Poradnik Przedsiębiorcy

Etapy wdrażania RODO w sklepie internetowym

Tysiące przedsiębiorców prowadzących sklepy internetowe, choćby za pośrednictwem takich platform zakupowych jak Allegro czy OLX, staje przed problemem wdrożenia wymagań wynikających z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: UODO), które weszły w życie 25 maja 2018 r. Jakie występują etapy wdrażania RODO w sklepie internetowym? Przeczytaj!

Etapy wdrażania RODO

W pierwszej kolejności, zanim przedsiębiorca podejmie jakiekolwiek działania związane z przygotowywaniem dokumentacji dotyczącej przetwarzania danych osobowych, powinien on ocenić, jakie procesy wykorzystywane przy prowadzeniu sklepu internetowego wiążą się z przetwarzaniem danych osobowych. Aby to uczynić, niezbędne jest przeprowadzenie audytu, a więc inwentaryzacji, która nie musi przybierać żadnej sformalizowanej formy, lecz wiąże się z koniecznością przemyślenia tego, jak dotychczas dane osobowe były przetwarzane.

Zgodnie z definicją, którą posługuje się RODO w art. 4 pkt 2: przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Z ww. definicji jasno wynika, że przetwarzanie danych osobowych jest pojęciem bardzo pojemnym, obejmuje przykładowo także samo przechowywanie danych.

Z pewnością w przypadku sklepu internetowego przetwarzanie danych osobowych odbywa się w odniesieniu do takich procesów jak: rachunkowość i księgowość (np. wystawianie faktur VAT klientom), wysyłka towaru (np. przekazywanie danych odbiorcy towaru kurierom) czy też przesyłanie informacji dotychczasowym klientom o aktualnych rabatach. Przy czym należy pamiętać, że do danych osobowych zalicza się nie tylko imię i nazwisko, numer identyfikacyjny (a więc NIP, PESEL czy też numer dowodu osobistego), lecz także  identyfikator internetowy, tj. IP oraz adres e-mail. Jakiekolwiek przetwarzanie wyłącznie adresu e-mail klienta powinno już zatem zostać uznane za przetwarzanie danych osobowych.

Ocena ryzyka w zakresie RODO i UODO

Kolejnym krokiem, jaki powinien wykonać prowadzący internetowy sklep przedsiębiorca, jest konieczność oszacowania ryzyka związanego z wymogami RODO. W pierwszej kolejności należałoby więc odpowiedzieć na pytanie, czy przetwarzanie danych osobowych dotychczas było zgodne z prawem i uwzględniało niezbędne środki bezpieczeństwa, wymóg uzyskiwania zgody na przetwarzania danych osobowych czy też spełniania w stosunku do klientów obowiązków informacyjnych przewidzianych w dotychczasowych przepisach UODO. W przypadkach wielu przedsiębiorców odpowiedź na tak postawione pytanie prawdopodobnie będzie niestety przecząca, co spowoduje konieczność wdrożenia sformułowanych w trakcie audytu zaleceń.

Przygotowanie „checklisty wdrożeniowej

Jeśli zostały już zebrane informacje dotyczące celów przetwarzania danych osobowych oraz ryzyk, jakie z tym przetwarzaniem się wiążą, należałoby w następnej kolejności przygotować listę zadań, które należy wykonać w celu wdrożenia RODO. Z pewnością znaleźć się na niej powinny takie elementy jak: klauzule zgody na przetwarzanie danych, przygotowanie broszur informacyjnych m.in. o celach przetwarzania danych oraz zawarcie umów powierzenia danych osobowych.

Przygotowanie klauzul zgód

Obowiązek uzyskania zgody na przetwarzanie danych osobowych klienta nie będzie się aktualizował w stosunku do każdego właściciela sklepu internetowego. Należy zwrócić uwagę, że zgodnie z art. 6 ust. 1 RODO: Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

W świetle powyższej regulacji określonej w lit. b przetwarzanie danych osobowych jest zgodne z prawem i nie wymaga zgody osoby, której dane dotyczą, w sytuacji, gdy dane te są potrzebne do wykonania zawartej umowy. Należy zatem uznać, że dane niezbędne do wystawienia faktury, paragonu czy też reklamacji, a także wysyłki towaru, można przetwarzać bez uprzedniego uzyskania zgody klienta.

Do określonych w art. 6 ust. 1 lit. b RODO warunków nie będzie się jednak zaliczać sytuacja, w której przedsiębiorca przesyła dotychczasowemu klientowi oferty jego innych aukcji bądź informacje o rabatach. Takie działania wymagać będą uzyskania wyraźnej, świadomej zgody zgodnie z art. 6 ust. 1 lit. a RODO. Wydaje się jednak, że za wystarczające należałoby uznać wyrażenie przez klienta takiej zgody w formie mailowej.

Sprostanie obowiązkowi informacyjnemu

Zgodnie z art. 13 RODO administrator danych osobowych podczas pozyskiwania danych osobowych podaje osobie, której dane dotyczą, niezbędne informacje, w szczególności dotyczące danych administratora, celów przetwarzania danych osobowych, informacje o ich odbiorcach lub o kategoriach odbiorców, jeżeli istnieją, a także – w przypadku gdy nie mamy do czynienia z mikro-, małym lub średnim przedsiębiorcą – o możliwości zgłoszenia sprzeciwu, okresie, przez który dane osobowe będą przechowywane czy też o prawie wniesienia skargi do organu nadzorczego, tj. o kwestiach, o których  mowa w art. 13 ust. 2 i art. 14 RODO, które zobowiązany jest uwzględnić wyłącznie większy aniżeli średni przedsiębiorca.

Praktycznym sposobem dla prowadzącego sklep internetowy realizacji obowiązku informacyjnego może się okazać przesyłanie każdemu klientowi dokumentu z informacją o przetwarzaniu danych osobowych w załączeniu do maila po dokonaniu przez niego zakupu. Broszura informacyjna z pewnością nie musi być obszerna, lecz musi zawierać elementy wymagane przez RODO.

Przygotowanie umów powierzenia danych osobowych                             

Art. 28 RODO stanowi, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Takie umowy będą zatem musiały zostać zawarte z podwykonawcami przedsiębiorcy, a więc księgowymi, prawnikami, informatykami czy też firmami kurierskimi, a więc wszystkimi tymi podmiotami, które będą przetwarzać dane osobowe uzyskane w wyniku zawarcia umowy z klientem, wyłącznie jednak w celu jej wykonania.

Wyrażenie zgody na „podpowiedzenie” danych osobowych

Może się także okazać, że wykonawca, z którym współpracuje przedsiębiorca, korzysta z usług innych podmiotów w celu zrealizowania umowy zawartej z przedsiębiorcą. Przykładem takiej sytuacji może być platforma skupiająca działających na rynku kurierów. W takiej sytuacji za niewystarczające należałoby uznać ograniczenie się do zawarcia umowy z podmiotem prowadzącym taką platformę (pośrednikiem), który bezpośrednio otrzymuje dane osobowe osoby, do której towar ma zostać wysłany

RODO stanowi, że podmiot przetwarzający dane osobowe nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Polityka prywatności i polityka bezpieczeństwa

Przedsiębiorca może zamieścić na swojej stronie także Politykę prywatności lub Politykę bezpieczeństwa. Są to jednak fakultatywne dokumenty, a ich wdrożenie wiąże się z gwarancją stosowania przez przedsiębiorcę dobrej praktyki, rzetelności i uczciwości kupieckiej.

Monitorowanie zgodności przetwarzania danych z wymogami RODO

Co istotne, „wdrażanie RODO” nie jest procesem jednorazowym. Przedsiębiorca, który zrealizował wszystkie wyżej wymienione etapy wdrażania RODO, jest zobowiązany dbać o to, by wszystkie sformułowane przez niego zasady ochrony danych osobowych były w rzeczywistości realizowane. W przypadku mikro-, małych i średnich przedsiębiorców, a więc zatrudniających do 250 pracowników, monitorowanie zgodności przetwarzania danych osobowych z prawem nie będzie jednak wiązało się z obowiązkiem prowadzenia rejestru czynności przetwarzania danych osobowych. Każdy przypadek naruszenia ochrony danych osobowych wymagać będzie jednak zgłoszenia organowi nadzorczemu.

Podsumowanie

Podstawowy dylemat, przed którym staje prowadzący sklep internetowy przedsiębiorca, wiąże się z potrzebą określenia swojego statusu na gruncie RODO. W przeważającej mierze będzie on posiadał status administratora, jako że samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO).

Uświadomienie sobie statusu w procesie przetwarzania danych osobowych powinno poprzedzać określenie niezbędnych czynności, które muszą zostać podjęte przez przedsiębiorcę w związku z wejściem w życie RODO i UODO oraz kolejności ich dokonywania.

Rzecz jasna, wdrożenie RODO w przypadku firm zatrudniających setki pracowników, o wielomilionowych obrotach okaże się znacznie trudniejsze aniżeli w przypadku jednoosobowej działalności związanej z wysyłkową sprzedażą towaru, jednak w tym artykule skupimy uwagę na niewielkiej działalności, w dodatku takiej, w której nie występuje wiele procesów przetwarzania danych osobowych. W takiej właśnie formule najczęściej działają sklepy internetowe.