W przypadku integracji Trustbadge na stronie internetowej Państwa sklepu, jako administrator danych współadministrujący danymi osobowymi (art. 26 RODO) ponoszą Państwo solidarną odpowiedzialność za ich przetwarzanie i zobowiązani są do:
- przestrzegania obowiązujących w Państwa kraju przepisów wdrażających regulację e-privacy
- uzupełnienia informacji w Państwa rejestrze czynności przetwarzania,
- przeprowadzenia tzw. testu równowagi i ważenia interesów zgodnie z art. 6 ust. 1 lit. f RODO,
- dostosowania treści Państwa polityki prywatności.
Wymagania poszczególnych krajowych przepisów dotyczących e-prywatności
Przepisy obowiązujące w kraju Twojej siedziby i dotyczące e-prywatności mogą zobowiązywać Cię do uzyskania zgody osoby odwiedzającej Twoją stronę internetową w przypadku przechowywania informacji na urządzeniu końcowym osoby odwiedzającej stronę internetową lub w przypadku uzyskiwania dostępu do informacji już przechowywanych na jej urządzeniu (zgodnie z art. 5 (3) dyrektywy e-privacy). Wyjątkiem może być techniczne zapisywanie lub dostęp wyłącznie w celu wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej lub w celu dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Trustbadge w końcowym etapie składania zamówienia w e-sklepie uzyskuje dostęp do tzw. elementu DIV w urządzeniu końcowym użytkownika w celu uzyskania następujących informacji:
- adres e-mail
- numer zamówienia
- kwota zamówienia
- waluta
- zakupiony produkt (tylko jeśli zbierasz opinie o produkcie)
Następnie narzędzie Trustbadge przekazuje te informacje do TrustedShops, przy czym adres e-mail jest uprzednio haszowany. Na podstawie wartości hash adresu e-mail sprawdzane jest, czy klient jest już zarejestrowany w celu korzystania z usług TrustedShops. Jeśli tak, zamówienie w Państwa sklepie jest automatycznie zabezpieczane ochroną kupującego, a klient otrzymuje później również zaproszenie do wystawienia opinii o zakupie. Jeśli nie, wówczas poprzez wyświetloną kartę Trustcard klient otrzyma możliwość zarejestrowania się do korzystania z usług TrustedShops w celu zabezpieczenia zakupu ochroną kupującego i otrzymania zaproszenia do wystawienia opinii o zakupie. W przypadku braku rejestracji wszystkie dane osobowe zgromadzone w krótkim czasie zostaną usunięte.
Zgodnie z lokalnymi przepisami dotyczącymi ochrony prywatności w Internecie może to być niedozwolone w tej formie.
Opcje dostosowania
Aby podczas korzystania z Trustbadge spełnić wymagania krajowych przepisów dotyczących ochrony przetwarzania danych osobowych w sektorze łączności elektronicznej, masz do dyspozycji następujące opcje:
1. Włączenie zapytania o zgodę na wykorzystanie Trustbadge
2. Klauzula w regulaminie sklepu
3. Integracja Trustbadge z menedżerem zgód (tzw. Consent Management Platform „CMP”)
1. Włączenie zapytania o zgodę na wykorzystanie Trustbadge
Istnieje możliwość zintegrowania Trustbadge z wykorzystywanym przez Państwa menedżerem zgód za pomocą specjalnego formularza: https://help.etrusted.com/hc/pl/articles/8335065827357-Jak-zapewni%C4%87-zgodno%C5%9B%C4%87-Trustbadge-z-RODO-
W ten sposób nawet wtedy, gdy użytkownik odwiedzający stronę nie udzielił zgody, Trustbadge może być wyświetlany graficznie oferując przy tym ograniczone funkcje. Jeśli użytkownik udzieli zgody, wówczas Trustbadge zachowuje pełną funkcjonalność i działa tak, jak do tej pory.
Natomiast jeśli klient nie wyrazi zgody w menedżerze zgód lub jeśli Trustbadge nie został poprawnie zintegrowany z menedżerem zgód, pomimo wybrania opcji " Enable Trustbadge consent request", karta Trustcard pojawi się w końcowym etapie procesu składania zamówienia, aby Państwa klienci mieli możliwość dokonania rejestracji w celach korzystania z usług dla kupujących. Dotyczy to również tych klientów, którzy są już zarejestrowani w celach korzystania z tych usług, ponieważ nie może dojść do porównania parametrów ze względu na brak automatycznego przekazywania wartości hash adresu e-mail klienta.
2. Klauzula w regulaminie sklepu
Podczas korzystania z opisanych powyżej wariantów integracji, Trustbadge uzyskuje również bez zgody dostęp do informacji w elemencie DIV, aby prawidłowo wyświetlić Trustcard. Na przykład Trustcard musi wiedzieć, jak wysoka jest całkowita kwota zamówienia, aby określić i wyświetlić, jak wysoka będzie ochrona. Dane te nie są jednak przekazywane do Trusted Shops. Dyskusyjne jest, czy w związku z tym ma miejsce dostęp w rozumieniu krajowych przepisów o ochronie danych osobowych. Jeśli przyjąć, że tak, to można założyć, że dostęp ten jest niezbędny do świadczenia usług, o które użytkownik wyraźnie wnioskuje. W tym przypadku nie istniałby obowiązek wyrażenia zgody. Niezbędność dostępu można wykazać w przypadku, jeśli oferowanie ochrony kupującego zostanie wskazane w regulaminie Państwa sklepu internetowego jako obowiązkowy element procesu składania zamówienia. Ponieważ ochronę kupującego będącą istotną częścią oferty sklepu internetowego można zaoferować tylko wtedy, gdy Trustbadge uzyska dostęp do informacji w elemencie DIV, możliwe jest wykazanie niezbędności tego dostępu. Propozycje klauzul w regulaminie zamieściliśmy tutaj.
Jeżeli stoją Państwo na stanowisku prawnym, że automatyczne dopasowanie wartości hash adresu e-mail kupujących jest również konieczne, aby mogli Państwo udostępnić w pełni ofertę swojego sklepu internetowego, mogą Państwo zrezygnować z pozyskiwania w tym celu zgody swoich klientów. Techniczne dostosowanie w zakresie integracji narzędzia Trustbadge nie byłoby wówczas konieczne. W tym przypadku powinni Państwo jednak odpowiednio dostosować postanowienia regulaminu sklepu.
3. Integracja Trustbadge z menedżerem zgód (tzw. Consent Management Platform „CMP”)
Mogą Państwo zintegrować Trustbadge z wykorzystywanym przez Państwa menedżerem zgód i korzystać z Trustbadge tylko wtedy, gdy osoba odwiedzająca Państwa sklep internetowy wyrazi zgodę na korzystanie ze wszystkich plików cookie i/lub usług dostarczanych przez strony trzecie, bądź też indywidualnie wyrazi zgodę na użycie Trustbadge. Rozwiązanie to spełnia wymagania krajowych przepisów dotyczących ochrony prywatności. Jednocześnie niestety znacznie zmniejszy się zapewne wykorzystanie usług oferowanych przez Trustbadge dla kupujących. Jeżeli osoba odwiedzająca stronę internetową nie wyrazi zgody, nie będzie mogła korzystać z oferowanych za jego pomocą funkcji i usług. W przypadku braku zgody, Trustbadge nie będzie wyświetlany wizualnie na Twojej stronie, a Twój klient nie będzie miał możliwości zarejestrowania się w końcowym etapie procesu składania zamówienia do celów korzystania z usług Trusted Shops dla kupujących. Wszyscy klienci, którzy nie wyrazili zgody na wyświetlanie Trustbadge, nie otrzymają również zaproszeń do wystawienia opinii oraz możliwości skorzystania z ochrony kupującego.
Szablony z przykładowymi informacjami do polityki prywatności
Pod niniejszym linkiem znajdą Państwo przykładowe teksty informujące o integracji Trustbadge do Państwa polityki prywatności.
Przykładowe teksty został stworzony z najwyższą starannością, jednakże bez gwarancji kompletności i prawidłowości. Należy go rozumieć jako niewiążącą pomoc w zakresie przykładowych sformułowań, które orientacyjnie mogą posłużyć Państwu jako inspiracja przy dopasowywaniu postanowień Państwa polityki prywatności w przypadku integracji z Trustbadge.
Informacje w rejestrze czynności przetwarzania
Rozpoznawanie zarejestrowanych członków Ochrony Kupującego Trusted Shops
Niniejszy fragment opisuje proces przetwarzania danych osobowych w ramach rozpoznawania zarejestrowanych członków ochrony kupującego Trusted Shops za pomocą Trustbadge na stronie administratora danych.
Szczegółowy opis przetwarzania:
Po zakończeniu procesu składania zamówienia na stronie internetowej administratora danych, spseudonimizowane dane przekazywane są do Trusted Shops AG w celu sprawdzenia, czy osoba, której dane dotyczą, jest już zarejestrowana w celach korzystania z usług świadczonych przez Trusted Shops. Konieczność przeprowadzenia czynności sprawdzających wynika z umów członkowskich zawieranych przez kupujących z Trusted Shops i następuje w celu umożliwienia im automatycznego (niezwłocznie po złożeniu zamówienia na stronach internetowych osób trzecich) korzystania z umownych usług. W tym celu z danych dot. zamówienia automatycznie pobierane są dane osobowe i przekazywane do Trusted Shops. Adres e-mail osoby, której dane dotyczą jest szyfrowany przed jego przekazaniem za pomocą kryptologicznego szyfrowania jednokierunkowego. Wartość ta jest przekazywana do Trusted Shops, które nie ma możliwości jej odszyfrowania. Po sprawdzeniu zgodności parametr jest automatycznie usuwany.
Podstawy prawne
Prawnie uzasadniony interes administratora danych, zgodnie z art. 6 ust. 1 lit. f RODO.
Cele przetwarzania
Optymalna promocja oferty administratora danych poprzez umożliwienie dokonania bezpiecznych zakupów dzięki automatycznym zabezpieczeniom transakcji w postaci ochrony kupującego Trusted Shops, a także dzięki systemowi opinii.
Osoby, których dane dotyczą
Osoby odwiedzające stronę internetową i składające zamówienie
Przetwarzane dane dane
Spseudonimizowany adres mailowy
Odbiorca danych:
Trusted Shops AG, Subbelrather Str. 15C, 50823 Kolonia, Niemcy
Środki techniczne i organizacyjne
Obowiązują środki techniczne i organizacyjne stosowane przez Trusted Shops AG.
Wyważenie interesów – analiza
Interesy administratora danych
|
Interesy własne: Interes administratora danych polega na optymalnej promocji jego oferty poprzez umożliwienie dokonania bezpiecznych zakupów dzięki automatycznemu zabezpieczeniu transakcji w postaci ochrony kupującego Trusted Shops, a także dzięki systemowi opinii klientów. Trustbadge powinien być wyświetlany w sposób niezawodny; należy unikać błędów wynikających z wielokrotnego przesyłania identycznych numerów zamówienia. |
|
|
Interesy osób trzecich: Do tego dochodzą interesy firmy Trusted Shops AG związane z realizacją umów z zarejestrowanymi członkami ochrony kupującego oraz interesy usługodawcy, który jest odpowiedzialny za bezbłędne i nieprzerwane dostarczanie Trustbadge oraz za analizę anomalii bezpieczeństwa. |
|
|
Interesy te uznawane są również przez strony trzecie, np. przez inne przedsiębiorstwa. Świadczy to o zasadności tych interesów. |
|
|
Z przetwarzaniem wiąże się prawo administratora do wolności wyboru i wykonywania działalności zawodowej. Należy uznać, iż powyższe wspiera zasadność prawnych interesów administratora. |
|
|
Nie istnieje żaden łagodniejszy środek, gdyż dopiero sprawdzenie co najmniej jednej spseudonimizowanej danej pozwala na automatyczne rozpoznanie zarejestrowanych użytkowników (członków-kupujących Trusted Shops). Zastosowanie metody logowania wyeliminowałoby zastrzeżony umownie automatyzm. |
Wstępne wnioski:
Przetwarzanie danych przez administratora następuje w celu realizacji prawnie uzasadnionego interesu.
Interesy, prawa i wolności podmiotów danych
|
Osobie, której dane dotyczą przysługuje prawo do prywatności i ochrony jej danych osobowych. |
|
|
Przetwarzany jest 1 pseudonim, zktórego nie wynika bezpośrednio powiązanie z konkretną osobą. |
|
|
Chodzi o dane, które nie zostały udostępnione publicznie. Jednakże dane są zbierane bezpośrednio od osób, których dotyczą, a osoby te są o tym w sposób przejrzysty informowana. Dane nie są upubliczniane. |
|
|
Dane cechuje wysoka jakość; niski odsetek błędów dzięki automatycznemu przekazywaniu danych. |
|
|
Powyższe dotyczy wszystkich użytkowników odwiedzających stronę internetową administratora. Jednak dalsze przetwarzanie odbywa się jedynie w przypadku zarejestrowanych członków Ochrony Kupującego Trusted Shops, którzy dokonują zakupów w certyfikowanych sklepach internetowych i zawarli z Trusted Shops umowę o automatycznym świadczeniu usług. Pseudonimizowane dane innych użytkowników, którzy nie pozostają w stosunku umownym z Trusted Shops, zostają usunięte. |
|
|
Należy uznać, iż użytkownicy odwiedzający stronę internetową nie są zaskoczeni takim rodzajem przetwarzania danych, ponieważ integracja narzędzi i treści graficznych stron trzecich stanowi w branży internetowej zjawisko powszechne, a polityka prywatności udziela w tym zakresie wyczerpujących informacji. |
|
|
Jedna (1) spseudonimizowana dana jest przetwarzana wyłącznie jednokrotnie w celu sprawdzenia, czy osoba, której dotyczy jest zarejestrowanym członkiem-kupującym. Po sprawdzeniu zgodności lub stwierdzeniu braku zgodności, parametr jest automatycznie usuwany. |
Wyważenie interesów w znaczeniu węższym
Osoby, których dane dotyczą, informowane są o przetwarzaniu danych w przejrzysty sposób za pomocą polityki prywatności. Ponadto należy uznać, że przetwarzanie spseudonimizowanych danych odbywa się zgodnie z aktualnym stanem techniki, a użytkownicy odwiedzający stronę internetową nie są zaskoczeni takim rodzajem przetwarzania danych. Przetwarzanie następuje tylko jednokrotnie, a dane nie są zapamiętywane.
Osoby, w przypadku których stwierdzona zostanie zgodność parametru w efekcie czego następnie dochodzi do dalszego przetwarzanie danych osobowych, łączy z Trusted Shops AG stosunek umowny. Podstawą dalszego przetwarzania jest art. 6 ust. 1 lit. b RODO. We wszystkich pozostałych przypadkach przeniesiona wartość (parametr) jest dla administratora danych zanonimizowana, ponieważ wartość (parametr) jest usuwana bezpośrednio po weryfikacji zgodności , a jej rozszyfrowanie nie jest możliwe ani z pomocą osób trzecich ani w inny sposób.
Przetwarzanie danych służy również interesom części osób, których dane dotyczą i które tego oczekują. Osoba, której dane dotyczą, otrzymuje dokładne informacje o przetwarzaniu danych w ramach zawierania umowy z Trusted Shops AG oraz za pośrednictwem polityki prywatności administratora danych i Trusted Shops AG.
Przetwarzanie nie narusza zatem w sposób nadmierny i nieoczekiwany interesów osób, których dane dotyczą, w zakresie ich praw i podstawowych wolności. Przeważają uzasadnione interesy administratora danych i wskazanych osób trzecich.
Informacja o przetwarzaniu danych w Państwa polityce prywatności
Przykładowy tekst do Państwa polityki prywatności z informacją o przetwarzaniu danych za pośrednictwem Trustbadge.
Niniejsze informacje pomocnicze przygotowano z najwyższą starannością, jednakże bez gwarancji kompletności i prawidłowości. Należy je rozumieć jako listę kontrolną zawierającą podpowiedzi w zakresie przykładowych sformułowań, które orientacyjnie mogą posłużyć Państwu jako inspiracja. Informacje te mają na celu zwrócenie Państwa uwagi na wskazane powyżej obowiązki administratora danych i zostały stworzone z myślą o ułatwieniu Państwu ich realizacji. W przypadku szczegółowych pytań należy zasięgnąć specjalistycznej porady radcy prawnego lub adwokata.