Od maja 2018 r. obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) RODO. Przepisy rozporządzenia wprowadziły wiele nowych rozwiązań w zakresie ochrony danych osobowych, których wdrożenie stanowiło i stanowi nadal nie lada wyzwanie dla wszystkich przedsiębiorców przetwarzających dane osobowe. Przedsiębiorcy prowadzący sklepy internetowe powinni zachować szczególną ostrożność, zakres przetwarzanych i przechowywanych przez nich danych jest bowiem bardzo szeroki. Przeczytaj, jak wdrożyć RODO w sklepie internetowym!
Jakie dokumenty są potrzebne?
Rozporządzenie RODO dotyczy wszystkich przedsiębiorców prowadzących działalność na terenie Unii Europejskiej. W przypadku sklepów internetowych siedziba firmy poza granicami UE nie ma żadnego znaczenia, jeśli przedsiębiorca oferuje swoje towary mieszkańcom Europy.
Przepisy RODO nie narzucają podmiotom przetwarzającym dane osobowe konkretnego katalogu czy zbioru dokumentów, jakie muszą zostać przygotowane celem dostosowania prowadzonej działalności do treści rozporządzenia. Każdy przedsiębiorca musi we własnym zakresie zdecydować, co jest niezbędne z uwagi na charakter prowadzonej działalności. Bez wątpienia rodzaj podjętych działań jest w istotny sposób zależny od jej rodzaju – w przypadku sklepu internetowego znaczenie będą miały takie czynniki jak specyfika klientów sklepu czy zakres danych pozyskiwanych przez przedsiębiorcę niezbędnych do realizacji usługi.
Treść dokumentów przygotowanych z myślą o użytkownikach sklepu internetowego musi być sporządzona prostym, zrozumiałym dla wszystkich językiem bez stosowania skomplikowanych sformułowań i odwołań do przepisów.
Przed przygotowaniem dokumentów (lub przed ich aktualizacją) przedsiębiorca winien przeprowadzić szczegółowy audyt, którego celem jest zbadanie, jakie zabezpieczenia danych osobowych są już wdrożone, a jakie wymagają przygotowania.
Przykładowy katalog dokumentów dotyczących przepisów RODO w sklepie internetowym winien zawierać:
- Regulamin sklepu internetowego;
- Politykę prywatności;
- Politykę bezpieczeństwa;
- Instrukcję zarządzania systemem informatycznym;
- Politykę dotyczącą plików cookies;
- Wzory formularzy przeznaczonych dla klientów sklepu, w tym wzór odstąpienia od umowy i wzór reklamacji;
- Rejestr czynności przetwarzania danych osobowych;
- Rejestr incydentów związanych z naruszeniami danych osobowych;
- Upoważnienia do przetwarzania danych osobowych;
- Rejestr osób upoważnionych do przetwarzania danych osobowych;
- Wzór oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych.
Czy RODO w sklepie internetowym wymaga zmian w regulaminach?
Podstawowym celem regulaminu sklepu internetowego przygotowanego zgodnie z przepisami RODO jest informowanie klientów sklepu oraz wszystkich osób odwiedzających jego stronę o ich prawach oraz o obowiązkach sprzedawcy.
Przedsiębiorca prowadzący sklep internetowy musi poinformować użytkowników o:
-
dokładnym zakresie pozyskiwanych danych osobowych;
-
sposobie przechowywania danych osobowych po ich pozyskaniu;
-
prawie do żądania usunięcia pobranych danych z baz danych prowadzonych przez przedsiębiorcę;
-
innych prawach użytkownika: prawie do zapomnienia, do edycji pobranych danych osobowych, do zgłaszania naruszeń;
-
sposobie działania w razie awarii systemu informatycznego, włamaniu do systemu i kradzieży danych użytkowników;
-
danych przedsiębiorcy, w tym dokładnych danych administratora danych osobowych;
-
segmentacji prowadzonej bazy danych.
Z punktu widzenia przedsiębiorców prowadzących sklepy internetowe najważniejszą czynnością jest pozyskanie zgody użytkownika strony na przetwarzanie jego danych osobowych.
Przedsiębiorca powinien pozyskiwać i przechowywać jedynie te dane, które są niezbędne do wykonania usługi.
Przykład 1.
Przedsiębiorca prowadzi sklep internetowy zajmujący się sprzedażą odzieży. Może pozyskiwać od klientów numery telefonów celem realizacji zamówienia i jego prawidłowego doręczenia. Nie powinien jednak pozyskiwać zbędnych (np. numeru PESEL) ani wykorzystywać uzyskanych danych w sposób sprzeczny z ich przeznaczeniem (np. przesyłać wiadomości tekstowych na podany numer telefonu, jeśli taki cel nie został wskazany w regulaminie).
Pozyskanie zgód użytkowników strony (nie tylko klientów sklepu, lecz także wszystkich osób odwiedzających witrynę) jest kluczowym obowiązkiem przedsiębiorcy. Co ważne, zgoda nie może być automatyczna (użytkownik strony musi samodzielnie ją wyrazić, zaznaczając odpowiednią opcję na ekranie) i musi być dobrowolna. Treść oświadczenia musi dokładnie określać, na co wyraża zgodę użytkownik. Przedsiębiorca może stosować jedną formułę zawierającą wszystkie wymagane zgody, jeśli jednak pobiera je w różnym zakresie i do różnych celów, każda z nich winna zostać wyrażona oddzielnie.
Rejestr czynności przetwarzania danych
Do czasu wejścia w życie rozporządzenia RODO przedsiębiorcy prowadzący sklepy internetowe mieli obowiązek rejestracji prowadzonych zbiorów danych w GIODO. Obecnie obowiązek ten został zastąpiony koniecznością prowadzenia rejestru przetwarzania danych. Jest to dokument zawierający informacje o:
-
administratorze danych osobowych (przedsiębiorcy przetwarzającym i przechowującym dane);
-
inspektorze danych osobowych (przy czym należy zaznaczyć, że większość sklepów internetowych nie ma obowiązku wyznaczania inspektora);
-
kategoriach osób, których dane są pobierane i przechowywane przez administratora (np. o klientach sklepu internetowego);
-
podmiotach, którym dane użytkowników sklepu mogą zostać potencjalnie udostępnione (np. dane kontrahentów przedsiębiorcy prowadzącego sklep);
-
stosowanych środkach bezpieczeństwa.
Rejestr czynności przetwarzania danych osobowych w przypadku sklepów internetowych nie dotyczy wyłącznie klientów sklepu. Jeśli przedsiębiorca prowadzący sklep zatrudnia pracowników, przetwarza również ich dane osobowe. W takim przypadku rejestr musi zatem odzwierciedlać wszystkie dane, które są przetwarzane i przechowywane przez przedsiębiorcę.
Rozporządzenie zakłada, że niektóre kategorie przedsiębiorców są zwolnione z obowiązku jego prowadzenia (np. podmioty zatrudniające mniej aniżeli 250 pracowników czy przetwarzające dane osobowe sporadycznie). Właściciele sklepów internetowych muszą jednak prowadzić rejestr, bowiem przetwarzają dane osobowe w sposób w zasadzie ciągły, a nie sporadyczny.
System sklepu musi spełniać wymogi techniczne
Przedsiębiorca prowadzący sklep internetowy musi zadbać o to, aby wykorzystywane przez niego systemy i narzędzia spełniały wszystkie wymogi bezpieczeństwa. Większość sprzedawców korzysta wprawdzie z serwisów hostingowych, jednak powierzenie organizacji systemu innemu podmiotowi nie zwalnia przedsiębiorcy z obowiązku zadbania o bezpieczeństwo systemu i w konsekwencji – o bezpieczeństwo przechowywanych danych. Ponownie, każdy administrator danych osobowych musi rozważyć, jakie dane przechowuje i jakie środki bezpieczeństwa będą najbardziej skuteczne z punktu widzenia ich ochrony.
Przedsiębiorca winien zastosować zarówno środki ochrony fizycznej (np. przechowywanie dokumentów w formie papierowej w sposób zabezpieczający przed kradzieżą czy zniszczeniem), jak i środki ochrony informatycznej (np. zabezpieczenia typu firewall, szyfrowanie danych osobowych, anonimizację czy pseudonimizację). Wdrożenie i stosowanie przepisów RODO wymaga przechowywania kopii zapasowych danych, które umożliwią odzyskanie danych użytkowników (i ich poinformowanie o przypadku naruszenia ochrony danych) po ich utracie.