RODO w sklepie internetowym

Zakupy dołącz do dyskusji (10) 16.09.2020
RODO w sklepie internetowym

Bezprawnik

Potrzebujesz uporać się z RODO w sklepie internetowym? Doskonale trafiłeś. Ten artykuł to kompletny przewodnik na ten temat, który wyposaży cię w wiedzę niezbędną do wdrożenia ochrony danych osobowych. Mam dla ciebie również gotowe rozwiązanie, które jeszcze bardziej ułatwi ten proces.  

Dane osobowe i RODO w sklepie internetowym

Każdy sklep internetowy przetwarza dane osobowe. Nie da się przecież zrealizować zamówienia, jeżeli nie znamy danych kupującego. Podobnie jak nie da się odpowiedzieć na wiadomość e-mail, nie znając danych nadawcy.

Tych czynności przetwarzania danych jest zresztą w sklepie więcej, bo dochodzą nam jeszcze konto użytkownika, obsługa reklamacji i zwrotów, newsletter, opinie o produktach, komentarze, a niekiedy nawet jakieś bardziej zaawansowane systemy profilujące.

rodo w sklepie internetowym
Wojciech Wawrzak – radca prawny specjalizujący się w obsłudze sklepów, serwisów i aplikacji internetowych. Doradza, udziela konsultacji, prowadzi kompleksowe wdrożenia prawne, przygotowuje regulaminy, polityki, umowy i inne niezbędne dokumenty.

Nie chcę marnować twojego czasu na analizę, dlaczego RODO znajduje do ciebie zastosowanie, przytaczając definicje z rozporządzenia. Po prostu zaufaj mi, że każdy sklep internetowy musi wdrożyć RODO, od danych osobowych nie będąc w stanie uciec – co potwierdzają przykłady przetwarzania przytoczone powyżej.

Jak podejść do wdrożenia RODO w sklepie internetowym?

Wiem, że twój czas jest cenny. Wiem, że masz lepsze rzeczy do roboty. Wiem, że chciałbyś wydrukować gotowe dokumenty (albo po prostu zapisać je na dysku) i o temacie zapomnieć. Już na samym wstępie powiem ci jednak uczciwie, nie mydląc oczu, że wdrożenie RODO wymaga wysiłku i zaangażowania.

RODO to nie sam papier. Owszem, dokumentacja jest ważna, ale najważniejsze to realne zapanowanie nad procesami przetwarzania danych osobowych i zapewnienie im poufności, bezpieczeństwa.

Posłużmy się konkretnym przykładem, żeby nie tracić czasu na pustosłowie. Zobacz, możesz w dokumentach wskazać, że dane osobowe zabezpieczone są przed dostępem osób nieupoważnionych poprzez stosowanie polityki nadawania uprawnień i zarządzania hasłami.

Pięknie brzmi, prawda? Cóż tego, gdy okazuje się, że ta dumnie brzmiąca polityka polega na stworzeniu jednego wspólnego konta użytkownika do systemu sklepowego dla wszystkich pracowników z hasłem „Sklep123”.

Albo inna typowa sytuacja. W dokumentach stoi, że dane osobowe w formie papierowej przechowywane są z zastosowaniem adekwatnych i właściwych środków ochrony fizycznej, co w rzeczywistości odpowiada segregatorowi leżącemu na zakurzonej półce.

Mam nadzieję, że widzisz, co mam na myśli. Dokumenty to tylko słowa. Ochrona danych osobowych odbywa się poprzez realne działania, nie słowa. Zabierajmy się zatem do roboty!

rodo w sklepie internetowym

Na początek – od audytu do rejestru

Gdy pracuję z klientami indywidualnie, zaczynamy zawsze od audytu przetwarzania danych osobowych. Chodzi o zdiagnozowanie wszystkich czynności przetwarzania danych osobowych, okoliczności z tym związanych, stosowanych w danej chwili procedur, zabezpieczeń itp.

Wszystko po to, żeby zebrać informacje niezbędne do przygotowania dokumentacji, a jednocześnie przeszkolić klienta w zakresie najważniejszych kwestii związanych z RODO w sklepie internetowym, zaproponować określone rozwiązania, sformułować rekomendacje itd.

Jeżeli będziesz samodzielnie realizować wdrożenie RODO w sklepie internetowym, audyt musisz wykonać sam. Proponuję żebyś rozpoczął od wypisania wszystkich czynności przetwarzania danych osobowych, jakie mają miejsce w twoim sklepie. Podpowiedzi:

  • rejestracja konta użytkownika,
  • obsługa zamówienia,
  • wymiana korespondencji,
  • wysyłka newslettera,
  • obsługa reklamacji i zwrotów,
  • publikacja opinii klientów o produktach.

Najlepiej jak wykaz zaczniesz tworzyć od razu w Excelu. W tym programie będzie ci najłatwiej stworzyć rejestr czynności przetwarzania danych osobowych (RCP). To pierwszy i najważniejszy dokument, który powinieneś stworzyć.

RCP to swoista mapa przetwarzania danych osobowych w danej firmie. Jeżeli dobrze przygotujesz ten dokument, będziesz mieć w jednym miejscu komplet kluczowych informacji. Rekomenduję by w takim rejestrze znalazły się następujące informacje:

  • kategorie osób, których dane są przetwarzane,
  • kategorie przetwarzanych danych,
  • podstawa prawna przetwarzania,
  • źródło danych,
  • sposób realizacji obowiązku informacyjnego,
  • planowany termin usunięcia danych,
  • informacje o współadministratorze,
  • informacje o podmiotach przetwarzających i podprzetwarzających,
  • kategorie odbiorców danych,
  • forma przetwarzania danych,
  • oprogramowanie wykorzystywane do przetwarzania danych,
  • szczegóły przetwarzania,
  • opis środków bezpieczeństwa,
  • informacja o przeprowadzonej ocenie skutków przetwarzania danych,
  • informacja o transferze danych do państw trzecich.

Powyższe informacje rozpisujesz w odniesieniu do każdej ze zdiagnozowanych czynności przetwarzania. Sporo tego, przyznaję. Ale wysiłek w tym zakresie nie pójdzie na marne. Czytelny i kompletny rejestr czynności przetwarzania będzie solidnym fundamentem ochrony danych osobowych w twoim sklepie.

Szablon wypełnionego przykładowo dla sklepu internetowego rejestru znajdziesz w pakiecie PREMIUM dla sklepów internetowych. Nieodpłatnie możesz skorzystać natomiast z szablonu udostępnianego przez Urząd Ochrony Danych Osobowych: https://uodo.gov.pl/pl/123/214.

RODO w sklepie internetowym: Podstawa prawna przetwarzania danych osobowych

Nie będę omawiał wszystkich kolumn rejestru czynności przetwarzania danych osobowych, bo musiałbyś spędzić na tej stronie jeszcze przynajmniej kilka godzin. Powyżej podałem link, gdzie możesz zobaczyć przykładowy RCP, zobacz na żywym organizmie, o co chodzi.

Mimo wszystko, chcę opowiedzieć ci o jednej z kolumn, a mianowicie o podstawie prawnej przetwarzania danych. To temat ważny, bo nadal wiele sklepów popełnia w tym zakresie podstawowe błędy, np. odbierając od klienta zgodę na przetwarzanie jego danych osobowych w celu realizacji zamówienia.

Żeby móc przetwarzać czyjeś dane osobowe, trzeba mieć do tego podstawę prawną. RODO trochę tych podstaw zna i jeżeli chcesz znać je wszystkie, to zachęcam do lektury art. 6 rozporządzenia. Ja natomiast skupię się stricte na sklepach internetowych.

Art. 6 ust. 1 RODO

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a)     osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b)     przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c)      przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)     przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e)     przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f)      przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W e-commerce najczęściej funkcjonują cztery podstawy prawne przetwarzania danych:

  • zgoda,
  • umowa,
  • uzasadniony interes administratora,
  • realizacja obowiązku prawnego.

RODO w sklepie internetowym: Zgoda na przetwarzanie danych osobowych

Zgoda jest najprostsza i jednocześnie najczęściej nadużywana. Przedsiębiorcy mają tendencję do odbierania zgód na wszystko, nawet gdy nie jest to potrzebne. Tymczasem nadmiarowa zgoda to błąd taki sam jak wszystkie inne.

Najczęstsza pomyłka to zgoda na przetwarzanie danych w celu realizacji zamówienia. Tutaj takowa zgoda w ogóle nie jest potrzebna, ponieważ podstawą przetwarzania danych jest umowa. Składając zamówienie, klient zawiera z tobą umowę, a ty masz prawo przetwarzać jego dane osobowe po to, żeby tę umowę zrealizować. Nie potrzebujesz tutaj zgody.

Zgody nie potrzebujesz również na przetwarzanie danych w celu rejestracji konta użytkownika. Biorąc pod uwagę, że konto użytkownika to usługa świadczona drogą elektroniczną na zasadach określonych w regulaminie, tutaj również podstawą przetwarzania danych jest umowa. Umowa o świadczenie usługi konta użytkownika, który użytkownik zawiera z tobą, rejestrując konto.

Jeżeli nie do końca wiesz, w czym rzecz, odsyłam do materiału poświęconego regulaminowi sklepu internetowego, gdzie omawiam m.in. wątek usług świadczonych drogą elektroniczną przez sklep: jak przygotować regulamin sklepu internetowego?

Kiedy zatem potrzebujesz zgody? W sklepie internetowym będzie to najczęściej newsletter i opinie o produkcie dodawane przez klienta. W takiej sytuacji, zgodę najlepiej odebrać poprzez stosownej treści checkbox, np.:

Chcę zapisać się do newslettera by otrzymywać informacje o nowościach, promocjach, ofertach i produktach w sklepie XXX.

Wyrażam zgodę na publikację mojej opinii o produkcie na stronie sklepu wraz z moim imieniem i nazwiskiem oraz wizerunkiem.

Pamiętaj, że zgodę zawsze można cofnąć. Na tym polega konstrukcja zgody. Dlatego też nie jest ona właściwa choćby do realizacji zamówienia – cofnięcie zgody uniemożliwiałoby przecież realizację zamówienia.

RODO w sklepie internetowym: Umowa jako podstawa prawna przetwarzania danych osobowych

Przy okazji zgody wspomniałem od razu o umowie jako podstawie do przetwarzania danych. To w zasadzie wyczerpuje temat. Podkreślę zatem jeszcze tylko raz wyraźnie: jeżeli ktoś zawiera z tobą umowę, to masz prawo przetwarzać jego dane osobowe w celu realizacji tej umowy.

Oczywiście mówimy tylko o tych danych, które rzeczywiście do wykonania tej umowy są niezbędne. Nie popełniaj tego błędu, że zbierasz od kupującego informacje nadmiarowe, które nijak do realizacji zamówienia nie są ci potrzebne.

Przykładowo, pracując ze sklepami internetowymi, często widzę w domyślnych ustawieniach systemów sklepowych, że w formularzu zamówienia pojawia się pytanie o datę urodzenia. Po co ci data urodzenia do realizacji zamówienia? Zbędna.

Jeżeli chciałbyś pozyskiwać taką datę, np. po to, żeby automat sklepu wysłał użytkownikowi życzenia urodzinowe w odpowiednim dniu, to uczyń takie pole w formularzu dobrowolnym, informując jednocześnie, w jakim celu takie dane będą przetwarzane, jeżeli użytkownik je poda. Nie wymagaj tego natomiast, bo do realizacji zamówienia nie potrzebujesz takiej informacji (chyba że np. użytkownik zamawia jakiś produkt personalizowany, na którym ma być zawarta jego data urodzenia – to już inna sprawa).

RODO w sklepie internetowym: Uzasadniony interes administratora (UIA)

Umowa jako podstawa prawna przetwarzania danych to wdzięczny punkt wyjścia do przyjrzenia się uzasadnionemu interesowi administratora.

Zobacz, tak długo jak wykonujesz umowę, tak długo przetwarzasz dane w oparciu o tę podstawę prawną. Gdy umowa zostanie już zrealizowana, ta podstawa odpada. Czy to oznacza, że od razu musisz usunąć dane? Niekoniecznie.

Większość przedsiębiorców przechowuje dane osobowe klientów dłużej niż tylko przez czas wykonywania umowy. Pozwala im na to ich uzasadniony interes w postaci obrony, dochodzenia lub ustalenia roszczeń związanych z umową.

Chodzi o to, że gdy już umowę wykonasz, to klient może być niezadowolony i kierować do ciebie jakieś żądania. Albo odwrotnie, ty możesz mieć jakieś roszczenia do klienta. Gdybyś usunął jego dane po wykonaniu umowy, ciężko byłoby ci takimi roszczeniami zarządzać.

Z pomocą przychodzi właśnie uzasadniony interes administratora. Umowy już nie ma, bo wykonana. Zgody nie odbierasz, bo byłoby to absurdalne dla takiego celu. Identyfikujesz natomiast swój prawnie uzasadniony interes polegający na tym byś był w stanie bronić się przed roszczeniami kierowanymi do ciebie przez byłego klienta albo sam takich roszczeń dochodzić.

Obrona lub dochodzenie roszczeń to nie jedyny uzasadniony interes, jaki możesz posiadać. Powołując się na uzasadniony interes, możesz również wysyłać pocztą tradycyjną przesyłki marketingowe, nie pytając klienta o zgodę.

Podkreślam – pocztą tradycyjną, bo w przypadku mailowych, sms’owych lub telefonicznych działań marketingowych potrzebujesz odrębną zgodę wynikającą z ustawy o świadczeniu usług drogą elektroniczną oraz ustawy Prawo telekomunikacyjne. [UWAGA, informacja aktualna w chwili przygotowywania artykułu, tj. na dzień 27.08.2020 r. Nowa ustawa Prawo komunikacji elektronicznej ma wprowadzić jedną zgodę na marketing zamiast dwóch zgód z różnych aktów prawnych.

Art. 10 ustawy o świadczeniu usług drogą elektroniczną

  1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
  2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Art. 172 ustawy Prawo telekomunikacyjne

  1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
  2. Przepis ust. 1 nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw.

Art. 360 ustawy Prawo komunikacji elektronicznej (brzmienie projektu)

Zakazane jest:

1)  używanie automatycznych systemów wywołujących lub

2)  używanie telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej

– dla celów przesyłania niezamówionej informacji handlowej w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, w tym marketingu bezpośredniego, do oznaczonego odbiorcy, będącego użytkownikiem końcowym, chyba że uprzednio wyraził on na to zgodę.

  1. Zgoda, o której mowa w ust. 1, może być wyrażona przez udostępnienie przez użytkownika końcowego identyfikującego go adresu poczty elektronicznej.

Uzasadniony interes może być również podstawą do obsługi korespondencji e-mail. Jeżeli ktoś wysyła do Ciebie wiadomość, to w naturalny sposób zawarte są w niej dane osobowe. Nie musisz odbierać tutaj dodatkowej zgody na przetwarzanie tych danych. Możesz oprzeć się na prawnie uzasadnionym interesie.

Generalnie, takich interesów możesz zdiagnozować więcej. Jeżeli to robisz, pamiętaj o wykonaniu tzw. testu równowagi (balancing test), który jest niezbędny, żeby móc powoływać się na uzasadniony interes.

To taki test, w którym badasz czy prawa osoby, której dane chcesz przetwarzać nie górują nad twoim interesem. Oceniasz, czy osoba mogła się spodziewać przetwarzania danych w tych celach, czy przetwarzanie zagraża jakimś jej wolnościom, czy jest dla niej inwazyjne itp.

RODO w sklepie internetowym: Realizacja obowiązku prawnego

Mamy zatem zgodę, umowę i uzasadniony interes. Dorzućmy jeszcze realizację obowiązku prawnego. O co chodzi? O te wszystkie sytuacje, gdy prawo nakazuje ci przetwarzać jakieś dane.

Weźmy np. księgowość. Robisz to dla własnej przyjemności? Nie, robisz to dlatego, że prawo ci każe. Żeby móc to robić, musisz przetwarzać dane osobowe. Do księgowości oddajesz faktury, przelewy i inne dokumenty, które zawierają dane osobowe. To oznacza, że księgowanie wiążę się z przetwarzaniem danych osobowych. Procesy z tym związane realizowane są w oparciu o podstawę w postaci realizacji obowiązku prawnego.

Inny przykład to faktura. Dlaczego wystawiasz fakturę? Bo przepisy ci tak każą. Żeby wystawić fakturę, musisz przetwarzać dane do wystawienia tej faktury. Przetwarzasz je zatem w oparciu o podstawę w postaci realizacji obowiązku prawnego.

RODO w sklepie internetowym: Polityka ochrony danych osobowych – kolejny dokument typu „must-have”

Wiesz już, że bezwzględnie potrzebujesz rejestru czynności przetwarzania (RCP). Przy okazji, poznałeś podstawy prawne, w oparciu o które możesz przetwarzać dane osobowe.

Polityka ochrony danych osobowych. Teraz kolej na nią.

Nigdzie w RODO nie znajdziesz wprost wskazania, że musisz mieć takową politykę. To nie w stylu RODO, żeby posługiwać się takimi konkretnymi nakazami.

Rozporządzenie wprowadza natomiast zasadę rozliczalności. Polega ona na tym, że musisz być w stanie wykazać realizację obowiązków w zakresie danych osobowych.

Art. 24 RODO

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

  2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Polityka ochrony danych osobowych to właśnie jeden ze sposobów na rozliczalność. To dokument, w którym wykazujesz się tym, jak chronisz dane osobowe. Można powiedzieć, że to taki spis procedur, które mają zapewnić należytą ochronę danych osobowych w twojej firmie.

W polityce powinny znaleźć się informacje m.in. o:

  • obszarze przetwarzania danych,
  • obsłudze informatycznej,
  • sprzęcie i oprogramowaniu wykorzystywanym do przetwarzania danych,
  • zasadach postępowania z dokumentacją papierową,
  • stosowanych formach monitoringu,
  • kopiach bezpieczeństwa,
  • ochronie antywirusowej,
  • środkach bezpieczeństwa ochrony danych,
  • obsłudze praw jednostek,
  • retencji danych,
  • osobach upoważnionych,
  • odbiorcach danych,
  • zarządzaniu incydentami w zakresie danych osobowych.

Wzór polityki ochrony danych osobowych znajdziesz w pakiecie PREMIUM dla sklepów internetowych.rodo w sklepie internetowym

Pozostałe dokumenty wchodzące w skład dokumentacji ODO

Rejestr czynności przetwarzania i polityka ochrony danych osobowych to absolutnie podstawowe dokumenty, które powinien posiadać każdy sklep internetowy.

To jednak nie wszystko. W ramach dokumentacji ochrony danych osobowych pojawiają się jeszcze dokumenty takie jak:

  • analiza ryzyka,
  • dekalog ochrony danych osobowych,
  • raport z incydentu w zakresie danych osobowych,
  • rejestr incydentów,
  • wzór upoważnienia do przetwarzania danych,
  • wykaz osób upoważnionych,
  • wzór umowy powierzenia przetwarzania danych,
  • ankieta dla podmiotu przetwarzającego,
  • rejestr realizacji obsługi żądań osób przetwarzanych,
  • dokumenty z obowiązkami informacyjnymi.

Te dokumenty nie są przypadkowe. Ich stosowanie związane jest z realizacją poszczególnych obowiązków przewidzianych przez RODO.

Dlatego omawiając pokrótce każdy z wymienionych dokumentów, opowiem ci przy okazji o obowiązku, który w ten sposób wypełniasz, a który wynika z rozporządzenia.

Wszystko po to żebyś nie patrzył na RODO jedynie jako stos papierów, ale realne działania, które mają na celu zachowanie przejrzystości i bezpieczeństwa w zakresie danych osobowych.

RODO w sklepie internetowym: Analiza ryzyka

Niemal wszystkie artykuły, które dotyczą RODO, niczym mantrę powtarzają hasło „analiza ryzyka”. Wszędzie przeczytasz, że RODO wprowadza zasadę opartą na szacowaniu ryzyka i że analiza ryzyka powinna być pierwszym, co robisz, gdy chodzi o ochronę danych osobowych.

Nie mam zamiaru z tym polemizować, bo to prawda. Niemniej jednak, pracując na co dzień z wieloma drobnymi przedsiębiorcami, chcę opowiedzieć ci o tym temacie bardziej od praktycznej strony.

Praktyka wygląda natomiast tak, że drobnego przedsiębiorcę nie stać na pełnoprawną analizę ryzyka wykonaną wg określonych standardów i norm. Analiza ryzyka to bowiem złożony proces, który wymaga specjalistycznej wiedzy.

Każdy jednak przedsiębiorca może wykonać analizę ryzyka metodą, która osobiście nazywam „opisową”. Polega to na tym, że spisujesz ryzyka, jakie widzisz w związku z przetwarzaniem danych osobowych, a następnie środki, które wdrażasz by to ryzyko zminimalizować.

Przykładowo, ryzykiem jest utrata dokumentacji zawierającej dane osobowe wskutek pożaru, a środkiem bezpieczeństwa – system przeciwpożarowy czy zwykła gaśnica.

Ryzykiem jest dostęp do danych elektronicznych przez osoby nieuprawnione, a środkiem bezpieczeństwa szyfrowanie danych w spoczynku i przesyle oraz dwuskładnikowe logowanie do systemów informatycznych.

Krótko mówiąc, analiza ryzyka ma pokazywać, że jesteś świadom zagrożeń związanych z przetwarzaniem danych osobowych i wdrożyłeś środki, by te zagrożenia zneutralizować.

Zapewne w tym miejscu specjaliści od analizy ryzyka nie pozostawiliby na mnie suchej nitki. Zapewne słusznie. Ja takowym specjalistą bowiem nie jest. Nie uważam jednak, by każdy właściciel sklepu internetowego był zmuszony wydawać bajońskie sumy na pogłębioną analizę ryzyka wykonaną przez profesjonalistę.

RODO w sklepie internetowym: Dekalog ochrony danych osobowych

Najsłabszym ogniwem każdego systemu ochrony danych osobowych są ludzie. Nawet najlepiej zaprojektowane procedury nie wystarczą, jeżeli osoby zaangażowane w proces przetwarzania danych nie będą tych procedur przetwarzać. Dlatego wszyscy pracownicy, zleceniobiorcy, wykonawcy umów o dzieło, stażyści, wolontariusze i inne osoby mające dostęp do danych, powinny zostać przeszkolone z zasad postępowania z tymi danymi.

Dekalog ochrony danych osobowych to wyciąg najważniejszych zasad postępowania w związku z przetwarzaniem danych osobowych. To swojego rodzaju ściągawka, którą wręczasz pracownikowi, żeby w każdej chwili mógł do niej zerknąć, gdyby miał jakąś wątpliwość jak postąpić w danym przypadku.

No dobra, nie czarujmy się, wszyscy wiemy, że pracownik prawdopodobnie zajrzy do tego dekalogu tylko raz, przy jego podpisywaniu. W takiej sytuacji przynajmniej będziesz rozliczalny. Będziesz dysponował dowodem, że pouczyłeś pracownika o wszystkim, co istotne, nakładłeś mu do głowy, co trzeba.

RODO w sklepie internetowym: Incydenty w zakresie danych osobowych

Jeżeli w twojej organizacji nie było żadnego incydentu w zakresie danych osobowych, to niezawodny znak, że wcale tych danych nie chronisz. Paradoks? Cóż, doświadczenie pokazuje, że nie ma organizacji idealnych. Zawsze coś może pójść nie tak. Jeżeli w swoich papierach nie masz udokumentowanego żadnego incydentu, jest to co najmniej podejrzane. Może oznaczać, że po prostu go nie zauważyłeś albo zauważyłeś, lecz zignorowałeś.

Czym są te incydenty w zakresie ochrony danych osobowych? To wszystkie te przypadki, gdy dane wyciekają, dostają się w niepowołane ręce, ale również te, gdy sam tracisz dostęp do danych i nie możesz na nich pracować.

Przykłady? Proszę bardzo. Choćby wysyłka mailingu z odkrytymi odbiorcami. Choćby przesłanie umowy z danymi osobowymi nie do tej osoby, co trzeba. Choćby pozostawienie dokumentacji zawierającej dane osobowe bez opieki. Choćby zgubienie pendrive zawierającego pliki z danymi osobowymi. Choćby kradzież notebooka, na którym zapisane były dane osobowe.

Incydentów może być wiele i mogą być bardzo różne. Po pierwsze, musisz tak zaprojektować system ochrony danych osobowych, by o tych incydentach w ogóle się dowiedzieć. Mam tutaj na myśli choćby przeszkolenie pracowników by niezwłocznie informowali cię o wszystkich nieprawidłowościach.

Po drugie, wprowadź system raportowania. Niech każdy incydent zostanie odnotowany i opisany. Posłużyć może do tego choćby najprostszy wzór raportu w pliku Wordowskim i ewidencja incydentów. Wzory znajdziesz oczywiście w pakiecie dla sklepu internetowego.

rodo w sklepie internetowym

Po trzecie, wdróż procedurę oceny czy incydent trzeba zgłaszać do organu nadzorczego i czy trzeba o incydencie informować osobę, której dane przetwarzasz. RODO przewiduje przesłanki, gdy takie zgłoszenie jest obowiązkowe. Można byłoby im poświęcić oddzielny artykuł, więc nie będę ich teraz omawiał, ale koniecznie doczytaj. Pamiętaj, że zgłoszenie może być dla ciebie korzystniejsze niż próby ukrywania. Jeżeli sprawa sama wyjdzie na jaw, nie będziesz mógł liczyć na łagodniejszy wymiar kary niż gdybyś na siebie doniósł.

Artykuł 33 RODO

  1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

  2. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

  3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

    a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

    b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

    c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

    d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  4. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.

  5. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

oraz

Art. 34 RODO

  1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).
  3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;

    c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

  4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

Osoby upoważnione do przetwarzania danych osobowych

Dane osobowe możesz przetwarzać całkowicie samodzielnie albo z pomocą pracowników, zleceniobiorców, wykonawców umów o dzieło, stażystów, praktykantów itp.

Jeżeli zatrudniasz kogoś, a jego praca łączy się z dostępem do danych osobowych, musisz takiej osobie nadać upoważnienie do przetwarzania danych. To taki dokument, z którego wynika, że Ty jako administrator, upoważniasz pracownika do wykonywania określonych operacji na danych osobowych.

Art. 29 RODO

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Art. 32 ust. 4 RODO

Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Upoważnienie powinno obejmować oczywiście dane pracownika, ale również precyzować zakres upoważnienia, tak dalece jak to możliwe. W takim upoważnieniu powinieneś zawrzeć, do jakich czynności pracownik jest upoważniony i w ramach jakich zasobów będzie to robić.

Owszem, niekiedy zdarza się, że pracownik ma tak naprawdę dostęp do wszystkiego. Jeżeli rzeczywiście jest to uzasadnione, to tak opisz to też w upoważnieniu. Z moich doświadczeń wynika jednak, że często upoważnienie jest momentem do przemyślenia zakresu dostępu pracownika do danych osobowych. Nie wszyscy muszą widzieć wszystko.

Upoważnieniu do przetwarzania danych towarzyszy wykaz osób upoważnionych. To taki rejestr, w którym wylistowani są wszystkie osoby upoważnione, wraz ze wskazaniem daty upoważnienia oraz nazwą użytkownika.

RODO w sklepie internetowym: Umowy powierzenia dla podmiotów przetwarzających

Nie ma dzisiaj biznesów, które nie korzystałyby z podwykonawców. Wystarczy, że korzystasz z systemu fakturowego w chmurze, systemu CRM, systemu mailingowego czy jakichkolwiek innych narzędzi internetowych. Dostawcy tych narzędzi to twoi podwykonawcy. Wiadomo, nie tacy namacalni jak ci, z którymi masz indywidualny kontakt i którym zlecasz coś do wykonania, ale jednak podwykonawcy.

RODO każe ci zidentyfikować tych podwykonawców, którzy mają dostęp do danych osobowych, które przetwarzasz. Czyli spośród wszystkich swoich narzędzi, z których korzystasz i ludzi, firm, z którymi współpracujesz wybierz te, które w jakiś sposób działają na danych, które gromadzisz. Choćby tylko te dane przechowywały na serwerze.

Przykłady podmiotów przetwarzających w sklepie internetowym:

  • hostingodawca,
  • dostawca systemu CRM,
  • dostawca systemu do fakturowania,
  • biuro rachunkowe,
  • firma informatyczna, która wykonuje prace w sklepie,
  • zewnętrzny podmiot, który realizuje zamówienia bezpośrednio ze swojego magazynu.

Gdy zdiagnozujesz podmioty przetwarzające, musisz mieć pewność, że dają one gwarancję należytej ochrony danych osobowych. W przypadku różnego rodzaju usług internetowych najprościej będzie poszukać na stronie internetowej zakładki RODO / GDPR i sprawdzić, jakie dokumenty i informacje są tam zamieszczane, zapisać sobie te informacje i przechowywać na dowód weryfikacji podmiotu przetwarzającego.

Tym podmiotom, z którymi masz bezpośredni kontakt, możesz przekazać specjalną ankietę, w której zawarte są pytania mające sprawdzić podejście do ochrony danych osobowych.

Art. 28 ust. 1 RODO

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Weryfikacja podmiotu przetwarzającego to jednak nie wszystko. Z pozytywnie zweryfikowanymi podmiotami musisz zawrzeć jeszcze umowę powierzenia przetwarzania danych osobowych.

Art. 28 ust. 3 RODO

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania. przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Możesz zrobić to, posługując się własnym szablonem takowej umowy albo skorzystać z rozwiązań oferowanych przez podmiot przetwarzający. W przypadku różnego rodzaju usług internetowych, umowy powierzenia stanowią często element regulaminu lub załącznik do regulaminu, który akceptujesz, rejestrując konto. To również jest dopuszczalne, ponieważ umowę powierzenia możesz zawrzeć w formie elektronicznej, w tym poprzez akceptację dokumentu on-line, np. przez checkbox.

Jeżeli zawierasz umowę powierzenia wg wzorca drugiej strony, pamiętaj by sprawdzić, czy odpowiada ona wymogom RODO. W rozporządzeniu znajdziesz katalog gwarancji, które w takowej umowie muszą się znaleźć.

Art. 28 ust. 3 RODO

Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  1. a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

  2. b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  3. c) podejmuje wszelkie środki wymagane na mocy art. 32;

  4. d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

  5. e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

  6. f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;

  7. g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

  8. h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

Szczególną uwagę zwróć na podmioty podprzetwarzające. Często jest tak, że dostawca usługi sam posługuje się jakimiś podwykonawcami. Przykładowo, dostawca systemu do fakturowania stworzył oprogramowanie, ale w zakresie serwera, gdzie dane fakturowe są przechowywane, posługuje się podwykonawcą.

Zawsze musisz mieć wiedzę o wszystkich podmiotach podprzetwarzających, które będą brały udział w przetwarzaniu danych, choćby tylko miały przechowywać dane na serwerze. Jeżeli takowych informacji brakuje w umowie powierzenia lub w innych dokumentach (często można spotkać się z dodatkowymi wykazami podmiotów podprzetwarzających), dopytuj o to bezpośrednio dział obsługi klienta.

Za niesprawdzanie podmiotów podprzetwarzających ponosisz taką samą odpowiedzialność jak za niesprawdzenie podmiotu przetwarzającego. Musisz mieć pełną świadomość na temat łańcuchu powierzeń danych, które gromadzisz.

Analiza subprocesorów okazuje się również często istotna z punktu widzenia przekazywania danych do państw trzecich. Przykładowo, korzystasz z polskiego narzędzia, wydaje ci się niemożliwe by dane trafiały poza UE, a tutaj nagle okazuje się, że na liście subprocesorów znajdujesz dostawcę chmury z USA. Biorąc pod uwagę, że przekazywanie danych do państw trzecich wymaga spełnienia dodatkowych wymogów, jest to dla ciebie bardzo istotna informacja.

Pamiętaj zatem by przy weryfikacji podmiotów przetwarzających nie ograniczać się wyłącznie do analizy samego podmiotu przetwarzającego i zawarcia umowy powierzenia, ale prześledź również wątek subprocesorów. Dopytuj o to dostawców narzędzie, ile wlezie, nie miej skrupułów. To wiedza, którą powinni ci bez problemu udostępnić.

RODO w sklepie internetowym: Obsługa żądań osób przetwarzanych

Prowadząc sklep internetowy, musisz być przygotowany na sytuację, w której otrzymujesz maila od klienta z pytaniem o to, jakie dane na jego temat posiadasz, w jaki sposób je przetwarzasz itp. Może zdarzyć się również tak, że ktoś napisze do Ciebie, że żąda natychmiastowego usunięcia jego danych z Twojej bazy albo prosi o przekazaniu mu historii wszystkich zakupów, jakie zrobił w Twoim sklepie.

Nigdy nie bagatelizuj takich wiadomości. Brak odpowiedzi w terminie 30 dni to prosty sposób na to, żeby narobić sobie problemów. Jeżeli nie udzielisz odpowiedzi albo odpiszesz wymijająco, niegrzecznie, niezgodnie z prawdą, użytkownik może złożyć na Ciebie skargę do Prezesa Urzędu Ochrony Danych Osobowych, co w finale doprowadzi do kontroli u Ciebie.

Dlatego musisz być przygotowany na obsługę wiadomości, które spływają do Ciebie w zakresie danych osobowych. Najlepiej gdybyś nawet utworzył dedykowanego maila na te potrzeby, żeby mieć pewność, że niczego nie przeoczysz, nic nie zginie w gąszczu innych wiadomości.

Spokojnie, to nie jest tak, że każde żądanie skierowane do Ciebie musisz spełnić. W pierwszej kolejności w ogóle upewnij się, że osoba, która do Ciebie pisze, to faktycznie osoba, której dane przetwarzasz. Wdróż jakiś system weryfikacji, żeby nie paść ofiarą spryciarza, który podszywa się pod kogoś innego.

Po drugie, sprawdź czy żądanie, z którym do Ciebie się zwraca, jest w ogóle dopuszczalne. Uprawnienia przysługujące osobom, których dane przetwarzasz, nie są bezwzględne, mają swoje ograniczenia.

Przykładowo, jeżeli klient domaga się natychmiastowego usunięcia jego danych, to nie musisz od razu panicznie usuwać. Wręcz odwrotnie, pomyśl, przecież te dane są ci nadal potrzebne. Nawet jeżeli umowa została już wykonana, to nie upłynął jeszcze termin przedawnienia roszczeń. Masz uzasadniony interes, żeby przechowywać dane swojego klienta do czasu aż roszczenia się przedawnią. W takiej sytuacji wystarczy, że w odpowiedzi mu to odpowiednio zakomunikujesz.

To samo może dotyczyć choćby newslettera. Owszem, użytkownik ma prawo w każdej chwili zrezygnować z otrzymywania wiadomości, ale automatyczne usuwanie danych po rezygnacji nie byłoby rozsądne. Warto żebyś mógł w przyszłości wykazać, kiedy użytkownik się zapisał, kiedy się wypisał i że komunikacja była prowadzona na podstawie zgody we właściwym okresie czasu. To znowu Twój uzasadniony interes.

Podobnych sytuacji może być więcej. Nigdy nie ulegaj bezwiednie presji ze strony osoby, która kieruje do Ciebie jakieś żądania. Najpierw upewnij się czy rzeczywiście są one uprawnione.

RODO w sklepie internetowym: Obowiązki informacyjne

Wspomniałem przed chwilą, że brak należytej obsługi żądań osób, których dane są przetwarzane to proszenie się o kłopoty. Podobnie jest z obowiązkami informacyjnymi. Zaniedbania w tym zakresie to prosty krok do łatwo-stwierdzalnego naruszenia RODO.

Swoim klientom mówię często, że wdrożenie RODO można podzielić na dwie sfery:

  • sferę wewnętrzną,
  • sferę zewnętrzną.

Sfera wewnętrzna to wszystkie procedury ochrony, środki bezpieczeństwa, szkolenia, dokumentacja – to, co niewidoczne dla klientów, a co sprawia, że rzeczywiście chronisz ich dane osobowe.

Sfera zewnętrzna to natomiast wszystko, co osoby, których dane przetwarzasz, widzą i do czego mają dostęp. Dlatego właśnie zaniedbania w zakresie sfery zewnętrznej są łatwiej dostrzegalne – bo niewiele potrzeba by sprawdzić czy wszystko tutaj gra.

Wystarczy zapisać się do twojego newslettera, złożyć zamówienie w sklepie czy przesłać wiadomość przez formularz kontaktowy by przekonać się czy należycie realizujesz obowiązek informacyjny.

Realizacja tego obowiązku polega na przekazaniu osobie, której dane przetwarzasz, kompletu informacji na temat tegoż przetwarzania. Zajrzyj w tym zakresie do art. 13 RODO – znajdziesz tam listę punkt po punkcie, co w ramach takiego obowiązku informacyjnego powinno się znaleźć.

Art. 13 RODO

  1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

  2. a)swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

  3. b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

  4. c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

  5. d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

  6. e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  7. f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

  8. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  9. a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

  10. b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

  11. c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

  12. d) informacje o prawie wniesienia skargi do organu nadzorczego;

  13. e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  14. f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jak widzisz, tych informacji do przekazania jest bardzo dużo. Dlatego obowiązek informacyjny rekomenduje się realizować warstwowo. Czyli tak żeby nie przytłaczać użytkownika masą nieczytelnych informacji już na wstępie, ale żeby najpierw zorientować go w temacie, a potem zapewnić możliwość zapoznania się ze wszystkimi szczegółami.

Przykładowo, obowiązek w ramach formularza zamówienia możesz zrealizować poprzez dodanie pod formularzem następującej skróconej klauzuli informacyjnej:

Dane osobowe podane w formularzu będą przetwarzane przez XXX w celu realizacji zamówienia, a następnie w celach archiwalnych. Szczegóły: polityka prywatności.

Taka skrócona klauzula informacyjna zawiera informacje o administratorze danych oraz celu przetwarzania, a w dalszym zakresie odsyła do polityki prywatności. Jeżeli tylko twoja polityka prywatności zostanie przygotowana prawidłowo, taka klauzula będzie wystarczająca w ramach formularza zamówienia.

Da się żyć z tym RODO, prawda? Nie trzeba wcale przeładowywać stron tonami checkboxów i klauzul, jeżeli tylko ma się wiedzę, jak prawidłowo postępować. Z moich obserwacji częsty problem wynika po prostu z tego, że przedsiębiorcy nie mają tej wiedzy i na ślepo wyposażają swoje strony w setki dziwnych komunikatów.

Generalnie, będąc przy obowiązku informacyjnym, zapamiętaj po prostu, że wszędzie tam, gdzie ktoś podaje swoje dane osobowe, Ty musisz zrealizować ten obowiązek. Czy to poprzez klauzulę, politykę prywatności czy jakiś inny dokument, np. dokument pdf przesyłany mailem zawierający wszystkie wymagane informacje.

RODO w sklepie internetowym: Profilowanie, śledzenie i pliki cookies

Na koniec chcę zajawić jeszcze bardzo istotny temat, o którym sklepy internetowe często zapominają w ramach ferworu wdrożeniowego RODO. Tym temat są narzędzia śledzące i profilujące użytkowników sklepu, które najczęściej oparte są o plikach cookies.

Dzisiaj chcę jedynie zwrócić Twoją uwagę, że taki temat istnieje i musi zostać przez Ciebie ogarnięty. Jest on jednak mocno techniczny i dość zawiły, dlatego opowiem Ci o nim w ramach oddzielnego artykułu wchodzącego w skład cyklu dla sklepów internetowych.

Z tym tematem nieodłącznie będzie związany również problem oceny skutków dla ochrony danych osobowych, czyli takiej pogłębionej analizy ryzyka, o której wspominałem na początku tego artykułu. O ile każdy sklep internetowy musi wykonać analizę ryzyka, choćby w modelu opisowym, o tyle niektóre sklepy będą musiały pójść jeszcze dalej i przeprowadzić ocenę skutków dla ochrony danych. Ale o tym opowiem ci już w ramach odrębnego artykułu poświęconego śledzeniu i profilowaniu użytkowników sklepu internetowego.

RODO w sklepie internetowym: Podsumowanie

Temat RODO w sklepie internettowym nie jest łatwy, lekki i przyjemny, a na pewno nie jest szybki, co możesz zaobserwować choćby po objętości tego artykułu. Chcąc stworzyć jego podsumowanie, musiałbym pokusić się o kolejną epopeję. Dlatego zamiast typowego podsumowania, zaprezentuję ci listę kilku kroków, które musisz wykonać w ramach wdrożenia RODO.

  1. Identyfikacja wszystkich czynności przetwarzania danych.
  2. Wdrożenie zabezpieczeń organizacyjnych i technicznych.
  3. Stworzenie dokumentacji ochrony danych osobowych.
  4. Weryfikacja podmiotów przetwarzających i zawarcie umów powierzenia.
  5. Nadanie upoważnień do przetwarzania danych osobowych.
  6. Zaprojektowanie procesu realizacji obowiązków informacyjnych.
  7. Przygotowanie się na obsługę żądań osób przetwarzanych.
  8. Monitoring aktualności.

Zwróć, proszę, uwagę na pkt 8. Tutaj mam dla Ciebie smutną wiadomość. Praca nad RODO nie kończy się na pierwszym wdrożeniu, nawet jeżeli wykonałeś je perfekcyjnie.

Za pół roku może okazać się, że korzystasz z innych narzędzi, z innymi podmiotami współpracujesz, przetwarzasz dane w inny sposób. Powinieneś monitorować wszelkie zmiany i uwzględniać je w swoim systemie ochrony danych osobowych, w tym aktualizować dokumentację.

To tyle na dzisiaj, dziękuję za uwagę. Na pocieszenie dodam, że możesz znacznie ułatwić sobie pracę przy wdrożeniu RODO, korzystając z pakietu PREMIUM dla sklepów internetowych

rodo w sklepie internetowym

PARTNERZY: