Co to jest RODO?

RODO (ang. General Data Protection Regulation) – to unijne rozporządzenie o ochronie danych osobowych, obejmujące przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych, a także przepisy o swobodnym przepływie danych osobowych. Rozporządzenie weszło w życie 25 maja 2018 roku, chroniąc podstawowe prawa i wolności osób fizycznych, szczególnie ich prawo do ochrony danych osobowych. Jego celem jest doprowadzenie do pełnej harmonizacji prawa w Unii Europejskiej i swobodnego przepływu danych osobowych, a także aktualizacja przepisów, by te odpowiadały na zagrożenia wynikające z użycia w przetwarzaniu danych osobowych nowoczesnych technologii. W Polsce kontrolą przestrzegania przepisów ochrony danych zajmuje się Urząd Ochrony Danych Osobowych, z prezesem urzędu na czele.

Kim jest administrator danych w sklepie internetowym?

Administratorem danych osobowych (ADO) zgodnie z rozporządzeniem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Kto jest więc administratorem danych w e-sklepie? W skrócie – osoba, która decyduje jakie dane i w jakim celu będą przetwarzane. Jednym słowem – właściciel. Dla przykładu:

  • dla prowadzących działalność z wpisem do CEIDG będzie to ta konkretna osoba z imienia i nazwiska, prowadząca działalność pod określoną nazwą z siedzibą we wskazanym miejscu
  • w przypadku spółki akcyjnej lub spółki z ograniczoną odpowiedzialnością administratorem danych jest ta spółka

Jak stworzyć sklep internetowy zgodnie z przepisami RODO?

Nie tylko bogata oferta sklepu i atrakcyjny wygląd strony są ważne. Przed rozpoczęciem e-sprzedaży należy wdrożyć niezbędne dokumenty. Podstawowymi elementami są regulamin sklepu i polityka prywatności, zawierająca klauzule informacyjne i politykę Cookies.

RODO nakłada również obowiązek wykorzystywania systemów informatycznych, które spełniają niezbędne wymogi bezpieczeństwa. Serwer, na którym znajduje się sklep, musi spełniać wszystkie standardy, również pod względem bezpieczeństwa przechowywanych danych. Należy regularnie wykonywać ich kopię zapasową.

Nie można zapomnieć o certyfikacie SSL – powinien być zainstalowany na każdej stronie, na której zbierane są dane osobowe i dokonywane są płatności online.

Pliki Cookies i Polityka prywatności

Klient, wchodząc na stronę, powinien otrzymać komunikat o plikach Cookies, sformułowany przykładowo w następujący sposób:
„Użytkowniku, na niniejszej stronie używamy plików Cookies. Korzystanie z naszej strony bez zmiany ustawień Twojej przeglądarki oznacza, że zgadzasz się na zastosowanie plików Cookies w sposób opisany w Polityce prywatności (podlinkowane). Możesz samodzielnie zarządzać plikami Cookies, zmieniając odpowiednio ustawienia swojej przeglądarki.” – koniecznie z buttonem/przyciskiem Akceptuję lub Zgadzam się.

Klient musi mieć możliwość zapoznania się z polityką prywatności – nie może ona być ukryta gdzieś w strukturze strony. Powinna być zlokalizowana w widocznym miejscu, jakim jest chociażby stopka e-sklepu. Należy w niej zamieścić wszystkie informacje związane z zastosowanymi technologiami na stronie, wspomniane pliki Cookies oraz klauzule informacyjne.

Nieodzownymi składowymi polityki prywatności są:

  • dane przedsiębiorcy, w tym tożsamość oraz adres administratora danych
  • dokładny zakres pozyskiwanych danych i cel ich przetwarzania
  • określenie czy istnieje obowiązek, czy dobrowolność podania danych
  • sposób przechowywania danych osobowych i okres ich przetwarzania
  • informacje dotyczące profilowania
  • wskazanie przewidywanych i aktualnie znanych odbiorców danych
  • prawa klienta gwarantowane przez RODO, w tym prawo do żądania usunięcia danych i bycia zapomnianym

Regulamin sklepu

Wymaganym elementem każdego sklepu internetowego jest regulamin sklepu, w którym obok m.in. zasad zwrotów i reklamacji, procedur dostaw i płatności, również muszą być zawarte informacje na temat sposobów przetwarzania danych osobowych. Oczywiście nie ma potrzeby kopiowania całej polityki prywatności, jednak niezbędne jest uwzględnienie kto jest administratorem danych i jakie użytkownik ma prawa. A do szczegółowych informacji możemy odesłać, zamieszczając odpowiedni zapis w paragrafie i linkując do Polityki prywatności.

Akceptacja regulaminu i chceckboxy ze zgodami

Co do zasady – gdziekolwiek prosisz o podanie danych, wszędzie należy pobrać zgodę na ich przetwarzanie. Dla przykładu, jeśli chcesz zapewnić sobie możliwość przesyłania klientom informacji marketingowych, wcześniej musisz uzyskać od nich taką zgodę.

Zgoda musi dobrowolna, świadoma, wyrażona w formie jednoznacznego oświadczenia i rozliczalna. Checkbox nie może być z góry zaznaczony – użytkownik musi świadomie samodzielnie go zaznaczyć. Ma również prawo w dowolnym momencie wycofać swoją zgodę na przetwarzanie danych, a administrator jest zobowiązany mu to zapewnić. Co więcej – wycofanie zgody musi być równie łatwe jak jej wyrażenie. Na przykładzie zapisu do newslettera – w każdym wysyłanym mailingu powinna być zamieszczona informacja typu: „Aby zrezygnować z subskrypcji newslettera, kliknij tutaj” (z podlinkowaniem i automatycznym wypisaniem z listy mailingowej).

Projektując checkboxy, bezwzględnie zadbaj o następujące punkty:

  • okienko checkboxa puste – klient wówczas świadomie wyraża zgodę
  • wskaż administratora danych
  • wskaż cel pobrania danych
  • dodaj informację o możliwości cofnięcia zgody

Pamiętaj, jeśli pobierasz zgody do różnych celów i w różnym zakresie, każda z nich powinna być wyrażona przez użytkownika oddzielnie.

Dokumenty wewnętrzne RODO

Poza wymienionymi powyżej wymogami RODO obowiązuje dodatkowo wewnętrzna dokumentacja, określająca procedury, które mają zapewnić ochronę danym osobowym. W przypadku kontroli należy ją również przedstawić – jest niezbędna w celu udowodnienia przestrzegania przepisów. Obejmuje:

  • rejestr czynności przetwarzania danych osobowych
  • analiza ryzyka (dla takich zagrożeń jak ujawnienie danych, utrata, zniszczenie itp.)
  • polityka bezpieczeństwa danych osobowych (ogólne zasady przetwarzania danych)
  • procedura postępowania w przypadku naruszenia danych
  • rejestr incydentów związanych z naruszeniami danych osobowych
  • instrukcja zarządzania systemem informatycznym
  • upoważnienia do przetwarzania danych osobowych i rejestr upoważnionych osób
  • umowy powierzenia danych z odbiorcami tych danych (np. biuro księgowe) i rejestr tych podmiotów

Każdy z tych dokumentów powinien zawierać wskazane w rozporządzeniu informacje.

Upoważnienia do przetwarzania danych, umowy powierzenia danych

Jeśli do danych osobowych klientów będą mieć dostęp również Twoi pracownicy czy inne osoby współpracujące, koniecznie nadaj im odpowiednie upoważnienia do przetwarzania danych. Niezbędne będzie zawarcie umów powierzenia danych z ich odbiorcami, na przykład firmą informatyczną czy biurem księgowym (podmiot przetwarzający dane osobowe), które mają wgląd do danych klientów lub pracowników.

Często pojawia się pytanie, czy niezbędne jest też zawieranie takich umów z firmami kurierskimi. Otóż nie, działają one w ramach prawa pocztowego i obowiązuje je tajemnica pocztowa.

Kary finansowe za nieprzestrzeganie RODO

Zdecydowanie warto dostosować się do zapisów RODO. Kary pieniężne mogą sięgać nawet 20 mln euro! – alternatywnie do 4% obrotu za rok poprzedni. Oczywiście nakładane są proporcjonalnie do skali naruszeń, ale biorąc pod uwagę ich maksymalną wartość powinniśmy być wystarczająco zmotywowani do przygotowania e-sklepu pod wymogi rozporządzenia jeszcze przed jego opublikowaniem.

Kary dotyczą naruszeń związanych na przykład z niewywiązaniem się administratora danych ze swoich obowiązków, którymi między innymi są: obowiązek informacyjny, brak ochrony danych, nieprawidłowe zabezpieczenie systemów informatycznych, brak lub niepoprawnie prowadzony rejestr czynności przetwarzania, czy innych wymaganych dokumentów.

Każda osoba, która poniosła szkodę w wyniku naruszenia postanowień RODO ma prawo wystąpić do administratora danych osobowych z roszczeniem o odszkodowanie za poniesioną szkodę. Może on zostać zwolniony z odpowiedzialności tylko wówczas, gdy udowodni, że nie ponosi winy za zdarzenie, które doprowadziło do powstania tej szkody.

Podsumowanie

Jeżeli chcesz uniknąć kar finansowych i w spokoju prowadzić e-biznes, bezwzględnie dostosuj się do wszystkich wymogów RODO.

Pamiętaj – powinno przechowywać się jedynie te dane, które są niezbędne do wykonania danej usługi, czyli w przypadku sklepu internetowego będzie to realizacja złożonego przez klienta zamówienia. Przechowywanie danych osobowych musi być również zgodne z zasadą ograniczenia czasowego, czyli przetwarzania danych do czasu osiągnięcia określonego celu.