Prawdopodobnie każdemu z nas zdarzyło się dodanie produktów do koszyka w sklepie internetowym, a następnie niedokonanie zakupu. Powody mogą być różne: wysoka cena dostawy widoczna dopiero w koszyku, inne dodatkowe koszty, brak oczekiwanego sposobu dostawy lub zapłaty za zamówienie, błąd systemu, przerwa w dostępie do sieci albo to, że po prostu się rozmyśliliśmy. Finalnie zamknęliśmy stronę i nie usunęliśmy artykułów z koszyka.  Z punktu widzenia sklepu, jeśli klient nie wróci do koszyka i nie dokończy zakupów, będzie to oznaczało utratę potencjalnego zysku. Dlatego sklepy internetowe podejmują starania, by zachęcić klientów do powrotu. Właśnie w tym celu wysyłają, zazwyczaj w formie wiadomości e-mail, przypomnienie o porzuconym koszyku, często uzupełnione dodatkową zachętą, np. w postaci rabatu na zakupy.

Uwzględniając aspekt prawny, w takiej sytuacji możemy zadać dwa pytania:

1. Czy takie działanie jest zgodne z RODO?
2. Czy takie działanie jest zgodne z innymi przepisami obowiązującymi w Polsce?

Przypomnienie o porzuconych koszykach to przetwarzanie danych osobowych

Wysłanie do użytkownika strony internetowej przypomnienia o porzuconym koszyku wiąże się z przetwarzaniem co najmniej jego adresu e-mail. Bez wątpienia więc takie działanie będzie stanowiło przetwarzanie danych osobowych, w tym przypadku – zwykłych. Musimy zatem oprzeć je na jednej z podstaw prawnych przewidzianych w art. 6 RODO.

Podstawy przetwarzania, jakie możemy rozważyć w tej sytuacji, to:

• art. 6 ust. 1 lit. b RODO – przetwarzanie jest niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
• art. 6 ust. 1 lit. a RODO – przetwarzanie odbywa się na podstawie zgody,
• art. 6 ust. 1 lit. f RODO – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub osobę trzecią.

Zgodnie z pierwszą przesłanką przetwarzanie musi odbywać się na żądanie osoby, której dane dotyczą, i musi mieć na celu zawarcie umowy. Tę podstawę przetwarzania moglibyśmy uzasadnić w przypadku, gdy przyczyną niedokończenia zakupów były trudności techniczne, takie jak błąd systemu czy błąd płatności. Jeśli jednak klient z nieznanych nam przyczyn zamknął stronę internetową i nie dokończył zakupu, nie możemy mówić o tym, że wysyłając wiadomość, działamy na żądanie klienta przed zawarciem umowy. Nie wiemy przecież, czy klient w ogóle chciał zawrzeć umowę sprzedaży ani czy nie zrezygnował z zakupu celowo.

Bezpieczniejszą podstawą, która nie zmusza do zbadania, dlaczego zamówienie nie zostało skutecznie złożone, jest zgoda osoby, która ma otrzymać informację o porzuconym koszyku. Zgoda powinna być dobrowolna, świadoma, wyraźna i konkretna. Największą trudnością jest jednak jej uzyskanie, które musi być aktywnym działaniem, polegającym na przykład na zaznaczeniu checkboxa. Wielu klientów, do których administrator chętnie skierowałby przypomnienie o porzuconym koszyku, takiej zgody nie wyrazi. Oparcie odzyskiwania porzuconych koszyków na zgodzie użytkownika jest zatem możliwe, ale wymaga dodatkowych starań, które obniżają atrakcyjność tej metody zwiększania sprzedaży.

Przetwarzanie danych osobowych przez sklep internetowy w celu kontaktu w sprawie niedokończonych zakupów może odbywać się również na podstawie prawnie uzasadnionego interesu administratora. Jest nim kontakt z klientem, który z nieznanych nam przyczyn zrezygnował z zakupów. Takie przypomnienie może przybierać formę chęci udzielenia pomocy w dokończeniu zakupów czy też wsparcia w podjęciu decyzji. W tym wypadku również należy być ostrożnym – niedopuszczalne jest wykorzystanie w ten sposób adresu e-mail, który został wpisany wyłącznie w nieskończonym zamówieniu i odnotowany przez pliki cookie. Administrator powinien już wcześniej mieć podstawę przetwarzania adresu e-mail, np. w związku z poprzednim zamówieniem lub założonym kontem. Jeżeli dane użytkownika nie znajdują się jeszcze w bazie administratora, to jedynym rozwiązaniem będzie uzyskanie zgody użytkownika.

Analiza możliwych podstaw przetwarzania danych w celu realizacji przypomnień o porzuconych koszykach prowadzi do wniosku, że żadna z nich nie jest idealna ani uniwersalna. Żadna z podstaw nie umożliwia również wysyłania przypomnień do wszystkich użytkowników, którzy porzucili koszyk na stronie internetowej sklepu. Każda podstawa wymaga dodatkowych starań czy też spełnienia dodatkowych warunków przez administratora. Najbezpieczniejszą z podstaw jest jednak zgoda, która (jak wskazujemy w drugiej części artykułu) i tak będzie musiała zostać odebrana z uwagi na inne obowiązujące w Polsce przepisy.

Przypomnienie o porzuconym koszyku jako informacja handlowa

Ustalenie podstawy prawnej przetwarzania danych i zgodności z RODO wysyłania informacji o porzuconych koszykach nie jest jedyną kwestią, którą musimy wziąć pod uwagę, by działać zgodnie z prawem. Przy wysyłaniu przypomnienia o porzuconych koszykach nie możemy pominąć ustawy o świadczeniu usług drogą elektroniczną oraz ustawy – Prawo telekomunikacyjne, które nakładają dodatkowe obowiązki na podmioty działające w Polsce i wysyłające informacje marketingowe.

Definicja informacji handlowej w ustawie o świadczeniu usług drogą elektroniczną jest bardzo szeroka. Zgodnie z nią za informację handlową należy uznać m.in. każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy. Wysyłanie informacji o porzuconych koszykach z całą pewnością ma na celu skłonienie odbiorcy wiadomości do zakupu i w rezultacie – sprzedaż towarów z koszyka, a więc osiągnięcie efektu handlowego.

Należy uznać, że przypomnienie o porzuconym koszyku stanowi informację handlową w rozumieniu polskich przepisów, co wiąże się dla administratora z dodatkowym obowiązkiem odebrania zgody. Stosownie do art. 10 ustawy o świadczeniu usług drogą elektroniczną zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Z kolei art. 172 ustawy – Prawo telekomunikacyjne reguluje, że zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Przepisy te jednoznacznie wskazują więc, że informacja handlowa może być wysyłana wyłącznie po uzyskaniu zgody użytkownika. Nie przewidziano w nich żadnej innej podstawy do działania.

Co ważne, wymagane jest aktywne wyrażenie zgody przez osobę, do której ma zostać wysłana informacja handlowa, a zgodnie z art. 174 ustawy – Prawo telekomunikacyjne zgoda musi spełniać wszystkie wymagania określone w RODO, tzn. musi być dobrowolna, konkretna, świadoma i stanowić jednoznaczne okazanie woli.

Wysyłanie przypomnień o porzuconych koszykach jest bardzo popularną praktyką marketingową. Nasi klienci prowadzący sklepy internetowe często pytają nas, z czego wynika to, że spółki z siedzibą za granicą, np. ich spółki z grupy, nie muszą odbierać zgód, a my informujemy, że takie zgody są konieczne. Przyczyną są właśnie wymienione wyżej przepisy i odmienność polskich regulacji, które wymagają aktywnej zgody, podczas gdy wiele krajów przyjmuje system, w którym informacja marketingowa może być wysyłana do osób porzucających koszyki, dopóki nie wyrażą one sprzeciwu.

Jak legalnie przypominać o porzuconych koszykach

W obecnym stanie prawnym należy przede wszystkim na możliwie wczesnym etapie odebrać właściwą zgodę, tak by jak najwięcej użytkowników mogło ją wyrazić jeszcze przed zamknięciem strony z niedokończonym zamówieniem. Pomocne w uzyskaniu zgód może być zaoferowanie klientom dodatkowych korzyści związanych z ich wyrażeniem, np. rabatu lub próbki produktu. Odpowiednim momentem na poproszenie o zgodę będzie etap zakładania konta przez użytkownika lub początkowy etap składania zamówienia.

W odbieranej zgodzie należy wskazać, kto jest administratorem danych, jakie dane będą przetwarzane i w jakich celach. Trzeba również zaznaczyć, że zgoda jest dobrowolna i może zostać wycofana w każdym momencie. By zgoda była w pełni dobrowolna, musimy odebrać ją oddzielnie na każdy z kanałów kontaktu – możliwe powinno być wyrażenie zgody np. na marketing przez wiadomość e-mail niezależnie od odmowy wyrażenia zgody na marketing przez wiadomość SMS i odwrotnie. Co ważne, a o czym zaskakująco często administratorzy stron zapominają, zgody muszą być przez nich prawidłowo odnotowywane w systemie – tak by w razie konieczności udzielenia wyjaśnień móc wskazać czas wyrażenia zgody oraz jej treść.

Nie można także zapomnieć o konieczności realizacji obowiązków informacyjnych wobec klientów. Informacja o tym, że sklep przesyła przypomnienia o porzuconych koszykach, powinna znaleźć się w polityce prywatności sklepu internetowego, lecz pierwszą warstwę obowiązku informacyjnego należy umieścić już w miejscu, gdzie zgoda jest wyrażana, a klient podaje swój adres e-mail.