FAQ – ochrona danych w Trusted Shops

Czy Trusted Shops zawiera ze sklepem członkowskim umowę powierzenia przetwarzania danych zgodnie z art. 28 RODO?

W ramach umowy członkostwa Trusted Shops nie świadczy usług jako podmiot przetwarzający dane zgodnie z art. 28 RODO. W przypadku umowy członkostwa mamy raczej do czynienia z przetwarzaniem danych w ramach wspólnej odpowiedzialności dwóch administratorów danych. Dlatego też porozumienie o współadministrowaniu danymi osobowymi o którym mowa w treści art. 26 RODO zastępuje w tym przypadku umowę powierzenia przetwarzania danych. Umowa o współadministrowaniu danymi osobowymi stanowi integralną część Ogólnych Warunków Członkostwa Trusted Shops i zawiera obszerne regulacje dotyczące przetwarzania współadministrowanych danych podczas korzystania z usług oferowanych przez Trusted Shops. Zatem w ramach umowy członkostwa – Trusted Shops zawiera z każdym sklepem członkowskim porozumienie dot. współadministrowania o którym mowa w treści art. 26 RODO (Współadministratorzy). Warunki porozumienia można znaleźć tutaj:

Współadminstrowanie, zakresy odpowiedzialności oraz środki techniczne i organizacyjne

Operacje przetwarzania danych objęte współadministrowaniem zostały wskazane w porozumieniu o współadministrowaniu danymi. Obejmują one w szczególności:

  1. Integracje narzędzia Trustbadge;
  2. Przekazywanie danych osobowych w celu zawarcia umowy ochrony kupującego dla złożonych zamówień;
  3. Wysyłanie zaproszeń do wystawienia opinii w ramach ochrony kupującego i w Państwa imieniu za pomocą narzędzi Review Collector i AutoCollection oraz Trusted Shops API, jak również;
  4. Zbieranie opinii za pośrednictwem systemu opinii oraz ich komentowanie.

Kiedy dochodzi do przetwarzania danych i jak długo dane są przetwarzane?

Zakresy odpowiedzialności w ramach współadministrowania danymi

Proces przetwarzania danych

Trusted Shops

 

Członek sklepu

Korzystanie z systemu My Trusted Shops B2B

Samodzielna odpowiedzialność

 

Korzystanie z systemu My Trusted Shops B2C

Samodzielna odpowiedzialność

 

System opinii Trusted Shops  

Samodzielna odpowiedzialność

 

Treść widgeta Trustbadge / Korzystanie z usług Trusted Shops 

Wspólnie

 

Prezentacja (wyświetlanie) Trustbadge w sklepie internetowym

 

Samodzielna odpowiedzialność

Wysyłanie zaproszeń e-mailem

 

Współadministrator

Współadministrator

Review Collector

Współadministrator

Współadministrator

Auto-Collect (automatyczne zbieranie opinii)

Współadministrator

Współadministrator

Interfejs programistyczny aplikacji (API)

Współadministrator

Współadministrator

Generator tekstów prawnych (Regulamin e-sklepu)

Współadministrator

Współadministrator

Szczegółowe informacje w tym zakresie znajdują się w dokumencie: Porozumienie zgodnie z art. 26 ust. 1 Ogólnego Rozporządzenia o Ochronie Danych (RODO).

Dlaczego część informacji dot. odbiorców maili z prośbą o wystawienie opinii nie jest wyświetlana w Control Center?

W centrum sterowania dostępne są następujące informacje:

- historia zaproszeń, tj. przegląd wysłanych zaproszeń do wystawienia opinii oraz

- skrzynka odbiorcza otrzymanych ocen i opinii.

Zaproszenia do wystawienia opinii wysłane w Państwa imieniu (proszę porównać wyżej) mogą być wyświetlane w historii zaproszeń wraz z odpowiednimi informacjami o odbiorcach.

Zaproszenia do wystawienia opinii, za których wysłanie odpowiedzialny jest wyłącznie Trusted Shops nie mogą być jednak wyświetlane wraz z powiązanymi z nimi informacjami o odbiorcach, ponieważ oznaczałoby to zmianę celu przetwarzania danych, a ponadto dane osobowe zostałyby przekazane stronie trzeciej, na co brak jest opowiedniej podstawy prawnej. Trusted Shops wysyła te zaproszenia do wystawienia opinii jako samodzielny administrator danych w ramach realizacji umowy zawartej z danym użytkownikiem końcowym i w związku z tym nie uzyskuje od niego odrębnej zgody.

W historii zaproszeń – w związku z wystawioną opinią może zostać wyświetlony adres mailowy osoby, która ją wystawiła, gdyż jest to konieczne dla zapewnienia sprzedawcy możliwości weryfikacji autentyczności transakcji i powiązanej z nią opinii kupującego. Osoby, których dane dotyczą są informowane o powyższym celu przetwarzania danych.

Czy przed integracją Trustbadge muszę dopasować swoją politykę prywatności?

Integrując ze swoją stroną narzędzie Trustbadge i wykorzystując Trustbadge w procesie składania zamówienia na stronie Państwa sklepu – jako administrator danych w rozumieniu przepisów o ochronie danych osobowych, mają Państwo następujące obowiązki:

  • obowiązek uzupełniania informacji w Państwa rejestrze czynności przetwarzania,
  • obowiązek ważenia interesów (tzw. test równowagi) zgodnie z art. 6 ust. 1 lit. f RODO,
  • obowiązek spełnienia obowiązków informacyjnych i dostosowania Państwa polityki prywatności.

W celu realizacji tych obowiązków, mogą Państwo skorzystać z następujących informacji pomocniczych:

Jakie dane naszych klientów będą przetwarzane i zapisywane?

Minimalny zakresy wymaganych danych w celu wyświetlenia Trustbadge to adres IP klienta. Jest on jednak natychmiast anonimizowany. W celu wysłania maili z prośbą o wystawienie opinii za pomocą narzędzia Review Collector, funkcji automatycznego zbierania opinii (Auto-Collect) lub Trusted Shops API niezbędne są co najmniej: adres mailowy oraz numer i data zamówienia. Opcjonalnie możliwe jest przetwarzanie i przekazanie dodatkowych danych, np. imię, nazwisko, szczegóły dotyczące produktu (tylko w przypadku opinii dotyczących produktu).

Jaki jest cel przetwarzania danych – tylko wysłanie maila z prośbą o wystawienie opinii?

W przypadku korzystania z Review Collector, funkcji automatycznego zbierania opinii (narzędzie Auto-Collect) lub API, Trusted Shops wysyła w Państwa imieniu maile z prośbą o wystawienie opinii. Trusted Shops nie korzysta z danych ani nie zapisuje ich w innych celach. Wyłącznie w sytuacji, gdy odbiorca maila z prośbą o wystawienie opinii zdecyduje się na oddanie opinii – wyraża jednocześnie wobec Trusted Shops zgodę na warunki korzystania z usług Trusted Shops i dalsze korzystanie z jego danych w celach realizacji uzgodnionych umownie świadczeń. 

Czy dane są przekazywane do Trusted Shops, gdy klient w wiadomości z zaproszeniem do wystawienia opinii kliknie w link służący oddaniu opinii?

Po kliknięciu w link przeznaczony wystawienia opinii adres e-mail i numer zamówienia klienta zostaną przekazane do Trusted Shops w celu wstępnego wypełnienia formularza opinii. Jest to konieczne do realizacji nadrzędnych i uzasadnionych interesów (art. 6 ust. 1 zd. 1 lit. f RODO) sklepu członkowskiego i Trusted Shops związanych ze świadczeniem usługi polegającej na możliwości wystawienia opinii powiązanej z konkretnym zamówieniem oraz dążeniem do uniknięcia błędów przy wprowadzaniu danych.

Jeśli po kliknięciu w link, klient ostatecznie nie wyśle formularza ze swoją opinią, przekazane dane zostaną automatycznie usunięte. W przeciwnym razie dane będą wykorzystywane przez Trusted Shops wyłącznie w celu realizacji umowy dotyczącej korzystania z systemu opinii. Powyższe wyjaśnienia dotyczą wyłącznie linków służących wystawieniu opinii, które zostały utworzone przez sklep członkowski i służą ocenie transakcji i sprzedawcy, a nie ocenie produktu.

Czy dane są przekazywane dalej - jeśli tak: do jakich stron trzecich? Również do państw trzecich?

Trusted Shops korzysta z dostawców usług hostingowych i infrastruktury technicznej. Wykorzystywane są m.in. usługi Amazon Web Services (AWS). AWS ma swoją siedzibę w USA. Trusted Shops i AWS uzgodniły jednak, że serwerem i miejscem przetwarzania danych będą Niemcy. W związku z tym art. 44 i następne RODO dotyczące przekazywania danych osobowych do państw trzecich nie mają w tym przypadku zastosowania. Orzeczenie Europejskiego Trybunału Sprawiedliwości Unii Europejskiej w sprawie Schrems II nie ma zatem bezpośredniego wpływu na przetwarzanie danych.

Przekazanie danych do Stanów Zjednoczonych w ramach korzystania z usług AWS może nastąpić tylko w następujących wyjątkowych przypadkach – aby poprawnie wyświetlić narzędzie Trustbadge, AWS jest używany również jako dostawca treści CDN. Przetwarzanie niezbędne do zrealizowania tego celu odbywa się z reguły na serwerach zlokalizowanych w Unii Europejskiej, w szczególności w Niemczech. Może się jednak zdarzyć, że wykorzystywane będą również serwery w tzw. państwach trzecich (jeśli wywołanie strony internetowej następuje z takiego państwa).

Ponadto, gdy wywoływana jest strona internetowa i wyświetlany jest Trustbadge zapisywany jest plik dziennika (tzw. logfile), który przechowywany jest na serwerach dostarczanych przez AWS. Również w tym przypadku przetwarzanie danych odbywa się na terenie Unii Europejskiej. Odpowiedni poziom ochrony danych został zapewniony poprzez uzgodnienie obowiązywania standardowych klauzul umownych UE.

Czy dane podlegają anonimizacji?

W przypadku przekazywania danych osobowych stosowane są nowoczesne metody szyfrowania transmisji zgodnie z aktualnym stanem techniki. Adres IP przetwarzany podczas wyświetlania narzędzia Trustbadge jest natychmiast anonimizowany.

Jak długo przechowywane są dane klientów? Czy po upływie okresu przechowywania są one automatycznie usuwane? (terminy/koncepcja usuwania danych?)

W przypadku wywołania Trustbadge serwer sieciowy automatycznie zapisuje tzw. plik dziennika serwera (logi serwera), który zawiera również adres IP, datę i godzinę wywołania, ilość przesłanych danych oraz operatora wnioskującego (dane dostępowe) i dokumentuje wywołanie. Adres IP jest anonimizowany natychmiast po pobraniu, tak aby zapisane dane nie mogły zostać przypisane do konkretnej osoby. Zanonimizowane dane są wykorzystywane w szczególności do celów statystycznych i analizy błędów.

Dane przetwarzane w celu wysłania zaproszeń do wystawienia opinii są automatycznie usuwane po upływie terminu na oddanie opinii. Jeżeli odbiorca wystawi opinię, otrzymane dane będą nadal wykorzystywane w ramach umowy użytkowania systemu opinii.  

W jaki sposób możemy spełnić żądanie klienta dot. usunięcia jego danych osobowych? Czy musimy informować Trusted Shops o każdym żądaniu, tak aby dane zostały usunięte również z systemów Trusted Shops?

Zgodnie z art. 19 RODO w przypadku realizowania praw przez osobę, której dane dotyczą należy poinformować każdego odbiorcę, któremu ujawniono dane osobowe, a zatem również Trusted Shops, jeżeli otrzymane żądanie/wniosek dotyczy klientów, których dane są przetwarzane również przez Trusted Shops jako współadministratora.

Czy należy poinformować o prawie do zgłoszenia sprzeciwu (art. 21 RODO)?

Wyświetlanie Trustbadge

Sklep członkowski jest wspólnie z Trusted Shops odpowiedzialny za integracje i wyświetlanie Trustbadge i musi poinformować osoby, których dane dotyczą o przysługujących im uprawnieniach, w tym o prawie do zgłoszenia sprzeciwu. Najprostszym sposobem na umożliwienie realizacji prawa do sprzeciwu jest wskazanie osobom, których dane dotyczą adresu kontaktowego za pomocą którego mogłyby one zgłaszać swój sprzeciw. Opcjonalnie można również odesłać do narzędzi, za pomocą których użytkownik strony może samodzielnie blokować treści stron trzecich, np. Privacy Badger czy Ghostery.

To ostatnie nie jest obowiązkowe, ponieważ zanim sprzeciw klienta stanie się w indywidualnym przypadku skuteczny, administrator musi być w stanie sprawdzić, czy przetwarzanie danych jest konieczne do dochodzenia, wykonania lub obrony roszczeń prawnych lub czy może wykazać nadrzędny i uzasadniony interes przetwarzania, który przeważa nad interesami, prawami i wolnościami osoby, której dane dotyczą. W związku z tym nawet w przypadkach, w których doszło już do przetwarzania danych, możliwe jest dalsze przetwarzanie danych na podstawie art. 21 ust. 1 zd. 2 RODO. Jak wskazano w przykładowym tekście do polityki prywatności, adres IP jest anonimizowany natychmiast po pobraniu.

Przetwarzanie danych w celu rozpoznania zarejestrowanych członków-kupujących Trusted Shops

Za to przetwarzanie danych odpowiada Trusted Shops, które informuje o tym użytkowników w swojej polityce prywatności; link do polityki prywatności znajduje się w Trustbadge. Dane niezbędne do rozpoznania kupującego zarejestrowanego do celów korzystania z usług Trusted Shops (adres e-mail spseudonimizowany za pomocą funkcji haszującej) pobierane są za pomocą Trustbadge automatycznie z danych zamówienia. Z aktualnego brzmienie propozycji dopasowania Państwa polityki prywatności wynika, że ww. przetwarzanie danych odbywa się w oparciu o art. 6 ust. 1 lit. f RODO.

Czy Trusted Shops wyznaczyło inspektora ochrony danych?

Tak, można się z nim kontaktować za pośrednictwem poniższych danych kontaktowych:

Trusted Shops AG
Inspektor ochrony danych (DPO),
Subbelrather Str. 15c, 50823 Kolonia, Niemcy
Adres e-mail: ochronadanych@trustedshops.pl


Czy ten artykuł był pomocny?

Liczba użytkowników, którzy uważają ten artykuł za przydatny: 2 z 5