W przypadku integracji Trustbadge na stronie internetowej Państwa sklepu, jako administrator danych współadministrujący danymi osobowymi (art. 26 RODO) ponoszą Państwo solidarną odpowiedzialność za ich przetwarzanie i zobowiązani są do:
- przestrzegania obowiązujących w Państwa kraju przepisów wdrażających regulację e-privacy
- uzupełnienia informacji w Państwa rejestrze czynności przetwarzania,
- przeprowadzenia tzw. testu równowagi i ważenia interesów zgodnie z art. 6 ust. 1 lit. f RODO,
- dostosowania treści Państwa polityki prywatności.
Wymagania poszczególnych krajowych przepisów dotyczących e-prywatności
Przepisy obowiązujące w kraju Twojej siedziby i dotyczące e-prywatności mogą zobowiązywać Cię do uzyskania zgody osoby odwiedzającej Twoją stronę internetową w przypadku przechowywania informacji na urządzeniu końcowym osoby odwiedzającej stronę internetową lub w przypadku uzyskiwania dostępu do informacji już przechowywanych na jej urządzeniu (zgodnie z art. 5 (3) dyrektywy e-privacy). Wyjątkiem może być techniczne zapisywanie lub dostęp wyłącznie w celu wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej lub w celu dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Jak działa Trustbadge?
Trustbadge w końcowym etapie składania zamówienia w e-sklepie uzyskuje dostęp do tzw. elementu DIV w urządzeniu końcowym użytkownika w celu uzyskania następujących informacji:
- adres e-mail
- numer zamówienia
- kwota zamówienia
- waluta
- zakupiony produkt (tylko jeśli zbierasz opinie o produkcie)
Następnie narzędzie Trustbadge przekazuje te informacje do TrustedShops, przy czym adres e-mail jest uprzednio haszowany (szyfrowany). Na podstawie wartości hash adresu e-mail sprawdzane jest, czy klient jest już zarejestrowany w celu korzystania z usług TrustedShops. Jeśli tak, zamówienie w Państwa sklepie jest automatycznie zabezpieczane ochroną kupującego, a klient otrzymuje później również zaproszenie do wystawienia opinii o zakupie. Jeśli nie, wówczas poprzez wyświetloną kartę Trustcard klient otrzyma możliwość zarejestrowania się do korzystania z usług TrustedShops w celu zabezpieczenia zakupu ochroną kupującego i otrzymania zaproszenia do wystawienia opinii o zakupie. W przypadku braku rejestracji wszystkie dane osobowe zgromadzone w krótkim czasie zostaną usunięte.
Opinia prawna
Naszym zdaniem w odniesieniu do narzędzia Trustbadge należy na gruncie prawnym stosować postanowienia dyrektywy e-privacy. Oznacza to, że należy sprawdzić, czy istnieje wymóg pozyskania zgody lub czy ma zastosowanie jeden z wyżej wymienionych wyjątków. Narzędzie Trustbadge zostało sprawdzone przez renomowaną kancelarię prawną specjalizującą się w prawie ochrony danych. Doszła ona do wniosku, że zgoda nie jest wymagana. Wydaję się, że dostęp do informacji o zamówieniu może opierać się na wyjątku określonym w art. 5 ust. 3 dyrektywy e-privacy, ponieważ Trustbadge i związany z nim krótki dostęp do informacji, które są już przechowywane w urządzeniu końcowym użytkownika końcowego, jest absolutnie niezbędny, aby operator sklepu internetowego odwiedzanego przez użytkownika końcowego mógł udostępnić go jako usługę.
Mówiąc prościej, narzędzie Trustbadge i ochrona kupującego są istotną częścią oferty sklepu internetowego. Sklep internetowy informuje za pomocą Trustbadge, że oferuje ochronę kupującego za pośrednictwem Trusted Shops. Osoba odwiedzająca sklep jest informowana przed sfinalizowaniem zamówienia o tym, że ochrona kupującego jest częścią oferty sklepu. Jeśli osoba odwiedzająca sklep składa w nim zamówienie, wyraża tym samym, że chce korzystać z oferty sklepu internetowego w przedstawionej jej formie, tj. z dostępną możliwością zawarcia aktywnie oferowanej ochrony kupującego. Dotyczy to tym bardziej sytuacji, gdy oferowanie ochrony kupującego zostało wskazane w regulaminie sklepu i/lub gdy jest to wyraźnie wskazane również w innym miejscu. Po sfinalizowaniu zamówienia osoba odwiedzająca sklep sama ostatecznie decyduje czy chce skorzystać z oferowanej ochrony kupującego.
Poniżej wyjaśniamy, w jaki sposób można dostosować swój sklep internetowy, aby wyjątek przewidziany w dyrektywie e-privacy znajdował zastosowanie. Należy jednak pamiętać, że organy nadzorujące ochronę danych i sądy mogą dojść do przeciwnych wniosków w tym zakresie. Można zatem oczywiście uzyskać zgodę osoby odwiedzającej lub zintegrować Trustbadge w taki sposób, aby nie dochodziło do automatycznego przesyłania danych dot. zamówienia do Trusted Shops.
Możliwe sposoby integracji
Opcja 1
Im bardziej transparentnie pokażesz w swoim sklepie internetowym, że Ochrona Kupującego Trusted Shops jest częścią oferty sklepu, tym łatwiej będzie argumentować, że nie jest wymagana zgoda na dostęp do informacji dot. zamówienia. Mamy w tym zakresie następujące wskazówki:
1. Umieść na stronie sklepu narzędzie Trustbadge tak, aby było widoczne na każdej stronie/podstronie Twojego sklepu internetowego.
2. Umieść na stronie sklepu w odpowiednim, widocznym miejscy informacje o oferowanej Ochronie Kupującego. Ma to również dobry efekt reklamowy.
3. Dostosuj informacje o ochronie danych w swojej polityce prywatności. Oddajemy w tym zakresie do dyspozycji przykładowe teksty, które możesz wykorzystać w ramach swojego sklepu. Są one dostępne w naszym centrum pomocy (Wariant 5).
4. Dostosuj treść regulaminu swojego sklepu. Jeśli ochrona kupującego będzie rozpoznawalna jako część ogólnej oferty sklepu i tym samym część procesu zamówienia, zapewni to dodatkową transparentność. Przykładowy tekst („Postanowienia dotyczące korzystania z Ochrony Kupującego Trusted Shops”), który można dodać do regulaminu znajduje się w naszym centrum pomocy w tekstach z informacjami o Trustbadge i widżetach do polityki prywatności (Klauzula w regulaminie 3).
Jeśli zamiast tego chcesz uzyskać zgodę osoby odwiedzającej sklep, mamy dla Ciebie następujące opcje integracji:
Opcja 2
1. Włączenie zapytania o zgodę na wykorzystanie Trustbadge
Istnieje możliwość zintegrowania Trustbadge z wykorzystywanym przez Państwa menedżerem zgód za pomocą specjalnego formularza: https://help.etrusted.com/hc/pl/articles/8335065827357-Jak-zapewni%C4%87-zgodno%C5%9B%C4%87-Trustbadge-z-RODO-
W ten sposób nawet wtedy, gdy użytkownik odwiedzający stronę nie udzielił zgody, Trustbadge może być wyświetlany graficznie oferując przy tym ograniczone funkcje. Jeśli użytkownik udzieli zgody, wówczas Trustbadge zachowuje pełną funkcjonalność i działa tak, jak do tej pory.
Natomiast jeśli klient nie wyrazi zgody w menedżerze zgód lub jeśli Trustbadge nie został poprawnie zintegrowany z menedżerem zgód, pomimo wybrania opcji " Enable Trustbadge consent request", karta Trustcard pojawi się w końcowym etapie procesu składania zamówienia, aby Państwa klienci mieli możliwość dokonania rejestracji w celach korzystania z usług dla kupujących. Dotyczy to również tych klientów, którzy są już zarejestrowani w celach korzystania z tych usług, ponieważ nie może dojść do porównania parametrów ze względu na brak automatycznego przekazywania wartości hash adresu e-mail klienta.
Podczas korzystania z opisanych powyżej wariantów integracji, Trustbadge uzyskuje również bez zgody dostęp do informacji w elemencie DIV, aby prawidłowo wyświetlić Trustcard. Na przykład Trustcard musi wiedzieć, jak wysoka jest całkowita kwota zamówienia, aby określić i wyświetlić, jak wysoka będzie ochrona. Dane te nie są jednak przekazywane do Trusted Shops. Zgodnie z Wytycznymi 2/2023 w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy e-privacy (numer 52 i 53), taki dostęp nie wchodzi w zakres art. 5 ust. 3 dyrektywy e-privacy, co oznacza, że nie trzeba uzyskiwać na to zgody. Nawet gdy przyjmiemy odmienne założenie, wówczas można argumentować, że dostęp ten jest niezbędny do świadczenia usług, o które użytkownik wyraźnie wnioskuje. Niezbędność dostępu można wykazać w przypadku, jeśli oferowanie ochrony kupującego zostanie wskazane w regulaminie Państwa sklepu internetowego jako obowiązkowy, istotny element procesu składania zamówienia. Ponieważ ochronę kupującego będącą istotną częścią oferty sklepu internetowego można zaoferować tylko wtedy, gdy Trustbadge uzyska dostęp do informacji w elemencie DIV, możliwe jest wykazanie niezbędności tego dostępu. Propozycje klauzul w regulaminie zamieściliśmy tutaj:
Jeżeli stoją Państwo na stanowisku prawnym, że automatyczne dopasowanie wartości hash adresu e-mail kupujących jest również konieczne, aby mogli Państwo udostępnić w pełni ofertę swojego sklepu internetowego, mogą Państwo zrezygnować z pozyskiwania w tym celu zgody swoich klientów. Techniczne dostosowanie w zakresie integracji narzędzia Trustbadge nie byłoby wówczas konieczne. W tym przypadku powinni Państwo jednak odpowiednio dostosować postanowienia regulaminu sklepu.
2. Integracja Trustbadge z menedżerem zgód (tzw. Consent Management Platform „CMP”)
Mogą Państwo zintegrować Trustbadge z wykorzystywanym przez Państwa menedżerem zgód i korzystać z Trustbadge tylko wtedy, gdy osoba odwiedzająca Państwa sklep internetowy wyrazi zgodę na korzystanie ze wszystkich plików cookie i/lub usług dostarczanych przez strony trzecie, bądź też indywidualnie wyrazi zgodę na użycie Trustbadge. Rozwiązanie to spełnia wymagania krajowych przepisów dotyczących ochrony prywatności. Jednocześnie niestety znacznie zmniejszy się zapewne wykorzystanie usług oferowanych przez Trustbadge dla kupujących. Jeżeli osoba odwiedzająca stronę internetową nie wyrazi zgody, nie będzie mogła korzystać z oferowanych za jego pomocą funkcji i usług. W przypadku braku zgody, Trustbadge nie będzie wyświetlany wizualnie na Twojej stronie, a Twój klient nie będzie miał możliwości zarejestrowania się w końcowym etapie procesu składania zamówienia do celów korzystania z usług Trusted Shops dla kupujących. Wszyscy klienci, którzy nie wyrazili zgody na wyświetlanie Trustbadge, nie otrzymają również zaproszeń do wystawienia opinii oraz możliwości skorzystania z ochrony kupującego.
Szablony z przykładowymi informacjami do polityki prywatności
Pod niniejszym linkiem znajdą Państwo przykładowe teksty informujące o integracji Trustbadge do Państwa polityki prywatności.
Przykładowe teksty został stworzony z najwyższą starannością, jednakże bez gwarancji kompletności i prawidłowości. Należy go rozumieć jako niewiążącą pomoc w zakresie przykładowych sformułowań, które orientacyjnie mogą posłużyć Państwu jako inspiracja przy dopasowywaniu postanowień Państwa polityki prywatności w przypadku integracji z Trustbadge.
Informacje w rejestrze czynności przetwarzania
Rozpoznawanie zarejestrowanych członków Ochrony Kupującego Trusted Shops
Niniejszy fragment opisuje proces przetwarzania danych osobowych w ramach rozpoznawania zarejestrowanych członków ochrony kupującego Trusted Shops za pomocą Trustbadge na stronie administratora danych.
Szczegółowy opis przetwarzania:
Po zakończeniu procesu składania zamówienia na stronie internetowej administratora danych, spseudonimizowane dane przekazywane są do Trusted Shops SE w celu sprawdzenia, czy osoba, której dane dotyczą, jest już zarejestrowana w celach korzystania z usług świadczonych przez Trusted Shops. Konieczność przeprowadzenia czynności sprawdzających wynika z umów członkowskich zawieranych przez kupujących z Trusted Shops i następuje w celu umożliwienia im automatycznego (niezwłocznie po złożeniu zamówienia na stronach internetowych osób trzecich) korzystania z umownych usług. W tym celu z danych dot. zamówienia automatycznie pobierane są dane osobowe i przekazywane do Trusted Shops. Adres e-mail osoby, której dane dotyczą jest szyfrowany przed jego przekazaniem za pomocą kryptologicznego szyfrowania jednokierunkowego. Wartość ta jest przekazywana do Trusted Shops, które nie ma możliwości jej odszyfrowania. Po sprawdzeniu zgodności parametr jest automatycznie usuwany.
Podstawy prawne
Prawnie uzasadniony interes administratora danych, zgodnie z art. 6 ust. 1 lit. f RODO.
Cele przetwarzania
Optymalna promocja oferty administratora danych poprzez umożliwienie dokonania bezpiecznych zakupów dzięki automatycznym zabezpieczeniom transakcji w postaci ochrony kupującego Trusted Shops, a także dzięki systemowi opinii.
Osoby, których dane dotyczą
Osoby odwiedzające stronę internetową i składające zamówienie
Przetwarzane dane dane
Spseudonimizowany adres mailowy
Odbiorca danych:
Trusted Shops SE, Subbelrather Str. 15C, 50823 Kolonia, Niemcy
Środki techniczne i organizacyjne
Obowiązują środki techniczne i organizacyjne stosowane przez Trusted Shops SE.
Wyważenie interesów – analiza
Interesy administratora danych
Interesy własne: Interes administratora danych polega na optymalnej promocji jego oferty poprzez umożliwienie dokonania bezpiecznych zakupów dzięki automatycznemu zabezpieczeniu transakcji w postaci ochrony kupującego Trusted Shops, a także dzięki systemowi opinii klientów. Trustbadge powinien być wyświetlany w sposób niezawodny; należy unikać błędów wynikających z wielokrotnego przesyłania identycznych numerów zamówienia. |
|
Interesy osób trzecich: Do tego dochodzą interesy firmy Trusted Shops SE związane z realizacją umów z zarejestrowanymi członkami ochrony kupującego oraz interesy usługodawcy, który jest odpowiedzialny za bezbłędne i nieprzerwane dostarczanie Trustbadge oraz za analizę anomalii bezpieczeństwa. |
|
Interesy te uznawane są również przez strony trzecie, np. przez inne przedsiębiorstwa. Świadczy to o zasadności tych interesów. |
|
Z przetwarzaniem wiąże się prawo administratora do wolności wyboru i wykonywania działalności zawodowej. Należy uznać, iż powyższe wspiera zasadność prawnych interesów administratora. |
|
Nie istnieje żaden łagodniejszy środek, gdyż dopiero sprawdzenie co najmniej jednej spseudonimizowanej danej pozwala na automatyczne rozpoznanie zarejestrowanych użytkowników (członków-kupujących Trusted Shops). Zastosowanie metody logowania wyeliminowałoby zastrzeżony umownie automatyzm. |
Wstępne wnioski:
Przetwarzanie danych przez administratora następuje w celu realizacji prawnie uzasadnionego interesu.
Interesy, prawa i wolności podmiotów danych
Osobie, której dane dotyczą przysługuje prawo do prywatności i ochrony jej danych osobowych. |
|
Przetwarzany jest 1 pseudonim, zktórego nie wynika bezpośrednio powiązanie z konkretną osobą. |
|
Chodzi o dane, które nie zostały udostępnione publicznie. Jednakże dane są zbierane bezpośrednio od osób, których dotyczą, a osoby te są o tym w sposób przejrzysty informowana. Dane nie są upubliczniane. |
|
Dane cechuje wysoka jakość; niski odsetek błędów dzięki automatycznemu przekazywaniu danych. |
|
Powyższe dotyczy wszystkich użytkowników odwiedzających stronę internetową administratora. Jednak dalsze przetwarzanie odbywa się jedynie w przypadku zarejestrowanych członków Ochrony Kupującego Trusted Shops, którzy dokonują zakupów w certyfikowanych sklepach internetowych i zawarli z Trusted Shops umowę o automatycznym świadczeniu usług. Pseudonimizowane dane innych użytkowników, którzy nie pozostają w stosunku umownym z Trusted Shops, zostają usunięte. |
|
Należy uznać, iż użytkownicy odwiedzający stronę internetową nie są zaskoczeni takim rodzajem przetwarzania danych, ponieważ integracja narzędzi i treści graficznych stron trzecich stanowi w branży internetowej zjawisko powszechne, a polityka prywatności udziela w tym zakresie wyczerpujących informacji. |
|
Jedna (1) spseudonimizowana dana jest przetwarzana wyłącznie jednokrotnie w celu sprawdzenia, czy osoba, której dotyczy jest zarejestrowanym członkiem-kupującym. Po sprawdzeniu zgodności lub stwierdzeniu braku zgodności, parametr jest automatycznie usuwany. |
Wyważenie interesów w znaczeniu węższym
Osoby, których dane dotyczą, informowane są o przetwarzaniu danych w przejrzysty sposób za pomocą polityki prywatności. Ponadto należy uznać, że przetwarzanie spseudonimizowanych danych odbywa się zgodnie z aktualnym stanem techniki, a użytkownicy odwiedzający stronę internetową nie są zaskoczeni takim rodzajem przetwarzania danych. Przetwarzanie następuje tylko jednokrotnie, a dane nie są zapamiętywane.
Osoby, w przypadku których stwierdzona zostanie zgodność parametru w efekcie czego następnie dochodzi do dalszego przetwarzanie danych osobowych, łączy z Trusted Shops SE stosunek umowny. Podstawą dalszego przetwarzania jest art. 6 ust. 1 lit. b RODO. We wszystkich pozostałych przypadkach przeniesiona wartość (parametr) jest dla administratora danych zanonimizowana, ponieważ wartość (parametr) jest usuwana bezpośrednio po weryfikacji zgodności , a jej rozszyfrowanie nie jest możliwe ani z pomocą osób trzecich ani w inny sposób.
Przetwarzanie danych służy również interesom części osób, których dane dotyczą i które tego oczekują. Osoba, której dane dotyczą, otrzymuje dokładne informacje o przetwarzaniu danych w ramach zawierania umowy z Trusted Shops SE oraz za pośrednictwem polityki prywatności administratora danych i Trusted Shops SE.
Przetwarzanie nie narusza zatem w sposób nadmierny i nieoczekiwany interesów osób, których dane dotyczą, w zakresie ich praw i podstawowych wolności. Przeważają uzasadnione interesy administratora danych i wskazanych osób trzecich.
Informacja o przetwarzaniu danych w Państwa polityce prywatności
Przykładowy tekst do Państwa polityki prywatności z informacją o przetwarzaniu danych za pośrednictwem Trustbadge.
Niniejsze informacje pomocnicze przygotowano z najwyższą starannością, jednakże bez gwarancji kompletności i prawidłowości. Należy je rozumieć jako listę kontrolną zawierającą podpowiedzi w zakresie przykładowych sformułowań, które orientacyjnie mogą posłużyć Państwu jako inspiracja. Informacje te mają na celu zwrócenie Państwa uwagi na wskazane powyżej obowiązki administratora danych i zostały stworzone z myślą o ułatwieniu Państwu ich realizacji. W przypadku szczegółowych pytań należy zasięgnąć specjalistycznej porady radcy prawnego lub adwokata.