W ostaniach miesiącach RODO jest odmieniane przez wszystkie przypadki. Przez ten cały szum medialny trudno wyłapać jednak istotę RODO i co ono faktycznie oznacza dla Sprzedawcy Internetowego. Na tym skupimy się w tym artykule tak aby ułatwić Wam dostosowanie swojego sklepu internetowego do wymogów stawianych przez RODO.
Co to właściwie jest RODO
RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej „RODO” lub „Rozporządzenie RODO”.
RODO jest rozporządzeniem PE i Rady UE. Rozporządzenia takie są bezpośrednio stosowane w państwie – członku UE, a więc odróżnieniu od dyrektyw nie wymagają implementacji (wdrożenia) do jego systemu prawnego. Są one narzędziem harmonizacji, uwspólniania pewnych kwestii na terenie całej Unii. Dla przykładu obowiązująca jeszcze dziś ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych stanowi implementację dyrektywy 95/46/WE Parlamentu Europejskiego i Rady 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Oficjalny tekst Rozporządzenia RODO dostępny jest tutaj.
Czy RODO oznacza rewolucję w sklepie internetowym
Dla osoby, która dotychczas niewiele robiła w zakresie ochrony danych osobowych, nie dokonała zgłoszenia zbiorów danych do GIODO oraz nie posiałada stosownej dokumentacji wewnętrznej dotyczącej przetwarzania danych osobowych, to tak – RODO może oznaczać małą rewolucję i konieczność podjęcia szeregu kroków celem dostosowania się do jego wymogów.
Natomiast osoby, które rzetelnie wykonywały obowiązki ciążące na nich na mocy ww. ustawy o ochronie danych osobowych, nie powinny obawiać się nadejścia 25 maja 2018 r. . Przepisy wprowadzają oczywiście nowe regulacje, nowe obowiązki informacyjne oraz nowe prawa osób, których dane dotyczą. Jednak dużą część dotychczasowej pracy.
Dotychczasowa ustawa o ochronie danych osobowych przykładowo określała, że administrator danych osobowych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności ma zapewnić, aby dane te były przetwarzane zgodnie z prawem (zasada legalności), zbierane dla oznaczonych, zgodnych z prawem celów i, co do zasady, niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (zasada celowości), merytorycznie poprawne i adekwatne w stosunku do celów przetwarzania (zasada merytorycznej poprawności i adekwatności), czy przechowywane nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania (zasada ograniczenia czasowego).
Do tych zasad RODO wprost dodaje zasadę integralności i poufności (zgodnie z nią dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych) oraz zasadę rozliczalności – zgodnie z którą to na administratorze ciąży obowiązek przestrzegania zasad przetwarzania danych i wykazania ich przestrzegania zarówno w stosunku do osób, których dane przetwarza jak i organowi nadzoru (według projektu nowej ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych).
Ta ostatnia zasada – rozliczalności – najlepiej pokazuje, jak RODO ma zmienić nasze dotychczasowe myślenie o danych osobowych. Formułuje trzy podstawy dotyczące ochrony danych: relatywizm, neutralność technologiczną oraz podejście oparte na ryzyku. Mówiąc w skrócie – obecnie nie wystarczy już raz przygotowana dokumentacja, którą przechowujemy w szufladzie. Administrator danych ma stale myślec o ochronie danych i na bieżąco minimalizować ryzyka związana z naruszeniem ich ochrony.
Czy RODO dotyczy każdego sprzedawcy internetowego
Tak, do RODO musi się stosować każdy sprzedawca internetowy. Warto wspomnieć, że dotychczas obowiązująca ustawa o ochronie danych osobowych także powinna być stosowana przez każdego sprzedawcę internetowego.
W celu realizacji umowy sprzedawca musi posiadać informacje niezbędne do wystawienia rachunku, przesłania towaru do kupującego (imię i nazwisko, adres kupującego). Na pewno nie dotyczy Cię wyjątek z artykułu 23 RODO – nie jesteś np. sądem, policją. Na 99% masz siedzibę w UE, a na 100% oferujesz towary lub usługi znajdującym się w Unii osobom.
Dostosowanie sklepu internetowego do RODO – od czego zacząć
RODO może być rewolucją lub ewolucją – wszystko zależy od tego, co do tej pory było zrobione w temacie ochrony danych osobowych w naszej firmie. Dostosowanie sklepu internetowego do RODO należy przeprowadzić dwutorowo – pierwszy etap dotyczy dostosowanie samej strony sklepu internetowego, czyli to co widoczne dla jego klientów. Drugi etap natomiast dotyczy spraw wewnętrznych sklepu internetowego, czyli tego co jest niewidoczne dla klientów sklepu internetowego. Obie te strefy wzajemnie się przenikają i powinny być spójne ze sobą.
RODO na zewnątrz sklepu internetowego – czyli to, co widać
Dostosowanie sklepu na zewnątrz wydaje się prostsze. W tym zakresie należy zadbać przede wszystkim o:
- regulamin sklepu internetowego i politykę prywatności zgodną z RODO
- sprawdzenie i dostosowanie checkboxów stosowanych na stronie sklepu tak aby były one zgodne z RODO
- zapewnienie ew. innych informacji, jeżeli ich podanie okaże się konieczne zgodnie z RODO
O polityce prywatności zgodnej z RODO pisaliśmy już tutaj: Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych – zachęcamy do lektury tego wpisu, są tam wskazane obowiązki informacyjne, które należy spełnić aby stosowana przez nas polityka prywatności była zgodna. Polityka prywatności po wejściu w życie RODO stanie się bardzo ważnym miejscem, w którym możliwe będzie spełnienie stawianych obowiązków informacyjnych.
Sam regulamin w zależności od jego konstrukcji i dotychczasowej zawartości może wymagać mniej lub większej ingerencji z uwagi na konieczność dostosowania do RODO.
Istotne na pewno będzie przejrzenie stosowanych przez nas treści zgód (checkboxów) na stronie sklepów pod kątem RODO i w razie potrzeby dostosowanie ich do nowych wymogów informacyjnych.
RODO wewnątrz sklepu internetowego – czyli to, czego nie widać
Teraz przechodzimy ze strony internetowej sklepu do siedziby sklepu. To co jest na stronie sklepu, to tak naprawdę wierzchołek góry lodowej, której reszta powinna być właśnie wewnątrz prowadzonej działalności przez Sprzedawcę. Nie ma jednej złotej recepty dostosowania się do RODO – przepisy te są na tyle nowe, że trudno tutaj mówić o jakiejś wypracowanej praktyce. Będzie się ona dopiero tworzyła na podstawie kolejnych decyzji i wytycznych organu nadzorczego, którym będzie dotychczasowe GIODO. Brak jednoznacznych wytycznych nie zwalania nas jednak z podjęcia próby dostosowania się do RODO i wdrożenia go we własnej firmie.
Tutaj ważna informacja – RODO nie dotyczy tylko sklepu internetowego. Jeżeli w naszej firmie poza sklepem internetowym prowadzimy także inną działalność – chociażby sklep stacjonarny, to wdrożenie RODO powinno obejmować także tę dodatkową działalność.
W zakresie sposobu wdrożenia warto na pewno odesłać do przydatnego naszym zdaniem poradnika – Przewodnik po RODO dla małych i średnich przedsiębiorców przygotowanego przez Ministerstwo Przedsiębiorczości i Technologii (link). Wyróżnia on poniższe etapy wdrożenia RODO w firmie – naszym zdaniem od tego warto zacząć:
- Identyfikacja procesów przetwarzania danych osobowych (w skrócie jakie dane i w jakich celach przetwarzamy)
- Weryfikacja podstawowych parametrów procesów przetwarzania danych (określamy podstawy przetwarzania, zakres oraz treść obowiązków z tym związanych)
- Wdrożenie podejścia opartego na ryzyku (określamy poziom ryzyka związanego z przetwarzaniem danych)
- Przeprowadzenie procedury oceny skutków dla ochrony danych (nie zawsze jest to obowiązkowe, ale zalecamy jej przeprowadzenie)
- Powierzenie przetwarzania danych (ustalamy komu przekazujemy dane i podpisujemy z tymi podmiotami umowy dot. powierzenia )
- Nowe prawa osób, których dane dotyczą (zapewniamy możliwość korzystania z nowych prawa – np. prawa do bycia zapomnianym)
- Incydenty bezpieczeństwa (wdrażamy zasady zgłaszania naruszeń)
Większość z tych informacji będzie zawarta w wewnętrznej dokumentacji firmy – np. w polityce bezpieczeństwa (nie mylić z polityką prywatności). Zadaniem sprzedawcy jest przygotować i wdrożyć taką dokumentację w swojej firmie.
Czy warto czekać z wdrożeniem RODO do uchwalenia krajowych ustaw
Jak zapewne wiesz wciąż trwają prace nad polską ustawą o ochronie danych osobowych, która ma wdrożyć niektóre zapisy RODO do polskiego systemu prawnego. Naszym zdaniem jednak zdecydowanie nie warto czekać – jak wyżej napisaliśmy RODO zacznie być stosowane od 25 maja 2018 r. I od tego dnia musisz przetwarzać dane zgodnie z zasadami, a więc również wykazać, że przestrzegasz tych zasad.
Za łamanie podstawowych zasad przetwarzania danych osobowych organ nadzoru może nałożyć karę pieniężną w wysokości do 20 mln EURO lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, przy decydowaniu o nałożeniu kary powinien zwrócić uwagę m. in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także na szereg czynników (szer. art. 83 RODO).
Podsumowanie
O RODO usłyszył pewnie jeszcze nie jeden raz. Szczególnie interesujący będzie pierwszy rok obowiązywania nowych przepisów – z pewnością poznamy nowe wytyczny organu nadzoru, które pozwolą lepiej dostosować się do nowych przepisów. Warto na bieżąco śledzić stronę internetową GIODO na której są publikowane ważniejsze informacje dotyczące stosowania RODO. Kwestią czasu pozostaje wydanie stosowanych wytycznych dotyczących branży ecommerce.
Pamiętajmy jednak aby nie czekać, aż „się samo wdroży” – RODO wymaga od nas aktywnego podejścia do ochrony danych osobowych. Jeżeli potrzebujesz pomocy we wdrożeniu, to skontaktuj się z nami – chętnie pomożemy:
- mail: kontakt@prokonsumencki.pl
- tel: 61 847 55 18