Polskie sklepy internetowe coraz chętniej korzystają z czatu online. Może on służyć do obsługi klientów lub być kolejnym sprzedażowym medium. W jaki sposób wdrożyć to narzędzie w e-sklepie, żeby było zgodne z przepisami RODO?
Czat z klientem a RODO
Już na etapie wyboru narzędzia – a marek i start-upów oferujących czat z klientem jest całe mnóstwo – należy wybrać propozycję, która jest dostosowana pod kątem środków technicznych i organizacyjnych do obowiązujących od maja 2018 roku przepisów RODO dla e-commerce.
Zarówno na dostawcę czatu, jak i e-sklep nałożone zostały obowiązki. Dostawca czatu jest podmiotem przetwarzającym dane osobowe na zlecenie e-sklepu, jest on zobowiązany dostarczyć produkt spełniający wymogi opisane w RODO. Z kolei na administratora danych osobowych e-sklepu nałożone zostały następujące zobowiązania: obowiązek informacyjny oraz sporządzenie zgody na przetwarzanie danych osobowych użytkownika.
Warunkiem koniecznym jest spełnienie obowiązku informacyjnego, fakultatywny jest wymóg wyrażenia zgody na przetwarzanie danych osobowych przez użytkownika czatu (obowiązkowy w wielu, ale nie wszystkich sytuacjach).
Pierwszy wymóg można spełnić, podając link do Polityki Prywatności, w której umieszczone zostaną odpowiednie zapisy. Użytkownika należy poinformować o celu przetwarzania jego danych – takim celem może być np. obsługa klienta. Ten obowiązek informacyjny powinien zostać spełniony przed wymogiem wyrażenia zgody.
Drugi wymóg – wyrażenia zgody na przetwarzanie danych osobowych – zazwyczaj realizowany jest przy pomocy odpowiedniego checkboxu. Wyrażenie zgody nie jest obowiązkowe w kilku sytuacjach, m.in. gdy przetwarzanie danych osobowych jest niezbędne do wykonania umowy lub podjęcia działań przed wykonaniem umowy. Jeżeli czat jest wyposażony w funkcjonalność, która finalnie prowadzi do zawarcia umowy (np. zaprezentowanie aktualnej oferty) w takiej sytuacji nie ma konieczności pozyskania od użytkownika zgody na przetwarzanie jego danych.
Co istotne, czat najczęściej jest narzędziem od firmy zewnętrznej. Co to oznacza? Że użytkownik, który z niego korzysta, powinien zostać poinformowany o tym, że:
- jego dane osobowe są przetwarzane przez firmę X (czyli producenta lub dystrybutora czatu),
- firma X działa w imieniu właściciela witryny, na której znajduje się użytkownik,
- właściciel witryny lub inny podmiot, który podejmuje decyzje o celach i środkach przetwarzania danych osobowych, jest administratorem danych.
Czy e-mail to dana osobowa?
Zapisy ustawy o ochronie danych osobowych wyraźnie precyzują, jakie informacje kwalifikują się do tej kategorii. Są to “wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. W przypadku adresu e-mail typu przystojny89@domena trudno wskazać konkretną osobę, przypisaną do adresu. Z kolei przy pomocy adresu e-mail typu imię.nazwisko@domena łatwo zidentyfikować jego właściciela, dlatego – według jednej z interpretacji przepisów – tak skonstruowany adres e-mail zalicza się do danych osobowych.
Tryby czatu a RODO
Istotnym rozróżnieniem jest tryb czatu – online i offline:
- Czat w trybie online
- Czat w trybie offline – w świetle przepisów czat w tym trybie jest traktowany tak samo jak formularz kontaktowy. Użytkownik zostawia wiadomość, która trafia do skrzynki odbiorczej e-sklepu i czeka na odpowiedź od konsultanta lub pracownika biura obsługi klienta. Tym samym sposobem, czyli drogą mailową, użytkownik otrzymuje odpowiedź na zapytanie. Ponieważ, żeby móc wysłać zapytanie, użytkownik jest zobowiązany uzupełnić pola z danymi – w zależności od rodzaju narzędzia może to być imię, nazwisko, telefon, adres e-mail – wówczas zachodzi sytuacja przetwarzania danych osobowych.
Według przepisów RODO każdy, kto uzupełnia formularz kontaktowy i podaje w nim swoje dane, powinien zostać poinformowany o tym, kto i w jakim celu będzie przetwarzać jego dane osobowe (obowiązek informacyjny). Każdy e-sklep, korzystający z czatu, powinien o tym pamiętać i wprowadzić odpowiednie zapisy w Polityce Prywatności. Klauzula zgody na przetwarzanie danych osobowych – co zostało już opisane wcześniej opisane – jest obowiązkowa w wielu sytuacjach, jednak istnieją od niej wyjątki (przetwarzanie danych osobowych jest niezbędne do wykonania umowy lub podjęcia działań przed wykonaniem umowy).
Czat a Polityka Prywatności
W przypadku, gdy sklep internetowy korzysta z czatu, należy zaktualizować Politykę Prywatności. W dokumencie powinny znaleźć się zapisy o miejscach, w których użytkownik może przekazać swoje dane osobowe. Takimi miejscami może być np. formularz zapisu na newsletter, formularz kontaktowy i rozmowa w oknie czatu. W przypadku czatu użytkownik sam podejmuje decyzję, jakie dane osobowe poda konsultantowi w trakcie rozmowy lub jakie dane pozostawi w formularzu kontaktowym czatu, gdy narzędzie jest w trybie offline.
Ponadto również w Polityce Prywatności należy precyzyjnie wskazać, w jakich sytuacjach dane osobowe są przetwarzane na podstawie zgody użytkownika, a także jasno określić cel ich przetwarzania. Rozmowa oraz przekazane w jej trakcie dane mogą zostać usunięte po skończonej rozmowie lub zostać zarchiwizowane. W jakich sytuacjach administrator danych może sobie pozwolić na ich archiwizację? Tylko na podstawie prawnie uzasadnionego interesu administratora, w celu wykazania przebiegu rozmowy w przyszłości.
Artykuł powstał przy współpracy z firmą Proxymo, która oferuje kompleksową obsługę firm w zakresie bezpieczeństwa danych osobowych.