Dane klientów w e-commerce – jak sklepy łamią przepisy w szczycie zakupowym? Eksperci ostrzegają: to najbardziej ryzykowny moment w roku.

Gorący okres zakupowy już od Black Friday po świąteczne wyprzedaże to czas, w którym ruch w sklepach internetowych rośnie nawet kilkukrotnie. Wraz z nim rośnie jednak coś jeszcze: skala naruszeń związanych z ochroną danych osobowych. Prawnicy alarmują, że wiele firm, chcąc maksymalnie zwiększyć sprzedaż, nagina lub nieświadomie łamie przepisy ustawy prawo komunikacji elektronicznej, a także narusza przepisy RODO, narażając się na poważne konsekwencje finansowe, wizerunkowe, a w najpoważniejszych wypadkach również karne.

Najczęstsze błędy e-sklepów w sezonie świątecznym

Według ekspertów, najwięcej problemów pojawia się w trzech obszarach: zgód marketingowych, bezpieczeństwa danych osobowych oraz komunikacji z klientem.

– W szczycie zakupowym firmy skupiają się na sprzedaży i obsłudze zamówień. To naturalne. Problem w tym, że często „odpuszczają” kwestie formalne, np. dodają klientów automatycznie do newslettera, wymagają zbędnych danych do realizacji zamówienia albo przesyłają je niezaszyfrowanymi kanałami. Takie praktyki są niezgodne z prawem i mogą kosztować przedsiębiorców bardzo dużo – podkreśla Mateusz Bednarski, radca prawny w Kancelarii Karaś Chacia i Wspólnicy.

Ekspert wskazuje, że UODO co roku otrzymuje skargi związane z agresywnym marketingiem, spamem czy brakiem możliwości wycofania zgody. Z kolei rosnąca liczba cyberataków pokazuje, że sklepy często nie zapewniają odpowiednich zabezpieczeń informatycznych.

Zbieranie za dużej ilości danych – nadal powszechne

Pomimo licznych kampanii edukacyjnych, wiele sklepów internetowych nadal zbiera od klientów dane, które nie są konieczne do zrealizowania transakcji, np. datę urodzenia, numer telefonu czy zgody na marketing „w pakiecie”.

– Zgodnie z RODO obowiązuje zasada minimalizacji danych. Jeśli dany sklep wymaga więcej informacji, niż jest to niezbędne do realizacji umowy, tworzy naruszenie. W praktyce takie sytuacje zdarzają się bardzo często, szczególnie przy pośpiechu i dużym ruchu. Niestety, wiele osób nie zdaje sobie sprawy z tego, jaką wartość mają ich dane osobowe. Spotykam się z opiniami klientów, którzy mówią, że „dana usługa była za darmo, musieli podać jedynie imię i nazwisko, adres, e-mail oraz numer telefonu”, będąc całkowicie nieświadomymi, że jeżeli za dany towar ludzie nie płacą pieniędzmi, to znaczy, że oni sami są produktem. Ostatnio na stronie Urzędu Ochrony Danych Osobowych trafiłem na cytat, który dobrze oddaje wagę danych osobowych: „Podobno wiek XXI ma tylko jedną cenną walutę – informację. Jeśli tak jest, to dane osobowe są tą najcenniejszą – złotą monetą.” – zaznacza mecenas.

W praktyce pojawia się wątpliwość, czy zgoda na przetwarzanie danych osobowych może stanowić „zapłatę” za dostęp do określonych usług cyfrowych, zwłaszcza w świetle art. 7 ust. 4 RODO, który wymaga, aby zgoda była dobrowolna i niewymuszona. Przepis ten podkreśla również, że zgoda nie może być łączona z wykonaniem umowy, jeżeli przetwarzanie danych nie jest do jej wykonania niezbędne.

Z drugiej jednak strony, należy uwzględnić, że w sytuacji, gdy użytkownik może uzyskać dane świadczenie również w inny sposób, np. zapłacić za nie tradycyjną cenę lub pobrać je od innego dostawcy bez konieczności udzielania zgody, takie rozwiązanie może zostać ocenione pozytywnie pod kątem zgodności z RODO.

Przykładem może być udostępnianie darmowego dostępu do nagrania webinaru. Użytkownik trafia na stronę przedsiębiorcy, gdzie w zamian za możliwość obejrzenia materiału proszony jest o pozostawienie adresu email oraz wyrażenie odpowiednich zgód, w tym zgody marketingowej administratora. W takim modelu to właśnie zgoda staje się faktyczną formą zapłaty za dostęp do treści cyfrowej, podobnie jak ma to miejsce przy innych świadczeniach bezpłatnych, oferowanych „w zamian za dane”.

Wprowadzenie takiego mechanizmu jest co do zasady dopuszczalne, o ile użytkownik ma realną alternatywę i nie jest zmuszony do wyrażenia zgody jako jedynej drogi uzyskania świadczenia.

Newslettery i zgody marketingowe – pole minowe dla e-commerce

Wielu przedsiębiorców błędnie zakłada, że jednorazowa transakcja oznacza zgodę klienta na działania marketingowe. Tymczasem prawo wymaga precyzyjnej, dobrowolnej zgody. Bardzo duża, pozytywna zmiana w ochronie konsumentów nastąpiła 12.07.2024 r. wraz z wejściem w życie ustawy prawo komunikacji elektronicznej, która zastąpiła ustawę prawo telekomunikacyjne i zaktualizowała przestarzały stan prawny.

– Należy pamiętać, że zgodnie z ustawą prawo komunikacji elektronicznej, przesyłanie informacji handlowej, w tym prowadzenie marketingu bezpośredniego jest dopuszczalne tylko na podstawie uprzedniej zgody użytkownika końcowego lub abonenta. Dotyczy to w szczególności osób fizycznych.  Dodatkowo w orzecznictwie sądów administracyjnych wskazuje się, że klauzula zgody na przetwarzanie danych osobowych w celach marketingowych i klauzula przetwarzania danych w celach związanych z otrzymywaniem informacji handlowych powinny być oddzielone. Zgoda powinna być uzyskana przed podjęciem jakichkolwiek czynności polegających na przesyłaniu informacji handlowej. Przykładowo, umieszczenie na stronie internetowej adresu poczty elektronicznej nie może być uznane za wyrażenie zgody na przesyłanie przekazów marketingowych. Największy problem widzimy w automatycznym dopisywaniu kupujących do baz mailingowych czy w ukrywaniu zgód w regulaminach. To niedozwolone praktyki, za które UODO nakłada kary nawet na małe firmy. Oprócz przymiotu świadomej, zgoda musi być również jednoznaczna, konkretna i dobrowolna – podkreśla radca prawny z Kancelarii Karaś Chacia i Wspólnicy.

Brak szyfrowania danych i słabe hasła – wciąż realne zagrożenie

Okres zakupowy to także żniwa dla cyberprzestępców. Sklepy, które nie stosują podstawowych zabezpieczeń, narażają swoich klientów na realne ryzyko wycieku danych, a siebie na milionowe kary. Należy pamiętać, że przede wszystkim zagrożone są podmioty, które posiadają całe bazy danych z danymi osobowymi klientów. Nie oznacza to jednak, że cyberataki nie dotyczą również mniejszych podmiotów.

– Cyberataki stanowią dziś jedno z najpoważniejszych zagrożeń dla funkcjonowania przedsiębiorstw. To celowe działania mające na celu uzyskanie nieautoryzowanego dostępu do systemów firmy, zablokowanie jej usług lub przejęcie danych, również danych osobowych. Konsekwencje są często dotkliwe, od strat finansowych, przez paraliż operacyjny, po odpowiedzialność prawną związaną z naruszeniem ochrony danych. Do najczęściej spotykanych cyberataków należą:

• DDoS – atak polegający na przeciążeniu serwera lub strony internetowej sztucznie wygenerowanym ruchem. W praktyce prowadzi to do unieruchomienia usług i utraty klientów.
• Ransomware – złośliwe oprogramowanie szyfrujące dane firmowe, po czym cyberprzestępcy żądają okupu za ich odblokowanie. To jeden z najbardziej kosztownych i wyniszczających typów ataków.
• Phishing – podszywanie się pod znaną markę lub osobę w celu wyłudzenia danych, pieniędzy lub przejęcia tożsamości. Coraz częściej odbywa się nie tylko przez e-mail, lecz także przez komunikatory i media społecznościowe.

A to tylko kilka przykładów ataków. Na szczęście ludzie zyskują coraz większą świadomość, a tzw. higiena cyberbezpieczeństwa jest coraz wyższa – mówi mec. Bednarski.

Jak sklepy mogą się zabezpieczyć? Proste kroki, duże znaczenie

Warto wdrożyć kilka kroków jeszcze przed szczytem zakupowym, jak np. przegląd polityki bezpieczeństwa i obowiązujących zgód, a także testy obciążeniowe systemów i ich odporności na zwiększony ruch. Ważna jest również weryfikacja konfiguracji narzędzi marketingowych i analitycznych oraz szybkie szkolenie pracowników w zakresie RODO i reagowania na incydenty. Warto wprowadzić także procedury awaryjne na dni o największym natężeniu ruchu.

– Skuteczna ochrona przed cyberatakami wymaga połączenia technologii, procedur i edukacji. Kluczowe jest monitorowanie infrastruktury, korzystanie z profesjonalnych usług ochrony przed DDoS, regularne tworzenie kopii zapasowych, zabezpieczanie urządzeń pracowników oraz budowanie świadomości zagrożeń poprzez cykliczne szkolenia. W przypadku phishingu ogromną rolę odgrywa ostrożność użytkowników i weryfikacja nadawców komunikatów. Szyfrowanie danych klientów, regularne zmiany haseł, weryfikacja dwuetapowa to podstawy każdej firmy. Tymczasem wiele z nich zaniedbuje te elementy, zwłaszcza małe sklepy. Jeżeli dojdzie do wycieku, odpowiedzialność spada na administratora danych osobowych, czyli przykładowo właściciela sklepu internetowego. Zabezpieczenie procesów w e-commerce nie jest trudne, wymaga jednak konsekwencji. Przedsiębiorcy powinni zacząć od audytu RODO, uporządkowania zgód marketingowych, aktualizacji polityk, a przede wszystkim od edukacji pracowników. To ludzie popełniają najwięcej błędów – podsumowuje radca prawny.

Firmy, które w szczycie zakupowym zdecydują się działać bez odpowiednich zabezpieczeń, ryzykują nie tylko kary finansowe, ale również kryzys wizerunkowy, który może utrzymywać się miesiącami, a raz utracone zaufanie konsumentów bardzo trudno jest odzyskać.

Czarna lista naruszeń, które najczęściej kończą się karami

Można wyróżnić 5 najpoważniejszych błędów e-commerce i są to: automatyczne dopisywanie klientów do newsletterów, przesyłanie danych niezaszyfrowanymi kanałami, zbieranie zbyt dużej ilości danych osobowych przy zakupie, brak dokumentacji przetwarzania danych osobowych (np. polityki RODO) oraz nieodpowiednia reakcja na incydent lub jego ukrywanie. Kary za naruszenie RODO mogą wynieść nawet do 20.000.000 euro lub 4% rocznego światowego obrotu. Poza karami za naruszenie RODO, Prezes Urzędu Komunikacji Elektronicznej może nałożyć na podmiot naruszający przepisy uzyskania zgody karę pieniężną w wysokości do 3% przychodu ukaranego podmiotu lub do 1.000.000 zł, przy czym zastosowanie ma kwota wyższa. Dodatkowa sankcja wynika z art. 448 ustawy prawo komunikacji elektronicznej – kto przesyła za pomocą środków komunikacji elektronicznej informacje handlowe bez uprzedniego uzyskania zgody, podlega karze grzywny.