Regulamin sklepu internetowego a RODO

Rozporządzenie o danych osobowych, bo o tym mowa weszło w  życie 25 maja 2018 r. Tymczasem pierwszy projekt przedstawiono 4 lata wcześniej w 2012 r. RODO zastępuje obowiązujące dotychczas w Polsce przepisy ustawy o ochronie danych osobowych z 1997 roku. Obowiązuje we wszystkich krajach Unii Europejskiej, w tym w krajach anglojęzycznych, gdzie widnieje jako General Data Protection Regulation (GDPR).

2018 to rok, w którym miał miejsce pierwszy poważny proces sądowy związany z wyciekiem danych osobowych. W grudniu 2017 roku Polskę obiegła niepokojąca informacja o bezprawnym wycieku około miliona danych osobowych z kancelarii Komornika Sądowego. Wydarzenie to pokazało tylko, jak bardzo istotną rzeczą są dane osobowe.

Kogo dotyczy RODO?

RODO pojawia się w większości dziedzin życia i dotyczy każdego z nas, jak również wszystkich podmiotów gromadzących i przetwarzających dane osobowe osób fizycznych, m. in. :

  • firmy działające na terenie Unii Europejskiej, ale posiadające główną siedzibę poza nią,
  • przedsiębiorstwa posiadające główną siedzibę na terenie Unii Europejskiej oferujące swoje usługi klientom spoza terytorium Unii Europejskiej,
  • firmy, które przetwarzają dane osobowe za pomocą chmury — miejsca, w których znajdują się serwery nie są ważne,
  • przedsiębiorca, który prowadzi biuro rachunkowe, o profilu rozliczania innych  firm, przedsiębiorca, który oferuje towary i usługi obywatelom w Unii Europejskiej, ale nie posiada jednostek organizacyjnych na jej terenie, (np. sklepy internetowe);

Nieprzestrzeganie przepisów RODO — konsekwencje

Za naruszenie prywatności ludzkiej grozi kara pieniężna o wysokości do nawet 20 mln euro bądź inaczej 4% światowego rocznego obrotu firmy. Wysokość kary ustalana jest indywidualnie do każdej sytuacji. Nakłada ją Polski Inspektor Ochrony Danych Osobowych. Przy podejmowaniu decyzji o nałożeniu kary najczęściej kieruje się: tym czy naruszenie miało charakter umyślny, czy nieumyślny, rodzajem naruszonych danych osobowych, charakterem i czasem trwania danego naruszenia oraz postępowanie, jakie podjął administrator, by móc szkody danych osobowych zmniejszyć jak najbardziej.

 

Wymogi, jakie musi spełniać firma

Dane osobowe mogą być pozyskiwane tylko w ważnych i prawnie uzasadnionych celach. Jednoznaczne jest, że nie można przetwarzać ich w sposób niezgodny z ustaleniami. Dane osobowe muszą być zgodne z prawdą i w razie ich zmiany przez posiadacza, aktualizowane. W firmach więc nastąpi zapotrzebowanie na dokładny ich przegląd. Dane, które zostały zebrane w ciągu ostatnich kilku lat.

Firmy będą zmuszone ustalić maksymalny czas na przechowywanie poszczególnych rodzajów danych. Na podstawie wytycznych firma nie może mieć ich w posiadaniu dłużej niż jest to niezbędne dla realizacji konkretnie ustalonego działania. Najważniejsze, by jednostki sprawdziły, jakie przechowują kategorie dokumentów, oraz czy są one używane do właściwie wyznaczonych celów. Drugim, równie ważnym krokiem jest weryfikacja tego, kto ma dostęp do danych osobowych i czy są one bezpiecznie przechowywane — konieczne jest przeszukanie polityki bezpieczeństwa. Należałoby, przyjrzeć się temu, w jaki sposób obiegają informacje wewnątrz firmy i najważniejsze, kto jest odpowiedzialny za zarządzanie danymi.

I w końcu, sprawdzenie zgodności przetwarzania danych z obowiązującym prawem. Trzeba sprawdzić wszystkie procesy, w których uwidaczniają się dane osobowe, potem ustalić cel ich przekształcenia. Niezbędne jest przygotowanie dokumentów w postaci klauzuli informacyjnych dla ludzi, których dane są pozyskiwane i przetwarzane.

RODO w zakupach internetowych

Rozporządzenie RODO zapewnia użytkownikowi prawo do wglądu oraz  modyfikacji danych osobowych, którymi dobrowolnie podzielił się z daną firmą, marką czy serwisem. Włącznie z prośbą o przeniesienie danych do innego operatora.

Najważniejsza zmiana dotyczy profilowania, a więc automatycznej oceny użytkownika pod kątem jego postępowań na stronie, która później pozwala na lepszy dobór reklam. W ramach RODO każdy klient bądź użytkownik będzie miał prawo odmowy profilowania. Oznacza to, że klient, który odmówi profilowania, będzie odporny na wszelkiego rodzaju reklamy. Np. reklama pluszowych misiów, które przeglądał kilka dni wcześniej. W celu zakupienia na prezent urodzinowy dla dziecka w renomowanym sklepie internetowym. Dzieje się tak, gdyż w chwili, gdy osoba odmówi promowania, odłącza się kody śledzące jego wybory.

Za określeniem „świadczenia usług” kryje się brak możliwości uniknięcia RODO nawet w sytuacji przeniesienia lub prowadzenia sklepu za granicą. Dodatkowo akt prawny nie wyłączy odpowiedzialności podmiotów, tych małych i tych większych. Z tego powodu nawet najmniejszy sklep, który nawet nieumyślnie naraża klientów na nieporozumienia i nieprzyjemności, które powoduje niepożądany wyciek danych osobowych, jest zobligowany do zapłaty kary. Najwyższy wymiar kary prognozowany przez RODO wynosi 20 milionów euro lub 4% obrotu światowego. Nastały czasy, w których firmy z każdego kręgu przetwarzają dane osobowe. Niemniej jednak to właśnie branża e-commerce, ze względu na cyfrowy proces zakupowy, jest biznesem, który musi szczególnie starannie podchodzić do spraw związanych z RODO.

Regulamin sklepu internetowego a RODO

Jak skutecznie wdrożyć RODO w sklepie internetowym

Ewidencjonowanie danych

Zanim wprowadzono Rozporządzenie o danych osobowych, w wielu przedsiębiorstwach napotkać można było się na lekkomyślne podejście do sprawy postępowania z danymi osobowymi. Pracownicy firmy przesyłali sobie dane klientów w Excelu. Przedsiębiorcy niezobowiązująco uruchamiali różne usługi online. Przetwarzały one dane klientów. Po zakończeniu korzystania z tych usług nikt nie kontrolował, co się dzieje dalej z danymi osobowymi.

Przedsiębiorcy, by przygotować swój sklep na RODO, powinni przeprowadzić rejestrację informacji, które mają oraz wskazać, gdzie konkretnie są przechowywane. Kryje się za tym zebranie wszystkich informacji adresowych, kontaktowych. Jak również stwierdzenie, po co powstały i kto jest za nie odpowiedzialny. Dodatkowo zaleca się ujednolicenie i uaktualnienie posiadanych informacji. Dzięki spisowi danych osobowych przedsiębiorstwo ma możliwość kontrolowania, kto i w jakich celach ma dostęp do nich. Jest to pierwszy ważny krok do ukształtowania bezpieczeństwa w firmie.

Aktualizacja zgód na przetwarzanie danych osobowych od pracowników

Udostępnianie usług poprzez sklepy internetowe takich jak wysyłanie ofert, wymagają od kupujących konkretnych zgód, lub zaktualizowanie podpisywanych zgód wcześniej. W przypadku, gdy nie ma takich zgód, sklep internetowy musi zaprzestać przetwarzanie danych osobistych swojego klienta. Nie dostosowując się do tego złamie konkretne przepisy i narazi się na odpowiedzialność karną.

Sporządzenie polityki przetwarzania danych oraz zawiadomienie o tym klientów

Firma już posiada wszystkie zgody od pracowników i klientów oraz zinwentaryzuje dane. Wtedy jej zadaniem jest sporządzenie polityki przetwarzania oraz ochrony danych osobowych. Na podstawie RODO każde przedsiębiorstwo zobligowane jest do „zapewnienie informacjom najlepszej możliwej ochrony”. Dokument „polityki przetwarzania danych osobowych” musi zawierać zespół faktów na temat zasobów, które są używane do ochrony danych osobowych i informację, po co zostały użyte.

Firma musi zapewnić odpowiednie stosunki poziomu ochrony do ceny. Należy dopasować odpowiednią ochronę danych osobowych do wielkości i ważności przedsiębiorstwa. Wiadome jest, że małe firmy nie są w stanie zainwestować w zatrudnienie osób wykwalifikowanych w tym kierunku oraz w  drogi system ochrony informacji. W przypadku, gdy nie dostosują się do tego większe firmy np. banki, urzędy lub większe przedsiębiorstwa, mogą to odebrać jako niedopełnienie obowiązku.

Kontrola technologiczna 

Sklep internetowy jest zależny od poszczególnych technologii — platformy e-commerce, narzędzi do obsługi magazynu,  systemu CRM oraz inne podobne rozwiązania. Służą on przetwarzaniu danych osobowych. Na pierwszy rzut oka, wszystkie te systemy są bezpieczne. A tak naprawdę użytkownik nie ma świadectwa na to, że nie kryją one za sobą żadnych kruczków. Statystycznie 90% środowiska online  jest podatna na wycieki danych. Głównie z powodu błędnych lub niewystarczających zabezpieczeń. Pomimo to aż 50% firm nie ma wbudowanych zabezpieczeń w swoich aplikacjach online. Z uwagi na to przedsiębiorstwo powinno co jakiś czas robić testy technologii. Aktualnie działa dużo firm oferujących takie usługi za niewielką cenę.

Kontrola prawna

RODO ustanawia odpowiedzialność firmy za wyciek, który spowodowała, ale również za zajście, którym winni są jej partnerzy biznesowi. Jeśli przez błędy np.  dostawcy systemu CRM wycieknie baza danych klientów sklepu internetowego, w takiej sytuacji dojdzie do ukarania sklepu. Żeby zapewnić sobie bezpieczeństwo, przedsiębiorcy muszą dopilnować odpowiedniej konstrukcji umów z partnerami.

Umowy te powinny zawierać dokładne informacje na temat obowiązków oraz zakresu odpowiedzialności związanego z obsługą danych osobowych ich klientów. Kontroli powinny podlegać również umowy pomiędzy pracodawcami a pracownikami. Każdy z pracowników ma styczność z danymi osobowymi i przetwarza je w ramach swoich obowiązków służbowych. Odpowiednia konstrukcja umów jest kluczowa dla określenia odpowiedzialności za ewentualne zdarzenia. Kontroli powinna podlegać również opracowana polityka bezpieczeństwa. Pod kątem spójności i zgodnością pomiędzy wytycznymi postawionymi przez przedsiębiorstwo.

Read More