O regulaminach, politykach prywatności i politykach cookies w serwisach internetowych. Czyli Beata Marek w serii #RobieWebBiznes na http://Miedzy5a6.pl.
Beata jest prawnikiem i właścicielem Cyberlaw. Na co dzień łączy biznes z prawem i bezpieczeństwem teleinformatycznym. Uwielbia pracę w interdyscyplinarnych zespołach i atmosferę startupów. Specjalizuje się w prawie nowych technologii. Autorka wielu publikacji i prelegentka na licznych, branżowych konferencjach. Dyrektor ds. prawnych w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, wiceprezes Cloud Security Alliance Polska, członkini International Cyber Threat Task Force, a także Fundacji Bezpieczna Cyberprzestrzeń. Redaktor naczelna kwartalnika naukowego ICT Law Review oraz autorka bloga dla programistów i e-przedsiębiorców cyberlaw.pl.
Przyjmowanie płatności na swojej stronie. InternetBeta 2011 [PL]
Regulamin, polityka prywatności, polityka cookies. Jak to ugryźć w web biznesie?
1. Regulamin, polityka prywatności, polityka cookies.
Jak to ugryźć w web biznesie? Beata Marek w
#RobieWebBiznes
miedzy5a6.pl /regulamin-polityka-prywatnosci-polityka-cookies-w-web-biznesie/
Moim dzisiejszym gościem będzie Beata Marek. Beata jest prawnikiem i właścicielem Cyberlaw. Na
co dzień łączy biznes z prawem i bezpieczeństwem teleinformatycznym. Uwielbia pracę w
interdyscyplinarnych zespołach i atmosferę startupów. Specjalizuje się w prawie nowych technologii.
Autorka wielu publikacji i prelegentka na licznych, branżowych konferencjach. Dyrektor ds. prawnych w
ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, wiceprezes
Cloud Security Alliance Polska, członkini International Cyber Threat Task Force, a także Fundacji
Bezpieczna Cyberprzestrzeń.
Redaktor naczelna kwartalnika naukowego ICT Law Review oraz autorka bloga dla programistów i e-przedsiębiorców
cyberlaw.pl.
Regulamin, polityka prywatności, polityka cookies
Karol Zielinski – Witaj Beata, dziękuję Ci bardzo, że zdecydowałaś się na rozmowę i podzielenie
się z nami swoją wiedzą i doświadczeniem. Specjalizujesz się w aspektach prawnych biznesów
webowych. Myślę więc, że jesteś idealną osobą do porozmawiania na temat, który bardzo mnie
osobiście ciekawi i z którym prędzej, czy później ma do czynienia każdy startupowiec.
Chciałbym porozmawiać z Tobą o regulaminach, politykach prywatności i politykach cookies w
serwisach internetowych. Może zacznijmy od podstaw… co to w ogóle jest regulamin, polityka
prywatności i polityka cookies?
BM – To ja dziękuję za zaproszenie do rozmowy. Bardzo się cieszę, że możemy porozmawiać o
interesujących tematach prawnych, z którymi stykają się e-przedsiębiorcy i które są dla nich bardzo
ważne.
Regulamin jest wzorcem umownym. Oznacza to zatem, że możemy zawrzeć wiążącą umowę w sieci
niepodpisując tradycyjnej umowy, a jedynie akceptując regulamin świadczonej e-usługi i otrzymując
informację zwrotną od usługodawcy o zawarciu umowy (oczywiście przepisy o wadach oświadczenia
woli stosujemy odpowiednio).
Regulamin określa ogólne warunki umowy oraz pełni rolę informacjyjną. Przykładowo zgodnie z art. 8
ust. 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144,
poz. 1204 z późn. zm.) regulamin określa w szczególności:
rodzaje i zakres usług świadczonych drogą elektroniczną
warunki świadczenia usług drogą elektroniczną, w tym:
wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym,
którym posługuje się usługodawca,
zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym,
warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną,
tryb postępowania reklamacyjnego.
Warto pamiętać, że obowiązków informacyjnych jest więcej. Przedsiębiorca jest zobowiązany także w
2. sposób należyty informować na temat ochrony danych osobowych, ochrony prywatności
Użytkowników oraz jeżeli kieruje ofertę do konsumentów spełniać dodatkowe obowiązki informacyjne
(np. te nałożone art. 8 ustawy z dnia 30 maja 2014r. o prawach konsumenta, Dz.U. 2014 poz. 827).
Dokument ten jest wiążący dla obu stron umowy dlatego warto by znalazły się tam także dopuszczone
prawem wyłączenia odpowiedzialności.
Polityka Prywatności / Polityka Prywatności i Cookies / jest natomiast dokumentem uzupełniającym
regulamin i odnosi się wyłącznie do ochrony prywatności.
KZ – Czy są to „dokumenty” wymagane prawem? Każdy, kto sprzedaje w sieci musi je mieć na
swojej stronie?
BM – Regulamin to dokument, do którego posiadania i przestrzegania jest zobowiązany każdy e-usługodawca.
Musi on także zostać w odpowiedni sposób okazany usługobiorcy jeszcze przed
zawarciem umowy (w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści
regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca). Nie można
żądać opłaty za jego okazanie czy ukrywać go za Polityką Prywatności i Cookies.
Tylko i wyłącznie regulamin jest wzorcem umownym, a nie np. polityka prywatności czy cennik.
Polityka i Cennik to załączniki Regulaminu.
Polityka Prywatności to dokument, który zwyczajowo oddziela się od Regulaminu z uwagi na wygodę
Użytkowników. Z prawnego punktu widzenia nie ma znaczenia czy będziemy mieć Regulamin i
Politykę Prywatności jako odrębne dokumenty czy będziemy mieć tylko Regulamin. Najważniejsze jest
to by usługodawca posiadał Regulamin i spełnił swoje obowiązki informacyjne.
KZ – Rozumiem, że tyczy się to każdego biznesu sprzedającego w sieci? Bez względu na to,
czy mówimy o sklepie internetowym, biznesie działającym w modelu SaaS, firmie szkoleniowej,
czy czymkolwiek innym.
BM – Obowiązek posiadania regulaminu dotyczy e-usługodawców czyli usługodawców świadczących
usługi drogą elektroniczną. Usługodawcą takim jest osoba (osoba fizyczna, osoba prawna czy
jednostka organizacyjna nieposiadającą osobowości prawnej), która prowadzi w sieci sklep
internetowy, serwis www czy świadczy innego rodzaju usługi przez Internet. Istotnym elementem jest
to czy z tej działalności podmiot ten chociażby ubocznie czerpie czy też zamierza czerpać korzyści
finansowe (np. serwis ogłoszeniowy jest darmowy, ale osoba fizyczna ma korzyści z reklam).
KZ – Dobrze, a jak to wygląda z formą takiego dokumentu? W jakim formacie mają być
dostępne te dokumenty? Może to być zarówno tekst na osobnej podstronie serwisu, plik do
ściągnięcia, obrazek itd?
BM – Najlepiej by były one częścią strony czyli były dostępne w formie tekstu na stronie www (html).
Nie zalecam umieszczania plików .pdf, .doc, .odt czy innych dlatego że taka forma może skutecznie
wpłynąć na uznanie, że regulamin nie został dostatecznie dobrze okazany usługobiorcy.
Przedsiębiorca naraża się w ten sposób na uznanie, że umowa nie jest wiążąca z uwagi na
niewłaściwe okazanie (nie ma tu znaczenia czy usługobiorca jest konsumentem czy nie), a gdy kieruje
swoje usługi do konsumentów także na skargę do Urzędu Ochrony Konkurencji i Konsumentów o
naruszanie zbiorowych praw konsumentów.
KZ – Jeśli zaś chodzi o konkretne zapisy… czy są jakieś odgórnie narzucone zapisy, które
muszą się znaleźć w takich dokumentach? Na przykład zapisy dotyczące zwrotów, reklamacji,
czy sposobów płatności?
BM – Postanowienia regulaminu nie mogą być sprzeczne z obowiązującym przedsiebiorcę prawem.
Warto tutaj pamiętać, że jeżeli usługodawca ma siedzibę w Polsce, ale kieruje swoją ofertę do innych
krajów powinien najpierw sprawdzić czy przepisy konsumenckie nie nakazują przestrzegania
3. określonych wymagań. Dla pewności zawsze możemy w postanowieniach końcowych umieścić
klauzulę, która będzie dopuszczała stosowanie właściwego prawa konsumenta.
KZ – A co mi grozi jeśli takich zapisów nie mam? Albo mam zapisy, które nie do końca są
zgodne z prawem. Na przykład jakieś zakazane klauzule.
BM – Przede wszystkim trzeba pamiętać o tym, że niedozwolone klauzule nie wiążą z mocy prawa.
Jeżeli jakaś osoba zwróci nam uwagę na posiadanie niedozwolonej klauzuli warto przeanalizować jej
brzmienie (pomijam spam od oszustów), a następnie przeprosić konsumenta, poprawić zapis i
zaoferować jakiś rabat. Jeżeli przedsiębiorca nie poprawi wadliwego zapisu naraża się na skierowanie
sprawy do sądu powszechnego o uznanie danego postanowienia za niewiążące. To już będzie
się wiązało ze starami finansowymi i wizerunkowymi dla usługodawcy.
Inną sankcją jest nałożenie kary przez Prezesa UOKiK za praktyki godzące w konsumentów. Kara
finansowa w tym wypadku może wynieść maksymalnie do 10 proc. przychodu w roku poprzedzającym
wydanie decyzji.
To Cię może zainteresować: Wyjaśnienia w sprawie ustalania wysokości kar pieniężnych za
stosowanie praktyk naruszających zbiorowe interesy konsumentów (2013.05.10)
KZ – No dobrze, załóżmy, że mam te wszystkie dokumenty stworzone i użytkownicy mają do
nich dostęp. Domyślam się, że każdy z naszych klientów musi zaakceptować je przed
dokonaniem zakupu? Nie można na przykład podać linka do regulaminu dopiero po dokonaniu
transakcji?
BM – Przez dokonanie transakcji jak rozumiem masz na myśli dokonanie zapłaty. Otóż zapłata należy
się za „coś“, np. z tytułu zakupionego towaru albo usługi. Można żądać zapłaty z góry (np. przed
rozpoczęciem świadczenia usługi czy wysłaniem towaru), ale tylko wtedy gdy zostanie skutecznie
zawarta umowa pomiędzy stronami.
KZ – A co jeśli nie dochodzi do zakupu? Jeśli nie ma przepływu pieniędzy. Regulamin też jest
wymagany? Na przykład mam biznes działający w modelu SaaS i umożliwiam użytkownikom
założenie darmowego konta i korzystanie z serwisu bez żadnych opłat. Załóżmy, że mam
takiego Instagrama. Czy w przypadku darmowego świadczenie usług również regulamin musi
być dostępny w serwisie?
BM – Jeżeli świadczysz usługi w rozumieniu prawa to jesteś zobligowany do posiadania regulaminu i
okazania go jeszcze przed rejestracją Użytkowników w serwisie. Nie ma tu znaczenia czy usługi
są stricte płatne czy nieodpłatne. Jeśli chociażby ubocznie masz dzięki temu serwisowi zysk finansowy
to już wymagane jest byś posługiwał się regulaminem.
KZ – No dobrze. Mamy więc wszystko dostępne na stronie. Teraz użytkownik musi się zgodzić
na zapisy z regulaminu. Czy jest jakaś wymagana forma takiej zgody? Często na stronie z
formularzem zakładania konta w serwisie jest checkbox z informacją, że zgadzam się na zapisy
z regulaminu. Ale czy można to zrobić inaczej? Dać link do regulaminu w stopce i nie wymagać
zaznaczenia checkboxa ze zgodą przy zakładaniu konta? Przyjąć z góry, że skoro regulamin
jest publicznie dostępny, a użytkownik decyduje się na założenie konta w serwisie to znaczy, że
akceptuje zapisy regulaminu?
BM – Wyrażenie zgody to złożenie oświadczenia woli. Nie może być ono obciążone
wadą oświadczenia woli. Jeżeli regulamin byłby umieszczony u dołu strony i przedsiębiorca nie
informowałby przed zawarciem umowy o jego treści można byłoby skutecznie dowieść, że
usługobiorca nie miał możliwości właściwego rozeznania znaczenia i skutków swego zachowania się
oraz pokierowania swym postępowaniem (brak swobody).
Najbezpieczniej jest, na ostatnim etapie składania zamówienia czy też odpowiednio przed
4. rozpoczęciem świadczenia usług, dać checkbox z informacją „Oświadczam, że przeczytałem,
zrozumiałem i akceptują warunki Regulaminu“. Słowo „Regulaminu“ może być jednocześnie linkiem
otwierającym nową kartę (otwieranie nowych okien może być blokowane więc lepiej nie korzystać z tej
opcji) gdzie Użytkownik może przeczytać warunki świadczenia usługi.
Checkbox jest bardzo ważny. Nie może być zaznaczony domyślnie, pisany mniejszą czcionką czy
wpleciony w inny komunikat. Jeżeli by tak było można byłoby skutecznie dowieść, że osoba
wyrażająca zgodę nie miała swobody w powzięciu decyzji.
Samo umieszczenie Regulaminu w stopce to zatem za mało. Wyjątkowo byłoby to dopuszczalne jeżeli
świadczyłbyś usługi wąskiej grupie odbiorców (przedsiębiorców) i taki sposób okazania dokumentu
byłby powszechnie przyjętą i akceptowalną praktyką w waszej – już nawiązanej – relacji biznesowej.
KZ – Rozumiem, że wystarczy, aby użytkownik wyraził zgodę na zapisy regulaminu? Nie trzeba
dawać osobnych checkboxów z wyrażaniem zgody na zapisy polityki prywatności, czy polityki
cookies?
BM – Regulamin powinien mieć załączniki, które są jego integralną częścią (np. Cennik, Polityka
Prywatności). Podstawowy przypadek to obligatoryjne wyrażenie zgody na świadczenie usługi czyli
akceptacja regulaminu.
Skoro jesteśmy przy tym temacie to od razu nadmienię, że nie można zastąpić akceptacji regulaminu
akceptacją komunikatu o Cookies. To drugie to tylko czynność techniczna (nie jest ona źródłem
zobowiązania dla usługobiorcy), a ukrywanie pod tym komunikatem regulaminu jest nie tylko
obarczone wadą oświadczenia woli (podstęp), ale także może zostać uznane za przestępstwo
oszustwa (art. 286 ustawy z dnia 6 czerwca 1997r. Kodeks Karny, Dz.U. 1997 nr 88 poz. 553 z późn.
zm).
Podstęp w tym wypadku to mylne wyobrażenie o rzeczywistym stanie rzeczy, który dotyczył
okoliczności, nie wchodzących w treść oświadczenia woli, lecz dotyczący sfery motywacyjnej, która
stanowiła przyczynę złożenia tego oświadczenia woli.
Bardziej rozbudowany przypadek to zbieranie oddzielnych oświadczeń:
1. akceptacja regulaminu
2. wyrażenie zgody na przetwarzanie danych osobowych w celu zapisania się na newsletter
3. wyrażenie zgody na przetwarzanie danych osobowych w celu przesyłania informacji
handlowych
Natomiast jeżeli chcemy wysyłać informacje o nowościach w portalu (np. nowych funkcjach) nie ma
potrzeby zbierać zgody, jest to tzw. marketing usług własnych Administratora Danych Osobowych.
Więcej o różnicy pomiędzy marketingiem a wysyłaniem informacji handlowych możesz przeczytać
tutaj.
KZ – To może teraz trochę międzynarodowości. Załóżmy, że mam biznes globalny. Sprzedaję w
różnych częściach świata. Czy muszę udostępniać regulamin, czy polityki we wszystkich
językach, w których mam serwis internetowy, czy też mogę udostępnić je w jednym języku –
dajmy na to po angielsku i linkować do nich z poziomu różnych wersji językowych serwisu?
BM – Tak. Jest to powszechna praktyka choć do pewnego czasu. W miarę wzrostu serwisu, gdy
zdobywasz więcej Użytkowników z danego kraju warto tłumaczyć regulamin i jego załączniki.
KZ – A co z regulacjami w konkretnych krajach? Czy muszę uwzględniać różne regulacje z
różnych państw, z których mam klientów? Powiedzmy, że mam biznes w Polsce, ale sprzedaję
w Rosji. W Polsce są jakieś konkretne wymogi dotyczące zapisów w regulaminach, ale w Rosji
są zapewne zupełnie inne wymogi. Czy pisząc regulamin muszę dopasować się tylko pod
5. regulacje kraju, z którego pochodzę, w którym mam zarejestrowany biznes, czy też dodatkowo
muszę mieć na uwadze również regulacje z krajów, z których są moi klienci?
BM – Tak jak mówiłam wcześniej jeżeli kierujesz swoją ofertę do konsumentów to przepisy prawa
konsumenckiego danego kraju są dla Ciebie wiążące. Dzieje się tak na skutek tego, że konsument w
relacji z przedsiębiorcą jest stroną słabszą. Jest to zatem naturalne, że to nie on ma znać prawo
właściwe z uwagi na siedzibę przedsiębiorcy tylko przedsiębiorca powinien respektować prawa,
z których korzysta konsument (np. w zakresie zwrotów, reklamacji etc).
Dlatego jeszcze przed startem koniecznie trzeba zastanowić się na jakich rynkach docelowo
zamierzamy prowadzić sprzedaż i swoje działania promocyjne i szczególnie pod kątem tych krajów
sprawdzić swoją zgodność prawną. To jest optymalne rozwiązanie w połączeniu z odpowiednią
klauzulą w regulaminie o stosowaniu prawa właściwego dla miejsca zamieszkania/pobytu konsumenta.
Warto także pamiętać o tym, że są państwa gdzie określonego typu usługi nie będą miały racji bytu bo
będą blokowane / banowane (np. serwisy społecznościowe w Iranie).
KZ – A jak to jest z taką polityką cookies? Załóżmy, że mam spółkę w Stanach, ale sprzedaję w
Europie. Tutaj jest wymóg posiadania takiej polityki, w Stanach nie. Muszę więc ją mieć na
stronie?
BM – Prawo właściwe dla siedziby przedsiębiorcy ma w tym wypadku znaczenie. Jeżeli wg. tego
prawa nie ma obowiązku informować o cookies to nie musisz informować.
Obecnie trwają prace nad przyjęciem w Unii Europejskiej jednolitego rozporządzenia unijnego
dotyczącego ochrony danych osobowych. Jeżeli przepisy zostaną uchwalone jeszcze w tym roku to od
2016 r. zaczną obowiązywać i wtedy podmiot kierujący ofertę do obywateli Unii Europejskiej będzie
musiał stosować się do przepisów unijnego rozporządzenia.
To Cię może zainteresować: Rozmowa z GIODO m.in. na temat projektowanego rozporządzenia
KZ – Ostatnie pytanie… do tej pory miałem biznes sprzedający tylko na terenie Polski.
Rozpoczynam ekspansję, wychodzę za granicę. Czy jakieś konkretne zapisy regulaminu muszę
zmienić w związku z tym? Czy są jakieś konkretne wymogi, coś o czym trzeba pamiętać pisząc
regulamin dla biznesu sprzedającego międzynarodowo, a czego nie trzeba było uwzględniać w
przypadku firmy sprzedającej tylko i wyłącznie na lokalnym rynku?
BM – Warto założyć sobie na jakich rynkach docelowo chcesz prowadzić aktywną sprzedaż i te kraje
wziąć szczególnie pod lupę zanim jeszcze rozpoczniesz swoją ekspansję. Zapisy regulaminu to jedno.
Zupełnie inny temat, ale równie ważny to własność intelektualna i prawo konkurencji. Może się okazać,
że w Polsce posługujesz się rozpoznawalnym oznaczeniem, ale np. w Wielkiej Brytanii jest ono
zarejestrowane jako słowny znak towarowy w klasach, które odpowiadają świadczonym przez Ciebie
usługom. Trzeba na to zwrócić uwagę.
Dlatego najlepiej do otwierania działalności podchodzić nie lokalnie, a globalnie. Mam tutaj na myśli
takie podejście gdzie należy założyć sobie z góry, że ekspansja zagraniczna prędzej czy później jest
nieunikniona. Nie bójmy się jej, ona jest niezbędna do tego żeby zwiększać swoje rynki zbytu i mnożyć
kapitał. Poza tym jest naturalna dla biznesów internetowych.
KZ – Bardzo Ci dziękuję za rozmowę Beata. Bardzo dużo nam dzisiaj wyjaśniłaś. Dziękuję.
To ja dziękuję. Cieszę się, że moje odpowiedzi okazały się przydatne. W razie jakichkolwiek pytań
zawsze chętnie pomogę.
Chcesz zdobyć więcej przydatnej wiedzy? Przejrzyj inne artykuły z serii Robię (web)biznes i zobacz co
się dzieje na socialach z hashtagiem #RobieWebBiznes.
6. Masz dodatkowe pytania? A może masz pomysł na kolejny wpis z serii Robię (web)biznes? Pisz
śmiało! Najlepiej na Twitterze (nie zapomnij o hashtagu #RobieWebBiznes w swojej wiadomości) lub w
komentarzach.
Karol Zielinski
Przedsiębiorca, manager, bloger, facet, mąż i ojciec. Przeważnie zaangażowany w
więcej projektów, niż powinien. CEO w PayLane, twórca Squidility, bloger piszący
m.in. w Miedzy5a6 i Nodalej.pl.
W socialach: Twitter, Facebook, Google+, LinkedIn, Slideshare.