Nawigacja

Odzyskiwanie porzuconych koszyków to gorący temat w branży e-commerce. W Internecie znajdziesz mnóstwo artykułów pokazujących, jak efektywnie prowadzić takie działania.

Ja chcę dzisiaj jednak porozmawiać z tobą o mniej atrakcyjnej stronie tej techniki marketingowej, czyli o kwestiach prawnych. O ile bowiem wdrożenie odzyskiwania porzuconych koszyków od strony technicznej nie jest dzisiaj wyzwaniem, o tyle zrobienie tego zgodnie z prawem już tak.

Zaskoczyło mnie, że nie znalazłem w polskim Internecie żadnego opracowania poświęconego prawnym wyzwaniom związanym z abandoned cart. Przecież to ważny temat, szczególnie w kontekście unijnych rozporządzeń o e-prywatności i ochronie danych osobowych. Coraz częściej pytają mnie również o niego klienci i uczestnicy szkoleń, które prowadzę.

Dlatego nie mogłem przejść obok tego problemu obojętnie. Poniżej znajdziesz przegląd aspektów prawnych związanych z odzyskiwaniem porzuconych koszyków. W artykule poruszone są następujące zagadnienia:

Gdy w artykule przytaczam podstawy prawne, robię to podwójnie, odnosząc się zarówno do obecnie obowiązującej ustawy o ochronie danych osobowych oraz do unijnego rozporządzenia, które zacznie być stosowane od 25.05.2018 r.

Podcast – artykuł do odsłuchu

Jeżeli wolisz słuchać niż czytać, poniżej znajdziesz ósmy odcinek podcastu “Prawo dla kreatywnych” poświęcony tematowi aspektów prawnych odzyskiwania porzuconych koszyków.

Podobał ci się odcinek? Udostępnij go innym. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Podcastu “Prawo dla kreatywnych” możesz słuchać regularnie w następujących miejscach:

Wszystkie pozostałe odcinki podcastu “Prawo dla kreatywnych” znajdziesz na podstronie poświęconej podcastowi.

Odzyskiwanie porzuconych koszyków

Pewnie nie muszę ci tłumaczyć, czym jest odzyskiwanie porzuconych koszyków.

By jednak zachować porządek artykułu, powiem w skrócie, że chodzi o sytuację, w której kupujący rozpoczyna proces składania zamówienia, ale go nie kończy. Wdrożony mechanizm śledzi jednak poczynania użytkownika i wysyła mu wiadomość zachęcającą do dokończenia zamówienia.

Proste, prawda? Niestety nie z punktu widzenia prawa.

Przetwarzanie danych osobowych

Odzyskiwanie porzuconych koszyków wymaga zbierania adresów e-mail. Żeby użytkownik dostał wiadomość zachęcającą do dokończenia zamówienia, najpierw jego adres musi zostać zapisany w bazie.

Pamiętaj przy tym, że adres e-mail zaliczany jest do katalogu danych osobowych. Uprzedzę twoje pytanie – tak, wprawdzie mail czarnulka69@buziaczek.pl nie jest daną osobową, ale nie jesteś w stanie zapobiec, by użytkownik nie podał np. adresu wojciech.wawrzak@prakreacja.pl, a wtedy masz już do czynienia z danymi osobowymi.

Co to oznacza?

Że odzyskiwanie porzuconych koszyków to nic innego jak przetwarzanie danych osobowych.

Art. 7 ustawy o ochronie danych osobowych (UODO)

Ilekroć w ustawie jest mowa o:

2) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

Art. 4 rozporządzenia o ochronie danych osobowych (RODO)

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Jaka jest konsekwencja stwierdzenia, że odzyskiwanie porzuconych koszyków to przetwarzanie danych osobowych?

Taka, że przetwarzanie danych osobowych, aby było legalne, musi odbywać się w oparciu o prawnie dopuszczalną podstawę.

Art. 23 UODO

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Art. 6 RODO

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Dwie podstawy, o które najczęściej oparte jest przetwarzanie danych osobowych w sklepach internetowych to:

  • realizacja umowy,
  • zgoda użytkownika.

Czasem pojawia się jeszcze prawnie usprawiedliwiony cel administratora danych w postaci marketingu własnych produktów i usług, ale to bardziej w wyniku niezrozumienia tej przesłanki niż jej rzeczywistej możliwości zastosowania w danej sytuacji.

Więcej o ochronie danych osobowych w sklepie internetowym przeczytasz w innym moim artykule: Dane osobowe w sklepie internetowym,  jak nad nimi zapanować?

Jak to jest w przypadku odzyskiwania porzuconych koszyków? Już mówię.

Realizacja umowy a odzyskiwanie porzuconych koszyków

Na pewno nie mamy do czynienia z realizacją umowy. Dlaczego? Bo do zawarcia umowy jeszcze w ogóle nie doszło. Użytkownik rozpoczął proces składania zamówienia, który miał doprowadzić do zawarcia umowy, ale zamówienia ostatecznie nie złożył, więc umowy nie ma.

Jeżeli przeczytałeś uważnie zacytowane powyżej przepisy, to pewnie zwrócisz teraz uwagę, że przecież w ramach tej podstawy legalizującej przetwarzanie danych nie mówi się tylko o realizacji umowy, ale równie o działaniach przed zawarciem umowy. I to byłby jakiś argument, tyle że przepis dodaje, że te działania mają być podejmowane na żądanie osoby, której dane dotyczą.

No i tutaj jest pies pogrzebany, bo skoro użytkownik opuścił proces zamówienia, to nie sposób przyjąć, że żąda, by dalej przetwarzać jego dane w celu zawarcia umowy.

Zatem oparcie odzyskiwania porzuconych koszyków o podstawę realizacji umowy lub działań zmierzających do jej zawarcia jest niemożliwe.

Zgoda użytkownika a odzyskiwanie porzuconych koszyków

Odzyskiwanie porzuconych koszyków może być realizowane przy pomocy różnych rozwiązań technicznych.

Część z nich opiera się na uprzednim założeniu przez użytkownika konta w sklepie. Tutaj jesteś w dobrej sytuacji, bo w trakcie rejestracji możesz od użytkownika odebrać zgodę legalizującą przesyłanie mu wiadomości po porzuceniu zamówienia.

Jeżeli masz kilkustopniowy koszyk, to również jesteś w stanie, np. na pierwszej stronie zaimplementować stosowną zgodę.

Jednak najbardziej zaawansowane narzędzia śledzą poczynania użytkownika bez konieczności rejestracji, czy przechodzenia przez kolejne kroki zamówienia. Wystarczy, że użytkownik wypełni jakieś pole formularza zamówienia, a wpisane dane są już przechwytywane. To wszystko wspierane jest najczęściej przez pliki cookies i inne technologie śledzące.

W przypadku tych najbardziej zaawansowanych narzędzi podstawowy problem jest taki, że użytkownik w żadnym momencie nie wyraża zgody na przetwarzanie jego danych osobowych.

Owszem, być może godzi się na wykorzystywanie plików cookies i innych technologii śledzących poprzez akceptację polityki prywatności i plików cookies (jeżeli takowa w ogóle istnieje i została dobrze napisana), ale na pewno nie wyraża zgody na przetwarzanie danych osobowych.

Dlaczego nie wyraża zgody? Ponieważ taka zgoda musi być:

  • dobrowolna,
  • świadoma,
  • wyraźna,
  • konkretna.

Zgoda nie może być dorozumiana z samego tylko zachowania użytkownika.

Najlepszym sposobem na uzyskania takiej zgody jest odpowiedniej treści checkbox do zaznaczenia, ale przecież celem tych zaawansowanych narzędzi jest to, by użytkownik nie musiał podejmować żadnej szczególnej akcji, a już na pewno nie zaznaczać jakiś checkboxów.

Przeczytaj również inny mój artykuł:

Czy można wysłać zapytanie o zgodę na przesłanie oferty?

Zatem oparcie odzyskiwania porzuconych koszyków o zgodę użytkownika jest możliwe, ale wymaga dodatkowych starań, które obniżają atrakcyjność tej metody zwiększania sprzedaży.

Usprawiedliwiony cel – marketing własnych produktów lub usług

Jedną z podstaw przetwarzania danych osobowych są usprawiedliwione cele administratora danych osobowych, pośród których wymienia się marketing własnych produktów lub usług.

Brzmi super, co? W pierwszej chwili tak. Ale jak zawsze diabeł tkwi w szczegółach.

Po pierwsze, marketing własnych produktów i usług jako usprawiedliwiony cel administratora jest dopuszczalny pod warunkiem, że… administrator ma już jakąś inną podstawę przetwarzania danych.

Przykład

Użytkownik dokonał zakupu w sklepie internetowym, doszło więc do zawarcia umowy, a dane zostały zapisane w bazie na podstawie przesłanki legalizującej jaką jest realizacja umowy.

W takiej sytuacji na marketing własnych produktów i usług administrator nie musi mieć już zgody, bo działa podstawa usprawiedliwionego celu.

Ale jeżeli użytkownik porzucił koszyk, nie zawarł umowy, to w ogóle nie było podstawy zapisania danych w bazie, więc nie ma żadnego usprawiedliwionego celu marketingu własnych produktów lub usług.

Po drugie, w obecnym stanie prawnym sam usprawiedliwiony cel w postaci marketingu własnych produktów lub usług nie pozwala jeszcze na wysyłkę marketingowych wiadomości e-mail.

Dlaczego?

Bo oprócz przesłanki legalizującej przetwarzanie danych osobowych, na wysyłkę wiadomości e-mail potrzeba jeszcze odrębnej zgody wynikającej z ustawy o świadczeniu usług drogą elektroniczną i z prawa telekomunikacyjnego.

Tutaj jako ciekawostkę dodam, że projekt rozporządzenia unijnego dotyczącego e-prywatności dopuszcza marketing własny w postaci mailingu bez zgody, ale tylko w sytuacji, gdy użytkownik uprzednio podał swój adres w związku ze sprzedażą produktów lub usług i pod warunkiem umożliwienia zgłoszenia przez użytkownika sprzeciwu.

Art. 16 projektu rozporządzenia e-privacy

Jeżeli osoba fizyczna lub prawna otrzymuje od swojego klienta elektroniczne dane kontaktowe dotyczące poczty elektronicznej w związku ze sprzedażą produktu lub usługi, zgodnie z rozporządzeniem (UE) 2016/679, taka osoba fizyczna lub prawna może wykorzystywać te elektroniczne dane kontaktowe do celów marketingu bezpośredniego własnych podobnych produktów lub usług jedynie wówczas, gdy klienci mają jasną i wyraźną możliwość wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec takiego wykorzystania danych. Prawo do wyrażenia sprzeciwu przysługuje w czasie gromadzenia danych i za każdym razem, gdy wysyłana jest wiadomość.

Jeżeli rozporządzenie w takim kształcie zostałoby uchwalone, byłaby to dobra wiadomość dla sprzedawców internetowych – mogliby w stosunku do swoich klientów realizować działania e-mail marketingowe w modelu opt-out.

Jednak póki co rozporządzenie nie obowiązuje, a polskie przepisy nakazują mieć odrębną zgodę na przesyłanie informacji handlowych i wykorzystywanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

Zatem oparcie odzyskiwania porzuconych koszyków o usprawiedliwiony cel administratora danych osobowych w postaci marketingu własnych produktów lub usług jest w obecnym stanie prawnym niedopuszczalne.

Potrzebujesz indywidualnej pomocy?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Dane osobowe – podsumowanie

Wiesz już, że odzyskiwanie porzuconych koszyków to przetwarzanie danych osobowych w celach marketingowych, które może być realizowane wyłącznie w oparciu o legalną podstawę.

Taką legalną podstawą nie jest realizacja umowy, ani działania zmierzające do zawarcia umowy.

Legalną podstawą może być usprawiedliwiony cel administratora danych osobowych albo zgoda użytkownika.

Jeżeli użytkownik wcześniej założył w twoim sklepie konto lub złożył zamówienie, to taką podstawą będzie usprawiedliwiony cel administratora danych osobowych w postaci marketingu własnych produktów lub usług.

Natomiast jeżeli dane użytkownika nie znajdują się jeszcze w twojej bazie i trafiają do niej dopiero w wyniku odzyskiwania porzuconego koszyka, to przetwarzanie danych w tym celu wymaga zgody użytkownika na przetwarzanie jego danych osobowych w celach marketingowych.

Przykład

Użytkownik robił już u ciebie zakupy i przy tej okazji jego dane zostały zapisane w bazie.

W takiej sytuacji nie potrzebujesz jego zgody na przetwarzanie danych osobowych w celach marketingowych, bo działa usprawiedliwiony cel administratora.

Jeżeli użytkownik jest u ciebie po raz pierwszy, to na zapisanie danych w ramach porzuconego koszyka potrzebujesz jego zgody na przetwarzanie danych osobowych w celach marketingowych.


Zgody marketingowe

Byłoby pięknie, gdyby wyłącznie w oparciu o usprawiedliwiony cel w postaci marketingu własnych produktów i usług można było realizować procedurę odzyskiwania porzuconych koszyków.

Nie jest to jednak takie proste.

Nie wystarczy tylko posiadać odpowiednią podstawę przetwarzania danych osobowych. Trzeba mieć jeszcze zgodę na wysyłanie marketingowych wiadomości e-mail do użytkownika.

Innymi słowy, ustawa o ochronie danych osobowych to jedno, a ustawy o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne to drugie.

Mówiąc jeszcze inaczej, usprawiedliwiony cel administratora, a nawet zgoda na przetwarzanie danych osobowych w celach marketingowych nie pozwalają jeszcze wysyłać wiadomości marketingowych.

Mając usprawiedliwiony cel lub zgodę, możesz wprawdzie przetwarzać dane w celach marketingowych, ale tylko w ramach takich działań, które nie prowadzą do komunikacji mailowej.

Co zatem potrzebujesz, by móc wysłać do użytkownika wiadomość e-mail? Potrzebujesz dodatkowej zgody, a może nawet dwóch zgód.

Art. 10 ustawy o świadczeniu usług drogą elektroniczną

Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.


Art. 172 ustawy Prawo telekomunikacyjne

Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Jak widzisz, mamy dwa różne przepisy, które nakazują nam odebrać od użytkownika dwie różne zgody, jeżeli chcemy wysłać mu marketingową wiadomość e-mail.

Dlaczego dwie?

Bo w art. 10 UŚUDE mowa o zgodzie na wysłanie informacji handlowej drogą elektroniczną, a w art. 172 prawa telekomunikacyjnego o zgodzie na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośrednio.

Biorąc pod uwagę, że urządzeniem telekomunikacyjnym jest każde urządzenie podłączone do internetu, to komputer i smartfon łapią się pod tę definicję. Jeżeli przy wykorzystaniu tych urządzeń użytkownik odbiera marketingową wiadomość, to mamy do czynienia z wykorzystaniem tych urządzeń dla celów marketingu bezpośredniego.

Dlatego najbezpieczniej byłoby oczywiście odebranie dwóch oddzielnych zgód:

  • na przesyłanie informacji handlowych za pomocą poczty elektronicznej,
  • na wykorzystywanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

Pojawiają się jednak opinie, z którymi ja również się zgadzam, że te zgody można połączyć. Pod warunkiem, że dotyczą one tego samego kanału komunikacji.

Czyli jeżeli chcesz wysyłać tylko wiadomości e-mail, to wystarczy jedna zgoda. Ale jeżeli chcesz wysyłać również sms’y, czy telefonować, to potrzebujesz dwóch zgód.

Jak to wszystko się ma do odzyskiwania porzuconych koszyków?

Ano tak, że dopóki nie masz dodatkowej zgody użytkownika na wysyłanie mu maili (odrębnej od ewentualnej zgody na przetwarzanie danych osobowych w celach marketingowych), to nie możesz mu wysłać wiadomości z zachętą do dokończenia zamówienia.

Rozwiązanie problemu

Wiesz już, że w celu odzyskiwania porzuconych koszyków potrzebujesz dwóch rzeczy:

  • podstawy przetwarzania danych osobowych w celach marketingowych,
  • zgody na wysyłkę marketingowych wiadomości e-mail.

Niestety, taka jest obecnie prawna rzeczywistość.

Zapytasz pewnie teraz, jak żyć?

Co zrobić, by móc odzyskiwać porzucone koszyki?

W pierwszej kolejności dodaj odpowiednie zgody na etapie zakładania konta w sklepie. Już na tym etapie odbierz od użytkownika odpowiedniej treści zgody, które pozwolą ci wysyłać do niego marketingowe wiadomości w przyszłości.

Jeżeli w twoim sklepie nie ma możliwości założenia konta, to odpowiednie zgody dodaj na etapie składania zamówienia. Daj użytkownikowi możliwość, by zaznaczył zgody, składając zamówienie.

Jeżeli jest możliwość założenia konta, ale zakładając konto, użytkownik nie wyraził odpowiednich zgód albo nie zrobił tego w trakcie składania zamówienia, możesz zgody odebrać również później, np. w postaci jakiegoś wabika typu “Podaj swój adres e-mail, by otrzymać bezpłatny poradnik”.

Oczywiście musisz dodać tutaj odpowiednie checkboxy i klauzule informacyjne. Samo podanie maila nie wystarczy.

Jeszcze inne rozwiązanie to np. stworzenie koszyka z podziałem na poszczególne etapy. Wtedy już w pierwszym etapie dodajesz stosowną zgodę i po przejściu do kolejnego etapu z zaznaczoną zgodą, dane wraz z odnotowaniem zgody zapisywane są w bazie.

Myślę, że rozwiązań technicznych jest tutaj naprawdę dużo. Nie jest ważne, przy jakiej okazji stosowne zgody odbierzesz, ale pamiętaj, że musi to nastąpić przed wysłaniem do użytkownika jakiejkolwiek wiadomości marketingowej. Czyli musi być to zgoda typu opt-in.

Jakiej treści powinny być to zgody?

Technik i sposobów formułowania zgód jest wiele, podobnie jak podejść do tego, czy zgody rozdzielać, czy łączyć.

Jasne, najlepiej byłoby mieć zgody rozdzielne, ale jeżeli z punktu widzenia biznesowego dążysz do ograniczenia checkboxów i chciałbyś posłużyć się pojedynczą formułą, mogłaby ona brzmieć przykładowo w ten sposób.

  • Wyrażam zgodę na przetwarzanie moich danych osobowych przez XYZ Sp. z o.o., ul. Koślawa 40, 12-563 Warszawa dla celów marketingu bezpośredniego przy użyciu poczty elektronicznej, tj. na przesyłanie mi na mój adres e-mail wiadomości marketingowych, w tym informacji handlowych.

Jeżeli jesteś gotów wdrożyć dwa checkboxy, przykładowo mogłyby one wyglądać tak:

  • Wyram zgodę na przetwarzanie moich danych osobowych przez XYZ Sp. z o.o., ul. Koślawa 40, 12-563 w celach marketingowych.
  • Wyrażam zgodę na marketing bezpośredni realizowany przez XYZ Sp. z o.o., ul. Koślawa 40, 12-563 przy użyciu poczty elektronicznej, tj. na otrzymywanie wiadomości marketingowych, w tym informacji handlowych, na podany w formularzu adres e-mail.

Pamiętaj, że to tylko przykłady. Bardzo trudno jest sformułować uniwersalne klauzule, ponieważ każda sytuacja jest inna i w każdej sytuacji proces pozyskiwania właściwych zgód może wyglądać inaczej.

Nie zapomnij również o klauzuli informacyjnej, o której piszę poniżej.

Potrzebujesz indywidualnej pomocy?

Wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.


Klauzula informacyjna

Oprócz podstawy przetwarzania danych osobowych oraz zgody na wysyłkę wiadomości e-mail, musisz jeszcze wypełnić wobec użytkownika obowiązek informacyjny wynikający z przepisów.

Póki co ten obowiązek informacyjny nie jest aż tak rozbudowany, ale od 25.05.2018 r. (rozpoczęcie stosowania unijnego rozporządzenia o danych osobowych) będziesz miał obowiązek dostarczenia użytkownikowi większej ilości informacji.

Art. 24 ustawy o ochronie danych osobowych (UODO)

1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;

3) prawie dostępu do treści swoich danych oraz ich poprawiania;

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Art. 13 rozporządzenia o ochronie danych osobowych (RODO)

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jak taką klauzulę sformułować? Wskazać po prostu na wszystko to, czego wymaga od ciebie przepis.

Przykładowa klauzula informacyjna na gruncie obowiązującej jeszcze polskiej ustawy o ochronie danych osobowych mogłaby wyglądać tak:

  • Administratorem podanych przez Ciebie danych osobowych będzie XYZ Sp. z o.o., ul. Koślawa 40, 12-563 Warszawa. Twoje dane będą przetwarzane w celach marketingowych, zgodnie z udzieloną przez Ciebie zgodą. Twoje dane nie będą udostępnianie osobom trzecim. W każdej chwili będziesz mieć prawo dostępu do treści swoich danych oraz ich poprawiania. Podanie danych jest dobrowolne, ale niezbędne, by otrzymywać materiały reklamowe.

Gdzie taką klauzulę umieścić?

Najlepiej pod formularzem, gdzie użytkownik podaje swoje dane.

Jeżeli bardzo nie chcesz eksponować na stronie kolejnych formułek, a korzystasz z modelu double opt-in, możesz taką klauzulę informacyjną zawrzeć w wiadomości z linkiem służącym do potwierdzenia wyrażenia zgody.

Nie zapomnij, że dane użytkownika zapisane w twojej bazie stanowią zbiór danych osobowych, który podlega zgłoszeniu do GIODO. Sytuacja jest analogiczna jak z newsletterem.

Przeczytaj więcej: Czy newsletter trzeba zgłosić do GIODO? Jak to zrobić?


Polityka prywatności

Polityka prywatności i plików cookiesWiesz już, że do odzyskiwania porzuconych koszyków musisz mieć podstawę do przetwarzania danych osobowych w celach marketingowych, zgodę na wysyłkę reklamowych wiadomości e-mail i klauzulę informacyjną.

To nadal jeszcze nie wszystko.

Odzyskiwanie porzuconych koszyków łączy się również z wykorzystaniem plików cookies i innych technologii śledzących.

To wszystko musi znaleźć swoje odzwierciedlenie w polityce prywatności i plików cookies, która powinna znaleźć się na stronie twojego sklepu.

Musisz poinformować użytkownika, że wykorzystujesz pliki cookies, w jakim celu to robisz oraz że może on zmienić ustawienia plików cookies w ramach swojej przeglądarki.

Potrzebujesz polityki prywatności?

Możesz kupić ją tutaj: polityka prywatności i plików cookies – wzór do kupienia.

Jeżeli wolisz skorzystać z indywidualnej pomocy, wyślij wiadomość na adres wojciech.wawrzak@prakreacja.pl.

Podsumowanie

Sporo tego, co? Niestety tak wyglądają obecnie obowiązujące regulacje prawne.

Podsumowując, odzyskiwanie porzuconych koszyków wymaga:

  • podstawy przetwarzania danych osobowych w celach marketingowych, którą może być usprawiedliwiony cel administratora (jeżeli dane użytkownika zostały uprzednio zapisane w bazie, bo np. robił już u ciebie zakupy) albo zgoda,
  • zgody na przesyłanie informacji handlowych oraz wykorzystywanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego, które można próbować połączyć w jedną zgodę,
  • klauzuli informacyjnej z wymaganymi przez prawo elementami,
  • odpowiednich postanowień w polityce prywatności.

Teraz pewnie mi powiesz, że kto normalny by się w to bawił. I dodasz, że przecież wszyscy dzisiaj odzyskują porzucane koszyki i nikt nie respektuje tych wszystkich wymogów.

Ja ci na to odpowiem, że masz rację. Nie jest to ani atrakcyjne, ani przestrzegane. Póki co, nie słyszy się o negatywnych konsekwencjach prawnych dla przedsiębiorców realizujących procedurę odzyskiwania porzuconych koszyków. Nie jest jednak powiedziane, że tak będzie zawsze.

Pamiętaj również, że lawina złych zdarzeń najczęściej zaczyna się od niezadowolonego użytkownika i jego skargi. Jaki z tego wniosek? Jeżeli nie dbasz o kwestie prawne, to staraj się wysyłać użytkownikowi takie wiadomości, które go zainteresują albo przynajmniej nie zdenerwują. Zdenerwowany użytkownik ma narzędzia, by ci zaszkodzić.

I już totalnie na koniec dodam, że wiele zależy również od polityki twojej firmy. Jedni chcą zawsze działać w pełni zgodnie z prawem, a drudzy świadomie nie przestrzegają przepisów, traktując to jako swojego rodzaju decyzję biznesową.

Niezależnie którą drogą pójdziesz, warto, byś zawsze był świadomy. Stąd ten artykuł, który mam nadzieję, dostarczył ci przydatnej wiedzy. W razie jakichkolwiek pytań, pisz śmiało na adres wojciech.wawrzak@prakreacja.pl.

Podobał ci się ten artykuł? Udostępnij go dalej. Dzięki poniższym przyciskom zajmie ci to dosłownie chwilę.

Chcesz wiedzieć więcej? Odwiedź strefę wiedzy dla kreatywnych. Znajduje się tam specjalny dział dla sklepów internetowych.

Zostań moim Mecenasem na Patronite.

Interesuje cię prawo dla kreatywnych? Zapisz się na newsletter, by nie przegapić nowości.

Administratorem podanych przez ciebie danych osobowych będę ja, tj. Wojciech Wawrzak, ul. Tatrzańska 91/51, 93-279 Łódź. Twoje dane będą przetwarzane wyłącznie w celu przesyłania ci newslettera. W każdej chwili będziesz mógł uzyskać dostęp do swoich danych, poprawić je lub usunąć. Podanie danych jest dobrowolne, ale niezbędne do zapisu na newsletter.

 

  • Gosc

    A czy mail wojciech.w@interia.pl albo w.wawrzak@wp.pl jest daną osobową?

    • Dzień dobry! Dziękuję za komentarz. Można byłoby argumentować, że identyfikacja osoby jest niemożliwa, więc nie mamy do czynienia z danymi osobowymi, ale tego typu argumentacje nie mają sensu – lepiej z góry założyć, że gdy zbieramy adresy e-mail powstają obowiązki związane z ochroną danych osobowych.

  • Magda

    Dzień dobry. Panie Mecenasie prosiłabym o wyprostowanie mojego myślenia (jeżeli istnieje taka możliwość) i odpowiedzenie na pytanie. Do tej pory przetwarzaliśmy dane w oparciu o fakt, że rejestracja to zawarcie umowy, bo klient zostawia swoje dane na poczet realizacji przyszłych zamówień. Do czasu do kiedy klient się nie wyrejestruje mogliśmy przetwarzać jego dane, a potem już w związku z realizacją zamówień….Rozumiem, że nie możemy założyć, że rejestracja jest zawarciem umowy? Żeby było zawarcie umowy musi dojść do zakupu?

  • Magda

    Panie Mecenasie, kontynuując wątek poniższy, czy to oznacza że jeżeli klient założy konto w sklepie ale nie dokona zakupu mogę przetwarzać jego dane czy muszę usunąć jego konto bo nie będę miała podstawy prawnej do dalszego przetwarzania? A jeżeli nie muszę usuwac konta to jak długo mogę przetwarzać jego dane ( bez dokonanego zakupu?)

    • Dzień dobry, Pani Magdo! Należy odróżnić przetwarzanie danych w celu założenia i utrzymywania konta od przetwarzania w celach marketingowych. Założenie konta możemy uznać za zawarcie nieodpłatnej umowy o prowadzenie konta w sklepie, a więc tutaj mamy podstawę przetwarzania danych, nawet jeżeli klient nie zrobił zakupu. Oczywiście można byłoby dodać w procesie rejestracji zgodę na przetwarzanie danych osobowych w celu założenia i utrzymywania konta, ale uważam, że przetwarzanie na potrzeby konta można oprzeć o realizację umowy o prowadzenie konta.

      • Magda

        Bardzo Panu dziękuję !!!