search

dotpay / WooCommerce2

WooCommerce2
MIT License
11 stars 11 forks source link

Brak zgodności z RODO - domyślne zaznaczenie checkboxa #37

Closed alpha-leonis closed 6 years ago

alpha-leonis commented 6 years ago

Checkbox "akceptuję regulamin DotPay" jest domyślnie zaznaczony co jest niezgodne z RODO.

W myśl nowej ustawy wszelkie pola ze zgodami powinny domyślnie odznaczone i zaznaczane przez użytkownika świadomie.

Problem wymaga pilnej poprawy.

MrBloodyJohn commented 6 years ago

Zgoda jest prawdziwą zgodą tylko wtedy gdy jest całkowicie dobrowolna i odwoływalna natomiast bez regulaminu i przetworzenia danych osobowych kupującego Dotpay w ogole nie może wykonać usługi płatniczej. Dlatego checkbox z potwierdzeniem akceptacji Regulaminu jest domyślnie zaznaczony i jest to zgodne z obowiązującymi przepisami.

alpha-leonis commented 6 years ago

Bardzo mi przykro, ale nie ma Pan racji, odsyłam do tekstu rozporządzenia:

"Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy."

"Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem, w szczególności gdy administrator jest organem publicznym i dlatego jest mało prawdopodobne, by w tej konkretnej sytuacji zgodę wyrażono dobrowolnie we wszystkich przypadkach. Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna."

"Przetwarzanie powinno być zgodne z prawem, jeżeli jest ono niezbędne w związku z zawarciem umowy lub zamiarem zawarcia umowy."

źródło: https://eur-lex.europa.eu/legal-content/pl/TXT/?uri=CELEX%3A32016R0679

Sugeruję zrobić odznaczonego domyślnie checkboxa z atrybutem required.

MrBloodyJohn commented 6 years ago

Bardzo mi przykro, ale wszystko co Pan napisał jest prawdziwe jedynie w kontekście zgody na przetwarzania danych osobowych, a ta zgodnie z obowiązującym w Polsce prawem nie ma nic wspólnego z akceptacją regulaminu świadczenia usług.

Po kolei:

  1. Regulamin świadczenia usług płatniczych przez Dotpay sp. z o.o. jest wzorcem umownym w rozumieniu art. 384-3854 Kodeksu cywilnego oraz regulaminem o którym mowa w art. 8 Ustawy o świadczeniu usług drogą elektroniczną. Udostępnienie regulaminu, to jednostronne oświadczenie woli usługodawcy wskazanego w tym regulaminie, stanowiące ofertę zawarcia umowy w rozumieniu art. 66 Kodeksu cywilnego. Akceptacja regulaminu to jednostronne oświadczenie woli w rozumieniu art. 60 Kodeksu cywilnego o przyjęciu tejże oferty, co skutkuje zawarciem umowy między tymi podmiotami.

  2. Zgoda na przetwarzanie danych osobowych, to jednostronne oświadczenie woli w rozumieniu art. 60 Kodeksu cywilnego, złożone przez osobę której dane dotyczą (wg definicji z art. 4 pkt 1) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. RODO) administratorowi danych (wg definicji z art. 4 pkt 7) tzw. RODO). Zgoda na przetwarzanie danych osobowych, to jedna z sześciu podstaw zgodności przetwarzania z prawem (zgodnie art. 6 ust. 1 lit a) tzw. RODO). Jeżeli zaistnieje którakolwiek z tych sześciu podstaw, to administrator przetwarza dane legalnie. Jeżeli nie zaistnieje żadna administrator przetwarza dane nielegalnie. Proste.

WAŻNE!

Przedstawione przez Pana rozumowanie, że rzekomo każdy regulamin usługi jest równocześnie zgodą na przetwarzanie danych osobowych prowadzi do absurdalnego wniosku, że co dzień w Polsce prawa milionów osób są gwałcone na każdym kroku. Chociażby w tramwajach oraz autobusach komunikacji zbiorowej. Przecież wchodząc do takie pojazdu zawieram z przewoźnikiem umowę przewozu na zasadach wskazanych w regulaminie, który zgodnie z art. 384-3854 Kodeksu cywilnego jest zazwyczaj naklejony na szybie autobusu bądź tramwaju w dostępnym dla każdego pasażera miejscu. Dlaczego zatem nikt nie zbiera podpisów od wsiadających pasażerów, że wyrażają zgodę na przetwarzanie ich danych osobowych?

Prosimy zatem o wskazanie dlaczego w Pana mniemaniu akceptacja regulaminu jest równoznaczna ze złożeniem oświadczenia o zgodzie na przetwarzanie danych osobowych.

alpha-leonis commented 6 years ago

Nie jestem specjalistą od autobusów, skonsultujcie to z prawnikiem :)