Twój regulamin sklepu to bomba zegarowa? Większość e-sklepów działa na niebezpiecznych kopiach i wzorach. Odkryj, o jakie elementy prawne strony internetowej powinieneś zadbać i jak stworzyć legalne, skuteczne dokumenty.
Prawidłowo sporządzona dokumentacja to fundament legalnego i bezpiecznego sklepu internetowego. Przed Tobą transkrypcja podcastu Akademia Skalowania Sklepów, w której obalamy mity na temat regulaminów, polityk prywatności i cookies.
Ekspert Konrad Cioczek w wywiadzie z Adrianem Prędkowiczem (Selly), tłumaczy, jakie są elementy prawne strony internetowej, dlaczego kopiowanie dokumentów od konkurencji to igranie z ogniem i podpowiada, jak uchronić się przed pozwami i karami.
Konrad Cioczek – kilka słów o gościu specjalnym
Konrad Cioczek to partner zarządzający ENSIS Kancelarii Prawnej. Jest absolwentem Uniwersytetu Marii Curie-Skłodowskiej w Lublinie na kierunku prawo. Specjalizuje się w prawie nowych technologii, prawie e-commerce, ochronie własności intelektualnej, ochronie danych osobowych oraz prawie turystycznym. Współtworzył książkę „Prawo w biznesie. Wszystko, co musisz wiedzieć, żeby prowadzić e-biznes i spać spokojnie”, a także dwie części „Biblii e-biznesu” oraz publikację o ochronie danych osobowych w placówkach oświatowych. Jest aktywnym blogerem kancelarii, autorem licznych felietonów w magazynie „Mensis”, prelegentem konferencji poświęconych e-commerce i m-commerce.
Jakie są najczęstsze błędy przy wdrażaniu Omnibusa?
Adrian Prędkiewicz: Cześć wszystkim, ze mną jest Konrad Cioczek, a my porozmawiamy sobie o niczym innym, jak o prawie. I Konrad odpowie nam na kilka pytań związanych właśnie z tym tematem w kontekście e-commerce i sklepów internetowych. Pierwsze takie pytanie, które chciałem Ci Konrad zadać, jest to, jakie najczęstsze błędy w sklepach internetowych podczas wdrażania przepisów związanych z dyrektywą Omnibus popełniają sklepy? No bo wiadomo, że te założenia trzeba wdrożyć i jakie są najczęstsze błędy z tym związane, które obserwujesz?
Konrad Cioczek: Dzień dobry, witam Państwa bardzo serdecznie, witam Ciebie Adrianie. Jakie błędy najczęściej w związku z wdrażaniem Omnibusa? No tak naprawdę dopiero mamy niecałe dwa miesiące obowiązywania tych przepisów w Polsce, więc tutaj możemy się posiłkować w zasadzie tylko tym, co wiemy gdzieś tam ze strony UOKiK.
Najczęstsze błędy dotyczą prezentowania obniżonej ceny
Ja osobiście nie mam jeszcze tutaj w tym względzie takiego doświadczenia, żeby gdzieś tam wskazać te najczęstsze błędy, bo jakby skupialiśmy się na wdrażaniu tego wszystkiego u naszych klientów, a zupełnie nie weryfikowałem, jak to wygląda gdzieś tam w Internecie, no ale sam UOKiK wypuścił tutaj taki bardzo ciekawy raport w tym względzie.
No i co się okazuje, najczęstsze błędy dotyczą tak naprawdę tej słynnej obniżonej ceny. Obecnie, w przypadku kiedy przedsiębiorca wprowadza jakąś promocję czy zniżkę, jakieś wyprzedaże, obniżki cen, no to ma obowiązek podać najniższą obowiązującą w ciągu ostatnich 30 dni cenę za ten produkt.
Bardzo fajna rzecz dla konsumenta tak naprawdę, w ogóle ta dyrektywa Omnibus, szczerze mówiąc, jest taka rzeczywiście prokonsumencka i z głową te przepisy zostały wprowadzone, no bo bez wątpienia wiele razy na pewno się zdarzyło, że byliśmy, jak to się mówi, nacinani tutaj przez przedsiębiorców, nie mówię, że wszyscy tak działali, bo na pewno nie, ale na pewno zdarzali się przedsiębiorcy, którzy gdzieś tam naciągali nas na jakieś tam pozorne promocje, no bo ktoś nas sprawdza regularnie cenę danego produktu, kupujemy zazwyczaj pod wpływem jakichś tam emocji, prawda?
To jest zazwyczaj taki główny impuls zakupowy. Ja nie znam szczerze mówiąc wielu osób, które by sprawdzały regularnie przez, nie wiem, kilka tygodni cenę na przykład danego produktu i pamiętały, że on kosztował tyle, a teraz faktycznie kosztuje tyle. Także tutaj jest rzeczywiście bardzo fajny przepis.
Wytyczne UOKiK a ceny podawane przez przedsiębiorców
No i co się okazuje, UOKiK zdążył już sprawdzić ponad, bodajże 40, jeśli dobrze pamiętam, ponad 40 przedsiębiorców, przy czym zaczęli od takich bardzo dużych firm typu tam gdzieś, nie wiem, CCC i tak dalej, tego typu firmy. I co się okazuje, mało kto poprawnie to tak naprawdę wdrożył, tak? I tutaj od razu wyjaśnię może według rzeczywiście wytycznych u UOKiK, jak to powinno być zrobione. Przede wszystkim powinno być to zrobione w sposób czytelny i niebudzący wątpliwości konsumenta, bo zdarzały się przypadki takie, że nie wiem, była jakaś tam dziwna czcionka, dziwny był kontrast ustawiony, że ciężko było tak naprawdę dojrzeć tą cenę.
Ta cena może być przekreślona, o ile jest nadal czytelna. Też zdarzało się, że przedsiębiorcy przekreślali tą cenę, tą cenę starą, a było to zupełnie nieczytelne. Nie może być też prezentowanie tego komunikatu dopiero po jakimś tam rozwinięciu, po kliknięciu w coś.
Nie może być dużo mniejsza czcionka, nieczytelny kolor, tak jak już wspomniałem. Także tu są takie bardzo istotne rzeczy, na które przedsiębiorca musi rzeczywiście zwrócić uwagę i musi być to tak naprawdę sformułowanie wprost, czyli że jest to najniższa cena z okresu 30 dni przed wprowadzeniem obniżki. No bo też zdarzały się jakieś takie sformułowania typu, nie wiem, cena transparentna, czy nawet spotkałem się gdzieś, chyba nawet UOKiK na stronie właśnie podaje, że cena omnibusowa czy cena omnibus, coś takiego w ogóle.
To nie do końca konsumentowi wyjaśnia tak naprawdę o co chodzi, a tu musimy pamiętać, że jednak ten konsument jest rzeczywiście przez to prawo chroniony, no bo jest z tej relacji przedsiębiorca-konsument, no to ten konsument jest uważany za taką, mówiąc w cudzysłowie, jednostkę słabszą. On tutaj wymaga większej ochrony przez prawo.
Szukanie granicy prawa w e-commerce
Adrian Prędkiewicz: Domyślam się, że to też działa tak, że po prostu przedsiębiorcy szukają takiej granicy, gdzie już mogą coś zrobić i się ktoś nie przyczepi, a gdzie właśnie jeszcze ktoś się przyczepi właśnie.
Konrad Cioczek: Tak, dokładnie, no bo też musimy sobie zdawać sprawę, że to gdzieś cały czas ewoluuje, te wytyczne się pojawiają i to nawet może absolutnie nie wynikać ze złej woli przedsiębiorcy, tylko po prostu z jakiegoś takiego, no nie wiem, błędnej interpretacji, może nie zaimplementowania tego w sposób dokładny, może ktoś się nie wspiera gdzieś tam pomocą prawną, tylko sam próbuje i tak jak mówię, no to może nie być nawet jakaś tam zła intencja. Póki co nie są nakładane żadne kary, to też jest istotne, bo to są właśnie raczej takie kontrole, żeby jakieś po prostu wytyczne w tym względzie wypracować.
Konsekwencje błędów i kary dla przedsiębiorców
No z reguły tak się dzieje, jak jest jakieś nowe prawo wprowadzane, no ale już UOKiK zapowiedział, że od drugiej połowy roku tutaj nie będzie pobłażania i będą tak naprawdę sypały się kary, a przypominam tutaj, że to jest do 10% przychodu za rok ubiegły. Można taką karę otrzymać. Przychodu podkreślam, nie dochodu, to jest bardzo istotne. No i też do dwóch milionów złotych dla osoby zarządzającej. Także no to są już myślę odczuwalne jakieś tam kary, także warto się myślę nad tym pochylić.
Adrian Prędkiewicz: Duża motywacja na pewno.
Obszary, które będzie kontrolował UOKiK
Konrad Cioczek: Tak, tak. No i to jest tak naprawdę to, co my wiemy na dzień dzisiejszy z takich już przeprowadzonych wstępnych kontroli. Wiemy też, że będą kontrolowane w najbliższej przyszłości jeszcze cztery inne obszary. W tym dwa będą dotyczyły rzeczywiście stricte sklepów internetowych.
Kontrolowanie prawdziwości opinii
Pierwszy to będą opinie. To jest też dosyć głośny temat.
No teraz przedsiębiorcy będą musieli informować o tym, czy i w jaki sposób weryfikują prawdziwość opinii o swoim na przykład produkcie czy sklepie.
A jeżeli tego nie robią, czyli nie weryfikują tego w żaden sposób, to również taka informacja powinna się znaleźć. No to jest kolejny ciekawy tak naprawdę i myślę, że taki prokonsumencki przepis, no bo wiemy, że działa chociażby dużo firm, które wystawiają po prostu za pieniądze opinie o jakimś produkcie czy sklepie. No i okej, czasem ten produkt rzeczywiście może być świetny, ale czasem może tak nie być i to konsumenta jak najbardziej może wprowadzić w błąd.
Obowiązek podania danych kontaktowych
I druga rzecz, która będzie dotyczyła sklepów internetowych, to jest taka dosyć błahostka, ale to też widzę to od tak naprawdę dłuższego czasu, że tutaj też są spore uchybienia u przedsiębiorców.
To jest obowiązek podania numeru telefonu kontaktowego do siebie i w ogóle jakichś danych kontaktowych. To często się widzi w stopkach mailowych.
Tu przypomnę też, że firmy mają obowiązek podawać takie dane, szczególnie te firmy, które są wpisane w KRS-ie. Także w stopce mailowej tu powinny być pełne dane takiej firmy i na to polecam zwrócić uwagę, bo to jest jakaś tam rzecz, którą widać na zewnątrz i tutaj gdzieś łatwo kogoś, jak to się mówi, złapać. I dwa ostatnie obszary, które mają być sprawdzane przez UOKiK, to są już takie obszary, które bardziej dotyczą jakichś takich platform handlowych typu marketplace na przykład.
Informacja o kolejności wyników wyszukiwania i umowy w marketplaceach
Te platformy będą musiały informować o parametrach decydujących o kolejności pojawiania się wyników w wyszukiwarce oraz o tym, które oferty są płatną reklamą lub uzyskały wyższy wynik w wyszukiwarce z powodu po prostu płatności. Myślę, że to jest w miarę jasna sprawa. Wiadomo, że jak przedsiębiorca płaci za jakąś reklamę, to ona będzie wiadomo wyżej w tych wynikach wyświetlania, więc taka informacja będzie musiała być.
I druga informacja to jest to, z kim my jako konsumenci tak naprawdę zawieramy umowę na takich marketplace’ach, bo wiadomo, że tam są zarówno przedsiębiorcy, jak i też inni konsumenci. Ja jako konsument też mogę coś na Allegro sprzedać, więc będzie musiała być jasna informacja, że ktoś, kto kupuje od Konrada Ciotrzka, to kupuje od konsumenta, a nie od przedsiębiorcy. Dlaczego? Bo to ma istotne konsekwencje.
Ktoś, kto kupuje ode mnie, nie jest chroniony tymi przepisami konsumenckimi, bo te przepisy konsumenckie obowiązują wyłącznie między przedsiębiorcą a konsumentem. Także to jest też dosyć ważna myślę informacja. No i myślę, że tym możemy zakończyć odpowiedź na to pytanie, bo tak naprawdę na dzień dzisiejszy za bardzo nie posiadamy tutaj większej wiedzy, ale myślę, że to już są jakieś tam wskazówki, w którą stronę pójść i na co rzeczywiście zwrócić uwagę, no bo tak naprawdę to będzie kontrolowane w pierwszej kolejności, więc tutaj myślę, że na tych kwestiach bym się w przypadku sklepów internetowych skupił.
Adrian Prędkiewicz: Dla naszych słuchaczy to już myślę, że będzie bardzo przydatne, no bo jeżeli właśnie mamy wytyczne i ktoś wspiera się pomocą prawną, no to warto też właśnie zwracać uwagę na to, co powiedziałeś, żeby po prostu tych błędów nie popełniać.
Niedopatrzenia prawne w sklepach internetowych
A skoro już mówimy o pomocy prawnej przy tworzeniu sklepu internetowego, tworzeniu regulaminu i podobnych elementach, jak polityka prywatności. No to chciałem się ciebie zapytać, już odbijając trochę od tego omnibusa, o niedopatrzenia prawne w sklepach internetowych do teraz. Bo powiedzmy sobie szczerze, że duża część przedsiębiorców sama wykonuje regulaminy sklepów i niektórzy po prostu korzystają z regulaminów, które znajdą u innych, po prostu zmieniając dane, a niektórzy robią jeszcze inne rzeczy i o nie chciałbym się ciebie zapytać.
Jakie na przykład niedopatrzenia prawne w sklepie internetowym, takie jak brak chociażby regulaminu czy podobne elementy, mogą być opłakane w skutkach pod względem kar, konsekwencji prawnych, jeżeli ktoś nas pozwie i innych elementach? Bo często po prostu dostrzegam, że przedsiębiorcy mogą nie zwracać na to uwagi, a wydaje mi się, że jest to ważne.Mam takie przeczucie.
Konrad Cioczek: Tak, to jest w ogóle temat rzeka. Tu poruszyłeś wiele bardzo ciekawych wątków. Myślę, że to w ogóle na oddzielny webinar moglibyśmy, a nawet kilka webinarów to rozdzielić.
Adrian Prędkiewicz: Możemy umówić się na kilka takich kluczowych.
Kluczowe elementy prawne strony internetowej
Konrad Cioczek: Przede wszystkim trzeba zwrócić uwagę na to, co widać, w cudzysłowie, na zewnątrz, czyli na naszej stronie internetowej, tudzież przez kontakt z jakimś tam klientem potencjalnym. O jednej rzeczy już wspomniałem, gdzieś tam dane teleadresowe czy dane w stopce maila, bo to też klient widzi. Jak jest upierdliwy, to może gdzieś tam nas zgłosić.
Różni są ludzie. Czasami komuś się coś nie spodoba, będzie chciał nam więc kolokwialnie narobić koło pióra i może narobić nam jakieś problemy tak naprawdę z jakiejś tam błahostki. No więc to, co widać na zewnątrz, to jest przede wszystkim regulamin, polityka prywatności i polityka plików cookies.
I to jest coś, co absolutnie w ogóle powinno być. To nie jest wszystko, co trzeba zrobić, żeby działać zgodnie z, w oparciu o obowiązujące standardy. O tym powiem może troszeczkę później, ale teraz skupmy się jakby na tych trzech rzeczach.
Więc to jest absolutne minimum, co trzeba mieć.
Ryzyko kopiowania dokumentów i klauzule niedozwolone
I tutaj poruszyłeś też bardzo ciekawy temat, bo ja też zauważyłem, że wielu przedsiębiorców po prostu robi to sama. Szczególnie kopiuje od tak zwanych dużych graczy. Bo ktoś sobie wyobraża, że jak tam mamy jakąś tam wielką firmę, to oni na bank mają gdzieś tam armię w ogóle prawników i oni siedzą i mają to na pewno dobrze, to jak ja sobie skopiuję, to będzie super. No może kogoś zaskoczy, ale do końca tak nie jest.
Takim przykładem są chociażby banki i ostatnie sprawy, chociażby frankowe, tak, ale nie tylko. Jak widać, nawet bank może mieć klauzule niedozwolone w jakichś tam umowach, w regulaminach. I powiem szczerze, może to kogoś zdziwi, ale czasami jest to wprowadzane celowo, bo konsumenci po prostu, mówiąc kolokwialnie, tego nie ogarniają, a takie duże firmy żerują na tym, bo taka duża firma często dostanie mniejszą karę, niż potencjalny zysk, który ona będzie miała z wprowadzenia jakiegoś zapisu niedozwolonego.
Ryzyko związane z brakiem dochodzenia roszczeń przez klientów
No umówmy się, nie każdy pójdzie do sądu o wszystko, prawda? No znajdą się ludzie, którzy pójdą, ale znajdą się ludzie, którzy nie pójdą, no nie każdy będzie się wykłócał, nie wiem, jak coś tam z butami za 300 zł będzie źle, tak? No ktoś machnie ręką i tyle, tak? Więc uczulam na kopiowanie, już abstrahując tutaj do jakichś tam praw autorskich i tak dalej, bo tu też trzeba bardzo ostrożnie się w tym zakresie poruszać, mogą być pewne sytuacje, w których można takie prawa autorskie naruszyć, też można z tego powodu mieć spore problemy, ale przede wszystkim to nigdy nie daje nam gwarancji, że to będzie zgodne z prawem. Bo naprawdę no to, co jest w Internecie, to nie wszystko jest zgodne z prawem, a nawet powiedziałbym, że większość rzeczy jest niezgodna z prawem, właśnie przez to, że ludzie po prostu kopiują albo piszą to sami.
Problem klauzul niedozwolonych i proceder pozwów
I na co bym szczególnie zwrócił uwagę, to jest temat tych nieszczęsnych klauzul niedozwolonych. Myślę, że każdemu, absolutnie każdemu przedsiębiorcy, e-przedsiębiorcy, e-sklepowi znanemu, kto jest choć trochę na rynku, to myślę, że z tym tematem się zetknął.
Ci, co mają okazję być na tym rynku troszeczkę dłużej, po 10 lat, to już w ogóle zetknęli się z tym, myślę, bardzo blisko, bo w latach szczególnie 2012-2015 to był w ogóle proceder na całą Polskę. Bardzo słynna sprawa, powstało mnóstwo stowarzyszeń prokonsumenckich, które przedsiębiorców pozywały. No i o ile gdzieś tam ten cel może był rzeczywiście szczytny, o ile też realizacja tego celu pozostawia wiele do życzenia, bo tak naprawdę to były stowarzyszenia, które pozywały nie tyle poprzez konsumentów, którzy rzeczywiście zostali gdzieś tam pokrzywdzeni.
Tylko to byli konsumenci, którzy, ja tak uważam, bo tam nawet gdzieś tam detektywi się w to angażowali i tak dalej, to były bardzo głośne sprawy. To byli konsumenci, którzy zostawili gdzieś tam u jakiegoś radcy prawnego pełnomocnictwo, prawdopodobnie ogólne, i on na podstawie tych pełnomocnictw pozywał przedsiębiorców. Ci konsumenci w ogóle nie mieli o tym świadomości, bo później tam ci detektywi do nich dotarli i oni w ogóle nie wiedzieli, że w ich imieniu jakieś sprawy w sądach się toczą.
Pozwy i przebieg procesu sądowego
A o co się rozchodziło? Rozchodziło się oczywiście o pieniądze, bo koszty zastępstwa procesowego w sprawach o klauzule niedozwolone to było 360 złotych wtedy jeszcze od pozwu. No i proszę sobie wyobrazić, że po prostu taki radca prawny, który miał takich pełnomocnictw, załóżmy 10, znajdywał w regulaminie sklepu internetowego, powiedzmy, 10 klauzul i on wysyłał 100 pozwów, bo 10 osób pozywało do każdej klauzuli niedozwolonej, no to łatwo sobie policzyć, jaki jest zarobek na takich sprawach.
Jako ciekawostkę podam tylko, że rekordzista, jaki się do nas zgłosił, miał bodajże 250 chyba pozwów i na to wszystko trzeba było odpowiedzieć, bo jeżeli się na jakąś tam sprawę nie odpowiedziało, no to niestety ona z automatu była przegrana, bo tutaj sąd uznawał, że jeżeli przedsiębiorca nie wchodzi w ogóle w jakikolwiek dialog, no to sorry, no przegrywa.
Ja do dziś pamiętam, na podłodze, bo to się na żadnym stole konferencyjnym nie mieściło, rozłożone po prostu 250 odpowiedzi na te pozwy, bo trzeba było rzeczywiście zweryfikować, czy na każdy pozew jest odpowiedź, trzeba było te sprawy połączyć w jedno do rozpoznania, to już się te koszty ograniczało ewentualnej porażki, bo zamiast tam 100 spraw mieliśmy 10 spraw. No i powiem szczerze, że większość tych spraw się w tamtych latach udało wygrać, niestety zmieniła się linia orzecznicza w tym względzie i w tym momencie to jest już praktycznie nie do wygrania. To jest coś takiego jak zdjęcie z fotoradaru, jechaliśmy za szybko, niestety.
Mamy klauzulę w regulaminie, mamy zapis niedozwolony, no trudno, to jest absolutnie nieważne, czy ktoś poniósł jakieś szkody z tego powodu, czy my chcieliśmy kogoś oszukać, czy my działaliśmy w złej wierze. Tu sąd zupełnie nie bierze takich okoliczności łagodzących pod uwagę, także na to bym zwrócił szczególną uwagę, na te klauzule niedozwolone.
Zalecenia dotyczące dokumentacji prawnej sklepu internetowego
No i cóż można tu polecić? Najlepiej, żeby takie dokumenty po prostu sporządzała osoba, która się na tym rzeczywiście zna.
Unikajmy kopiowania ze stron internetowych, unikajmy jakichś wzorów, no bo też w Internecie można wiele takich wzorów znaleźć, za jakieś tam, powiedzmy sobie szczerze, śmieszne pieniądze. Tylko co z tego, jeżeli my musimy usiąść i ten wzór dostosować, i teraz dostosować do siebie, do swojego biznesu. To nie znaczy, że my tam mamy wprowadzić tylko nazwę firmy i sposoby płatności, tylko pewne rzeczy powodują pewne konsekwencje. Jeżeli wprowadzamy jakieś tam określone sposoby płatności, no to znowuż mamy jakieś określone konsekwencje.
Może mamy newsletter, no to już musimy wprowadzić jakieś dodatkowe zapisy. Może mamy program lojalnościowy. Przydałoby się, żeby był regulamin co do tego programu, żeby każdy wiedział co i jak.
Podstawowe elementy prawne strony internetowej
Więc to jest przede wszystkim taka rzecz podstawowa, czyli to, co widzimy na stronie internetowej, ze szczególnym uwzględnieniem regulaminu. Bo pomimo że ten proceder już gdzieś tam pozywania tych przedsiębiorców można powiedzieć, że w zasadzie nie istnieje, tutaj też prawodawca wyszedł naprzeciwko i obniżył koszty zastępstwa procesowego z 360 na 60 zł. Więc przestało się to już opłacać na taką skalę, ale mimo wszystko jeszcze się to spotyka.
Adrian Prędkiewicz: Rozumiem. No ale to już dużo daje. Przyznam szczerze, że właśnie jeżeli ktoś, kto faktycznie to robi na co słyszy, no to może pomyśli o tym, żeby po prostu ten regulamin zrobić w sposób profesjonalny. I po prostu zamienić, jeżeli już mu się zdarzyło po prostu mieć coś niedozwolonego. Czasem nawet dane firmy się nie zgadzają, ale jednak taki regulamin jest, więc warto właśnie zwrócić na to uwagę.
Zagrożenie karą od przychodu
Konrad Cioczek: Jeszcze tylko jedno dodam, tym bardziej że rzeczywiście tutaj też jest cały czas to zagrożenie tej 10% kary od przychodu, prawda? Więc to też są dosyć poważne pieniądze.
Adrian Prędkiewicz: Tak, to jest spore ryzyko. Myślę, że kilkaset czy kilka tysięcy złotych, które ktoś przeznaczy na ochronę, zabezpieczenie się po prostu przed tym, no będzie, może być tego warte w większości przypadków.
Konrad Cioczek: No oczywiście, tak, no bo ok, możemy sobie kupić szablon, tak, powiedzmy, nie wiem, za 200-300 złotych, tylko co z tego, jak my poświęcimy później kilka godzin na dostosowanie w ogóle tego do prawa, tak? I cały czas nie mamy gwarancji, że to będzie zrobione dobrze, tak? No bo umówmy się, no przedsiębiorca raczej nie ma wiedzy z zakresu prawa, tak? No ja nie mam wiedzy, nie wiem, z zakresu księgowości czy podatków. Mam od tego księgową czy podatkowca, który mi tutaj doradza, tak? No i nie będę się tego uczył, nie będę działał sam, bo prawdopodobnie popełniłbym po prostu błąd.
Jak chronić dane konsumenckie?
Adrian Prędkiewicz: Tak, to prawda. A jakbyśmy weszli trochę głębiej i chciałbym trochę zapytać o temat, jaki jest z wyciekami danych, czyli powiedzmy, czasem wyciekają dane, słyszymy o tym, że powiedzmy z jakiegoś oprogramowania, w sensie sklepu internetowego czy w ogóle z jakiegoś sklepu, dużego, mniejszego, wyciekają dane osobowe wraz z numerami kart i innymi i po prostu jest tragedia. Więc może często to zależy też od oprogramowania, ale pod względem na przykład prawnym?
Jak chronić dane konsumenckie? Albo może masz jakieś praktyki tak bardziej od strony prawnej? Jak to zrobić, może kiedy już wyciekną albo właśnie jak się przed tym uchronić?
Konrad Cioczek: Wszystko zależy tak naprawdę od sytuacji, z jaką mamy do czynienia, bo też wyciek wyciekowi jest nierówny. Jak słusznie zauważyłeś, może być wyciek numerów kart, może być wyciek tylko adresów mailowych.
Ochrona danych osobowych to nie jest tylko polityka prywatności
Z czego sobie przede wszystkim trzeba zdawać sprawę, to z tego, że ochrona danych osobowych to nie jest tylko polityka prywatności. Bo tutaj ja naprawdę spotykam się z największym jakby niezrozumieniem i to nie tylko wśród sklepów internetowych, bo to się zdarza wśród jakichś platform webowych, aplikacji mobilnych, także bardzo szerokie grono przedsiębiorców nie zdaje sobie sprawy, że ochrona danych osobowych to nie jest tylko polityka prywatności. Ona jest oczywiście istotna, bo ją widać na zewnątrz, a całej reszty na zewnątrz nie widać, bo cała reszta to jest dokumentacja firmowa.
No ale to właśnie ta dokumentacja firmowa, ona nam pozwala, albo może nie tyle pozwala, co w dużym stopniu ogranicza możliwość wystąpienia ewentualnych negatywnych konsekwencji w przypadku właśnie takich zdarzeń niepożądanych, jak mówisz, na przykład o wyciekach. W ochronie danych osobowych nie chodzi tak naprawdę o to, żeby zastosować jakieś, nie wiem, nadzwyczajne zabezpieczenia, no bo umówmy się, no nie wiem, ludzie potrafią się włamać do Pentagonu, tak? No to tym bardziej zwykły przedsiębiorca, tak?
Prowadzący sklep internetowy, korzystający z jakichś tam, powiedzmy, platform, tak? No trudno, żeby on stosował jakieś magiczne zabezpieczenia, a nawet jeżeli takie stosuje, no to nie wiem, no chociażby przykład naszego klienta, no rozstaje się z pracownikiem, a pracownik wynosi mu całą bazę danych osobowych i otwiera swoją firmę i zaczyna z tymi ludźmi się kontaktować, tak? No co taki przedsiębiorca może zrobić? No tu nie ma takich zabezpieczeń, żeby taki przedsiębiorca jakby przed takimi rzeczami się ustrzegł.
Dokumentacja powinna odzwierciedlać to co się dzieje w firmie
Natomiast bardzo istotne jest to, żeby ta dokumentacja wewnątrz firmy była i żeby ta dokumentacja odzwierciedlała to, co się z tymi danymi w firmie dzieje.
Czyli na przykład mamy pracownika, on powinien mieć chociażby upoważnienia pracownicze do dostępu do określonej kategorii danych, bo do innych danych ma dostęp księgowa, do innych osoba z administracji, jeszcze do innych osoba z działu, na przykład, handlowego? Osoba z działu handlowego nie musi mieć przecież dostępu na przykład do wynagrodzeń, tak? pracowników i to trzeba odpowiednio uregulować. I to się wszystko robi właśnie w tej dokumentacji wewnętrznej, gdzie znajduje się między innymi polityka ochrony danych osobowych, właśnie upoważnienia pracownicze. Jest też rejestr naruszeń, w którym właśnie takie ewentualne wycieki danych odnotowujemy.
No i to trzeba tak naprawdę prowadzić. To też trzeba zdawać sobie sprawę, że to żyje wraz z życiem firmy, bo tu nie tylko zmiany prawne wchodzą w grę, ale też zmiany w samej firmie, tak? No zmieni się, nie wiem, model biznesowy, zmieni się ilość pracowników. Może ktoś uzyska jakiś dostęp do danych, do których wcześniej nie miał, więc to cały czas żyje z życiem firmy i z tego też trzeba sobie zdawać sprawę.
Co robić jak się zdarzy wyciek danych?
No jeżeli już nam się zdarzy jakiś wyciek, no to też oczywiście zależy od sytuacji, tak?
No jeżeli skala wymaga tego, jeżeli istnieją przesłanki ku temu, żeby taki wyciek został zgłoszony do Urzędu Ochrony Danych Osobowych, no to oczywiście musimy to zgłosić. Mamy na to 72 godziny. No i tu też jest istotne, żeby się rzeczywiście posiłkować kimś, kto ma wiedzę i doświadczenie, no bo tu możemy sobie narobić dużo krzywdy, nawet naprawdę z błahego, jakiegoś tam pozornie mogłoby się wydawać wycieku, tak? No są przypadki, chociażby nie wiem, nie pamiętam czy to było Morele.net, ale jakaś firma wysłała maila na nie ten adres mailowy, który trzeba i to klient podał ten adres mailowy, tak? No i nie zgłosili tego i dostali jakąś tam karę, nie?
Adrian Prędkiewicz: Więc w pierwszej godzinie od zdarzenia od razu telefon do kancelarii, a w drugiej do UOKiKu.
Zgłoszenie się do kancelarii i do UOKiK
Konrad Cioczek: Tak, no niestety tutaj trzeba to zgłosić, musimy, jak to się mówi, sami na siebie donieść, mówiąc kolokwialnie. No ale później toczy się normalnie postępowanie, tutaj trzeba się posiłkować rzeczywiście osobą doświadczoną, żeby z tego po prostu wybrnąć i tu właśnie pomaga między innymi ta dokumentacja wewnętrzna, tak? Bo my pokazujemy urzędowi, że no szanowny urzędzie, tutaj ok, nastąpił wyciek, ale my dane zabezpieczaliśmy w taki i taki sposób, nie dało się tego uniknąć, podjęliśmy, też trzeba podjąć czynności, oczywiście zapobiegając ewentualnym konsekwencjom, tak?
I to też, te czynności zależą od tego, co wyciekło, bo jak wyciekły, nie wiem, numery PSL i nie wiem, i kart bankowych i tak dalej, no to trzeba naprawdę działać bardzo szybko, sprawnie i logicznie, a co innego, jeżeli nie wiem, no wysłaliśmy jakiś newsletter i przez pomyłkę nie ukryliśmy na przykład adresów mailowych, no to cóż tam mogło wyciec, no ewentualnie imiona i nazwiska, jeżeli ktoś miał w adresie mailowym, tak?
No to tu działania są troszeczkę na inną skalę, ale też trzeba takie działania oczywiście podjąć, trzeba te wszystkie osoby powiadomić, tak, że taki wyciek nastąpił, co wyciekło, jakie podjęliśmy działania, że zgłosiliśmy to do Urzędu Ochrony Danych Osobowych i tak dalej, i tak dalej. Tutaj no jest szereg czynności, z którymi no ciężko sobie poradzić, nie mając jakiegoś doświadczenia w tej materii tak naprawdę.
Jak często warto aktualizować elementy prawne strony internetowej?
Adrian Prędkiewicz: To rozumiem, to jeżeli wam się coś takiego zdarzy, wiecie już, co z tym robić, a wspomniałeś też o tym, żeby aktualizować, no że dokumenty po prostu w firmie żyją, te odnośnie ochrony danych, dostępu pracowników do danych i pozostałe. No domyślam się, tutaj chciałem trochę wrócić do regulaminu i innych dokumentów w sklepie. Czy one też żyją? I jak często warto je aktualizować, na nie zerkać? Czy to jest na zasadzie odpala je, zmiana regulaminu odpala zmianę w sklepie? Czy warto po prostu co jakiś czas na nie zerkać i je aktualizować, czy jest na to jakiś jeszcze inny sposób?
Konrad Cioczek: Też żyją tak naprawdę swoim życiem. Są aktualizowane nie tylko ze względu na zmiany, które się w prawie pojawiają. Trudno jest mi tutaj oszacować jakąś częstotliwość, bo bywa tak, że zmieniamy 2-3 razy w roku, bywa tak, że przez rok nie dzieje się nic, ale są też zmiany w jakiejś firmie, może być chociażby zmiana modelu jakiegoś tam biznesowego, to już jest jakaś ingerencja w regulamin.
Kluczowa jest obserwacja prawa
Także trudno mi tutaj tak naprawdę oszacować jak często. E-przedsiębiorca ma tak naprawdę dwa wyjścia, albo korzystać z jednorazowych porad prawnych, co jakiś czas po prostu się zgłaszać. Tylko tu wymaga to jakby obserwowania prawa, bo trzeba wiedzieć, kiedy się zgłosić.
Nie każda kancelaria ma na tyle mało klientów, że o wszystkich pamięta i wszystkim napisze: „Hej, kliencie, słuchaj, zmieniło się to, to i tam, to trzeba by to zmienić”. Jesteśmy tylko ludźmi też, doba nasza ma ograniczoną ilość godzin. Albo jest druga alternatywa, zlecić monitoring takiego regulaminu i tutaj wtedy, no to już też w zależności oczywiście od kancelarii czy firmy, która świadczy takie usługi, to tu może być bardzo różny zakres tego.
Postaw na pomoc kancelarii prawnych
Co mogę podpowiedzieć, to żeby tutaj raczej iść w kierunku kancelarii prawnych, a nie firm, i nie dlatego, że ja kancelarią prawną zarządzam, ale chociażby dlatego, że kancelaria prawna bierze za to odpowiedzialność i jest to narzucone na nas ustawą. Natomiast firma sobie taką odpowiedzialność może ograniczyć, przypominam o 10% od przychodu. Także tu bym raczej szedł na takich podmiotów, które rzeczywiście mają jakieś ubezpieczenia obowiązkowe, tak.
No i mówię, no zakres tu może być bardzo różny, tak, bo to może być sam monitoring, nie wiem, może być monitoring z automatyczną zmianą, tak. Podstawia ktoś gotowy dokument. Mogą być do tego jakieś, nie wiem, certyfikaty, znaki wodne na stronę.
Różne, różne rzeczy tutaj mogą być. Ale rzeczywiście taka usługa wtedy, jak to się mówi, pozwala spać spokojnie, tak. No bo jest przerzucona odpowiedzialność na kogoś, kto się tym zajmuje zawodowo i mamy temat tak naprawdę z głowy. Nie musimy się tym w ogóle przejmować.
Adrian Prędkiewicz: Czyli albo właśnie po prostu śledzić prawo i zgłaszać się, gdzie tylko właśnie zobaczymy coś, co wzbudza nasze podejrzenia, albo po prostu zlecić monitoring, czyli takie po prostu informacje spersonalizowane, kiedy tak naprawdę warto popracować nad tym regulaminem, kiedy warto się jemu przyjrzeć znowu.
Konrad Cioczek: Dokładnie, dokładnie tak.
Adrian Prędkiewicz: Dobra, słuchaj, w takim razie tutaj jest koniec moich pytań. Jeżeli wy będziecie mieli jakiekolwiek pytania, napiszcie w komentarzu, tutaj chętnie odpowiemy. A tymczasem chciałem podziękować Konradowi za rozmowę i dzięki wielkie za wszystkie informacje. Mam nadzieję, że przydadzą się wszystkim słuchaczom. Dziękuję.
Elementy prawne strony internetowej – podsumowanie Selly
Właściwie sporządzone elementy prawne strony internetowej, takie jak regulamin i polityka prywatności, są kluczowe dla ochrony przedsiębiorcy przed roszczeniami konsumentów. Z tego względu przedstawiam Ci kluczowe kroki, które pomogą Ci zadbać o zgodność prawną Twojego sklepu internetowego.
Przestrzegaj dyrektywy Omnibus:
- Upewnij się, że informacje o obniżonych cenach są prezentowane w sposób czytelny i zgodny z wymogami dyrektywy Omnibus, podając najniższą cenę produktu z ostatnich 30 dni przed obniżką.
- Bądź przygotowanym na kontrole UOKiK i uniknij kar finansowych, które mogą sięgnąć nawet 10% rocznego przychodu.
Zadbaj o niezbędne elementy prawne strony internetowej:
- Stwórz i udostępnij regulamin sklepu internetowego, politykę prywatności i politykę plików cookies.
- Nie kopiuj regulaminów i innych dokumentów od innych firm, aby uniknąć ryzyka klauzul niedozwolonych i naruszeń praw autorskich.
- Zleć sporządzenie dokumentów prawnych specjaliście, aby mieć pewność ich zgodności z prawem i dostosowania do specyfiki Twojego biznesu.
Chroń dane osobowe klientów:
- Wprowadź wewnętrzną dokumentację regulującą sposób przetwarzania i zabezpieczania danych osobowych.
- W przypadku wycieku danych, zgłoś to do UODO w ciągu 72 godzin i podejmij odpowiednie działania w celu minimalizacji negatywnych skutków.
Aktualizuj dokumenty prawne:
- Regularnie sprawdzaj i aktualizuj regulamin oraz inne elementy prawne strony internetowej, aby były zgodne z obowiązującymi przepisami i odzwierciedlały aktualny model Twojego biznesu.
- Rozważ zlecenie monitoringu regulaminu kancelarii prawnej, aby na bieżąco otrzymywać informacje o koniecznych zmianach.
Jeśli podobał Ci się ten wpis, zachęcam także do przejrzenia transkrypcji wywiadu na temat tego, jak zaprojektować zysk w e-commerce.
