Regulamin 2020 w sklepie internetowym i inne zmiany dla Sprzedawców.

Regulamin 2020 w sklepie internetowym i inne zmiany dla Sprzedawców.

utworzone przez | sty 14, 2020 | Allegro, Obowiązki Informacyjne Sprzedawcy, Opłata recyklingowa, Polityka Cookies, Polityka prywatności, Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, Regulamin Sklepu Internetowego, Reklamacja Towaru, RODO, RODO sklep internetowy, Sklep stacjonarny, Ustawa o prawach konsumenta | 0 komentarzy

Regulamin sklepu internetowego 2020 – jak powinien wygląda aby pomóc w sprzedaży? W tym wpisie omawiamy najważniejsze zmiany prawne jakie czekają na Sprzedawców Stacjonarnych i Internetowych w 2020 r. Skupiamy się przede wszystkim na zmianach, które dotkną w roku 2020 regulamin sklepu internetowego, politykę prywatności i cookies. Omawiamy także inne aspekty prawne, które mogą byc ważne dla Sprzedawców w 2020 r. Koniecznie zapraszamy do lektury wszystkich Sprzedawców! Krótko piszemy także o naszych planach na 2020 r. 

Jeżeli coś Twoim zdaniem pominęliśmy lub masz pytania dotyczące zmian, to napisz do nas w komentarzu – na pewno odpowiemy!

 

Regulamin sklepu internetowego od Prokonsumencki.pl – wspieramy sprzedawców już 10 lat

Nowy rok to także zmiany w Prokonsumencki.pl – w roku 2020 skupiamy się na jeszcze lepszym rozwoju naszych dotychczasowych usług wsparcia prawnego dla Sprzedawców oraz ruszamy z platformą szkoleniową dla Sprzedawców.

Nasze najlepsze usługi znajdziesz tutaj: regulamin sklepu internetowego w tym m.in.

  • PAKIET STARTOWY dla Sprzedawców, którzy startują ze swoim sklepem internetowym i potrzebują pakiet regulaminu, polityki prywatności, RODO i innej dokumentacji do uruchomienia sklepu
  • PAKIET OPIEKI PRAWNEJ 365 – dla Sprzedawców, którzy prowadzą już sklep internetowy i chcą mieć stałe wsparcie prawnika i zależy im na stałej kontroli swojego regulaminu i polityki prywatności
  • PLATFORMA SZKOLENIOWA Z PRAWNYMI SZKOLENIAMI ONLINE DLA SPRZEDAWCÓW – dostępne są tutaj wszystkie nasze szkolenia prawne dla Sprzedawców. Przykładowy fragment jednego ze szkoleń dostępny jest tutaj:

 

 

Będziemy Was informować na bieżąco o zmianach i zachęcamy do korzystania z naszych usług. Jest nam niezmiernie miło współpracować z taką liczną grupą Sprzedawców i będzie nam bardzo miło jeżeli dołączą do niej nowi Sprzedawcy! Przy tej okazji składamy życzenia Wszystkiego dobrego w Nowym Roku!

 

Regulamin sklepu internetowego 2020 – czy czekają nas rewolucyjne zmiany? 

Na pytanie postawione w tytule można odpowiedzieć i tak i nie. Odpowiedź zależy od tego, czy kierujemy naszą sprzedaż wyłącznie do konsumentów (B2C), wyłącznie do przedsiębiorców (B2B), czy też do obu tych grup. W tym ostatnim wypadku istotne jest także jaki udział w naszej sprzedaży ma sprzedaż przedsiębiorcom (B2B).

Dlaczego to komu sprzedajemy ma takie znaczenie? Wszystko przez zmiany w przepisach, które wejdą w życie już 1 czerwca 2020 r. Zmiany dotyczą w skrócie rozciągnięcia niektórych praw konsumenta na osoby prowadzące jednoosobową działalność gospodarczą – podmioty te zyskają między innymi możliwość zwrotu towaru w terminie 14 dni (tak jak konsumenci) oraz możliwość powoływania się na klauzule niedozwolone. 

Zmiana ta wymusi na pewno przegląd i aktualizację regulaminów, a także audyt strony internetowej pod kątem właściwej weryfikacji statusu klienta. Może się okazać, że po 1 czerwcu 2020 r. normą będzie odbieranie oświadczeń od klientów, w jakim charakterze dokonują u nas zakupów – przykładowo, czy jest to:

 

[ ] Zakup prywatny

[ ] Zakup na firmę (ma charakter zawodowy)

[ ] Zakup na firmę (nie ma charakteru zawodowego)

 

Ważne! Nasi Klienci posiadający aktywną opiekę otrzymają przed wejściem w życie zmian stosowną aktualizację tak aby właściwie dostosować się do zmian w prawie. Jeżeli nie jesteś jeszcze naszym Klientem, to zapraszamy do kontaktu.

Wszystkiego o nadchodzących zmianach dowiesz się tutaj: WAŻNE! Zmiany w prawie dotyczące poszerzenia ochrony konsumenckiej na jednoosobowe firmy i wymóg aktualizacji regulaminów oraz OWS przed 1 czerwca 2020 r.

Oczywiście to tylko zmiany, o których wiemy, że na pewno wejdą w życie 1 czerwca 2020 r. Bardzo możliwe, że już w trakcie roku dowiemy się o innych zmianach przepisów. Istotne mogą być takze orzeczenia sądów i decyzje Prezesa UOKiK, które mogą doprecyzować obowiązujące przepisy i wymusić na Sprzedawcach dodatkowe zmiany zarówno w regulaminie, jak i np. na stronie sklepu.

Aktualizacja z 31 marca 2020 r. – tarcza antykryzysowa przesuwa wejście powyższych zmian dotyczących poszerzenia ochrony konsumenckiej na 1 stycznia 2021 r.! Więcej informacji we wspomnianym wyżej artykule. 

Nie bez znaczenia dla regulaminu sklepu internetowego mogą być także zmiany przepisów branżowych, które z pewnością będą miały miejsce w 2020 r.

 

Polityka prywatności i polityka cookies 2020 – jeszcze więcej obowiązków informacyjnych i dodatkowe narzędzia do zarządzania plikami cookies

W temacie RODO przez ostatnie 2 lata powiedziano już w zasadzie wszystko – przynajmniej tak się wszystkim wydaje. Prawda jest jednak taka, że najwięcej dowiemy się dopiero z kolejnych decyzji Prezesa Urzędu Ochrony Danych Osobowych i późniejszych postępowań sądowych, w ramach których te decyzje będa kwestionowane (skutecznie lub mniej skutecznie). Informacje o kolejnych karach nakładanych przez Prezesa UODO pozwalają jednak mieć w zasadzie pewność, że na pewno będzie się dużo działo w tym temacie.

Na ten moment oznacza to, że w samej polityce prywatności sklepu internetowego nie zapowiadają sie obecnie zmiany, które wynikałyby ze zmiany przepisów prawa. Rozporządzenie RODO nadal obowiązuje i jak na ten moment nie ma informacji o planowanych zmianach. Tutaj jedynie należy odnotować, że nadal toczą się pracę nad drugim równie istotnym rozporządzeniem co RODO, a mianowicie tzw. rozporządzeniem e-Privacy (rozporządzenie w sprawie prywatności i łączności elektronicznej).

Nie możemy jednak zapominać, o zmianach które wymuszają na Sprzedawcach kolejne orzeczenia ETS, czy też innych organów odpowiedzialnych za ochronę danych. Tych z pewnością nie zabraknie w 2020 r. Tytułem przykładu warto wskazać dwie istotne sprawy, które miały miejsce w 2019 r., ale są nadal równie istotne w roku 2020 r.

Pierwsza dotyczyła korzytania z plików cookies i podawania w tym zakresie nie tylko pełnych informacji, ale przede wszystkim umożliwienia użytkownikom zarządzania tymi plikami. Wszystko o tej sprawie piszemy tutaj: Zmiany w polityce cookies: nowe obowiązki informacyjne w zakresie stosowania plików Cookies

Druga sprawa dotyczyła korzystania z wtyczek społecznościowych Facebooka na stronie, co z kolei powoduje, że w tym zakresie stajemy się współadministratorem danych razem Z Facebookiem. Wszystko w tym temacie znajdziesz tutaj: Korzystasz z wtyczek spółecznościowych serwisu Facebook (np. przycisk Lubię to!, Udostępnij) na stronie swojego sklepu lub serwisu? Koniecznie zaktualizuj politykę prywatności!

 

Rejestr klauzul niedozwolonych ciągle żywy

Być może nie wszyscy już pamiętają fale pozwów za klauzule niedozwolne w regulaminach sklepów internetowych, które następnie były publikowane w rejestrze klauzul niedozwolonych prowadzonym przez Prezesa Urzędu Ochrony Konkurencji i Konsumentów.

Rejestr ten nadal istnieje i ma się „dobrze” – na dzień dzisiejszy jest w nim już 7748, a ostatni wpis jest z 14 grudnia 2019 r. Co prawda obecnie wpisy pojawiają się w nim głównie z uwagi na aktywność Prezesa UOKiK, co nie zmienia jednak faktu, że jest on nadal ważnym źródłem informacji o zapisach, których nie należy mieć w regulaminie sklepu internetowego. Informacja ta może być obecnie nawet ważniejsza z uwagi na zmiany, które wejdą w życia 1 czerwca 2020 r. – jednoosobowe firmy zyskają m.in. prawo powoływania się na klauzule niedozwolone.

 

Powyżej przedstawiliśmy najważniejsze zmiany lub możliwe zmiany, które dotyczą regulaminu sklepu internetowego, polityki prywatności lub cookies w roku 2020 r. Poniżej przedstawiamy inne wybrane przez nas aspekty prawne, które mogą byc ważne dla Sprzedawców w 2020 r.

 

Paragon z NIP nabywcy

Od 1 stycznia 2020 r. wystawienie faktury dokumentującej sprzedaż dla podatnika VAT, która uprzednio była zaewidencjonowana przy użyciu kasy rejestrującej, będzie uzależniona od zamieszczenia na paragonie fiskalnym numeru NIP nabywcy.  Oznacza to, że nie będzie już możliwości wystawienia faktury do paragonu wystawionego wcześniej bez numeru NIP nabywcy. Wynika to z treści poniższego przepisu – art. 106b ust. 5 ustawy o podatku od towarów i usług (Dz.U. 2004 Nr 54, poz. 535, t.j. Dz.U. z 2018 r. poz. 2174 ze zm.):

W przypadku sprzedaży zaewidencjonowanej przy zastosowaniu kasy rejestrującej potwierdzonej paragonem fiskalnym fakturę na rzecz podatnika podatku lub podatku od wartości dodanej wystawia się wyłącznie, jeżeli paragon potwierdzający dokonanie tej sprzedaży zawiera numer, za pomocą którego nabywca towarów lub usług jest zidentyfikowany na potrzeby podatku lub podatku od wartości dodanej.

Zachęcamy do szerokiego informowania klientów o tej zmianie aby uniknąć niepotrzebnych nieporozumień – zmiana dotyczy wszystkich sprzedaców – i stacjornanych i internetowych. W obu przypadkach można zamieścić przykładową poniższą informację odpowiednio w widocznym miejscu w sklepie stacjonarnym (np. przy kasie) oraz na stronie sklepu internetowego (np. podczas ścieżki zakupowej).

 

Ważne! Pamiętaj o podaniu NIP, w przypadku chęci otrzymania faktury

Uprzejmie informujemy, że od 1 stycznia 2020 r. wystawienie faktury z numerem NIP nabywcy na podstawie paragonu jest możliwe tylko dla paragonów zawierających prawidłowy numer NIP nabywcy, tj. numer za pomocą którego nabywca towarów lub usług jest zidentyfikowany na potrzeby podatku lub podatku od wartości dodanej.

Podstawa prawna: art. 106b ust. 5 ustawy o podatku od towarów i usług (Dz.U. 2004 Nr 54, poz. 535, t.j. Dz.U. z 2018 r. poz. 2174 ze zm.)

 

Dodatkowo zalecamy uczulić pracowników aby jeżeli to możliwe dopytywali o tę kwestię klientów jeszcze przed wystawieniem paragonu (dotyczy sprzedaży stacjonarnej, ale także mailowej i telefonicznej).

 

Mikrorachunek podatkowy

Od 2020 r. wszyscy podatnicy i płatnicy podatku PIT, CIT, VAT mają obowiązek posługiwać się indywidualnym rachunkiem podatkowym służącym tylko i wyłącznie do wpłat podatku (takie rachunki podatnicy posiadają już w ZUS). Generator mikrorachunku dostępny jest tutaj: https://www.podatki.gov.pl/generator-mikrorachunku-podatkowego/

 

BDO 2020 (Baza danych o produktach i opakowaniach oraz o gospodarce odpadami) 

Jeżeli prowadzisz sklep internetowy lub stacjonarny, najprawdopodobniej dotyczy Cię ustawa z dnia 13 czerwca 2013 r. o gospodarce opakowaniami i odpadami opakowaniowymi (dalej: Ustawa). Nakłada ona szereg obowiązków na przedsiębiorców, którzy prowadzą m.in. sprzedaż, import lub produkcję opakowań oraz produktów w opakowaniach.

W tym artykule przedstawiamy kilka najważniejszych obowiązków związanych z opakowaniami oraz wyjaśniamy jakich konkretnie przedsiębiorców one dotyczą: Ustawa o gospodarce opakowaniami – obowiązki sprzedawców internetowych i stacjonarnych

Aktualne informacje znajdziesz również tutaj: https://bdo.mos.gov.pl/ – pod tym adresem możesz także dokonać zgłoszenia.

 

Opłaty recyklingowe za torby foliowe (reklamówki) 

1 września 2019 r. weszła w życie nowalizacja ustawy o gospodarowaniu opakowaniami, która objęła także tzw. grube torby foliowe, które dotychczas były zwolnione z opłat. Przedsiębiorca prowadzący jednostkę handlu detalicznego lub hurtowego, w której są oferowane torby na zakupy z tworzywa sztucznego przeznaczone do pakowania produktów oferowanych w tej jednostce, jest obowiązany pobrać opłatę recyklingową od nabywającego torbę na zakupy z tworzywa sztucznego. Opłaty recyklingowej nie pobiera się od nabywającego bardzo lekką torbę na zakupy z tworzywa sztucznego.

 

Bardzo lekkie torby na zakupy to torby z tworzywa sztucznego o grubości materiału poniżej 15 mikrometrów, które są wymagane ze względów higienicznych lub oferowane jako podstawowe opakowanie żywności luzem, gdy pomaga to w zapobieganiu marnowaniu żywności,

 

Od 1 stycznia 2020 r. opłaty trzeba będzie wnosić ją kwartalnie, w terminie do 15 dnia miesiąca następującego po kwartale, w którym została pobrana. Opłatę za 2019 rok należy wpłacić zgodnie ze starymi przepisami do dnia 15 marca 2020 r.

Dodatkowym obowiązkiem Sprzedawców w tym zakresie jest obowiązkowe prowadzenie ewidencji nabytych i wydanych toreb, które to ewidencje należy przechowywać przez okres 5 lat.

Pamiętaj, że jeżeli jesteś zobowiązany do uiszczenia opłaty recyklingowej i prowadzenia ewidencji nabytych i wydanych toreb, to podlegasz także obowiązkowemu wpisowi do rejestru BDO, o którym pisaliśmy wyżej.

 

CRBR – Centralny Rejestr Beneficjentów Rzeczywistych

Ten skrót powinien być już znany wszystkim Sprzedawcom prowadzącym działalność gospodarczą w formie spółek:

  • jawnych,
  • komandytowych,
  • komandytowo-akcyjnych,
  • z ograniczoną odpowiedzialnością;
  • prostych spółek akcyjnych (od 1 marca 2020 r.)
  • akcyjnych, z wyjątkiem spółek publicznych w rozumieniu ustawy z dnia 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych (Dz. U. z 2019 r. poz. 623).

Beneficjentem rzeczywistym jest osoba lub osoby fizyczne:

  • sprawujące bezpośrednio lub pośrednio kontrolę nad spółką poprzez posiadane uprawnienia, które wynikają z okoliczności prawnych lub faktycznych, umożliwiające wywieranie decydującego wpływu na czynności lub działania podejmowane przez spółkę, lub
  • w imieniu których są nawiązywane stosunki gospodarcze lub jest przeprowadzana transakcja okazjonalna.

Szerzej o osobach zobowiązanych do wpisu dowiesz się tutaj: https://www.gov.pl/web/finanse/centralny-rejestr-beneficjentow-rzeczywistych oraz https://www.gov.pl/web/finanse/zgloszenie-informacji-o-beneficjentach

Zgłoszenie do CRBR składa się bezpłatnie w formie elektronicznej na stronie internetowej https://www.podatki.gov.pl/crbr/

Ważne terminy na dokonanie zgłoszenia: 

  • Spółki, które zostały wpisane do KRS przed dniem wejścia w życie przepisów dotyczących Centralnego Rejestru Beneficjentów Rzeczywistych (13 października 2019 r.), mają obowiązek zgłosić informacje o beneficjentach rzeczywistych do 13 kwietnia 2020 r.
  • Podmioty, które zostały wpisane do KRS po 13 października 2019 r., mają obowiązek zgłosić dane beneficjenta rzeczywistego nie później niż w terminie 7. dni od dnia wpisu do KRS.

 

Biała lista podatników – ważne dla przelewów powyżej 15.000 zł brutto

Od 1 stycznia 2020 r. zapłata za pośrednictwem konta bankowego musi być dokonana na konto znajdujące się w wykazie udostępnionym przez szefa KAS. Dotyczy to zapłaty za transakcje na kwoty wyższe niż 15.000,00 brutto. Brak spełnienia tego warunku powoduje brak możliwości zaliczenia tego wydatku w koszty uzyskania przychodu.

Tutaj znajdziesz link do wyszukiwarki kont bankowych (proszę też sprawdzić swoje konta): https://www.podatki.gov.pl/wykaz-podatnikow-vat-wyszukiwarka

 

Podsumowanie zmian 2020 

Jak widać w roku 2020 r. czekają nas spore zmiany prawne – będą one dotyczyły nie tylko zmian w regulaminie sklepu internetowego (szczególnie istotnych dla sprzedawców B2B), ale także szeregu innych zmian istotnych dla prowadzonej działalności. Będziemy na bieżąco obserwować zmiany i trzymać rękę na pulsie.

RODO W PIGUŁCE DLA SPRZEDAWCY

RODO W PIGUŁCE DLA SPRZEDAWCY

utworzone przez | lis 21, 2019 | Obowiązki Informacyjne Sprzedawcy, Ochrona Danych Osobowych (GIODO), RODO, RODO sklep internetowy | 0 komentarzy

Każda firma (w tym także Sprzedawca internetowy i stacjonarny), która w ramach swojej działalności przetwarza jakiekolwiek dane osobowe (a 99,9% je przetwarza) musi przestrzegać obowiązków wynikających z RODO. Nie ma tutaj znaczenia wielkość, rodzaj danych, czy czynności jakie są na nich wykonywane . Aby spełnić wymogi RODO należy umieścić na stronie dokument informacyjny (politykę prywatności) oraz opracować i wdrożyć dokumentację wewnętrzną firmy. Są to dwie odrębne kwestie i obie muszą być wdrożone.

 

Czy RODO mnie dotyczy? Odpowiedz na kilka pytań i dowiedz się, czy RODO to także Twoja sprawa

 

Nadal zastanawiasz się czy przetwarzasz dane osobowe, czy RODO Ciebie dotyczy i czy Twoja firma spełnia wymogi RODO? Odpowiedz na poniższe pytania i dowiedz się!

  1. Czy w ramach swojej działalność przetwarzasz jakiekolwiek dane osobowe? (np. pracowników, klientów, dostawców) „Przetwarzanie” oznacza jakąkolwiek czynności wykonywaną na danych osobowych – również samo ich przechowywanie w dowolnej formie. Może to być również np.: zbieranie danych w celu realizacji zamówienia, wysyłki próbek, wystawienia faktury czy zatrudnienia pracownika.
  2. Czy posiadasz na swojej stronie dokument informacyjny, w którym podajesz kto jest administratorem danych, jakie są cele przetwarzania danych i prawa przysługujące w związku z tym? Takim dokumentem może być np. polityka prywatności.
  3. Czy dopełniasz obowiązku informacyjnego wobec osób, które podają dane poza sklepem internetowym? Np. które podają dane w sklepie stacjonarnym, zamawiają produkt poprzez Facebooka, czy biorą udział w rekrutacji.
  4. Czy posiadasz w swojej firmie: (1) Rejestr czynności przetwarzania? (2) Rejestr incydentów i naruszeń w ochronie danych? (3) Imienne upoważnienia dla pracowników mających dostęp do danych osobowych? (4) Umowy powierzenia danych osobowych innym firmom?
  5. Czy przeprowadziłeś analizę ryzyka, wraz z oceną skutków dla przetwarzania danych osobowych dla wymagających tego operacji?

Jeśli przetwarzasz dane osobowe (odpowiedź TAK na pierwsze pytania) i udzieliłeś na któreś z pytań 2-5 odpowiedzi NIE, to zostań z nami i przeczytaj dalszą cześć tekstu. Dowiesz się czego jeszcze potrzebujesz, aby działać zgodnie z prawem.

 

Czego wymaga RODO od sprzedawcy internetowego?

 

RODO wprowadziło powszechną ochronę danych osobowych, która dotyczy wszelkich informacji pozwalających na zidentyfikowani konkretnych osób. Nie ma tutaj znaczenia, czy mamy do czynienia z danymi klientów umieszczonymi na fakturze (które również podlegają ochronie), czy z dokumentacją pracowniczą (np. teczki osobowe) – w każdym przypadku należy wprowadzić odpowiednią ochronę. Szczególnie należy pochylić się nad kwestią bezpieczeństwa w przypadku działalności, która polega na:

  • sprzedaży prowadzonej przez Internet, która narażona jest na szczególne rodzaje zagrożeń. Tutaj warto wspomnieć o ostatnim przypadku Morele.net – sklepu który otrzymał karę w wysokości blisko 3 mln zł, za wyciek danych. Więcej informacji o tym naruszeniu znajdziesz w komunikacie Urzędu Ochrony Danych Osobowych: https://uodo.gov.pl/pl/138/1189
  • przetwarzaniu danych szczególnej kategorii – czyli tzw. danych wrażliwych, dotyczących stanu zdrowia, poglądów politycznych, orientacji seksualnej etc. Dotyczy to np. sprzedaży soczewek i okularów (w zakresie wady wzroku), sprzętu rehabilitacyjnego, jak również zatrudniania osób niepełnosprawnych.
  • profilowaniu i podejmowaniu zautomatyzowanych decyzji na temat osób, których dane są przetwarzane, np. automatyczne ustalanie ceny promocyjnej, w oparciu o profil klienta zawierający dane osobowe (oferowanie cen promocyjnych dla określonych grup klientów – zainteresowanych dietą, szukających informacji na określony temat itp.),
  • zatrudnianiu pracowników i przetwarzaniu danych z tym związanych (kwestie odpowiedniego zabezpieczenia danych pracowniczych mogą być przedmiotem kontroli inspekcji pracy, która praktycznie każdą kontrolę rozpoczyna od zapoznania się z teczkami pracowniczymi i ich zgodnością z przepisami Kodeksu Pracy).

Poziom tej ochrony będzie różny i zależny od rodzaju prowadzonej działalności, jej skali czy sposobów przetwarzania danych. Zawsze wymagane jest jednak aby administrator danych (najczęściej właściciel firmy) przeanalizował swoją sytuację i dobrał odpowiednie, adekwatne zabezpieczenia i przygotował wymaganą dokumentację. Nawet jeśli wszystko w firmie jest doskonale zabezpieczone należy formalnie opisać sytuację i wprowadzić konieczne dokumenty. Tylko na tej podstawie urząd może ocenić, czy podjęte działania są adekwatne do zakresu i rodzaju przetwarzanych danych.

Pełny tekst RODO znajdziesz tutaj: Rozporządzenie RODO

 

Jakie dokumenty wewnętrzne powinien posiadać Sprzedawca zgodnie z RODO?

 

RODO wymienia tylko trzy konkretne dokumenty, jakie muszą znaleźć się firmie. Są to:

  • rejestr czynności przetwarzania (wskazany w art. 30 RODO)
  • rejestr incydentów i naruszeń (wymaga go art. 33 RODO)
  • analiza ryzyka, wraz z oceną skutków dla przetwarzania danych (na podstawie między innymi motywu 76 RODO)

Nie oznacza to, że są to jedyne materiały, jakie muszą być wdrożone w firmie – w końcu same rejestry nie zabezpieczają danych. Pozostała dokumentacja konieczna jest do zachowania zasady rozliczalności – czyli mówiąc najprościej – możliwości „rozliczenia” się przed urzędem (lub kontrolą) z czynności, jakie podjęliśmy aby zabezpieczyć dane. Do tego nasz system ochrony powinien być oparty o przyjęte procedury czy zasady postępowania – jak np. regulaminy dla pracowników (np. regulamin korzystania z urządzeń mobilnych poza firmą), szczegółowe instrukcje (np. instrukcja nadawania uprawnień do systemów informatycznych), czy też procedury (np. procedura wykonywania kopii zapasowych, czy niszczenia dokumentów i nośników tradycyjnych).

 

Jak przebiega wdrożenie RODO w firmie?

 

Wprowadzając RODO w firmie przygotowujemy zestaw dokumentów. Ich zakres, wraz z krótkim opisem znajduje się w tabeli poniżej.

Nazwa dokumentu

Co zawiera dokument?

Jaki jest cel posiadania dokumentu?

1. Rejestr czynności przetwarzania

 Wykaz czynności (procesów biznesowych) w ramach których przetwarzane są dane osobowe (np. realizacja zamówienia, wysyłka newslettera, rekrutacja pracowników) wraz z określeniem celu przetwarzania, zakresu danych etc. Dokumenty wymagany na podstawie art. 30 RODO. Stanowi podstawę do tworzenia pozostałej dokumentacji. Innymi słowy ewidencjonuje dane osobowe w naszej firmie.

2. Analiza ryzyka i ocena skutków dla przetwarzania danych

 W analizie ryzyka należy wykazać jakie zagrożenia mogą towarzyszyć przetwarzaniu danych w naszej, konkretnej sytuacji oraz jakie zabezpieczenia wprowadzono, aby im zaradzić. Realizacja podejścia opartego na ryzyku. Należy przeanalizować zagrożenia (np. atak hakerski, utratę danych czy ich wyciek) i podjąć odpowiednią decyzję na temat ryzyka (np. poprzez jego unikanie, akceptację czy mitygację).

3. Instrukcja zarządzania systemem informatycznym

 Instrukcje i procedury związanie z obsługą systemów informatycznych (np. w zakresie nadawania uprawnień, polityki haseł, czy wykonywania kopii zapasowych). Zabezpieczenie systemów informatycznych – czyli obszarów, które są newralgiczne pod kątem bezpieczeństwa danych.

4. Rejestr incydentów i naruszeń w ochronie danych

 Opis incydentów i naruszeń w bezpieczeństwie danych, jakie wystąpiły w naszej firmie . Wymagany na podstawie art. 33 RODO. Jest dalszą częścią (po analizie ryzyka) podejścia opartego na ryzyku. Incydenty i naruszenia należy odnotowywać, analizować i podejmować odpowiednie działania w celu uniknięcia ich wystąpienia w przyszłości.

5. Wzór umowy powierzenia danych osobowych

 Regulacje dotyczące powierzenia danych innej firmie (deklaracje stosowanych zabezpieczeń, zakres odpowiedzialności, informowanie o naruszeniach, prawo do audytu etc.) Umowa powierzenia danych jest wymagana na podstawie art. 28 RODO. Zamiast umowy może to być inny, równorzędny instrument prawny (np. regulamin). Dzięki umowie kontrolujemy dane osobowe wychodzące na zewnątrz naszej firmy.

6. Upoważnienia do przetwarzania danych dla pracowników wraz z oświadczeniem o zachowaniu danych w tajemnicy.

 Imienne upoważnienie pracownika do przetwarzania określonych danych osobowych oraz jego zobowiązanie do przestrzegania przepisów i wewnętrznych procedur firmy w zakresie bezpieczeństwa. Na podstawie art. 29 RODO dostęp do danych osobowych mogą mieć tylko osoby upoważnione przez administratora. Dzięki upoważnieniom kontrolujemy kto ma dostęp do danych wewnątrz naszej firmy.

7. Polityka bezpieczeństwa (nie mylić z polityką prywatności, którą publikujemy na stronie)

 Główny dokument opisujący zasady bezpiecznego przetwarzania danych. Zakres polityki może być różny w zależności od danej firmy, jednak zwykle zawiera ona:

– opisy obowiązków administratora i personelu

– szczegółowe procedury, np. udzielania odpowiedzi na pytania związane z danymi osobowymi,

– opis obszaru, w jakim przetwarzane są dane osobowe.

 Polityka bezpieczeństwa w praktyczny sposób opisuje jak powinny być zabezpieczone dane i jakie obowiązki ciążą w związku z tym na pracownikach i samym administratorze danych. Polityka może odsyłać do innych, bardziej szczegółowych dokumentów (np. procedur).

8. Klauzule informacyjne

 Niezbędne informacje, jakie należy podawać osobom, które przekazują nam dane osobowe (w dowolnym celu – od złożenia zamówienia, po przekazanie CV do celów rekrutacji). Obejmują one np. nazwę i kontakt do administratora, cel przetwarzania, komu dane mogą zostać przekazane etc. Do przekazania odpowiednich informacji osobom, od których zbieramy dane osobowe zobowiązują art. 13 i 14 RODO. Chodzi o to, aby każda osoba miała jasność co do tego komu i w jakim celu przekazuje dane osobowe.

9. Dodatkowe dokumenty

 Dodatkowe dokumenty mogą być niezbędne lub pomocne dla konkretnych rodzajów działalności, jak np. przetwarzania danych wrażliwych (o stanie zdrowia), czy też przy stosowaniu systemów i środków wymagających szczegółowych instrukcji (np. serwer wewnątrz firmy, aplikacja mobilna etc.). Dodatkowe materiały mogą być niezbędne do prawidłowego zabezpieczenia danych w konkretnych sytuacjach.

 

Dokumentacji wewnętrznej RODO nie należy publikować ani udostępniać osobom nieupoważnionym, ponieważ opisują np. zabezpieczenia, lokalizacje i inne kwestie, których opublikowanie mogłoby być niebezpieczne.

Dokumentem informacyjnym umieszczanym na stronie internetowej jest polityka prywatności, która w odróżnieniu od polityki bezpieczeństwa skierowana jest do klientów i użytkowników korzystających z naszej strony. Jest ona jednak dokumentem niezależnym i jej umieszczenie na stronie nie zwalnia z pozostałych obowiązków nakładanych przez RODO.

Polityka prywatności może być jednak pomocna przy dopełnianiu obowiązków informacyjnych – możemy np. odsyłać do niej jako do tzw. drugiej warstwy obowiązku. Trzeba jednak pamiętać, aby treści umieszczone w polityce prywatności były spójne z dokumentacją wewnętrzną (np. w zakresie celów przetwarzania danych). Zamawiając politykę prywatności oraz dokumentację RODO w naszej firmie mają Państwo pewność, że treści te są spójnie i w razie potrzeby aktualizowane.

Z dokumentami RODO należy oczywiście zapoznać pracowników, którzy są zobowiązani do ich przestrzegania. Należy jednak pamiętać, że nie każdy pracownik musi zapoznawać się z każdym dokumentem, a tylko z tymi, które faktycznie odnoszą się do jego pracy.

Prace nad wdrożeniem rozpoczynamy od zebrania informacji na temat funkcjonowania firmy, procesów biznesowych, lokalizacji i innych czynników, które mają lub mogą mieć wpływ na bezpieczeństwo danych. Na tej podstawie tworzony jest rejestr czynności przetwarzania (wymaga tego art. 30 RODO – obowiązek ten dotyczy praktycznie każdej firmy), czyli dokument w pliku excel, który ewidencjonuje dane osobowe w firmie. Forma rejestru jest dowolna, jednak zaleca się aby prowadzony był w formie edytowalnej, tak aby można było łatwo wprowadzać zmiany (np. przy poszerzeniu działalności).

Przykładowy Rejestr czynności przetwarzania RODO

Żródło: Przykładowy Rejestr czynności przetwarzania udostępniony przez Urząd ochrony danych osobowych. Pełna wersja dostępna: https://uodo.gov.pl/pl/123/214

 

Analiza ryzyka, czyli podejście oparte na ryzyku

 

Kolejnym krokiem jest przeprowadzenie analizy ryzyka. Jest to obowiązkowy element tzw. podejścia opartego na ryzyku. Na podstawie analizy (w zależności od liczby procesów dokument tworzony jest w postaci tabeli excel lub pliku word) tworzone są pozostałe materiały (np. polityki, instrukcje, procedury czy dodatkowe zalecenia), zgodnie potrzebami i wymaganiami przedsiębiorstwa.

Analiza ryzyka opiera się na opisaniu zagrożeń, jakie mogą towarzyszyć przetwarzaniu danych osobowych. Następnie określa się prawdopodobieństwo ich wystąpienia i możliwy skutek dla osoby, które dane dotyczą.

Przykładowo jeśli jakieś zagrożenie wystąpiło już w naszej firmie – np. atak hakerski, w wyniku którego zaszyfrowano bazę naszych klientów, a my nie wdrożyliśmy dodatkowych zabezpieczeń prawdopodobieństwo jego powtórzenia będzie wysokie. Jeśli połączymy je np. z niemożnością wykonania umowy bez tych danych (nie możemy wysłać produktu do klienta oraz dokonać rozliczenia skarbowego), czyli poważnymi skutkami otrzymamy wysoki poziom zagrożenia, który wymaga podjęcia odpowiednich kroków (np. wprowadzenia oprogramowania typu IPS).

Wskazanie odpowiednich zagrożeń i określnie prawdopodobieństwa i skutku ich wystąpienia wymaga wiedzy i doświadczenia. Dla ułatwienia można jednak posłużyć się opracowaniami fachowymi – np. z normy ISO 27001, czy katalogu zagrożeń Rządowego Centrum Reagowania na Incydenty Komputerowe (csirt.gov.pl).

Katalog zagrożeń i podatności csirt.gov

Żródło: Katalog zagrożeń i podatności csirt.gov.pl.

 

Kiedy dane będą już odpowiednio zabezpieczone pozostaje dopełnienie formalności. Będzie to np. zawarcie umów powierzenia danych osobowych z firmami, którym przekazujemy dane w określonych celach (np. świadczenia usługi hostingu czy prowadzenia księgowości) czy wydanie upoważnień pracownikom mającym dostęp do danych.

Należy również bezwzględnie pamiętać o dopełnieniu obowiązków informacyjnych w momencie zbierania danych osobowych – za nieprzekazanie klauzul informacyjnych Urząd ochrony danych osobowych nałożył pierwszą w Polsce karę – prawie 1 mln złotych.

Skoro jesteśmy już przy karach – grożą one za złamanie 33 artykułów RODO. Wielu z nich nie jesteśmy w stanie zrealizować bez odpowiednich dokumentów. Sama kara pieniężna może wynosić nawet do 20 mln euro.

 

Podsumowanie – kroki do zgodności z RODO

 

Podsumowując – aby dostosować przedsiębiorstwo do RODO należy:

  1. Przeprowadzić inwentaryzację procesów prowadzonych na danych osobowych i przygotować Rejestr czynności przetwarzania.
  2. Przeprowadzić analizę ryzyka biorąc pod uwagę kontekst przetwarzania danych i możliwe skutki dla osób, których dane dotyczą oraz podjąć decyzje dotyczące tych niebezpieczeństwa (np. wdrożenie dodatkowych zabezpieczeń, rezygnacja z przetwarzania danych etc.)
  3. Wprowadzić odpowiednie zabezpieczenia danych pod kątem: poufności, integralności i dostępności oraz utworzyć dokumentację opisującą te zabezpieczenia.
  4. Dopełnić pozostałych obowiązków formalnych, jak zawarcie umów powierzenia, wydanie upoważnień czy opracowanie klauzul informacyjnych (również dla danych zbieranych poza sklepem internetowym – np. w sklepie stacjonarnym).
  5. Prowadzić na bieżąco rejestr incydentów i naruszeń oraz aktualizować dokumentację zgodnie ze zmianami zachodzącymi w naszej firmie (może to być np. wprowadzenie monitoringu wizyjnego, dodatkowego programu, zmiany w strukturze organizacyjnej etc.).
  6. Zaleca się również, aby na bieżąco śledzić stronę Urzędu Ochrony Danych. Możemy znaleźć na niej szczegółowe poradniki dotyczące konkretnych kwestii, jak:

Potrzebujesz pomocy przy wdrożeniu RODO w swojej firmie? Skontaktuj się z nami i chętnie Ci pomożemy.

Newsletter prawny dla Sprzedawców

Dowiesz się pierwszy o ważnych zmianach w prawie i otrzymasz specjalne zaproszenia na nasze webinary z prawnikiem!

SUKCES - zapisałeś się!

Wybierz kanał kontaktu:
Napisz maila
*
*
*
Zamów rozmowę tel.
*
*
Cześć, czy mogę pomóc?