Praktyczny przewodnik po RODO dla właścicieli sklepów internetowych

Od jakiegoś czasu w Internecie głośno jest o nadchodzących zmianach w ochronie danych osobowych. Nowe przepisy, czyli RODO, dotkną także branży e-commerce. W związku z tym postanowiłam podsumować najważniejsze kwestie oraz podzielić się spostrzeżeniami dotyczącymi tych modyfikacji.

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych zastąpi dotąd obowiązującą w Polsce ustawę oraz ujednolici kwestie zbierania i przetwarzania danych osobowych w całej Unii Europejskiej. To właśnie usprawnienie przepływu informacji między państwami członkowskimi jest jednym z głównych celów owych zmian. Ponadto dotychczasowe przepisy są mocno nieaktualne, gdyż tworzone były przed rozwojem mediów społecznościowych, geolokalizacji czy przechowywania danych w chmurze. RODO, zwane także GDPR (General Data Protection Regulation) wejdzie w życie 25 maja 2018 r. i będzie obejmować zarówno jednoosobowe działalności, jak i duże korporacje.

Jedną z podstawowych różnic w stosunku do obecnie obowiązujących przepisów jest to, że nowa regulacja nie będzie zbiorem gotowych rozwiązań konkretnych problemów. Przetwarzający dane osobowe będzie musiał analizować poziom ryzyka związany z działaniami na danych oraz samemu zdecydować, jakie w związku z tym ryzykiem wdroży środki ostrożności i zabezpieczenia.

Unijne rozporządzenie nie cieszy się dobrą sławą, a jedną z przyczyn takiego stanu rzeczy jest wysokość kar pieniężnych, które mogą zostać nałożone za naruszenie przepisów. Ich wysokość to nawet do 20 mln euro lub do 4% obrotu przedsiębiorstwa z roku poprzedniego. Nie są to małe kwoty, jednakże każde naruszenie będzie rozpatrywane indywidualnie przez co i wysokość kar będzie różna. Niestety z uwagi na fakt, że kary te będą stanowić budżet państwa to możemy spodziewać się zwiększenia częstotliwości kontroli.

Jakie jeszcze zmiany czekają nas w związku z RODO?

Oprócz zwiększenia wysokości kar nakładanych za naruszenie przepisów oraz samodzielnej analizie ryzyka i wdrażanych w związku z nim zabezpieczeń czeka nas jeszcze kilka istotnych zmian.

1. Nowa definicja danych osobowych
Definicja danych osobowych zostanie poszerzona o każdą informację pozwalającą ustalić tożsamość osoby. Zgodnie z tym danymi osobowymi będą także dane o lokalizacji, dane genetyczne lub o stanie zdrowia czy identyfikatory internetowe jak np. pliki cookies czy adresy IP.

2. Dużo większa swoboda w wyborze zabezpieczeń oraz brak obowiązku zgłaszania zbioru danych do GIODO
Do tej pory, gdy zbierałeś jakiekolwiek dane osobowe to musiałeś je zgłosić do Generalnego Inspektoratu Danych Osobowych i jednocześnie wypełnić dość szczegółowy wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych. Dodatkowo należało przygotować dodatkowe dokumenty, jak np. politykę bezpieczeństwa.
Po 25 maja 2018 roku obowiązek rejestracji danych w GIODO zostanie zniesiony, ponadto nie będzie konieczności tworzenia polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym jak to się odbywa obecnie.
W Twojej gestii będzie także leżeć wybór środków, które będą zabezpieczać dane oraz ocena ryzyka czynności przetwarzania danych. Te dwie rzeczy będą musiały być udokumentowane w tzw. rejestrze czynności przetwarzania.

3. Rozszerzony obowiązek informacyjny i większe uprawnienia osób, których danych przetwarzamy

Już w momencie pozyskiwania danych osobowych klientów będziemy mieli obowiązek poinformować klienta nie tylko o celu pozyskiwania danych, ale także o tym:
– przez jaki czas będziemy je przetwarzać,
– komu będą te dane przesyłane dalej,
– skąd posiadamy dane, jeśli uzyskaliśmy je od podmiotów trzecich.

Treść tych informacji powinna być sformułowana jasnym, prostym i zrozumiałym językiem. Nie może też zawierać nieuczciwych warunków lub być ukryta w regulaminie. O prawach klienta mamy obowiązek poinformować go w przeciągu miesiąca od momentu pozyskania jego danych.

Ponadto klient, czyli właściciel danych, będzie miał prawo nie tylko do usunięcia danych z naszej bazy, ale także do:
– przeniesienia danych do innej firmy,
– wglądu w historię przetwarzania swoich danych,
– bycia zapomnianym, czyli usunięcia danych, ale tylko wtedy, jeśli przetwarzanie nie jest konieczne np. z uwagi na względy publiczne – wszystkie sytuacje, które zwalniają z usunięcia danych użytkownika możesz przeczytać tutaj.

4. Konieczność wyznaczenia Inspektora Ochrony Danych Osobowych
Obecnie mamy możliwość powołania ABI, czyli Administratora Bezpieczeństwa Informacji, co zwalnia nas z obowiązku zgłaszania do GIODO rejestrów danych niewrażliwych (dane wrażliwe to m.in. pochodzenie etniczne, wyznanie religijne, orientacja seksualna). Wraz z wejściem RODO podmioty przetwarzające dane osobowe (z wyłączeniem kilku kategorii, więcej na ten temat w art.37 rozporządzenia) będą musiały powołać Inspektora Ochrony Danych Osobowych. Rolą Inspektora będzie doradzanie, jak i monitorowanie działań administratora danych.

5. Obowiązek powiadamiania o naruszeniach związanych z ochroną danych
W sytuacji, gdy dojdzie do wycieku danych klientów, będziemy zobligowani do zgłoszenia tego faktu organom nadzorczym oraz administratorowi danych, a także osobom, których te dane dotyczą, czyli klientom.

6. Zaostrzenie zapisów w umowach z firmami zewnętrznymi
Większość firm, w tym także sklepów internetowych, korzysta z usług podwykonawców, np. firmy hostingowej, księgowej czy systemu do e-mail marketingu. Wraz z RODO pojawi się konieczność stworzenia dokumentacji uzasadniającej przekazanie danych konkretnej firmie. Ponadto będziesz musiał uaktualnić obecne umowy o powierzeniu danych osobowych. RODO wymaga uszczegółowienia warunków umowy o takie informacje, jak: charakter i czas trwania powierzenia oraz rodzaj danych. Wszystkie obowiązkowe elementy tych umów znajdziesz w art. 28 RODO.
Korzyścią będzie jednak możliwość posiadania umowy o powierzeniu danych w formie elektronicznej, a nie tak jak jest obecnie tylko w formie papierowej.

7. Obowiązek uzyskania zgody klienta na zautomatyzowane działań na jego danych osobowych
Profilowanie to nic innego jak tworzenie profilu klientów na podstawie ich zachowań w sieci i dostępnych danych osobowych. Profile takie zawierają bardzo dokładne preferencje i cechy klienta oraz np. informacje o stanie zdrowia. Ma to oczywiście na celu zautomatyzowane dopasowanie oferty do poszczególnych klientów i przyspieszenie ich decyzji zakupowej. Od maja 2018 r. informowanie o tym klientów i uzyskanie od nich zgody na tego typu działania będzie obowiązkiem. Utrudni to personalizację oferty i może spowodować spadek konwersji.  

O czym musisz koniecznie pamiętać – krótka checklista

1. Powołaj Inspektora Ochrony Danych Osobowych.

2. Przebuduj formularze za pośrednictwem których pozyskujesz dane osobowe tak, aby spełnić wymogi informacyjne nowego rozporządzenia (więcej na ten temat możesz przeczytać tutaj). Możesz to zrobić zmieniając treści przy checkbox’ach jakie klient zaznacza podczas wyrażania zgody na przetwarzanie danych. Uzupełnij je o informacje zawarte w kolejnym punkcie.

3. Informuj klientów już na samym początku, np. podczas pierwszego kontaktu, o celu pozyskania danych, czasie ich przetwarzania, możliwości ich usunięcia i przekazania innemu podmiotowi oraz komu planujesz przekazać te dane (np. firmie udostępniającej Ci system do wysyłki newsletterów).

4. Pamiętaj o dodatkowej zgodzie na profilowanie klientów czyli na grupowanie informacji o kliencie w celu automatyzacji działań.

5. Stwórz rejestr czynności przetwarzania, określając w nim:
– działania jakie będziesz podejmować z danymi (np. realizacją zamówienia),
– ryzyko, które istnieje i może spowodować, że bezpieczeństwo tych danych zostanie naruszone (np. dane dostaną się w niepowołane ręce)
– środki, które podejmiesz, by przeciwdziałać tym naruszeniom.

6. Dostosuj system sklepu tak, aby móc w prosty sposób wygenerować dane klienta i historię jego zakupów jeśli zażyczy sobie wgląd w te informacje lub przekazanie ich innej firmie.

7. Przejrzyj umowy z firmami zewnętrznymi, którym powierzasz dane i zaktualizuj je o wymagane informacje dodatkowe.

Podsumowując, RODO wprowadza wiele zmian dotyczących przetwarzania danych klientów i na pierwszy rzut oka wydają się one bardzo rygorystyczne i trudne do wdrożenia. Jednak warto zauważyć też korzyści jakie niesie za sobą nowe rozporządzenie. Jedną z nich jest ujednolicenie obowiązków prawnych związanych z przetwarzaniem danych osobowych w całej Unii Europejskiej, co ułatwi handel międzynarodowy. Ponadto zniesiony będzie obowiązek posiadania papierowych umów o powierzeniu danych i nie będziesz musiał tworzyć dokumentów jak np. polityka prywatności lub zgłaszać zbiory danych do GIODO. Sam też określisz jakie środki bezpieczeństwa chcesz wdrożyć bez konieczności dostosowywania się do z góry narzuconych wymogów.

Sugeruję zacząć wprowadzać nowe wytyczne już teraz, na spokojnie i bez niepotrzebnego stresu związanego ze zbliżającym się 25 maja 2018 r.  😉

Pełną treść Rozporządzenie o Ochronie Danych Osobowych znajdziesz tutaj.

Źródło zdjęcia głównego: Depositphotos