Szukasz informacji na temat RODO w sklepie internetowym? Po raz kolejny przeczytałeś artykuł, który nie dał Ci żadnej praktycznej wiedzy? Nie wiesz, jak w praktyce wprowadzić RODO w swojej firmie? Czy RODO to tylko dokumenty? Jeśli stawiasz sobie powyższe pytania – trafiłeś w odpowiednie miejsce, Drogi Sprzedawco! Poniżej wyjaśniamy główne zagadnienia i zasady przetwarzania danych osobowych zgodnie z RODO. Jednak w przeciwieństwie do wielu ogólnych artykułów, nie będziemy po raz kolejny tłumaczyć Ci, czym jest „prawo do bycia zapomnianym” lub „pseudoanimizacja”, ale pokażemy Ci, jak wprowadzić RODO w Twojej firmie i co możesz zrobić, aby podnieść bezpieczeństwo danych (nie tylko osobowych!).

 

Na początek – czym jest RODO?

 

RODO to ogólne rozporządzenie o ochronie danych osobowych wydane przez Parlament i Radę Europy. Są to przepisy, które regulują przetwarzanie danych osobowych na terenie Unii Europejskiej (a raczej EOG) i wymagają od nas:

  • podania osobie, od której zbieramy dane osobowe zestawu informacji (np. przy składaniu zamówienia, zakładaniu konta czy zapisie na newsletter),
  • przetwarzania danych osobowych zgodnie z zasadami:
    • ograniczenia celu – czyli zbierania i przetwarzania danych tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach,
    • minimalizacji danych – czyli zbierania danych tylko w zakresie niezbędnym do osiągnięcia założonego celu,
    • prawidłowości – przetwarzać możemy tylko dane prawidłowe (w razie konieczności należy je uaktualnić),
    • ograniczenia czasowego – czyli przetwarzania danych nie dłużej, niż jest to niezbędne do osiągnięcia celu,
    • zachowania danych w poufności i zadbania o ich integralność – czyli zabezpieczenia danych przed nieuprawnioną modyfikacją i dostępem,
  • udokumentowania tego, że podjęliśmy odpowiednie kroki w celu realizacji powyższych zasad,
  • przeprowadzenia analizy ryzyka, czyli określenia jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie zabezpieczenia powinniśmy podjąć w związku z tym.

 

RODO w sklepie internetowym – od czego zacząć?

 

rodo w sklepie internetowym

infografika – RODO w sklepie internetowym

Na samym początku dostosowywania naszej firmy do RODO musimy ustalić z jakimi danymi osobowymi mamy właściwie do czynienia. Ale jak to zrobić? Bardzo prosto – wystarczy zastanowić się nad tym, czym właściwie zajmuje się nasza firma.

W całym procesie pomoże Ci także przygotowana przez nas infografika – znajdziesz ją z prawej strony artykułu oraz na końcu.

Twoją główną działalnością jest sprzedaż w Internecie? To świetnie, z pewnością będziesz miał do czynienia z danymi osobowymi podczas:

  • realizowania zamówienia w Twoim sklepie,
  • wysyłki newslettera,
  • prowadzenia akcji marketingowych,
  • sprzedaży w serwisach typu Allegro, Amazon czy eBay,
  • prowadzenia księgowości

Dodatkowo jeśli zatrudniasz pracowników – będziesz przetwarzać ich dane w celu przeprowadzenia rekrutacji i samego zatrudnienia.

Wymienione powyżej czynności to tak naprawdę procesy biznesowe, a w kontekście ochrony danych osobowych – procesy przetwarzania danych osobowych.

Jak pewnie zauważyłeś, wymienione powyżej operacje wykraczają poza prowadzenie samego sklepu internetowego (np. przy rekrutacji pracowników lub też prowadzeniu księgowości). Wynika to z tego, że RODO dotyczy całej firmy i wszystkich przetwarzanych w jej ramach danych. Jeśli więc oprócz sklepu internetowego zajmujesz się również np. pośrednictwem pracy – konieczne będzie uwzględnienie procesów, jakie są w jego ramach prowadzone.

 

Rejestr czynności przetwarzania – o co chodzi?

 

Kiedy już wiesz jakie operacje przetwarzania danych są prowadzone w Twojej firmie pora na utworzenie Rejestru czynności przetwarzania. Dokument ten jest wymagany przez RODO i możesz prowadzić go w dowolnej formie.

Warto przy tym pamiętać, że rejestr taki należy uaktualniać, dobrze więc aby łatwo można było go edytować (dlatego zalecana forma to np. plik Excel). Dokładne informacje na temat tego, co musi znaleźć się w rejestrze znajdziesz w art. 30 RODO.

Pamiętaj o tym, że w rejestrze należy uwzględnić wszystkie prowadzone operacje przetwarzania danych osobowych w Twojej firmie – również te niezwiązane ze sklepem internetowym.

Zastanawiasz się pewnie teraz, czy musisz prowadzić rejestr czynności przetwarzania? 

RODO wymaga, aby Rejestr czynności przetwarzania był prowadzony w firmach, które zatrudniają powyżej 250 pracowników. Mniejsze podmioty muszą go jednak prowadzić również wtedy gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego
  • obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

W przypadku sklepu internetowego przetwarzanie danych osobowych praktycznie nigdy nie będzie sporadyczne (nawet jeśli mamy jednego klienta w roku) i zawsze będzie się wiązało z ryzykiem naruszenia praw i wolności osób, których dane dotyczą (chodzi o to, że dane są przetwarzane w systemie informatycznym oraz przy pomocy Internetu). Rejestr czynności będzie więc zawsze konieczny.

Przykładowy wpis w Twoim rejestrze powinien wyglądać mniej więcej tak:

 

RODO to przede wszystkim analiza ryzyka

 

RODO w sklepie internetowym jest neutralne technologicznie. Oznacza to, że próżno szukać w nim konkretnych urządzeń, programów czy sposobów przetwarzania danych, jakie powinniśmy stosować, aby przetwarzać dane zgodnie z prawem. Musimy skorzystać za to z bardzo praktycznego narzędzia, jakim jest analiza ryzyka.

Jest to – mówiąc najprościej – dokument, w którym zastanawiamy się, jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie działania powinniśmy podjąć, aby je zniwelować lub ograniczyć. Aby przeprowadzić taką ocenę, musimy wiedzieć, jakie operacje prowadzimy. Właśnie dlatego na pierwszym etapie utworzyliśmy Rejestr czynności.

Przeprowadzając analizę ryzyka należy określić kontekst przetwarzania dla każdej operacji, który powinien obejmować:

  • urządzenia, jakie są używane do przetwarzania danych (np. komputer, serwer, telefon) oraz sposoby przetwarzania (np. w formie cyfrowej, przez internet)
  • osoby, jakie mają dostęp do danych w ramach procesu (czy są one upoważnione do przetwarzania? Ile osób posiada dostęp i w jakiej formie – np. zdalnie lub w siedzibie firmy)
  • jakiego rodzaju dane przetwarzamy (np. dane zwykłe, dane wrażliwe etc.)
  • jakie dokumenty, wpisy, pliki zawierające dane osobowe generowane są w ramach procesu?

Im lepiej i dokładniej określimy kontekst przetwarzania, tym łatwiej będzie nam dobrać odpowiednie zabezpieczenia. Kiedy znamy już kontekst pora na zastanowienie się nad tym, jakie zagrożenia będą związane z przetwarzaniem danych w naszej sytuacji.

Typowe zagrożenia, jakie występują przy przetwarzaniu danych w ramach sklepu internetowego to np.:

  • zarażenie komputera złośliwym oprogramowaniem (wirus, trojan, sniffing etc.)
  • złamanie zabezpieczeń (np. nieuprawnione logowanie, ataki brute force, ataki słownikowe)
  • inżynieria społeczna, podsłuchy, skanowanie
  • utrata danych (np. uszkodzenie dysku serwera, napisanie danych, usunięcie)
  • czynniki ludzkie (nieprzestrzeganie procedur, brak wiedzy, naruszenie przepisów, zaniedbanie)
  • wypadki losowe (np. zalanie serwerowni, awarie sprzętu, awarie łącz)

To że określiliśmy zagrożenia, nie oznacza od razu, że mogą one wystąpić w naszej firmie. Dlatego mając przed sobą listę ryzyk, jakie mogą wystąpić w naszej firmie w związku z przetwarzaniem danych określamy jakie podatności są z nimi związane. Podatnościami takimi mogą być:

  • kradzież lub utrata sprzętu, co samo w sobie nie jest podatnością, ale staje się nią np. kiedy przewozimy niezaszyfrowanego laptopa na przednim siedzeniu auta i pozostawiamy go w nim
  • brak wiedzy na temat należytej ochrony danych
  • brak fizycznej ochrony pomieszczeń, w których przetwarzamy dane
  • niewykonywanie kopii zapasowych danych,
  • możliwy dostęp do danych przez osoby nieuprawnione etc.

Po ustaleniu zagrożeń i podatności, jakie występują w naszej organizacji należy dobrać odpowiednie zabezpieczenia, tak aby je zniwelować. Przykładowe zabezpieczenia, jakie możemy wdrożyć to:

  • oprogramowanie antywirusowe oraz firewall
  • przeszkolenie pracowników z zasad bezpiecznego przetwarzania danych
  • wykonywanie kopii zapasowych posiadanych danych
  • podpisanie umów powierzenia danych osobowych z wymagającymi tego podmiotami
  • wprowadzenie procedur i zasad przetwarzania danych (np. procedury czystego biurka, procedury zmiany haseł i logowania do systemu
  • szyfrowanie dysków komputerów (np. tych wynoszonych poza biuro)
  • szyfrowanie protokołem SSL (dla strony naszego sklepu).

 

Przygotowanie pozostałej dokumentacji dot. RODO

 

Po Rejestrze czynności przetwarzania i analizie ryzyka możemy przystąpić do utworzenia pozostałej dokumentacji, która pozwoli nam na wywiązanie się z zasady rozliczalności (czyli możliwości udowodnienia, że podjęliśmy odpowiedni kroki w celu zabezpieczenia danych).

Dokumenty takie mogą zawierać:

  • zasady przetwarzania danych dla pracowników (np. regulamin przetwarzania danych)
  • procedury służące bezpiecznemu przetwarzaniu danych (np. instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych)
  • dodatkowe rejestry i ewidencje (np. ewidencję stosowanego sprzętu, wykaz zabezpieczeń, ewidencję podmiotów, którym powierzono przetwarzanie danych, ewidencję osób upoważnionych)
  • dokument wymagany przez RODO czyli Rejestr incydentów i naruszeń w ochronie danych, w którym uwzględniać będziemy sytuacje powodujące i mogące powodować naruszenie bezpieczeństwa danych

Zakres koniecznej dokumentacji zależy od Administratora danych osobowych i skali jego działalności oraz prowadzonych operacji przetwarzania. Nie ma więc jednego wykazu dokumentów, jaki powinniśmy posiadać, jednak pamiętajmy, że RODO w sklepie internetowym wymaga od nas co najmniej

  • rejestru czynności przetwarzania,
  • analizy ryzyka, wraz z oceną skutków dla przetwarzania danych,
  • rejestru incydentów i naruszeń,
  • pozostałej dokumentacji niezbędnej do realizacji zasady rozliczalności.

 

Pozostałe obowiązki związane z RODO w sklepie internetowym

 

Po przeprowadzeniu analizy ryzyka, dobraniu odpowiednich zabezpieczeń i przygotowaniu dokumentów możemy dopiąć pozostałe kwestie, które uzupełnią system ochrony danych w naszej firmie, czyli:

  • wydajemy upoważnienia dla pracowników naszej firmy, którzy mają dostęp do danych osobowych.

Upoważnienie powinno zawierać informacje, do jakich danych (operacji) dostęp ma pracownik (np. realizacja zamówienia w sklepie internetowym, prowadzenie księgowości, rekrutacja pracowników itd.), w jakim okresie (np. przez 3 miesiące lub – jeśli nie jesteśmy w stanie ustalić tego przedziału – do czasu rozwiązania umowy o pracę czy też zakończenia współpracy).

  • podpisujemy umowy powierzenia z firmami, którym przekazujemy dane osobowe,

Umowa zawierana jest pomiędzy Administratorem danych osobowych (ADO) a tzw. procesorem, czyli podmiotem, który „procesuje” (przetwarza) dane w imieniu procesora. Inaczej mówiąc jest to relacja pomiędzy firmą, która zleca wykonanie określonych czynności na danych osobowych innemu podmiotowi (np. biurze księgowemu – w celu prowadzenia księgowości, kurierowi – w celu dostawy produktu, hostingodawcy – w celu świadczenia usługi hostingowej).

Umowa taka nie musi być zawarta w formie papierowej (równie dobrze może to być np. akceptacja regulaminu świadczenia usługi), jednak powinna zawierać ona co najmniej:

  1. cel i zakres powierzenia danych,
  2. czas trwania,
  3. zobowiązania procesora do przetwarzania danych zgodnie z prawem i zgłaszania Administratorowi naruszeń w ochronie danych,
  4. zastrzeżenie prawa do kontroli procesora (przez Administratora) w zakresie przetwarzania danych,
  5. kwestię podpowierzenia danych (czyli przekazania danych przez procesora innej firmie),
  6. zakres odpowiedzialności procesora
  7. co stanie się z przekazanymi danymi po wygaśnięciu umowy.

Najczęściej umowa powierzenia danych osobowych jest powiązana (komparycja) z umową o świadczenie podstawowej usługi (np. świadczenia usług kurierskich, prowadzenia księgowości, wykonania określonych prac) i jest od niej zależna np. w zakresie trwania (czyli jeśli rozwiązujemy umowę z hostingodawcą umowa powierzenia również przestaje obowiązywać).

  • podajemy wymagane informacje osobom, od których zbieramy dane osobowe (obowiązki informacyjne) – również w miejscach poza sklepem internetowym (np. w sklepie stacjonarnym).

Sposób i forma przekazania informacji określonych w art. 13 i 14 RODO jest dowolna, warto jednak pamiętać o zachowaniu zasady rozliczalności – czyli możliwości wykazania, że faktycznie zostały one przekazane. Nie musimy tutaj zbierać podpisów (czy też checkboxów) od osób, którym przekazujemy dane, wystarczy określenie w dokumentacji, że obowiązki są spełniane np. poprzez umieszczenie zakładki na stronie internetowej czy też procedurę odczytywania informacji przez telefon (jeśli dane zostają pozyskane w ten sposób). W sklepie stacjonarnym obowiązek informacyjny może być umieszczony na tablicy powieszonej na ścianie czy też w formie wydruku na ladzie.

 

Ważne!

Dopełniając obowiązki informacyjne warto pamiętać o kilku kwestiach:

 

  • Informacje jakie musimy podać określone są w art. 13 i 14 RODO, informacje te obejmują między innymi:
    • tożsamość i dane kontaktowe Administratora,
    • dane Inspektora ochrony danych (tylko jeśli został powołany),
    • cel (lub cele) przetwarzania danych,
    • komu dane zostają przekazane / ujawnione,
    • czy dane są przekazywane poza Unię Europejską,
    • okres przechowywania danych (lub kryteria ustalenia tego okresu),
    •  prawa osoby, od której zbierane są dane (np. dostępu do danych czy prawie wniesienia skargi do urzędu),
    • czy dochodzi do profilowania osoby, której dane dotyczą lub podejmowania zautomatyzowanych decyzji niosących skutek prawny wobec takiej osobowy.
  • Nie ma określonej formy przekazania tych informacji. Nie jest więc konieczny masowy mailing do wszystkich klientów, czy wyskakujące okna na stronie sklepu.
  • Ponieważ informacje, jakie musimy przekazać są dość rozległe dopuszczalne jest przekazanie tylko ich części w miejscu zbierania danych, wraz z odesłaniem do dedykowanej strony zawierającej pełną treść obowiązku.
  • Nie jest konieczne umieszczanie checkboxa o zapoznaniu się z tymi informacjami, aczkolwiek jest to zalecane z uwagi na ułatwienie spełnienia obowiązku informacyjnego.
  • Obowiązek informacyjny nie jest zgodą na przetwarzanie danych! Musimy przekazać go zawsze wtedy, kiedy po raz pierwszy pozyskujemy dane osobowe bez względu na podstawę ich przetwarzania (czyli np. realizację umowy). Z kolei zgoda jest przesłanką legalizującą przetwarzanie danych (na podstawie art. 6, ust. 1 lit. A RODO) i przy jej pozyskaniu również należy przekazać wspomniane informacje (nie należy pozyskiwać zgody na przetwarzanie danych jeśli pozyskujemy je w celu realizacji umowy – czyli np. sprzedaży produktu poprzez sklep internetowy).

 

Na koniec – pamiętajmy o prawach, jakie przysługują osobom, od których zbieramy dane osobowe

 

Powyżej opisaliśmy, w jaki sposób stworzyć system ochrony danych w naszej firmie. Powinien on funkcjonować w odniesieniu do wszystkich danych, jakie będziemy przetwarzać, a więc w razie potrzeby – powinniśmy uaktualniać informacje w dokumentach (np. dodając nowe operacje do Rejestru czynności, czy też przeprowadzając analizę ryzyka w wypadku zmiany sposobów przetwarzania danych).

Cały czas musimy też pamiętać o tym, że osobom których dane przetwarzamy przysługuje szereg praw, które musimy realizować. Będą to:

  • prawo do informacji czy przetwarzamy dane osobowe tej osoby,
  • prawo do sprostowania danych (czyli ich poprawienia, jeśli są błędne) oraz
  • prawo do bycia zapomnianym (prawo do usunięcia danych)

Ważne! W przypadku wniesienia żądania usunięcia danych osobowych należy pamiętać o tym, że nie zwalnia to Administratora danych z przetwarzania danych, które wynika z przepisów prawa, np. w związku z obowiązkami podatkowymi. Nie możemy np. usunąć faktur zawierających dane osobowe na żądanie, jeśli mamy prawny obowiązek je przechowywać. W takiej sytuacji usuwamy dane jedynie z miejsc, w których były one przetwarzane w określonych celach, które wygasły. Czyli możemy pozostawić dane np. w systemie księgowym (ze względu na prawo podatkowe), ale nie w oprogramowaniu CRM czy sklepu internetowego.

  • prawo do ograniczenia przetwarzania (czyli zaprzestania wykonywania czynności na danych, jednak bez ich usuwania),
  • prawa do przenoszenia danych (czyli dostarczenia osobie, której dane dotyczą ustrukturyzowanego pliku zawierającego jej dane – uwaga to prawo mamy obowiązek realizować tyko wtedy, kiedy jest to technicznie wykonalne),
  • prawo do sprzeciwu i niepodleganiu zautomatyzowanemu podejmowaniu decyzji (np. przy profilowaniu).

 

Zamiast podsumowania – infografika

 

rodo w sklepie internetowym wszystko

rodo w sklepie internetowym wszystko

5.00 avg. rating (96% score) - 1 vote

Newsletter prawny dla Sprzedawców

Dowiesz się pierwszy o ważnych zmianach w prawie i otrzymasz specjalne zaproszenia na nasze webinary z prawnikiem!

SUKCES - zapisałeś się!

Zamów rozmowę tel.
*
*
Napisz maila
*
*
*