Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Etapy wdrażania RODO w sklepie internetowym

Etapy wdrażania RODO w sklepie internetowym

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Tysiące przedsiębiorców prowadzących sklepy internetowe, choćby za pośrednictwem takich platform zakupowych jak Allegro czy OLX, staje przed problemem wdrożenia wymagań wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO), które weszły w życie 25 maja 2018 r. Jakie występują etapy wdrażania RODO w sklepie internetowym? Przeczytaj!

Etapy wdrażania RODO

W pierwszej kolejności, zanim przedsiębiorca podejmie jakiekolwiek działania związane z przygotowywaniem dokumentacji dotyczącej przetwarzania danych osobowych, powinien on ocenić, jakie procesy wykorzystywane przy prowadzeniu sklepu internetowego wiążą się z przetwarzaniem danych osobowych. Aby to uczynić, niezbędne jest przeprowadzenie audytu, a więc inwentaryzacji, która nie musi przybierać żadnej sformalizowanej formy, lecz wiąże się z koniecznością przemyślenia tego, jak dotychczas dane osobowe były przetwarzane.

Zgodnie z definicją, którą posługuje się RODO w art. 4 pkt 2: przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Z ww. definicji jasno wynika, że przetwarzanie danych osobowych jest pojęciem bardzo pojemnym, obejmuje przykładowo także samo przechowywanie danych.

Z pewnością w przypadku sklepu internetowego przetwarzanie danych osobowych odbywa się w odniesieniu do takich procesów jak: rachunkowość i księgowość (np. wystawianie faktur VAT klientom), wysyłka towaru (np. przekazywanie danych odbiorcy towaru kurierom) czy też przesyłanie informacji dotychczasowym klientom o aktualnych rabatach. Przy czym należy pamiętać, że do danych osobowych zalicza się nie tylko imię i nazwisko, numer identyfikacyjny (a więc NIP, PESEL czy też numer dowodu osobistego), lecz także  identyfikator internetowy, tj. IP oraz adres e-mail. Jakiekolwiek przetwarzanie wyłącznie adresu e-mail klienta powinno już zatem zostać uznane za przetwarzanie danych osobowych.

Ocena ryzyka w zakresie RODO i UODO

Kolejnym krokiem, jaki powinien wykonać prowadzący internetowy sklep przedsiębiorca, jest konieczność oszacowania ryzyka związanego z wymogami RODO. W pierwszej kolejności należałoby więc odpowiedzieć na pytanie, czy przetwarzanie danych osobowych dotychczas było zgodne z prawem i uwzględniało niezbędne środki bezpieczeństwa, wymóg uzyskiwania zgody na przetwarzania danych osobowych czy też spełniania w stosunku do klientów obowiązków informacyjnych przewidzianych w dotychczasowych przepisach UODO. W przypadkach wielu przedsiębiorców odpowiedź na tak postawione pytanie prawdopodobnie będzie niestety przecząca, co spowoduje konieczność wdrożenia sformułowanych w trakcie audytu zaleceń.

Przygotowanie „checklisty wdrożeniowej

Jeśli zostały już zebrane informacje dotyczące celów przetwarzania danych osobowych oraz ryzyk, jakie z tym przetwarzaniem się wiążą, należałoby w następnej kolejności przygotować listę zadań, które należy wykonać w celu wdrożenia RODO. Z pewnością znaleźć się na niej powinny takie elementy jak: klauzule zgody na przetwarzanie danych, przygotowanie broszur informacyjnych m.in. o celach przetwarzania danych oraz zawarcie umów powierzenia danych osobowych.

Przygotowanie klauzul zgód

Obowiązek uzyskania zgody na przetwarzanie danych osobowych klienta nie będzie się aktualizował w stosunku do każdego właściciela sklepu internetowego. Należy zwrócić uwagę, że zgodnie z art. 6 ust. 1 RODO: Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

W świetle powyższej regulacji określonej w lit. b przetwarzanie danych osobowych jest zgodne z prawem i nie wymaga zgody osoby, której dane dotyczą, w sytuacji, gdy dane te są potrzebne do wykonania zawartej umowy. Należy zatem uznać, że dane niezbędne do wystawienia faktury, paragonu czy też reklamacji, a także wysyłki towaru, można przetwarzać bez uprzedniego uzyskania zgody klienta.

Do określonych w art. 6 ust. 1 lit. b RODO warunków nie będzie się jednak zaliczać sytuacja, w której przedsiębiorca przesyła dotychczasowemu klientowi oferty jego innych aukcji bądź informacje o rabatach. Takie działania wymagać będą uzyskania wyraźnej, świadomej zgody zgodnie z art. 6 ust. 1 lit. a RODO. Wydaje się jednak, że za wystarczające należałoby uznać wyrażenie przez klienta takiej zgody w formie mailowej.

Sprostanie obowiązkowi informacyjnemu

Zgodnie z art. 13 RODO administrator danych osobowych podczas pozyskiwania danych osobowych podaje osobie, której dane dotyczą, niezbędne informacje, w szczególności dotyczące danych administratora, celów przetwarzania danych osobowych, informacje o ich odbiorcach lub o kategoriach odbiorców, jeżeli istnieją, a także – w przypadku gdy nie mamy do czynienia z mikro-, małym lub średnim przedsiębiorcą – o możliwości zgłoszenia sprzeciwu, okresie, przez który dane osobowe będą przechowywane czy też o prawie wniesienia skargi do organu nadzorczego, tj. o kwestiach, o których  mowa w art. 13 ust. 2 i art. 14 RODO, które zobowiązany jest uwzględnić wyłącznie większy aniżeli średni przedsiębiorca.

Praktycznym sposobem dla prowadzącego sklep internetowy realizacji obowiązku informacyjnego może się okazać przesyłanie każdemu klientowi dokumentu z informacją o przetwarzaniu danych osobowych w załączeniu do maila po dokonaniu przez niego zakupu. Broszura informacyjna z pewnością nie musi być obszerna, lecz musi zawierać elementy wymagane przez RODO.

Przygotowanie umów powierzenia danych osobowych                             

Art. 28 RODO stanowi, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Takie umowy będą zatem musiały zostać zawarte z podwykonawcami przedsiębiorcy, a więc księgowymi, prawnikami, informatykami czy też firmami kurierskimi, a więc wszystkimi tymi podmiotami, które będą przetwarzać dane osobowe uzyskane w wyniku zawarcia umowy z klientem, wyłącznie jednak w celu jej wykonania.

Wyrażenie zgody na „podpowiedzenie” danych osobowych

Może się także okazać, że wykonawca, z którym współpracuje przedsiębiorca, korzysta z usług innych podmiotów w celu zrealizowania umowy zawartej z przedsiębiorcą. Przykładem takiej sytuacji może być platforma skupiająca działających na rynku kurierów. W takiej sytuacji za niewystarczające należałoby uznać ograniczenie się do zawarcia umowy z podmiotem prowadzącym taką platformę (pośrednikiem), który bezpośrednio otrzymuje dane osobowe osoby, do której towar ma zostać wysłany

RODO stanowi, że podmiot przetwarzający dane osobowe nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Polityka prywatności i polityka bezpieczeństwa

Przedsiębiorca może zamieścić na swojej stronie także Politykę prywatności lub Politykę bezpieczeństwa. Są to jednak fakultatywne dokumenty, a ich wdrożenie wiąże się z gwarancją stosowania przez przedsiębiorcę dobrej praktyki, rzetelności i uczciwości kupieckiej.

Monitorowanie zgodności przetwarzania danych z wymogami RODO

Co istotne, „wdrażanie RODO” nie jest procesem jednorazowym. Przedsiębiorca, który zrealizował wszystkie wyżej wymienione etapy wdrażania RODO, jest zobowiązany dbać o to, by wszystkie sformułowane przez niego zasady ochrony danych osobowych były w rzeczywistości realizowane. W przypadku mikro-, małych i średnich przedsiębiorców, a więc zatrudniających do 250 pracowników, monitorowanie zgodności przetwarzania danych osobowych z prawem nie będzie jednak wiązało się z obowiązkiem prowadzenia rejestru czynności przetwarzania danych osobowych. Każdy przypadek naruszenia ochrony danych osobowych wymagać będzie jednak zgłoszenia organowi nadzorczemu.

Podsumowanie

Podstawowy dylemat, przed którym staje prowadzący sklep internetowy przedsiębiorca, wiąże się z potrzebą określenia swojego statusu na gruncie RODO. W przeważającej mierze będzie on posiadał status administratora, jako że samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO).

Uświadomienie sobie statusu w procesie przetwarzania danych osobowych powinno poprzedzać określenie niezbędnych czynności, które muszą zostać podjęte przez przedsiębiorcę w związku z wejściem w życie RODO i UODO oraz kolejności ich dokonywania.

Rzecz jasna, wdrożenie RODO w przypadku firm zatrudniających setki pracowników, o wielomilionowych obrotach okaże się znacznie trudniejsze aniżeli w przypadku jednoosobowej działalności związanej z wysyłkową sprzedażą towaru, jednak w tym artykule skupimy uwagę na niewielkiej działalności, w dodatku takiej, w której nie występuje wiele procesów przetwarzania danych osobowych. W takiej właśnie formule najczęściej działają sklepy internetowe.

Polecamy:

Księgowość dla małych firm

Czy monitoring wizyjny w pracy jest dozwolony prze...
Jakie są niezbędne dokumenty wymagane przez RODO?
Kwiecień 2024
19
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Dostęp do danych i ich wykorzystywania - nowe rozporządzenie UE

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie!
Świat nieruchomości na wysokich obcasach: Jubileuszowe Forum Inwestorek 2024
SEO Vibes Poland - największa konferencja WhitePress z międzynarodowymi ekspertami Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów