Przedsiębiorca internetowy na tle wyzwań stawianych przez ustawodawstwo
Przedsiębiorca internetowy, który prowadzi swoją działalność gospodarczą za pośrednictwem internetu, musi zrealizować szereg obowiązków, aby zapewnić zgodność funkcjonowania swojej organizacji z przepisami prawa. Choć w powszechnej świadomości bez wątpienia kluczowym aktem prawnym, który nakłada obowiązki w tym obszarze, jest RODO, to jednak nie należy zapominać o pozostałych regulacjach mających istotny wpływ na kształt procesów w firmie. Warto także pochylić się nad zagadnieniem prawidłowego wdrożenia zasad ochrony danych osobowych, nie tylko z perspektywy realizacji obowiązków stawianych przez prawodawstwo z tego obszaru (m.in. wspomniane już RODO), ale również wycieku informacji i ochrony tajemnicy przedsiębiorstwa, która często stanowi najcenniejsze aktywa w przedsiębiorstwie. Dodatkowo tacy przedsiębiorcy powinni szczególną uwagę skupić na regulacjach dot. ochrony praw konsumenta.
Ustawa o prawach konsumenta
Jedną z kluczowych cech wyróżniających przedsiębiorców internetowych jest fakt, że swoje umowy z konsumentami zawierają oni na odległość lub poza lokalem przedsiębiorstwa. W przypadku takich transakcji przedsiębiorca ma obowiązek poinformować konsumenta w sposób jasny i zrozumiały m.in. o głównych cechach świadczenia, swojej tożsamości, cenie czy adresie do reklamacji najpóźniej w chwili wyrażenia przez konsumenta woli związania się umową na odległość lub poza lokalem przedsiębiorstwa. Uprawnieniem konsumenta w przypadku zawierania tego typu umów jest prawo odstąpienia od tej umowy w ciągu 14 dni, bez podawania przyczyny i obowiązku ponoszenia kosztów (z określonymi wyjątkami określonymi w ustawie – dot. m.in. poniesienia określonych kosztów zwrotu rzeczy). W przypadku umów zawieranych poza lokalem przedsiębiorstwa przedsiębiorca ma obowiązek udzielenia konsumentowi ww. informacji, utrwalonych na papierze lub – jeżeli konsument wyrazi na to zgodę – na innym trwałym nośniku w sposób czytelny i wyrażony prostym językiem. W przypadku umów zawieranych na odległość przedsiębiorca ma obowiązek przekazania takich informacji w sposób odpowiadający rodzajowi użytego środka porozumiewania się na odległość, czytelnie i prostym językiem. Na stronach internetowych służących do prowadzenia handlu elektronicznego wskazuje się w sposób wyraźny, najpóźniej na początku składania zamówienia, jasne i czytelne informacje o ograniczeniach dotyczących dostarczania oraz akceptowanych sposobach płatności.
Przedsiębiorca internetowy
Kolejnym z istotnych obszarów, o które należy zadbać, prowadząc działalność w zakresie e-commerce, jest kwestia kierowania do swoich klientów informacji handlowych czy innego rodzaju wiadomości, czy ofert. Jedną z regulacji, która w tym zakresie kreuje ograniczenia, jest art. 172 ustawy – Prawo telekomunikacyjne, zgodnie z którym zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Powyższe ograniczenie dotyczy stosowania marketingu bezpośredniego, zarówno w stosunku do konsumentów, jak i osób prawnych. Z kolei art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną precyzuje, że zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. W kolejnym ustępie zostało wyjaśnione, że informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
Przedsiębiorcy powinni zadbać zatem o uzyskanie zgody na przesyłanie informacji handlowej i dopilnować, by takie informacje nie były przesyłane osobom, które takiej zgody nie wyraziły.
Należy pamiętać, że w tym aspekcie trzeba zadbać również o to, aby zgoda (jako że dotyczy przetwarzania danych osobowych) spełniała wymagania określone w RODO. Pewne warunki określa także ww. ustawa o świadczeniu usług drogą elektroniczną.
Zgoda
Na ww. podstawie zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści i musi istnieć możliwość odwołania tej zgody w każdym czasie. Swoiste ograniczenia w zakresie wyrażenia zgody określa RODO. Na jego podstawie zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Ponadto zgoda musi być w każdym czasie możliwa do wycofania, a jej wycofanie musi być równie łatwe, jak jej wyrażenie.
Szczególną regulacją objęte zostały w RODO osoby, które nie ukończyły 16 lat. W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku zgodne z prawem jest przetwarzanie danych osobowych nieletniego, który ukończył 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. Administrator, uwzględniając dostępną technologię, ma obowiązek podjąć rozsądne starania, by zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała.
RODO
W przypadku RODO należy dodatkowo pamiętać o zabezpieczeniu procesów przetwarzania danych (w tym ww.) w zgodzie z zasadami wynikającymi z tego rozporządzenia – chodzi m.in. o stosowanie zasady privacy by design i privacy by default we wszystkich procesach przetwarzania danych osobowych. Konieczne jest również zadbanie o należytą realizację obowiązku informacyjnego na zasadzie art. 13 RODO. Jest to szczególnie istotne w kontekście różnorodności celów, dla których przetwarzane są dane przez sklepy e-commerce (m.in. kwestie dostawy towaru, zwrotów itp.), co wiąże się z różnymi podstawami do przetwarzania danych oraz różnymi okresami ich retencji. Przedsiębiorcy internetowi muszą ponadto zmierzyć się z problemem należytego poinformowania o przetwarzaniu danych typu cookies, które, upraszczając, służą do wyświetlania strony internetowej i zapewnienia różnych jej funkcjonalności.
Ustawa o cyberprzestępczości
Swoiste obowiązki dla dostawców usług cyfrowych (tj. osoba prawna albo jednostka organizacyjna nieposiadająca osobowości prawnej mająca siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadcząca usługę cyfrową, z wyjątkiem mikroprzedsiębiorców i małych przedsiębiorców, świadcząca usługi w zakresie funkcjonowania internetowej platformy handlowej, usługi przetwarzania w chmurze czy wyszukiwarek internetowych) określa ustawa o krajowym systemie cyberbezpieczeństwa. Akt prawny wprowadza szereg obowiązków dla takich podmiotów w zakresie zabezpieczania danych czy zgłaszania incydentów do właściwego podmiotu (CSIRT MON, CSIRT NASK lub CSIRT GOV).