Zakupy online i dane osobowe – na co zwracać uwagę, by nie stracić kontroli nad informacjami o sobie?

Zakupy internetowe to dzisiaj standard – wygodne, szybkie i często tańsze niż te robione w sklepach stacjonarnych. Jednak za każdym razem, kiedy dokonujesz zakupu online, przekazujesz sprzedawcy swoje dane osobowe. To może obejmować imię, nazwisko, adres e-mail, numer telefonu, a czasem nawet dane dotyczące płatności. Jakie są więc zasady ochrony danych osobowych w świecie zakupów online? Co zrobić, aby nie stracić kontroli nad swoimi danymi osobowymi? W tym artykule postaramy się odpowiedzieć na te pytania.

1. Jakie dane podajesz podczas zakupów online?

Zanim klikniesz „Zamawiam”, sklep internetowy poprosi Cię o różne dane osobowe. Na początku musisz podać podstawowe informacje, takie jak:

  • Imię i nazwisko: Wymagane, aby dostarczyć Ci zamówienie.
  • Adres dostawy: To niezbędne, aby firma mogła wysłać zamówiony towar.
  • Adres e-mail: Potrzebny do potwierdzenia zamówienia oraz do komunikacji (np. informowanie o statusie wysyłki).
  • Numer telefonu: Często wymagany do kontaktu w przypadku problemów z dostawą lub jeśli kurier potrzebuje dodatkowych informacji.
  • Dane do płatności: Numer karty kredytowej/debetowej, dane konta bankowego lub inne formy płatności elektronicznych.

W niektórych przypadkach sklepy mogą także poprosić o dodatkowe informacje, jak na przykład NIP (jeśli chcesz otrzymać fakturę) lub PESEL (często wymagany przy zakupach medycznych lub produktów, które muszą być ściśle kontrolowane).

Dlaczego to ważne?
Każda z tych informacji może posłużyć nie tylko do realizacji zamówienia, ale także do tworzenia profili użytkowników, które mogą być wykorzystywane do celów marketingowych, a nawet sprzedaży danych osobowych. Im więcej danych podajesz, tym większe ryzyko naruszenia ochrony Twoich danych osobowych.

2. Skąd wiadomo, że sklep działa zgodnie z RODO?

Zgodnie z przepisami RODO, każdy sklep internetowy, który zbiera dane osobowe swoich klientów, ma obowiązek przestrzegania zasad ochrony prywatności. Warto zwrócić uwagę na kilka kluczowych kwestii, które wskazują na to, że sklep dba o Twoje dane:

  • Polityka prywatności: Zanim zdecydujesz się na zakupy, sprawdź, czy sklep posiada link do polityki prywatności. Dokument ten powinien jasno określać:
    • Kto jest administratorem danych (czyli firma, która przetwarza Twoje dane),
    • W jakim celu dane są zbierane (np. wykonania umowy- Art. 6 ust. 1 lit. b , marketingu- uzasadniony interes administratora danych- Art. 6 ust. 1 lit. f),
    • Jakie masz prawa w związku z przetwarzaniem danych (np. Prawo do informacji (Art. 13 i 14 RODO), Prawo dostępu (Art. 15 RODO) , Prawo do sprostowania (Art. 16 RODO) , Prawo do usunięcia danych (prawo do bycia zapomnianym) (Art. 17 RODO) , Prawo do ograniczenia przetwarzania (Art. 18 RODO) , Prawo do przenoszenia danych (Art. 20 RODO) , Prawo do sprzeciwu (Art. 21 RODO)),
    • Jak długo dane będą przechowywane (czy są one usuwane po zakończeniu transakcji, czy mogą być przechowywane przez dłuższy czas).

Jeśli sklep nie udostępnia takiej polityki lub nie spełnia tych wymagań – to może oznaczać, że nie traktuje odpowiedzialnie kwestii ochrony prywatności.

  • Zgody na przetwarzanie danych: Zanim złożysz zamówienie, sprawdź, czy sklep wymaga zgody na przetwarzanie danych w celach marketingowych. Jeśli sklep prosi Cię o zgodę na wysyłanie newslettera lub innych ofert, masz prawo do jej odmowy. Nie jest to konieczne, aby zrealizować zamówienie.

3. Czy musisz podawać wszystkie dane?

Przed zakupami online warto zadać sobie pytanie: Czy muszę podać wszystkie dane, o które prosi sklep? Wiele osób nie zdaje sobie sprawy, że niektóre informacje są zbędne do dokonania zakupu.

  • Numer PESEL: Nie jest wymagany do realizacji większości transakcji. Często pojawia się tylko w przypadkach, kiedy sklep musi wystawić fakturę na firmę lub gdy sprzedaje produkty o charakterze medycznym.
  • Adres zamieszkania: Jeśli nie zamawiasz produktów fizycznych, które wymagają wysyłki, sklep nie powinien prosić o pełen adres. Wiele sklepów oferuje także opcję odbioru osobistego, więc w tym przypadku adres dostawy nie będzie potrzebny.
  • Numer telefonu: Wymaga go tylko część sklepów, zwłaszcza te, które oferują usługi dostawy w modelu ekspresowym. Możesz sprawdzić, czy sklep udostępnia opcję zamówienia bez podania numeru telefonu.

Pamiętaj, że w przypadku jakichkolwiek wątpliwości masz prawo zapytać sprzedawcę, dlaczego te dane są wymagane.

4. Na co uważać przy płatnościach?

Płatności online wiążą się z ryzykiem, dlatego warto zachować szczególną ostrożność przy udostępnianiu swoich danych płatniczych.

  • Bezpieczni pośrednicy płatności: Wybieraj sklepy, które korzystają z renomowanych i bezpiecznych pośredników płatności, takich jak PayU, Przelewy24, Blik czy PayPal. Tacy pośrednicy stosują zaawansowane zabezpieczenia, które minimalizują ryzyko przejęcia Twoich danych płatniczych.
  • Certyfikat SSL: Upewnij się, że strona sklepu posiada certyfikat SSL, co gwarantuje, że Twoje dane są szyfrowane. Strona z certyfikatem będzie miała adres zaczynający się od „https://” (a nie tylko „http://”).
  • Zmieniaj hasła: Nie zapisuj danych karty w przeglądarkach internetowych ani na stronach sklepów. Lepszym rozwiązaniem jest korzystanie z bezpiecznych aplikacji do przechowywania haseł, które szyfrują Twoje dane.

5. Co możesz zrobić, by lepiej chronić swoje dane?

Istnieje kilka prostych, ale skutecznych metod, które pozwolą Ci lepiej chronić Twoje dane osobowe podczas zakupów online:

  • Zakładaj konta tylko wtedy, gdy to konieczne: Większość sklepów umożliwia zakupy bez konieczności tworzenia konta. Korzystaj z tej opcji, jeśli chcesz zminimalizować ilość przechowywanych danych.
  • Używaj różnych haseł: Dobre hasło to podstawa. Nigdy nie używaj tego samego hasła do wszystkich kont i stron. Jeśli masz trudności z zapamiętaniem wielu haseł, rozważ użycie menedżera haseł.
  • Nie zapisuj danych karty: Choć jest to wygodne, zapisanie numeru karty na koncie sklepu może stwarzać dodatkowe ryzyko. Warto korzystać z pośredników płatności, którzy chronią dane przed sklepami.
  • Czytaj zgody marketingowe: Często w procesie zakupowym pojawiają się zgody na przetwarzanie danych w celach marketingowych. Nie zawsze musisz wyrażać zgodę na otrzymywanie ofert – masz prawo ją odmówić, nie wpływa to na realizację zamówienia.
  • Regularnie sprawdzaj, gdzie masz konta: Zrób przegląd swoich kont w sklepach online i sprawdź, czy masz jeszcze aktywne profile w miejscach, w których nie robisz już zakupów. Możesz poprosić sklepy o usunięcie Twoich danych z ich bazy.

6. A co, jeśli doszło do naruszenia danych?

Pomimo najlepszych starań, naruszenia bezpieczeństwa danych osobowych mogą się zdarzyć. Co zrobić, gdy podejrzewasz, że Twoje dane wyciekły lub zostały niewłaściwie wykorzystane?

  • Skontaktuj się z sklepem: Jeśli otrzymałeś podejrzaną wiadomość lub zauważyłeś nietypową aktywność na swoim koncie, jak najszybciej skontaktuj się ze sklepem. Zapytaj, czy doszło do wycieku Twoich danych osobowych.
  • Zgłoś sprawę do UODO: W Polsce możesz zgłosić naruszenie danych osobowych do Urzędu Ochrony Danych Osobowych (UODO). Urząd może podjąć odpowiednie kroki w celu wyjaśnienia sytuacji i zabezpieczenia Twoich danych.
  • Zmieniaj hasła i zastrzeż dokumenty: Jeśli podejrzewasz, że Twoje dane mogły zostać skradzione, zmień hasła do kont bankowych i e-mailowych. W razie potrzeby, zastrzeż swoje dokumenty (np. dowód osobisty, karta płatnicza) lub PESEL w odpowiednich instytucjach.


Zakupy online to wygoda, ale również odpowiedzialność. Dzięki kilku prostym krokom możesz zapewnić sobie większą kontrolę nad swoimi danymi osobowymi i uniknąć wielu problemów związanych z naruszeniem ochrony danych osobowych. Pamiętaj, że Twoje dane są cenne – traktuj je odpowiedzialnie i bądź świadomy swoich praw w kontekście ochrony danych. Warto podkreślić, że specjaliści firmy GRUPA ELKA świadczą profesjonalne usługi doradcze w zakresie ochrony danych osobowych, również dla firm z sektora e-Commerce. Outsourcing naszych specjalistów pozwala zaoszczędzić czas i pieniądze. Każda firma dzięki niemu uzyskuje wysoki poziom usług związanych z ochroną danych.

Zgłoszenia zewnętrzne - Sygnalista Online

Zgłoszenia zewnętrzne – 25 grudnia 2024 r.

Już 25 grudnia 2024 roku wchodzą w życie przepisy dotyczące zgłoszeń zewnętrznych sygnalistów.

Kogo obejmą te zmiany? Jakie kroki należy podjąć, aby spełnić wymogi nowego prawa? Szczegółowe informacje znajdziesz poniżej.


Kim jest sygnalista i jakie zyskuje prawa?

Od 25 września 2024 r. sygnalista, czyli osoba zgłaszająca nieprawidłowości w związku z pracą, podlega szczególnej ochronie. Ochrona dotyczy działań odwetowych, takich jak:

  • odmowa awansu,
  • pozbawienie nagród lub podwyżek,
  • zwolnienie z pracy.

Ochrona przysługuje niezależnie od formy zatrudnienia, a także osobom wspierającym sygnalistę lub z nim związanym. Co ważne, tożsamość zgłaszającego musi pozostać poufna. Organizacje same decydują, czy będą przyjmować zgłoszenia anonimowe.

Status sygnalisty nabywa się w momencie dokonania zgłoszenia.


Ustawa o ochronie sygnalistów – co warto wiedzieć?

Nowe przepisy wdrażane są etapami:

  • Od 25 września 2024 r. obowiązuje ochrona zgłaszających.
  • Od 25 grudnia 2024 r. w życie wchodzą przepisy dotyczące zgłoszeń zewnętrznych.
  • Pełne wdrożenie ustawy nastąpi 1 stycznia 2025 r., kiedy zaczną obowiązywać procedury zgłaszania wewnętrznego.

Obowiązki firm i instytucji

Każda organizacja zatrudniająca co najmniej 50 osób (niezależnie od formy umowy) ma obowiązek wdrożenia procedur zgłoszeń wewnętrznych oraz stworzenia kanałów komunikacji.

Wyjątki obejmują:

  • sektor finansowy, który zawsze musi wdrożyć kanały zgłoszeń,
  • jednostki przeciwdziałające praniu pieniędzy, finansowaniu terroryzmu, ochronie środowiska czy transportu,
  • małe jednostki organizacyjne gminy i powiaty liczące poniżej 10 tys. mieszkańców.

Jak wygląda proces zgłoszenia nieprawidłowości?

Zgłoszenia wewnętrzne

  1. Potwierdzenie przyjęcia zgłoszenia – do 7 dni (z wyjątkiem zgłoszeń anonimowych).
  2. Działania następcze – pracodawca ocenia zasadność zgłoszenia i podejmuje odpowiednie kroki.
  3. Informacja zwrotna – w ciągu 3 miesięcy sygnalista powinien otrzymać informacje o podjętych działaniach.

Zgłoszenia zewnętrzne

Zgłoszenia te kieruje się do organów publicznych, takich jak Rzecznik Praw Obywatelskich. Organy mają obowiązek sporządzać roczne raporty statystyczne, uwzględniając m.in. wysokość szkód majątkowych i odzyskane środki.

Ujawnienie publiczne

Sygnalista może ujawnić nieprawidłowości w mediach lub serwisach społecznościowych, ale Ministerstwo Pracy zaleca, aby była to ostateczność. Najpierw powinno się skorzystać z procedur zgłoszeń wewnętrznych lub zewnętrznych.


Obszary objęte zgłoszeniami

Zgłoszenia mogą dotyczyć m.in.:

  • korupcji,
  • bezpieczeństwa produktów, transportu czy środowiska,
  • ochrony danych osobowych,
  • naruszeń w obszarze zamówień publicznych czy finansów Skarbu Państwa.

Sygnalista Online – kompleksowe rozwiązanie dla organizacji

Platforma Sygnalista Online wspiera firmy i instytucje w spełnianiu wymogów ustawy. Kluczowe cechy systemu:

  • Poufność – dane sygnalistów są szyfrowane, a dostęp do nich wymaga hasła i klucza.
  • Raportowanie – automatyczne generowanie raportów zgodnych z przepisami.
  • Intuicyjność – prosty w obsłudze system obsługi zgłoszeń.

Platforma umożliwia zarówno zgłoszenia wewnętrzne, jak i zewnętrzne. Zachowuje pełną zgodność z Dyrektywą Parlamentu Europejskiego 2019/1937 oraz RODO.


Kroki, które należy podjąć

  1. Stwórz kanały komunikacji do przyjmowania zgłoszeń.
  2. Przygotuj procedury zgłoszeń wewnętrznych i zewnętrznych.
  3. Zapewnij sygnalistom ochronę i poufność danych.
  4. Wdroż narzędzie do zarządzania zgłoszeniami, takie jak Sygnalista Online.

Chcesz dowiedzieć się więcej? Skontaktuj się z nami pod adresem kontakt@sygnalista-online.eu. Z przyjemnością pomożemy w dostosowaniu organizacji do nowych przepisów!

Czy musimy zawierać umowę powierzenia ?

W ostatnim czasie podczas audytów RODO, jak i przy okazji rozmów z naszymi klientami często pada pytanie po co nam umowy powierzenia ? czy musimy zawierać umowę powierzenia z podmiotem x czy y ? Nie jeden z naszych klientów już zdołał się o tym przekonać, że są one istotnym elementem w momencie zaistnienia incydentu czy naruszenia. 

Wyjaśnijmy najważniejsze pojęcia:

  • Administrator danych osobowych ustala cele, w jakich dane osobowe są przetwarzane, oraz sposoby, jakimi się je przetwarza. Zatem, jeśli Twoja firma/organizacja decyduje o tym „po co” i „w jaki sposób” powinno się przetwarzać dane, jest ona administratorem danych osobowych. Pracownicy przetwarzający dane w ramach Twojej organizacji wykonują w ten sposób Twoje zadania jako administratora danych.
  • Podmiot przetwarzający dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy. 

Obowiązki podmiotu przetwarzającego względem administratora muszą być określone w umowie lub innym instrumencie prawnym, który podlega prawu Unii lub prawu państwa członkowskiego. Umowa musi na przykład wskazywać, co się stanie z danymi osobowymi po rozwiązaniu umowy. Jak również regulacja taka musi być wiążąca, określać przedmiot i czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, której dane dotyczą, obowiązki i prawa administratora kluczowym w tym zakresie jest art. 28 RODO. Typową działalnością podmiotu przetwarzającego jest dostarczanie rozwiązań IT, czy usług przechowywania danych w chmurze. Podmiot przetwarzający dane może zlecić innemu podmiotowi przetwarzającemu podwykonawstwo części swoich obowiązków albo wyznaczyć podmiot współprzetwarzający dane wyłącznie po otrzymaniu uprzedniej pisemnej zgody administratora danych. Dane powinno powierzać się wyłącznie podmiotowi, który spełnia wymagania z przepisów ochrony danych osobowych. Ciąży na nim dokładnie takie sama odpowiedzialność jak na administratorze. Czyli odpowiedzialność: administracyjna, finansowo-administracyjna, cywilna czy karna.

Należy zwrócić uwagę, że uregulowanie relacji pomiędzy administratorem i podmiotem przetwarzającym w oparciu o umowę powierzenia jest obowiązkiem administratora oraz podmiotu przetwarzającego. Forma takiej umowy może być pisemna lub elektroniczna. Brak uregulowania relacji może być podstawą do nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 ust. 4 a RODO. Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, pomaga administratorowi  w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą oraz innych nałożonych na administratora przepisami RODO. Zaleca się aby rola podmiotu przetwarzającego polegała na przekazaniu administratorowi, w ustalonym przez stronie terminie, wszelkich informacji niezbędnych do realizacji określonego obowiązku. Umowa zgodna z przepisami unijnego rozporządzenia, ma na celu zapewnienie administratorowi lepszej kontroli nad przetwarzanymi przez niego danymi osobowymi dlatego jest ważnym elementem. Masz inne pytania, nurtujące cię problemy z ochroną danych osobowych skontaktuj się z doświadczonymi specjalistami dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/.