Praktyczny przewodnik po RODO dla właścicieli sklepów internetowych

Od jakiegoś czasu w Internecie głośno jest o zmianach w ochronie danych osobowych. Nowe przepisy, czyli RODO, dotykają także branży e-commerce. W związku z tym podsumowujemy najważniejsze kwestie oraz dzielimy się spostrzeżeniami dotyczącymi tych modyfikacji.

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych zastąpiło dotąd obowiązującą w Polsce ustawę oraz ujednoliciło kwestie zbierania i przetwarzania danych osobowych w całej Unii Europejskiej. To właśnie usprawnienie przepływu informacji między państwami członkowskimi jest jednym z głównych celów owych zmian. Ponadto wcześniejsze przepisy były mocno nieaktualne, gdyż tworzone zostały przed rozwojem mediów społecznościowych, geolokalizacji czy przechowywania danych w chmurze. RODO, zwane także GDPR (General Data Protection Regulation) weszło w życie 25 maja 2018 r. i objęło zarówno jednoosobowe działalności, jak i duże korporacje.

Jedną z podstawowych różnic w stosunku do poprzednich przepisów jest to, że nowa regulacja nie jest zbiorem gotowych rozwiązań konkretnych problemów. Przetwarzający dane osobowe musi odtąd analizować poziom ryzyka związany z działaniami na danych oraz samemu decydować, jakie w związku z tym ryzykiem wdroży środki ostrożności i zabezpieczenia.

Unijne rozporządzenie nie cieszy się dobrą sławą, a jedną z przyczyn takiego stanu rzeczy jest wysokość kar pieniężnych, które mogą zostać nałożone za naruszenie przepisów. Ich wysokość to nawet do 20 mln euro lub do 4% obrotu przedsiębiorstwa z roku poprzedniego. Nie są to małe kwoty, jednakże każde naruszenie będzie rozpatrywane indywidualnie przez co i wysokość kar będzie różna. Niestety z uwagi na fakt, że kary te będą stanowić budżet państwa to możemy spodziewać się zwiększenia częstotliwości kontroli.

Jakie jeszcze zmiany czekają nas w związku z RODO?

Oprócz zwiększenia wysokości kar nakładanych za naruszenie przepisów oraz samodzielnej analizie ryzyka i wdrażanych w związku z nim zabezpieczeń zostało wprowadzonych jeszcze kilka innych istotnych zmian.

1. Nowa definicja danych osobowych
Definicja danych osobowych została poszerzona o każdą informację pozwalającą ustalić tożsamość osoby. Zgodnie z tym danymi osobowymi będą także dane o lokalizacji, dane genetyczne lub o stanie zdrowia czy identyfikatory internetowe jak np. pliki cookies czy adresy IP.

2. Dużo większa swoboda w wyborze zabezpieczeń oraz brak obowiązku zgłaszania zbioru danych do GIODO
Do 25 maja 2018 roku, gdy zbierałeś jakiekolwiek dane osobowe to musiałeś je zgłosić do Generalnego Inspektoratu Danych Osobowych i jednocześnie wypełnić dość szczegółowy wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych. Dodatkowo należało przygotować dodatkowe dokumenty, jak np. politykę bezpieczeństwa.
Po 25 maja obowiązek rejestracji danych w GIODO został zniesiony, ponadto nie ma konieczności tworzenia polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym jak to się odbywało wcześniej.
W Twojej gestii leżey także wybór środków, które będą zabezpieczać dane oraz ocena ryzyka czynności przetwarzania danych. Te dwie rzeczy muszą być udokumentowane w tzw. rejestrze czynności przetwarzania.

3. Rozszerzony obowiązek informacyjny i większe uprawnienia osób, których danych przetwarzamy

Już w momencie pozyskiwania danych osobowych klientów mamy obowiązek poinformować klienta nie tylko o celu pozyskiwania danych, ale także o tym:
– przez jaki czas będziemy je przetwarzać,
– komu będą te dane przesyłane dalej,
– skąd posiadamy dane, jeśli uzyskaliśmy je od podmiotów trzecich.

Treść tych informacji powinna być sformułowana jasnym, prostym i zrozumiałym językiem. Nie może też zawierać nieuczciwych warunków lub być ukryta w regulaminie. O prawach klienta mamy obowiązek poinformować go w przeciągu miesiąca od momentu pozyskania jego danych.

Ponadto klient, czyli właściciel danych, ma prawo nie tylko do usunięcia danych z naszej bazy, ale także do:
– przeniesienia danych do innej firmy,
– wglądu w historię przetwarzania swoich danych,
– bycia zapomnianym, czyli usunięcia danych, ale tylko wtedy, jeśli przetwarzanie nie jest konieczne np. z uwagi na względy publiczne – wszystkie sytuacje, które zwalniają z usunięcia danych użytkownika możesz przeczytać tutaj.

4. Konieczność wyznaczenia Inspektora Ochrony Danych Osobowych
Wcześniej mieliśmy możliwość powołania ABI, czyli Administratora Bezpieczeństwa Informacji, co zwalniało nas z obowiązku zgłaszania do GIODO rejestrów danych niewrażliwych (dane wrażliwe to m.in. pochodzenie etniczne, wyznanie religijne, orientacja seksualna). Wraz z wejściem RODO podmioty przetwarzające dane osobowe (z wyłączeniem kilku kategorii, więcej na ten temat w art.37 rozporządzenia) muszą powołać Inspektora Ochrony Danych Osobowych. Rolą Inspektora jest doradzanie, jak i monitorowanie działań administratora danych.

5. Obowiązek powiadamiania o naruszeniach związanych z ochroną danych
W sytuacji, gdy dojdzie do wycieku danych klientów, jesteśmy zobligowani do zgłoszenia tego faktu organom nadzorczym oraz administratorowi danych, a także osobom, których te dane dotyczą, czyli klientom.

6. Zaostrzenie zapisów w umowach z firmami zewnętrznymi
Większość firm, w tym także sklepów internetowych, korzysta z usług podwykonawców, np. firmy hostingowej, księgowej czy systemu do e-mail marketingu. Wraz z RODO pojawia się konieczność stworzenia dokumentacji uzasadniającej przekazanie danych konkretnej firmie. Ponadto  musisz uaktualnić obecne umowy o powierzeniu danych osobowych. RODO wymaga uszczegółowienia warunków umowy o takie informacje, jak: charakter i czas trwania powierzenia oraz rodzaj danych. Wszystkie obowiązkowe elementy tych umów znajdziesz w art. 28 RODO.
Korzyścią będzie jednak możliwość posiadania umowy o powierzeniu danych w formie elektronicznej, a nie tak jak jest obecnie tylko w formie papierowej.

7. Obowiązek uzyskania zgody klienta na zautomatyzowane działań na jego danych osobowych
Profilowanie to nic innego jak tworzenie profilu klientów na podstawie ich zachowań w sieci i dostępnych danych osobowych. Profile takie zawierają bardzo dokładne preferencje i cechy klienta oraz np. informacje o stanie zdrowia. Ma to oczywiście na celu zautomatyzowane dopasowanie oferty do poszczególnych klientów, zmniejszenie ilości nieinteresujących go reklam i potancjalne przyspieszenie decyzji zakupowej. Od maja 2018 r. informowanie o tym klientów i uzyskanie od nich zgody na tego typu działania jest obowiązkiem. Utrudni to personalizację oferty i może spowodować spadek konwersji.  

Najważniejsze zmiany, które w związku z RODO (GDPR) musisz wdrożyć – krótka checklista

1. Powołaj Inspektora Ochrony Danych Osobowych.

2. Przebuduj formularze za pośrednictwem których pozyskujesz dane osobowe tak, aby spełniać wymogi informacyjne nowego rozporządzenia (więcej na ten temat możesz przeczytać tutaj). Możesz to zrobić zmieniając treści przy checkbox’ach jakie klient zaznacza podczas wyrażania zgody na przetwarzanie danych. Uzupełnij je o informacje zawarte w kolejnym punkcie.

3. Informuj klientów już na samym początku, np. podczas pierwszego kontaktu, o celu pozyskania danych, czasie ich przetwarzania, możliwości ich usunięcia i przekazania innemu podmiotowi oraz komu planujesz przekazać te dane (np. firmie udostępniającej Ci system do wysyłki newsletterów).

4. Pamiętaj o dodatkowej zgodzie na profilowanie klientów czyli na grupowanie informacji o kliencie w celu automatyzacji działań.

5. Stwórz rejestr czynności przetwarzania, określając w nim:
– działania jakie będziesz podejmować z danymi (np. realizacją zamówienia),
– ryzyko, które istnieje i może spowodować, że bezpieczeństwo tych danych zostanie naruszone (np. dane dostaną się w niepowołane ręce)
– środki, które podejmiesz, by przeciwdziałać tym naruszeniom.

6. Dostosuj system sklepu tak, aby móc w prosty sposób wygenerować dane klienta i historię jego zakupów jeśli zażyczy sobie wgląd w te informacje lub przekazanie ich innej firmie.

7. Przejrzyj umowy z firmami zewnętrznymi, którym powierzasz dane i zaktualizuj je o wymagane informacje dodatkowe.

Podsumowując, RODO wprowadziło wiele zmian dotyczących przetwarzania danych klientów i na pierwszy rzut oka wydają się one bardzo rygorystyczne i trudne do wdrożenia. Jednak warto zauważyć też korzyści jakie niesie za sobą nowe rozporządzenie. Jedną z nich jest ujednolicenie obowiązków prawnych związanych z przetwarzaniem danych osobowych w całej Unii Europejskiej, co ułatwi handel międzynarodowy. Ponadto zniesiony będzie obowiązek posiadania papierowych umów o powierzeniu danych i nie musisz tworzyć dokumentów takich jak np. polityka prywatności lub zgłaszać zbiorów danych do GIODO. Sam też określasz jakie środki bezpieczeństwa chcesz wdrożyć bez konieczności dostosowywania się do z góry narzuconych wymogów.

Pełną treść Rozporządzenie o Ochronie Danych Osobowych znajdziesz tutaj.

Źródło zdjęcia głównego: Depositphotos