RODO obowiązuje od 2018 roku i wciąż budzi pytania wśród właścicieli sklepów. Część wymagań jest faktycznie obowiązkowa. Część tego co widzisz na innych stronach to albo nadgorliwość, albo błędna interpretacja przepisów.
Podstawa prawna przetwarzania danych
Każda operacja na danych osobowych musi mieć podstawę prawną. W sklepie internetowym podstawy to najczęściej: realizacja umowy (zamówienie - tu nie potrzebujesz osobnej zgody RODO), uzasadniony interes administratora (np. analityka), lub zgoda (marketing e-mailowy). Zbieranie zgody na przetwarzanie danych przy zamówieniu to częsty błąd - zamówienie jest umową i nie wymaga dodatkowej zgody.
Polityka prywatności
Obowiązkowy dokument opisujący: kto przetwarza dane, jakie dane, w jakim celu, na jakiej podstawie, jak długo i jakie prawa ma klient. Powinna być napisana zrozumiale, nie jako ściana prawniczego żargonu. Wzory są punktem startowym, ale powinny być dostosowane do Twojej konkretnej działalności i systemów, z których korzystasz.
Cookies i zgody
Cookies analityczne i marketingowe wymagają zgody przed umieszczeniem. Cookies niezbędne (sesja, koszyk) nie wymagają zgody. Od 2024 roku Consent Mode v2 dla Google jest wymagany przy zachowaniu danych w GA4 w krajach objętych RODO. Banery cookies z opcją tylko "Akceptuj wszystko" bez możliwości odmowy są niezgodne z przepisami.
Prawa użytkownika
Klient ma prawo do: dostępu do swoich danych, sprostowania, usunięcia, przeniesienia i ograniczenia przetwarzania. Sklep musi mieć procedurę obsługi takich wniosków. W PrestaShop moduł GDPR umożliwia klientom zarządzanie swoimi danymi bezpośrednio z poziomu konta.
Retencja danych
Danych nie przechowujesz dłużej niż to konieczne. Dane zamówień trzymasz przez okres wymagany przepisami podatkowymi. Dane nieaktywnych klientów, którzy nie złożyli zamówienia od kilku lat, powinny być usunięte lub zanonimizowane. Automatyczne czyszczenie starych danych możesz ustawić przez harmonogram w PrestaShop lub własny skrypt.