FAQ – ochrona danych w Trusted Shops

Czy Trusted Shops i członkowski sklep internetowy zawierają umowę powierzenia przetwarzania danych?

W ramach umowy członkowskiej – każdy sklep internetowy zawiera z Trusted Shops stosowną umowę powierzenia przetwarzania danych osobowych. Stanowi ona załącznik do Ogólnych Warunków Członkostwa Trusted Shops i jest również dostępna pod niniejszym linkiem.

Czynności przetwarzania danych objęte umową powierzenia przetwarzania danych zostały wskazane w preambule umowy powierzenia – zaliczają się do nich przede wszystkim:

  • graficzna prezentacja Trustbadge, jako treści podmiotu trzeciego w ramach strony internetowej sklepu objętego umową członkostwa (pliki dziennika, tzw. „logfiles”),
  • wysyłanie drogą mailową w Państwa imieniu i na Państwa zlecenie przypomnień o możliwości oddania opinii o zakupie (dotyczy wykorzystywania opcjonalnych narzędzi i funkcji: „Review Collector“, „AutoCollection“ oraz „Trusted Shops API“),

Kiedy dochodzi do przetwarzania danych przez Trusted Shops w ramach ich powierzenia przez sklep internetowy? 

W zależności od konretnego procesu przetwarzania danych, Trusted Shops działa jako samodzielny administrator danych lub jako podmiot przetwarzający.

Proces przetwarzania danych

Administrator

Podmiot przetwarzający

Korzystanie z systemu My Trusted Shops B2B

Trusted Shops

 

Korzystanie z systemu My Trusted Shops B2C

Trusted Shops

 

System opinii Trusted Shops  

Trusted Shops

 

Treść widgeta Trustbadge / Korzystanie z usług Trusted Shops 

Trusted Shops

 

Prezentacja (wyświetlanie) Trustbadge w sklepie internetowym

Sklep internetowy

Trusted Shops

Review Collector

Sklep internetowy

Trusted Shops

Auto-Collect (automatyczne zbieranie opinii)

Sklep internetowy

Trusted Shops

Interfejs programistyczny aplikacji (API)

Sklep internetowy

Trusted Shops

Generator tekstów prawnych (Regulamin e-sklepu)

Sklep internetowy

Trusted Shops

 Rozgraniczenie procesów

Prezentacja (wyświetlanie) Trustbadge, Review Collector, automatyczne zbieranie opinii (Auto-Collect), interfejs programistyczny aplikacji (API):

W tym zakresie administratorami danych są bezpośrednio sklepy internetowe, gdyż w powyższych przypadkach to one decydują o celach i sposobach przetwarzania danych. Zgody osób, których dane dotyczą, pozyskuje sklep internetowy, a na ich podstawie Trusted Shops wysyła w imieniu sklepu – uznawane za reklamę – prośby o wystawienie opinii.

Trustbadge:

Za treści zamieszczone w narzędziu Trustbadge oraz odbywające się za jego pośrednictwem przetwarzanie danych podczas korzystania z usług Trusted Shops (członkostwo w Trusted Shops dla kupujących – ochrona kupującego i przypomnienie o wystawieniu opinii) odpowiada Trusted Shops. Więcej szczegółowych informacji znajdą Państwo w naszej dokumentacji dotyczącej narzędzia Trustbadge.

Dlaczego część informacji na temat odbiorców maili z prośbą o oddanie opinii nie jest wyświetlana w Control Center?

W Control Center znajdują się dwa widoki: „Invite History", dotyczący wysłanych maili z prośbą o wystawienie opinii, oraz „Review History",  dotyczący wszystkich otrzymanych opinii.

Maile z prośbą o oddanie opinii, które wysyłane są w ramach powierzenia przetwarzania danych, można wraz z informacjami na temat odbiorców wyświetlić w Invite History.

Maili z prośbą o oddanie opinii, które Trusted Shops rozsyła jako administrator danych, nie można jednak wyświetlić wraz z informacjami na temat odbiorców, ponieważ oznaczałoby to zmianę celu przetwarzania, a ponadto dane osobowe przekazane zostałyby osobie trzeciej bez podstawy prawnej.

Trusted Shops wysyła maile z prośbą o oddanie opinii jako administrator danych w ramach realizacji umownych świadczeń uzgodnionych z kupującymi, którzy zarejestrowali się w celu korzystania z usług Trusted Shops (członkostwo Trusted Shops dla kupujących). Wysyłanie tych maili nie odbywa się w ramach powierzenia przetwarzania danych – w imieniu sprzedwcy internetowego. Trusted Shops wysyła je w celu realizacji własnych zobowiązań umownych uzgodnionych z kupującymi.

W Review History w związku z wystawioną opinią może zostać wyświetlony adres mailowy osoby, która ją wystawiła, gdyż jest to konieczne dla zapewnienia sprzedawcy możliwości weryfikacji autentyczności transakcji i powiązanej z nią opinii. Osoby, których dane dotyczą są informowane o powyższym celu przetwarzania danych.

Czy przed integracją Trustbadge muszę dopasować swoją politykę prywatności?

Integrując ze swoją stroną narzędzie Trustbadge / wykorzystując Trustbadge w procesie składania zamówienia na stronie Państwa sklepu – jako administrator danych w rozumieniu przepisów o ochronie danych osobowych, mają Państwo następujące obowiązki:

  • obowiązek uzupełniania informacji w Państwa rejestrze czynności przetwarzania,
  • obowiązek ważenia interesów zgodnie z art. 6 ust. 1 lit. f RODO,
  • obowiązek dostosowania Państwa polityki prywatności.

W celu realizacji tych obowiązków, mogą Państwo skorzystać z następujących informacji pomocniczych:

Jakie dane naszych klientów wymagają przetwarzania i zapisywania?

W ramach powierzenia przetwarzania danych Państwo jako administrator danych decydują, jakie dane Trusted Shops będzie przetwarzać w Państwa imieniu. Minimum wymaganych danych: w celu wyświetlenia Trustbadge przetwarzany jest adres IP klienta. W celu wysłania maili z prośbą o oddanie opinii za pomocą narzędzia Review Collector, funkcji automatycznego zbierania opinii (Auto-Collect) lub Trusted Shops API niezbędne są co najmniej adres mailowy oraz numer i data zamówienia. Opcjonalnie możliwe jest przetwarzanie i przekazanie dodatkowych danych, np. imię, nazwisko, szczegóły dotyczące produktu (tylko w przypadku opinii dotyczących produktu).

Jaki jest cel przetwarzania danych – tylko wysłanie maila z prośbą o oddanie opinii?

W przypadku korzystania z Review Collector, funkcji automatycznego zbierania opinii (narzędzie Auto-Collect) lub API, Trusted Shops wysyła w Państwa imieniu maile z prośbą o oddanie opinii. Trusted Shops nie korzysta z danych ani nie zapisuje ich w innych celach. Wyłącznie w sytuacji, gdy odbiorca maila z prośbą o oddanie opinii zdecyduje się na wystawienie opinii – wyraża jednocześnie wobec Trusted Shops zgodę na warunki korzystania z usług Trusted Shops i dalsze korzystanie z danych w celach realizacji uzgodnionych umownie świadczeń. 

Czy dane są przekazywane dalej: jeśli tak, do jakich stron trzecich? Czy również do państw trzecich?

Trusted Shops korzysta z usług hostingowych i infrastrukturalnych, w tym z usług usługodawców ze Stanów Zjednoczonych. Zapewniony jest odpowiedni poziom ochrony danych (certyfikat Privacy-Shield + standardowe klauzule umowne).

Czy dane podlegają anonimizacji?

W przypadku przesyłania danych osobowych zastosowanie znajdują metody szyfrowania transmisji zgodnie z aktualnym stanem techniki. Dane nie podlegają anonimizacji w rozumieniu przepisów ochrony danych osobowych.

Jak długo przechowywane są dane klientów? Czy po upływie okresu przechowywania są one automatycznie usuwane? (terminy/koncepcja usuwania danych?)

Podczas wywoływania (wyświetlania) Trustbadge serwer zapamiętuje automatycznie tzw. logi serwera (pliki dziennika), zawierające np. adres IP, datę i godzinę wywołania, ilość przesyłanych danych oraz składającego zapytanie dostawcę usług (tzw. dane dostępu) i dokumentuje wywołanie. Na potrzeby analizy nietypowych zjawisk w zakresie bezpieczeństwa poszczególne dane dostępu przechowywane są w w bazie danych bezpieczeństwa. Logi są usuwane automatycznie najpóźniej 90 dni po ich utworzeniu.

Dane przetwarzane w celu wysłania maili z prośbą o oddanie opinii są usuwane automatycznie po upływie trzech miesięcy – po tym czasie nie można już wystawić opinii dotyczącej danej transakcji. Jedynie w sytuacji, gdy przed upływem powyższego terminu odbiorca maila z prośbą o oddanie opinii zdecyduje się na wystawienie opinii – wówczas wyraża jednocześnie wobec Trusted Shops zgodę na warunki korzystania z usług Trusted Shops i dalsze korzystanie z danych w celach realizacji uzgodnionych umownie świadczeń. 

W jaki sposób możemy spełnić żądanie klienta o usunięcie jego danych osobowych? Czy musimy informować Trusted Shops o każdym żądaniu, tak aby dane zostały usunięte również z systemów Trusted Shops?

Zgodnie z art. 19 RODO o realizowaniu praw przez osobę, której dane dotyczą należy poinformować każdego odbiorcę, któremu ujawniono dane osobowe, w tym również Trusted Shops, jeżeli powyższe dotyczy klientów, których dane są przetwarzane przez Trusted Shops jako podmiot przetwarzający.

Czy należy poinformować o prawie do zgłoszenia sprzeciwu (art. 21 RODO)?

Wyświetlanie Trustbadge

Sklep członkowski integrując i wyświetlając Trustbadge (Trusted Shops działa w tym zakresie wespół z Akamai jako podmiot przetwarzający), musi poinformować osoby, których dane dotyczą o przysługujących im uprawnieniach, w tym o prawie do zgłoszenia sprzeciwu. Najprostszym sposobem na umożliwienie realizacji prawa do sprzeciwu jest wskazanie osobom, których dane dotyczą adresu kontaktowego za pomocą którego mogłyby one zglaszać swój sprzeciw. Opcjonalnie można również odesłać do narzędzi, za pomocą których użytkownik strony może samodzielnie blokować treści firm trzecich, np. Privacy Badger czy Ghostery.

W pewnych sytuacjach – pomimo otrzymanego sprzeciwu od osoby, której dane dotyczą, administrator w dalszym ciągu będzie mógł przetwarzać jej dane. Dzieje się tak, gdy zgodnie z treścią art. 21 ust. 1 RODO administrator wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Powyższe dotyczy np. przetwarzania tzw. logów serwera (plików dziennika) zwierających np. adres IP użytkownika. Informacja o takim przetwarzaniu znajduje się również w naszym przykładowym tekście z propozycją dopasowania Państwa polityki prywatności. Dane te są przechowywane w bazie danych bezpieczeństwa w celu analizy ewentualnych luk w zabezpieczeniach i np. zapobieżenia ataków DDoS.

Podsumowując:

Przetwarzanie danych w celu rozpoznania zarejestrowanych członków-kupujących Trusted Shops

Za to przetwarzanie danych odpowiada Trusted Shops, które informuje użytkowników o tym w swojej polityce prywatności; link do polityki prywatności znajduje się w Trustbadge.

Dane niezbędne do rozpoznania kupującego zarejestrowanego do celów korzystania z usług Trusted Shops (spseudonimizowany za pomocą funkcji haszującej adres mailowy) pobierane są za pomocą Trustbadge automatycznie z danych zamówienia. Z aktualnego brzmienie propozycji doposaowania Państwa polityki prywatności wynika, że ww. przetwarzanie danych odbywa się w oparciu o art. 6 ust. 1 lit. f RODO.

Czy Trusted Shops wyznaczyło inspektora ochrony danych?

Tak, można się z nim kontaktować za pośrednictwem poniższych danych kontaktowych:

Trusted Shops GmbH,
Inspektor ochrony danych (DPO),
Subbelrather Str. 15c, 50823 Kolonia, Niemcy
Adres e-mail: ochronadanych@trustedshops.pl

 


Czy ten artykuł był pomocny?

Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0