Jak dostosować swój sklep internetowy do przepisów RODO?

Przepisy te obowiązują bezpośrednio na terenie wszystkich krajów członkowskich Unii Europejskiej. Zatem każdy podmiot czy to publiczny czy prywatny, który przetwarza dane osobowe zobowiązany jest do wdrożenia nowych zasad i obowiązków z tym związanych. Niewątpliwie sklepy internetowe przetwarzają dane osobowe swoich klientów. Celem przetwarzania jest między innymi realizacja zamówienia, płatności, wysłanie towaru, reklamacje w sklepie internetowym czy zwrot towaru. W tych celach przedsiębiorca zbiera informacje od swoich klientów a bez przekazania danych osobowych realizacja zamówienia czy obsługa posprzedażowa jest w praktyce niemożliwa. Jakie zatem spoczywają obowiązki na właścicielu sklepu internetowego w związku z przetwarzanie danych osobowych ?

Podobnie jak odbywało się to dotychczas sklepy internetowe w trakcie składania zamówienia wykorzystują tzw. okienka wyboru (checkboxy) aby klient mógł w sposób świadomy wyrazić zgodę na akceptację regulaminu czy na przetwarzanie jego danych osobowych. Wejście w życie przepisów RODO nie zmienia dotychczasowej praktyki, którą uznać należy za prawidłową. Przedsiębiorca internetowy powinien jednak dostosować wszelkie okienka wyboru w ten sposób aby udzielona zgoda była dobrowolna, jednoznaczna i świadoma. Za nieprawidłową zatem praktykę należy uznać domniemane zaznaczenia okna wyboru. Klient powinien osobiście wyrazić zgodę poprzez kliknięcie i zaznaczenie wybranego okienka.

Przepisy te obowiązują bezpośrednio na terenie wszystkich krajów członkowskich Unii Europejskiej. Zatem każdy podmiot czy to publiczny czy prywatny, który przetwarza dane osobowe zobowiązany jest do wdrożenia nowych zasad i obowiązków z tym związanych. Niewątpliwie sklepy internetowe przetwarzają dane osobowe swoich klientów. Celem przetwarzania jest między innymi realizacja zamówienia, płatności, wysłanie towaru, reklamacje czy zwrot towaru. W tych celach przedsiębiorca zbiera informacje od swoich klientów a bez przekazania danych osobowych realizacja zamówienia czy obsługa posprzedażowa jest w praktyce niemożliwa. Jakie zatem spoczywają obowiązki na właścicielu sklepu internetowego w związku z przetwarzanie danych osobowych ?

Obowiązek uzyskania zgody

Podobnie jak odbywało się to dotychczas sklepy internetowe w trakcie składania zamówienia wykorzystują tzw. okienka wyboru (checkboxy) aby klient mógł w sposób świadomy wyrazić zgodę na akceptację regulaminu czy na przetwarzanie jego danych osobowych. Wejście w życie przepisów RODO nie zmienia dotychczasowej praktyki, którą uznać należy za prawidłową. Przedsiębiorca internetowy powinien jednak dostosować wszelkie okienka wyboru w ten sposób aby udzielona zgoda była dobrowolna, jednoznaczna i świadoma. Za nieprawidłową zatem praktykę należy uznać domniemane zaznaczenia okna wyboru. Klient powinien osobiście wyrazić zgodę poprzez kliknięcie i zaznaczenie wybranego okienka.

Pamiętać należy aby dokonać audytu sklepu i sprawdzić czy w każdym miejscu, w którym klient podaje swoje dane osobowe jest odpowiedni checkbox. Rekomenduje się aby okno wyboru znajdowało się także pod różnymi formularzami w tym pod newsletterem oraz formularzem kontaktowym.

Obowiązek informacyjny

Podkreślenia wymaga to, że przepisy RODO wprowadzają obowiązek udzielenia klientowi szczegółowych informacji wymaganych przez prawo. Aby wypełnić ten obowiązek przedsiębiorca powinien zaktualizować swoją Politykę Prywatności lub załączyć nowy dokument, który można nazwać „Klauzula informacyjna RODO”. Rekomendujemy aby wypełnić obowiązek informacyjny poprzez aktualizację Polityki Prywatności. Takie rozwiązanie powoduje ujednolicenie dokumentów prawnych, które są dostępne na stronie i nie powoduje obowiązku wprowadzania kolejnego z nich. Biorąc pod uwagę wielość obowiązków formalnych jakie spoczywają na e-sklepach, wprowadzenie kolejnego dokumentu może powodować nadmierny formalizm i utrudnić przekaz prawny. Należy podjąć odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem poinformować klienta o jego prawach dotyczących przetwarzania danych osobowych.

Jakie zatem informacje powinny się znaleźć w klauzuli informacyjnej RODO? W klauzuli tej przedsiębiorca powinien podać min. następujące informacje:

1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
4. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
5. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego (tzn. poza Unię Europejską);
6. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
7. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
8. jeśli ma to zastosowanie – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem
9. informacje o prawie wniesienia skargi do organu nadzorczego;
10. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
11. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jak widać z powyższego wyliczenia przedsiębiorca ma liczne obowiązki informacyjne wobec swoich klientów. Warto zatem zadbać aby w Polityce Prywatności udzielić tych informacji w sposób przejrzysty i wyczerpujący.

Ochrona Danych Osobowych

Oprócz powyższych obowiązków w stosunku do klientów e-sklepy powinny w szczególności wdrożyć mechanizmy zapewniające bezpieczeństwo przetwarzania danych osobowych. W tym zakresie istnieje wiele metod technicznych ochrony danych osobowych od zabezpieczenia systemu hasłami na wysokim poziomie, poprzez szyfrowanie danych, protokoły ssl, firewall i inne. W tym miejscu ważne aby przeszkolić pracowników i przeczulić ich w sprawie bezpieczeństwa systemów informatycznych. Zdarza się, że klienci nawet dużych sklepów internetowych otrzymują informację z wyjaśnieniem, że ich dane w sposób nielegalny weszły w posiadanie osób trzecich. Klienci w takiej sytuacji mogą mieć prawo do słusznych obaw a nawet utraty zaufania do firmy której powierzyli takie dane jak adres zamieszkania, telefon, adres e-mail, numer rachunku bankowego itp. Tak ważne jest w dobie rozwijających się technologii aby w sposób odpowiedni zadbać o techniczne i organizacyjne środki ochrony.

zapamiętaj

Zgodnie z art. 33 RODO, w przypadku naruszenia ochrony danych osobowych, e-sklep bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – powinien zgłosić je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zatem jeśli nastąpiłby wyciek lub kradzież danych osobowych z systemu informatycznego i powstałoby ryzyko, że może to być zagrożeniem dla klientów sklepu należy poinformować Urząd Ochrony Danych Osobowych oraz klientów, których dane wyciekły lub zostały wykradzione.

Polityka Ochrony Danych Osobowych

Dobrą praktyką jest stworzenie instrukcji, która nazywa się Polityka Ochrony Danych Osobowych. Jest to dokument wewnętrzny, w którym określa się mechanizmy i środki techniczne ochrony danych swoich klientów. W dokumencie tym zapisuje się także instrukcje  postępowania z danymi osobowymi dla wszystkich osób, które są upoważnione do ich przetwarzania.

Rejestr Czynności Przetwarzania

Obecnie nie mamy obowiązku rejestrować zbiorów danych osobowych w Urzędzie Ochrony Danych Osobowych. Można powiedzieć, że niejako obowiązek ten zastąpiony został prowadzeniem Rejestru Czynności Przetwarzania. Rejestr ten to nic innego jak zbiór informacji odnośnie przetwarzanych danych w firmie. Rejestr jest dokumentem wewnętrznym i powinien zawierać:

1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
2. cele przetwarzania;
3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa,

Rejestr wystarczy stworzyć raz, uwzględniając aktualną sytuację w e-sklepie i następnie aktualizować go wyłącznie w sytuacji gdy praktyka działania dotycząca przetwarzania danych osobowych ulegnie zmianie. Może być on przechowywany w wersji papierowej lub elektronicznej.

Powyższe obowiązki są najważniejszymi z tych jakie nakładają na e-sklepy przepisy RODO. Jak widać mają one obszerny charakter i wymagają od przedsiębiorców zaangażowania i potraktowania ochrony danych osobowych jako ważnego aspektu codziennego funkcjonowania.

Zespół INTLE

Jesteśmy grupą praktyków marketingu internetowego z Krakowa. Codziennie z pasją przeprowadzamy kampanie dla ogólnopolskich i lokalnych marek. Fani optymalizacji, entuzjaści najnowszych rozwiązań, poszukiwacze wartościowego ruchu. To właśnie my!

Wiemy, że sukces nie jest dziełem przypadku. Składa się na niego wiele pojedynczych elementów: strategia, odpowiednie narzędzia, stała analityka kampanii i wiele więcej... W INTLE z pojedynczych klocków budujemy spójną całość, która generuje Twoje zyski. Takie podejście przynosi efekty każdego dnia.