonowanie (np. stosowane checkboxy, formularze).

Audyt prawny wykonywany może być przed uruchomieniem całej strony internetowej, kiedy przedsiębiorca chciałby upewnić się, że będzie działać zgodnie z prawem. Może również być przeprowadzany przy poważniejszych zmianach na stronie czy po prostu stanowić element regularnego badania poprawności działania firmy. Audyt stanowi ważną składową strategii analizy ryzyka i pozwala zabezpieczyć się przed ryzykami prawnymi.

Nie da się w sposób generalny wskazać, ile może zająć audyt strony internetowej. Wszystko będzie zależało od stopnia złożoności strony, dokumentów na niej dostępnych, rodzaju działalności firmy, w tym sprzedawanych produktów. Czas trwania audytu jest trudny do przewidzenia. Audyt zakończony jest otrzymaniem przez firmę odpowiedniej dokumentacji wraz z dokładnymi wskazówkami, co wymaga zmiany na stronie internetowej.

Jakie są kluczowe obszary audytu prawnego strony internetowej?

Należy pamiętać, że audyt prawny czy audyt RODO różni się od audytów technicznych stron internetowych. Takie koncentrują się na aspekcie technicznym strony www, prędkości jej działania, sprawnego funkcjonowania, optymalizacji do urządzeń mobilnych itd. Audyt prawny także może nawiązać do wdrożenia technicznych poprawek, z tymże będą one analizowane w kontekście działania strony zgodnie z przepisami prawa. 

Jak już wspomniałem przebieg samego audytu prawnego oraz badane podczas niego obszary zależą w dużej mierze od tego, czego oczekuje firma objęta audytem oraz od sytuacji, w jakiej audyt się odbywa. Na przykładzie sklepu internetowego można jednak wyróżnić elementy strony, które są weryfikowane podczas audytu pod kątem ochrony praw konsumenta, dyrektyw Omnibus oraz towarowej, ochrony danych osobowych czy też wprowadzonych niedawno – Prawa Komunikacji Elektronicznej oraz dyrektywy DSA. Kluczową dla przedsiębiorcy informacją są z pewnością konsekwencje w postaci kar finansowych, jakie mogą spotkać firmę za niewypełnianie obowiązujących przepisów.

Weryfikacja regulaminu sklepu internetowego

Temat tworzenia regulaminu jest bardzo rozległy, dlatego przybliżę go w dość skrótowy sposób. Więcej o pisaniu regulaminu dla sklepu internetowego możesz przeczytać w tekście „Regulaminy i umowy dla branży e-commerce – jak napisać regulamin sklepu internetowego?”.

Podstawą prawna do stworzenia regulaminu są liczne przepisy prawa, których nie zamyka nawet poniższa lista:

• ustawa o prawach konsumenta;
• ustawa o ochronie konkurencji i konsumentów;
• ustawę o świadczeniu usług drogą elektroniczną;
• prawo komunikacji elektronicznej;
• dyrektywa Omnibus;
• Kodeks cywilny;
• RODO.

To właśnie poprawność prawna w kontekście tych przepisów będzie sprawdzana podczas wykonywania audytu prawnego. Mieści się tu między innymi temat reklamacji, zwrotów (regulamin musi zawierać odpowiednie wzory formularzy), praw konsumenta (np. art. 12 ustawy o prawach konsumenta wymienia, jakie informacje powinny być przedstawione konsumentowi). Poza tym zwracana jest również uwaga na ewentualną obecność klauzul abuzywnych, czyli niedozwolonych – obecność ich w tekście regulaminu może spowodować nałożenie kar przez UOKiK (nawet do 10% obrotu z roku poprzedzającego ten, w którym nałożono karę). W samym regulaminie powinno się też zawrzeć omówienie krok po kroku samego procesu sprzedaży, od samego rozpoczęcia dodawania produktów do internetowego „koszyka”, poprzez wybór sposobów zapłaty i dostawy, realizację zamówienia oraz jego wysyłkę.

Niekiedy na stronach internetowych spotykamy się z wieloma podstronami, które wyodrębniają poszczególne informacje z regulaminu, tworząc osobne zakładki. Wówczas w czasie audytu konieczne jest sprawdzenie także tego typu podstron i upewnienie się, że są spójne z regulaminem. Brak spójności w tym zakresie mógłby powodować wątpliwości odnośnie wzajemnych obowiązków stron. 

Przetwarzanie danych osobowych – polityka prywatności oraz polityka cookies

Tak jak regulamin stanowi główny dokument regulujący zasady panujące w Twoim sklepie internetowym, tak można powiedzieć polityka prywatności wraz z polityką cookies wspierają u klienta poczucie bezpieczeństwa podczas korzystania z Twojej strony internetowej oraz są podstawą zbudowania zaufania wobec marki firmy. Obydwa dokumenty muszą być faktycznym odzwierciedleniem zgodności z RODO – opisem jak wykorzystywane są zbierane od klientów dane osobowe i jak są przetwarzane. 

Podczas audytu prawnego sklepu internetowego konieczna jest także jej weryfikacja pod kątem RODO. Na co zatem zostaje zwrócona szczególna uwaga?

• na podane informacje dotyczące celów przetwarzania danych osobowych oraz sprawdzenie czy uwzględnieni są wszyscy odbiorcy, do jakich trafiają dane osobowe (konsument musi wiedzieć, co dzieje się z jego danymi);
• wyjaśnienie i podanie informacji na temat transferu danych osobowych do krajów trzecich, o ile taki transfer ma miejsce (w praktyce taki transfer jest często możliwy w przypadku korzystania z narzędzi IT);
• sprawdzenie poprawności wypełnienia wszystkich obowiązków informacyjnych administratora wobec konsumenta włącznie z podaniem w polityce prywatności informacji o prawach przysługującym osobom, których dane dotyczą (prawo do dostępu do danych, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia danych, prawo do usunięcia danych, prawo do wniesienia sprzeciwu do przetwarzania, prawo do wycofania zgody, prawo do wniesienia skargi do organu nadzorczego);
• prawidłowe informacje na temat zautomatyzowanego przetwarzania danych (profilowania), o ile takie występuje;
• prawidłowe zgody od konsumentów – pliki cookie;
• sprawdzenie prawidłowości checkboxów, aby były zgodne z RODO i dyrektywą DSA;
• dostosowanie zgód do wymagań zawartych w przepisach.

Więcej na temat polityki prywatności przeczytasz w tekście w tekście: „RODO dla sklepu internetowego – jak zabezpieczyć się w branży e-commerce?”

Co jeszcze oferuje audyt strony internetowej – marketing, proces sprzedaży, formularz rekrutacyjny

Audyt prawny strony internetowej może dotyczyć jeszcze wielu rzeczy, jak stosowne dokumenty, umowy, formularze, klauzule, regulaminy – wszystko zależy od kształtu strony, co się na niej znajduje i czym zajmuje się sama firma. Można jednak wymienić tu jeszcze kilka tematów, które często sprawdzane są podczas audytu, w szczególności strony sklepu internetowego. Są to m.in.:

• newsletter – czy prawidłowo pobierane są zgody, czy jest prawidłowo skonstruowany;
• program lojalnościowy – czy skonstruowany jest zgodnie z RODO, czy posiada własny regulamin, czy zawiera w razie potrzeby stosowne informacje o obniżkach uwzględniające dyrektywę Omnibus;
• czy w sklepie znajdują się prawidłowe informacje o towarach oraz prawidłowe informacje o cenach, w tym z uwzględnieniem rozporządzenia GSPR (tj. rozporządzenia o bezpieczeństwie produktów);
• czy proces sprzedaży przebiega w sposób prawidłowy – np. czy pojawia się wymagane pole „potwierdzam zakup z obowiązkiem zapłaty”, czy pojawił się checkbox z akceptacją regulaminu oraz polityki prywatności;
• czy rekrutacje są prowadzone w sposób prawidłowy (jeśli są prowadzone za pomocą strony internetowej)– czy na stronie jest stosowny formularz rekrutacyjny, który informuje o przetwarzaniu danych osobowych podczas procesu rekrutacji (taka informacja może być również zawarta w polityce prywatności).

Dlaczego przedsiębiorca powinien przeprowadzić audyt prawny strony www?

Przede wszystkim audyt prawny nie powinien być rozumiany jako przymusowy obowiązek do wypełnienia, ale – spoglądając na sprawę od drugiej strony – niewymierna pomoc dla przedsiębiorcy w ulepszeniu swojej strony internetowej i jako ważne działanie profilaktyczne. 

Audyt prawny najlepiej wykonać przed rozpoczęciem działania strony, a także powtarzać go cyklicznie w czasie jej funkcjonowania. Istniejąca już strona internetowa może czerpać wiele korzyści z przeprowadzonego audytu. Dzieje się tak choćby w wypadku, gdy zmienia się prawo w kluczowy dla funkcjonowania strony sposób albo strona przechodziła gruntowną przebudowę i zmienił się jej sposób/zakres działania. Przedsiębiorca może również, korzystając ze stałej opieki prawnej, przeprowadzać okresowe audyty, które z pewnością uchronią go przed problematycznymi sytuacjami – poczynając od sporów z konsumentami, na karach nałożonych np. przez PUODO czy UOKiK, kończąc. Dlatego nie warto oszczędzać na operacji audytu prawnego i potraktować ją jako inwestycję, samemu biorąc w niej aktywny udział. Nikt przecież nie wie więcej na temat strony internetowej niż jej właściciel.