“Informacje prawne w sieci, zwłaszcza te zamieszczone w artykułach prawniczych, mają charakter ogólnoinformacyjny i nie wyczerpują porady prawnej w indywidualnej sprawie. Biznes online wymaga profesjonalnych oraz szytych na miarę zabezpieczeń. Możemy w Internecie znaleźć uniwersalny rozmiar rzeczy, lecz nie regulamin. Nawet wzór regulaminu stworzony przez prawnika wymaga dopasowania do przedmiotu i polityki sprzedaży obowiązującej w danym e-sklepie, biorąc pod uwagę ocenę ryzyka związanego działalnością online.” Dla portalu Warto Znać – mówi Ewelina Fuławka, prawniczka z ukończoną aplikacją adwokacką, ekspertka RODO, właścicielka firmy prawniczej.
Ewelina Salwuk-Marko: Wielu naszych czytelników prowadzi biznes online. O czym taki przedsiębiorca z punktu widzenia prawa powinien pamiętać? Jak zgodnie z prawem prowadzić biznes online?
Ewelina Fuławka: Zasadniczym celem obowiązujących przepisów prawa jest przyczynianie się do właściwego funkcjonowania rynku wewnętrznego Unii Europejskiej i zapewnianie wysokiego poziomu ochrony konsumentom, dlatego przedsiębiorca powinien poznać wszystkie uprawnienia konsumentów oraz wynikające z tych uprawnień obowiązki sprzedawcy i usługodawcy.
Przedsiębiorca powinien wiedzieć, że zapewnienie zgodności działań właściciela biznesu online z wymogami prawnymi wiąże się z dużym nakładem pracy, albowiem jego aktywność musi być zgodna nie tylko z polskimi przepisami prawa, ale równocześnie z:
- aktami Unii Europejskiej,
- wytycznymi organów nadzorczych i urzędów,
- dobrymi praktykami branżowymi stworzonymi przez takie podmioty jak np. Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), która stanowi centrum doradztwa państwom członkowskim Unii Europejskiej w kwestiach związanych z bezpieczeństwem w Internecie i rozwojem społeczeństwa informacyjnego.
Niewywiązywanie się przez przedsiębiorcę z obowiązujących przepisów prawa implikuje sankcje, które zwiększają ryzyko albo prowadzą do strat finansowych i naruszenia renomy firmy. Dlatego uważam, że przedsiębiorca powinien przed rozpoczęciem działalności gospodarczej, bez względu na jej rodzaj oraz skalę, dokonać oceny ryzyka związanego ze sprzedażą lub świadczeniem usług, jak i również ryzyka związanego z przetwarzaniem danych osobowych oraz informatycznych. Dzięki identyfikacji ryzyka może ustalić zagrożenia dla własnej działalności, a następnie wprowadzić mechanizmy ochrony. Podkreślę, że dokumenty prawne, przygotowane w oparciu o ocenę ryzyka zabezpieczają interes prawny oraz ekonomiczny biznesmena online. Przykładowo regulamin sporządzony przez prawnika spełnia obowiązki informacyjne sprzedawcy względem konsumentów i zabezpiecza interes ekonomiczny właściciela e-sklepu przed niezasadnymi reklamacjami.
RODO, polityka prywatności itp. Do czego może sie przydać? Tak naprawdę, po co to przedsiębiorcy, który zajmuje się e-handlem?
Zacznę od tego, że Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, znane nam wszystkim jako „RODO” nakłada na administratorów danych osobowych, w tym przedsiębiorców działających w sieci obowiązek wdrożenia odpowiednich środków ochrony danych osobowych. Z perspektywy RODO nie ma znaczenia forma prowadzonej działalności – jednoosobowa działalność gospodarcza, działalność bez rejestracji, spółka kapitałowa, czy też spółka osobowa. Nie ma znaczenia także czy przedsiębiorca działa stacjonarnie, czy online. Sprzedawca sklepu internetowego, jak każdy administrator danych osobowych powinien przetwarzać dane zgodnie z prawem, w tym RODO.
RODO nakłada na sprzedawcę online (administratora) obowiązek spełnienia następujących zasad:
- zgodności z prawem, rzetelności i przejrzystości (art. 5 ust.1 pkt a RODO),
- ograniczenia celu przetwarzania danych (art. 5 ust.1 pkt b RODO),
- minimalizacji danych (art. 5 ust.1 pkt c RODO),
- prawidłowości danych (art. 5 ust.1 pkt d RODO),
- ograniczenia przechowania danych (art. 5 ust.1 pkt e RODO),
- integralności i poufności danych (art. 5 ust.1 pkt f RODO),
- rozliczalności (art. 5 ust.2 RODO).
Sprzedawca ma obowiązek wykazać, że przetwarza dane osobowe zgodnie z wyżej wymienionymi zasadami, jednym słowem musi rozliczyć się z nałożonych przez RODO obowiązków (spełnić zasadę rozliczalności). Najlepszym sposobem na realizację zasady rozliczalności jest prowadzenie wewnętrznej dokumentacji w sprawach związanych z ochroną danych osobowych, np. rejestrów oraz przestrzeganie stworzonych procedur i polityk bezpieczeństwa danych. Mówiąc o polityce bezpieczeństwa danych, nie mam na myśli polityki prywatności.
Polityka prywatności to dokument informacyjny na stronę internetową, z którego dowiemy się m.in.:
- kto jest administratorem danych osobowych użytkowników strony,
- jakie dane użytkowników przetwarza administrator,
- w jakim celu, zakresie i jak długo będą przetwarzane dane.
Natomiast polityka bezpieczeństwa danych, to dokument stworzony przez eksperta RODO na podstawie oceny ryzyka związanego z przetwarzaniem danych osobowych w e-sklepie. Stanowi ona udokumentowany zestaw zasad ochrony danych w ramach organizacji, definiujący stosowane mechanizmy zabezpieczeń, procedury postępowania właściciela i pracowników e-sklepu, w tym postępowania w razie wystąpienia incydentu w ochronie danych – dokument ten określa standardy z którymi, powinno być zgodne przetwarzanie. Wewnętrzna polityka bezpieczeństwa jest dowodem na okoliczność, że dane osobowe są przetwarzane zgodnie z prawem.
Wspomniałaś o analizie ryzyka, w jaki sposób oszacować ryzyko związane z przetwarzaniem danych osobowych w biznesie online?
RODO nie podaje definicji ryzyka, ani nie wskazuje metod jego oceny. Dlatego praktyka wykształtowała różne metody szacowania ryzyka. Przykładowo, ja w swoich analizach często wykorzystuję zalecenia ISO/IEC 27001:2005 (normy zawierającej wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji). Podstawowym kryterium podziału metodyk analizowania ryzyka jest podział na metodyki ilościowe i jakościowe. Metodyki ilościowe pozwalają na ocenę ryzyka oraz jego poszczególnych składników w skali liczbowej, natomiast metodyki jakościowe w skali opisowej. Z założenia analiza ryzyka powinna stanowić standardowy element zarządzania procesami biznesowymi.
Analiza ryzyka zazwyczaj składa się z czterech etapów:
- inwentaryzacji aktywów zawierających dane osobowe;
- określenia potencjalnych naruszeń bezpieczeństwa (zagrożeń);
- ustalenia podatności, które mogą prowadzić do materializacji zagrożenia;
- opisu ryzyka.
Badanie kończy się szacowaniem potencjalnych strat związanych z naruszeniem bezpieczeństwa i propozycją decyzji o ryzyku, np. listą działań, które trzeba podjąć, aby wyeliminować źródła zagrożeń. Przedstawioną metodę analizy, sprzedawca może przez analogię zastosować do oceny ryzyka związanego ze sprzedażą online.
Przykładowo, właściciel sklepu online zamiast inwentaryzacji danych osobowych poddaje ocenie:
- przedmiot sprzedaży,
- odbiorców produktów,
- linię sprzedaży,
- proces reklamacji.
Dodam, że sprzedawca nie może ograniczać się do przeprowadzenia analizy jednorazowo – musi to być ciągły proces, który powtarza się cyklicznie. Permanentne monitorowanie i przegląd ryzyka powinny wynikać ze zmian, które zachodzą wewnątrz organizacji oraz poza nią. W ślad za rozwojem działalności powinien podążać rozwój zabezpieczeń oraz aktualizacja dokumentacji prawnej.
Czy identyfikacja ryzyka, które niesie ze sobą biznes online jest ważna dla procesu tworzenia dokumentacji prawnej?
Tak. Żeby stworzyć indywidualne zapisy regulaminu sprzedaży (umowy), które zabezpieczą sprzedawcę, np. przed zwrotami towaru, należy w pierwszej kolejności zidentyfikować ryzyka dla sprzedaży online. Ryzyka w niektórych sklepach będą się pokrywać. Bywają jednak kwalifikowane ryzyka, które dotyczą wybranych produktów. Jeszcze raz podkreślę, że należy aktualizować ocenę ryzyka oraz dokumenty, ponieważ codziennie powstają nowe zagrożenia wynikające, chociażby z rozwoju technologii, za którym podąża wzrost ataków sieciowych. Prawo zawsze jest kilka kroków za rozwojem, np. w związku z rozpoczęciem przetwarzania danych w formie elektronicznej, prawo do prywatności wymagało zabezpieczeń, dlatego powstało RODO. Najpierw pojawia się produkt, a następnie przepis prawa, regulujący odpowiedzialność producenta i sprzedawcy. Wraz z rozwojem sklepu internetowego muszą rozwijać się także regulaminy (prawne zabezpieczenia).
Wolimy szukać rozwiązania problemów prawnych w internecie zamiast skonsultować się z prawnikiem. Jakie mogą być tego konsekwencje?
Na początku wywiadu wspomniałam, że sprzedawcy online muszą spełnić liczne wymogi prawne, zawarte w polskich ustawach, aktach prawnych UE, zaleceniach organów nadzorczych oraz wytycznych urzędów. Spełnienie tych obowiązków wiąże się z dużym nakładem pracy, polegającej na analizie stanu faktycznego i prawnego sprawy. Tylko prawnik, profesjonalista posiadający wiedzę na temat prawa oraz jego wykładni, może przygotować regulamin zgody z prawem, który nie narazi sprzedawcy na sankcje. Zatem dokument stworzony przez prawnika daje gwarancję zapisów zgodności z prawem, zabezpiecza interes prawny oraz ekonomiczny sprzedawcy, które pozostają ze sobą w ścisłej korelacji. Warto wspomnieć, że prawnik ponosi odpowiedzialność za swoje usługi i powinien posiadać ubezpieczenie OC. W innym przypadku odpowiada za pracę bezpośrednio całym swoim majątkiem. Prawnik jest specjalistą od prawa, znającym się na normach prawnych (przepisach). Mamy liczne kategorie norm prawnych, np. w RODO znajdziemy przepisy, z których nie wyczytamy obowiązku prawnego bez zrelatywizowania tego obowiązku do konkretnej sytuacji objętego hipotezą normy prawnej zawartej w tym przepisie. Mówiąc jaśniej, konkretyzacja obowiązków prawnych z RODO następuje za pośrednictwem kryterium ryzyka. Zatem administrator musi zidentyfikować własne ryzyko naruszenia praw lub wolności osób fizycznych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. RODO nie podaje definicji ryzyka ani czym są odpowiednie środki techniczne i organizacyjne, mające na celu przeciwdziałać naruszeniom w ochronie danych. Z tych względów pomoc prawnika, eksperta RODO w konkretyzacji obowiązków prawnych okazuje się niezastąpiona.
Następnym przykładem norm są normy semiimperatywne. Ustawa o prawach konsumenta zawiera właśnie tego typu normy, co oznacza, że sprzedawcy muszą zagwarantować konsumentom uprawnienia przewidziane przez ustawę – nie mogą ograniczać korzyści konsumentów, które gwarantuje im prawo. Mogą natomiast stworzyć zapisy rozszerzające uprawnienia konsumenckie. Warto wspomnieć, że nie wszystkie zapisy regulaminu od twórcy nie prawnika lub ściągnięte z sieci będą skuteczne, np. zapis na sąd polubowny powinien być sporządzony na piśmie, więc zamieszczenie takiego zapisu w regulaminie – umowie zawieranej w formie dokumentowej przez Internet będzie bezskuteczne.
Następny przykład konsekwencji braku konsultacji z prawnikiem: sprzedawca uważa, że jego produkt jest produktem spersonalizowanym stworzonym na indywidualne zamówienia, więc wyłącza prawo odstąpienia od umowy sprzedaży, choć w rzeczywistości, z punktu widzenia prawa konsumenckiego, przedmiot sprzedaży jest przeciętny. Sprzedawca naraża się na odpowiedzialność cywilnoprawną.
Informacje prawne w sieci, zwłaszcza te zamieszczone w artykułach prawniczych, mają charakter ogólnoinformacyjny i nie wyczerpują porady prawnej w indywidualnej sprawie. Biznes online wymaga profesjonalnych oraz szytych na miarę zabezpieczeń. Możemy w Internecie znaleźć uniwersalny rozmiar rzeczy, lecz nie regulamin. Nawet wzór regulaminu stworzony przez prawnika wymaga dopasowania do przedmiotu i polityki sprzedaży obowiązującej w danym e-sklepie, biorąc pod uwagę ocenę ryzyka związanego działalnością online.
Czy w 2023 roku, będą jakieś szczególnie zmiany w prawie dotyczące legalnej sprzedaży online?
Tak, dziękuję, że o to pytasz. Komisja Europejska w ramach programu REFIT (Regulatory Fitness and Performance Programme) ustaliła, że część instrumentów ochrony praw konsumentów ma ograniczoną skuteczność i wymaga ulepszenia.
W wyniku oceny funkcjonowania przepisów prawa konsumenckiego przyjęto:
- dyrektywę Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych (Dz. Urz. UE L 136 z 22.05.2019, str. 1 oraz Dz. Urz. UE L 305 z 26.11.2019, str. 60; dalej: „DCD” lub „dyrektywa cyfrowa”);
- dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/771 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów sprzedaży towarów, zmieniającej rozporządzenie (UE) 2017/2394 oraz dyrektywę 2009/22/WE oraz uchylającej dyrektywę 1999/44/WE (Dz. Urz. UE L 136 z 22.05.2019, str. 28 oraz Dz. Urz. UE L 305 z 26.11.2019, str. 63; dalej: „SGD” lub „dyrektywa towarowa”);
- dyrektywę Parlamentu Europejskiego i Rady 2019/2161 z dnia 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywę Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE w odniesieniu do lepszego egzekwowania i unowocześnienia unijnych przepisów dotyczących ochrony konsumenta, zwana dyrektywą „Omnibus”.
Dyrektywy DCD oraz SGD wprowadzą zmiany do trzech polskich ustaw, natomiast Omnibus aż do sześciu. Zamian jest wiele, dlatego wymiennie dwie, z mojego punktu widzenia najważniejsze dla procesu reklamacyjnego. Pierwsza zmiana dotyczy zasad i trybu wykonania praw konsumenta wynikających z rękojmi oraz gwarancji konsumenckiej – zostanie wprowadzona odpowiedzialność sprzedawcy za zgodność towaru z umową. Po zmianach rękojmia, którą reguluje KC będzie miała zastosowanie do kupującego przedsiębiorcy, natomiast roszczenia konsumenta związane z wadami towaru będą rozstrzygana na podstawie przepisów ustawy o prawach konsumenta, dokładnie rozdziału 5a o nazwie „Umowy zobowiązujące do przeniesienia własności towaru na konsumenta”. Od 1 stycznia 2023 r. odpowiedzialność sprzedawcy za zgodność towaru z umową bez względu na to, czy konsument zakupi towar nowy, czy używany będzie wynosić 2 lata. Druga zmiana, to wprowadzenie do ustawy o prawach konsumenta rozdziału 5b pn. „ Umowy o dostarczanie treści cyfrowej lub usługi cyfrowej”. Polskie przepisy (nareszcie!) będą regulować odpowiedzialność sprzedawcy za dostarczanie treści cyfrowych, np. e-booków, audiobooków, plików wideo.
Wymienione przeze mnie zmiany są kluczowe dla rozstrzygania reklamacji, dlatego przygotowuję do nich klientów od maja. Swoim klientom oferuje pomoc w przygotowaniu procesu reklamacyjnego od podstaw oraz aktualizację wszystkich dokumentów prawnych. Państwa członkowie UE w tym Polska były zobowiązane do wprowadzenia nowego prawa konsumenckiego do 28.05.2022 r. Ostatecznie nowe przepisy wejdą w życie z dniem 01.01.2023 r., to już za niecały miesiąc czasu!
Liczne zmiany w prawie zobowiązują sprzedawców do monitorowania procesu legislacyjnego, aby zdążyć z aktualizacją regulaminów i polityk sprzedaży, które następnie należy skutecznie wdrożyć. Ze względu na zakres oraz wielkość nowelizacji, przedsiębiorcy online będą potrzebowali szkoleń z nowego prawa konsumenckiego. Oprócz wiedzy, na temat zmian w prawie, przedsiębiorcy powinni je szczegółowo poznać i zrozumieć. Zapraszam na moje profile firmowe w Social Mediach, na których publikuję informacje o zmianach w prawie ważnych z punktu widzenia legalnej sprzedaży online.
Ewelina Fuławka
Prawniczka z ukończoną aplikacją adwokacką, ekspertka RODO, właścicielka firmy prawniczej i szkoleniowej Centrum Prawne Online Prawnik Ewelina Fuławka. Na co dzień świadczy pomoc prawną dla firm. Specjalizuje się w prawie kontraktów, prawie własności intelektualnej oraz ochronie danych osobowych i informatycznych. Prywatnie pasjonatka nowoczesnych technologii i górskich wędrówek.
FB: https://www.facebook.com/CentrumPrawneOnline
IG: https://www.instagram.com/prawnikfirm/
LN: https://pl.linkedin.com/in/ewelina-fu%C5%82awka-496a37210
Strona WWW: https://centrumprawneonline.pl/