RODO w sklepie internetowym – wszystko co musisz wiedzieć!

RODO w sklepie internetowym – wszystko co musisz wiedzieć!

utworzone przez | mar 22, 2019 | Obowiązki Informacyjne Sprzedawcy, RODO, RODO sklep internetowy | 0 komentarzy

Szukasz informacji na temat RODO w sklepie internetowym? Po raz kolejny przeczytałeś artykuł, który nie dał Ci żadnej praktycznej wiedzy? Nie wiesz, jak w praktyce wprowadzić RODO w swojej firmie? Czy RODO to tylko dokumenty? Jeśli stawiasz sobie powyższe pytania – trafiłeś w odpowiednie miejsce, Drogi Sprzedawco! Poniżej wyjaśniamy główne zagadnienia i zasady przetwarzania danych osobowych zgodnie z RODO. Jednak w przeciwieństwie do wielu ogólnych artykułów, nie będziemy po raz kolejny tłumaczyć Ci, czym jest „prawo do bycia zapomnianym” lub „pseudoanimizacja”, ale pokażemy Ci, jak wprowadzić RODO w Twojej firmie i co możesz zrobić, aby podnieść bezpieczeństwo danych (nie tylko osobowych!).

 

Na początek – czym jest RODO?

 

RODO to ogólne rozporządzenie o ochronie danych osobowych wydane przez Parlament i Radę Europy. Są to przepisy, które regulują przetwarzanie danych osobowych na terenie Unii Europejskiej (a raczej EOG) i wymagają od nas:

  • podania osobie, od której zbieramy dane osobowe zestawu informacji (np. przy składaniu zamówienia, zakładaniu konta czy zapisie na newsletter),
  • przetwarzania danych osobowych zgodnie z zasadami:
    • ograniczenia celu – czyli zbierania i przetwarzania danych tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach,
    • minimalizacji danych – czyli zbierania danych tylko w zakresie niezbędnym do osiągnięcia założonego celu,
    • prawidłowości – przetwarzać możemy tylko dane prawidłowe (w razie konieczności należy je uaktualnić),
    • ograniczenia czasowego – czyli przetwarzania danych nie dłużej, niż jest to niezbędne do osiągnięcia celu,
    • zachowania danych w poufności i zadbania o ich integralność – czyli zabezpieczenia danych przed nieuprawnioną modyfikacją i dostępem,
  • udokumentowania tego, że podjęliśmy odpowiednie kroki w celu realizacji powyższych zasad,
  • przeprowadzenia analizy ryzyka, czyli określenia jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie zabezpieczenia powinniśmy podjąć w związku z tym.

 

RODO w sklepie internetowym – od czego zacząć?

 

rodo w sklepie internetowym

infografika – RODO w sklepie internetowym

Na samym początku dostosowywania naszej firmy do RODO musimy ustalić z jakimi danymi osobowymi mamy właściwie do czynienia. Ale jak to zrobić? Bardzo prosto – wystarczy zastanowić się nad tym, czym właściwie zajmuje się nasza firma.

W całym procesie pomoże Ci także przygotowana przez nas infografika – znajdziesz ją z prawej strony artykułu oraz na końcu.

Twoją główną działalnością jest sprzedaż w Internecie? To świetnie, z pewnością będziesz miał do czynienia z danymi osobowymi podczas:

  • realizowania zamówienia w Twoim sklepie,
  • wysyłki newslettera,
  • prowadzenia akcji marketingowych,
  • sprzedaży w serwisach typu Allegro, Amazon czy eBay,
  • prowadzenia księgowości

Dodatkowo jeśli zatrudniasz pracowników – będziesz przetwarzać ich dane w celu przeprowadzenia rekrutacji i samego zatrudnienia.

Wymienione powyżej czynności to tak naprawdę procesy biznesowe, a w kontekście ochrony danych osobowych – procesy przetwarzania danych osobowych.

Jak pewnie zauważyłeś, wymienione powyżej operacje wykraczają poza prowadzenie samego sklepu internetowego (np. przy rekrutacji pracowników lub też prowadzeniu księgowości). Wynika to z tego, że RODO dotyczy całej firmy i wszystkich przetwarzanych w jej ramach danych. Jeśli więc oprócz sklepu internetowego zajmujesz się również np. pośrednictwem pracy – konieczne będzie uwzględnienie procesów, jakie są w jego ramach prowadzone.

 

Rejestr czynności przetwarzania – o co chodzi?

 

Kiedy już wiesz jakie operacje przetwarzania danych są prowadzone w Twojej firmie pora na utworzenie Rejestru czynności przetwarzania. Dokument ten jest wymagany przez RODO i możesz prowadzić go w dowolnej formie.

Warto przy tym pamiętać, że rejestr taki należy uaktualniać, dobrze więc aby łatwo można było go edytować (dlatego zalecana forma to np. plik Excel). Dokładne informacje na temat tego, co musi znaleźć się w rejestrze znajdziesz w art. 30 RODO.

Pamiętaj o tym, że w rejestrze należy uwzględnić wszystkie prowadzone operacje przetwarzania danych osobowych w Twojej firmie – również te niezwiązane ze sklepem internetowym.

Zastanawiasz się pewnie teraz, czy musisz prowadzić rejestr czynności przetwarzania? 

RODO wymaga, aby Rejestr czynności przetwarzania był prowadzony w firmach, które zatrudniają powyżej 250 pracowników. Mniejsze podmioty muszą go jednak prowadzić również wtedy gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego
  • obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

W przypadku sklepu internetowego przetwarzanie danych osobowych praktycznie nigdy nie będzie sporadyczne (nawet jeśli mamy jednego klienta w roku) i zawsze będzie się wiązało z ryzykiem naruszenia praw i wolności osób, których dane dotyczą (chodzi o to, że dane są przetwarzane w systemie informatycznym oraz przy pomocy Internetu). Rejestr czynności będzie więc zawsze konieczny.

Przykładowy wpis w Twoim rejestrze powinien wyglądać mniej więcej tak:

 

RODO to przede wszystkim analiza ryzyka

 

RODO w sklepie internetowym jest neutralne technologicznie. Oznacza to, że próżno szukać w nim konkretnych urządzeń, programów czy sposobów przetwarzania danych, jakie powinniśmy stosować, aby przetwarzać dane zgodnie z prawem. Musimy skorzystać za to z bardzo praktycznego narzędzia, jakim jest analiza ryzyka.

Jest to – mówiąc najprościej – dokument, w którym zastanawiamy się, jakie zagrożenia towarzyszą przetwarzaniu danych w naszej konkretnej sytuacji i jakie działania powinniśmy podjąć, aby je zniwelować lub ograniczyć. Aby przeprowadzić taką ocenę, musimy wiedzieć, jakie operacje prowadzimy. Właśnie dlatego na pierwszym etapie utworzyliśmy Rejestr czynności.

Przeprowadzając analizę ryzyka należy określić kontekst przetwarzania dla każdej operacji, który powinien obejmować:

  • urządzenia, jakie są używane do przetwarzania danych (np. komputer, serwer, telefon) oraz sposoby przetwarzania (np. w formie cyfrowej, przez internet)
  • osoby, jakie mają dostęp do danych w ramach procesu (czy są one upoważnione do przetwarzania? Ile osób posiada dostęp i w jakiej formie – np. zdalnie lub w siedzibie firmy)
  • jakiego rodzaju dane przetwarzamy (np. dane zwykłe, dane wrażliwe etc.)
  • jakie dokumenty, wpisy, pliki zawierające dane osobowe generowane są w ramach procesu?

Im lepiej i dokładniej określimy kontekst przetwarzania, tym łatwiej będzie nam dobrać odpowiednie zabezpieczenia. Kiedy znamy już kontekst pora na zastanowienie się nad tym, jakie zagrożenia będą związane z przetwarzaniem danych w naszej sytuacji.

Typowe zagrożenia, jakie występują przy przetwarzaniu danych w ramach sklepu internetowego to np.:

  • zarażenie komputera złośliwym oprogramowaniem (wirus, trojan, sniffing etc.)
  • złamanie zabezpieczeń (np. nieuprawnione logowanie, ataki brute force, ataki słownikowe)
  • inżynieria społeczna, podsłuchy, skanowanie
  • utrata danych (np. uszkodzenie dysku serwera, napisanie danych, usunięcie)
  • czynniki ludzkie (nieprzestrzeganie procedur, brak wiedzy, naruszenie przepisów, zaniedbanie)
  • wypadki losowe (np. zalanie serwerowni, awarie sprzętu, awarie łącz)

To że określiliśmy zagrożenia, nie oznacza od razu, że mogą one wystąpić w naszej firmie. Dlatego mając przed sobą listę ryzyk, jakie mogą wystąpić w naszej firmie w związku z przetwarzaniem danych określamy jakie podatności są z nimi związane. Podatnościami takimi mogą być:

  • kradzież lub utrata sprzętu, co samo w sobie nie jest podatnością, ale staje się nią np. kiedy przewozimy niezaszyfrowanego laptopa na przednim siedzeniu auta i pozostawiamy go w nim
  • brak wiedzy na temat należytej ochrony danych
  • brak fizycznej ochrony pomieszczeń, w których przetwarzamy dane
  • niewykonywanie kopii zapasowych danych,
  • możliwy dostęp do danych przez osoby nieuprawnione etc.

Po ustaleniu zagrożeń i podatności, jakie występują w naszej organizacji należy dobrać odpowiednie zabezpieczenia, tak aby je zniwelować. Przykładowe zabezpieczenia, jakie możemy wdrożyć to:

  • oprogramowanie antywirusowe oraz firewall
  • przeszkolenie pracowników z zasad bezpiecznego przetwarzania danych
  • wykonywanie kopii zapasowych posiadanych danych
  • podpisanie umów powierzenia danych osobowych z wymagającymi tego podmiotami
  • wprowadzenie procedur i zasad przetwarzania danych (np. procedury czystego biurka, procedury zmiany haseł i logowania do systemu
  • szyfrowanie dysków komputerów (np. tych wynoszonych poza biuro)
  • szyfrowanie protokołem SSL (dla strony naszego sklepu).

 

Przygotowanie pozostałej dokumentacji dot. RODO

 

Po Rejestrze czynności przetwarzania i analizie ryzyka możemy przystąpić do utworzenia pozostałej dokumentacji, która pozwoli nam na wywiązanie się z zasady rozliczalności (czyli możliwości udowodnienia, że podjęliśmy odpowiedni kroki w celu zabezpieczenia danych).

Dokumenty takie mogą zawierać:

  • zasady przetwarzania danych dla pracowników (np. regulamin przetwarzania danych)
  • procedury służące bezpiecznemu przetwarzaniu danych (np. instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych)
  • dodatkowe rejestry i ewidencje (np. ewidencję stosowanego sprzętu, wykaz zabezpieczeń, ewidencję podmiotów, którym powierzono przetwarzanie danych, ewidencję osób upoważnionych)
  • dokument wymagany przez RODO czyli Rejestr incydentów i naruszeń w ochronie danych, w którym uwzględniać będziemy sytuacje powodujące i mogące powodować naruszenie bezpieczeństwa danych

Zakres koniecznej dokumentacji zależy od Administratora danych osobowych i skali jego działalności oraz prowadzonych operacji przetwarzania. Nie ma więc jednego wykazu dokumentów, jaki powinniśmy posiadać, jednak pamiętajmy, że RODO w sklepie internetowym wymaga od nas co najmniej

  • rejestru czynności przetwarzania,
  • analizy ryzyka, wraz z oceną skutków dla przetwarzania danych,
  • rejestru incydentów i naruszeń,
  • pozostałej dokumentacji niezbędnej do realizacji zasady rozliczalności.

 

Pozostałe obowiązki związane z RODO w sklepie internetowym

 

Po przeprowadzeniu analizy ryzyka, dobraniu odpowiednich zabezpieczeń i przygotowaniu dokumentów możemy dopiąć pozostałe kwestie, które uzupełnią system ochrony danych w naszej firmie, czyli:

  • wydajemy upoważnienia dla pracowników naszej firmy, którzy mają dostęp do danych osobowych.

Upoważnienie powinno zawierać informacje, do jakich danych (operacji) dostęp ma pracownik (np. realizacja zamówienia w sklepie internetowym, prowadzenie księgowości, rekrutacja pracowników itd.), w jakim okresie (np. przez 3 miesiące lub – jeśli nie jesteśmy w stanie ustalić tego przedziału – do czasu rozwiązania umowy o pracę czy też zakończenia współpracy).

  • podpisujemy umowy powierzenia z firmami, którym przekazujemy dane osobowe,

Umowa zawierana jest pomiędzy Administratorem danych osobowych (ADO) a tzw. procesorem, czyli podmiotem, który „procesuje” (przetwarza) dane w imieniu procesora. Inaczej mówiąc jest to relacja pomiędzy firmą, która zleca wykonanie określonych czynności na danych osobowych innemu podmiotowi (np. biurze księgowemu – w celu prowadzenia księgowości, kurierowi – w celu dostawy produktu, hostingodawcy – w celu świadczenia usługi hostingowej).

Umowa taka nie musi być zawarta w formie papierowej (równie dobrze może to być np. akceptacja regulaminu świadczenia usługi), jednak powinna zawierać ona co najmniej:

  1. cel i zakres powierzenia danych,
  2. czas trwania,
  3. zobowiązania procesora do przetwarzania danych zgodnie z prawem i zgłaszania Administratorowi naruszeń w ochronie danych,
  4. zastrzeżenie prawa do kontroli procesora (przez Administratora) w zakresie przetwarzania danych,
  5. kwestię podpowierzenia danych (czyli przekazania danych przez procesora innej firmie),
  6. zakres odpowiedzialności procesora
  7. co stanie się z przekazanymi danymi po wygaśnięciu umowy.

Najczęściej umowa powierzenia danych osobowych jest powiązana (komparycja) z umową o świadczenie podstawowej usługi (np. świadczenia usług kurierskich, prowadzenia księgowości, wykonania określonych prac) i jest od niej zależna np. w zakresie trwania (czyli jeśli rozwiązujemy umowę z hostingodawcą umowa powierzenia również przestaje obowiązywać).

  • podajemy wymagane informacje osobom, od których zbieramy dane osobowe (obowiązki informacyjne) – również w miejscach poza sklepem internetowym (np. w sklepie stacjonarnym).

Sposób i forma przekazania informacji określonych w art. 13 i 14 RODO jest dowolna, warto jednak pamiętać o zachowaniu zasady rozliczalności – czyli możliwości wykazania, że faktycznie zostały one przekazane. Nie musimy tutaj zbierać podpisów (czy też checkboxów) od osób, którym przekazujemy dane, wystarczy określenie w dokumentacji, że obowiązki są spełniane np. poprzez umieszczenie zakładki na stronie internetowej czy też procedurę odczytywania informacji przez telefon (jeśli dane zostają pozyskane w ten sposób). W sklepie stacjonarnym obowiązek informacyjny może być umieszczony na tablicy powieszonej na ścianie czy też w formie wydruku na ladzie.

 

Ważne!

Dopełniając obowiązki informacyjne warto pamiętać o kilku kwestiach:

 

  • Informacje jakie musimy podać określone są w art. 13 i 14 RODO, informacje te obejmują między innymi:
    • tożsamość i dane kontaktowe Administratora,
    • dane Inspektora ochrony danych (tylko jeśli został powołany),
    • cel (lub cele) przetwarzania danych,
    • komu dane zostają przekazane / ujawnione,
    • czy dane są przekazywane poza Unię Europejską,
    • okres przechowywania danych (lub kryteria ustalenia tego okresu),
    •  prawa osoby, od której zbierane są dane (np. dostępu do danych czy prawie wniesienia skargi do urzędu),
    • czy dochodzi do profilowania osoby, której dane dotyczą lub podejmowania zautomatyzowanych decyzji niosących skutek prawny wobec takiej osobowy.
  • Nie ma określonej formy przekazania tych informacji. Nie jest więc konieczny masowy mailing do wszystkich klientów, czy wyskakujące okna na stronie sklepu.
  • Ponieważ informacje, jakie musimy przekazać są dość rozległe dopuszczalne jest przekazanie tylko ich części w miejscu zbierania danych, wraz z odesłaniem do dedykowanej strony zawierającej pełną treść obowiązku.
  • Nie jest konieczne umieszczanie checkboxa o zapoznaniu się z tymi informacjami, aczkolwiek jest to zalecane z uwagi na ułatwienie spełnienia obowiązku informacyjnego.
  • Obowiązek informacyjny nie jest zgodą na przetwarzanie danych! Musimy przekazać go zawsze wtedy, kiedy po raz pierwszy pozyskujemy dane osobowe bez względu na podstawę ich przetwarzania (czyli np. realizację umowy). Z kolei zgoda jest przesłanką legalizującą przetwarzanie danych (na podstawie art. 6, ust. 1 lit. A RODO) i przy jej pozyskaniu również należy przekazać wspomniane informacje (nie należy pozyskiwać zgody na przetwarzanie danych jeśli pozyskujemy je w celu realizacji umowy – czyli np. sprzedaży produktu poprzez sklep internetowy).

 

Na koniec – pamiętajmy o prawach, jakie przysługują osobom, od których zbieramy dane osobowe

 

Powyżej opisaliśmy, w jaki sposób stworzyć system ochrony danych w naszej firmie. Powinien on funkcjonować w odniesieniu do wszystkich danych, jakie będziemy przetwarzać, a więc w razie potrzeby – powinniśmy uaktualniać informacje w dokumentach (np. dodając nowe operacje do Rejestru czynności, czy też przeprowadzając analizę ryzyka w wypadku zmiany sposobów przetwarzania danych).

Cały czas musimy też pamiętać o tym, że osobom których dane przetwarzamy przysługuje szereg praw, które musimy realizować. Będą to:

  • prawo do informacji czy przetwarzamy dane osobowe tej osoby,
  • prawo do sprostowania danych (czyli ich poprawienia, jeśli są błędne) oraz
  • prawo do bycia zapomnianym (prawo do usunięcia danych)

Ważne! W przypadku wniesienia żądania usunięcia danych osobowych należy pamiętać o tym, że nie zwalnia to Administratora danych z przetwarzania danych, które wynika z przepisów prawa, np. w związku z obowiązkami podatkowymi. Nie możemy np. usunąć faktur zawierających dane osobowe na żądanie, jeśli mamy prawny obowiązek je przechowywać. W takiej sytuacji usuwamy dane jedynie z miejsc, w których były one przetwarzane w określonych celach, które wygasły. Czyli możemy pozostawić dane np. w systemie księgowym (ze względu na prawo podatkowe), ale nie w oprogramowaniu CRM czy sklepu internetowego.

  • prawo do ograniczenia przetwarzania (czyli zaprzestania wykonywania czynności na danych, jednak bez ich usuwania),
  • prawa do przenoszenia danych (czyli dostarczenia osobie, której dane dotyczą ustrukturyzowanego pliku zawierającego jej dane – uwaga to prawo mamy obowiązek realizować tyko wtedy, kiedy jest to technicznie wykonalne),
  • prawo do sprzeciwu i niepodleganiu zautomatyzowanemu podejmowaniu decyzji (np. przy profilowaniu).

 

Zamiast podsumowania – infografika

 

rodo w sklepie internetowym wszystko

rodo w sklepie internetowym wszystko

RODO i serwis internetowy – 7 rzeczy, na które trzeba zwrócić uwagę

RODO i serwis internetowy – 7 rzeczy, na które trzeba zwrócić uwagę

utworzone przez | paź 16, 2018 | Inne Regulaminy, Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, RODO, RODO sklep internetowy | 0 komentarzy

Jeżeli prowadzisz serwis internetowy, to w większości przypadków będziesz zbierać i przetwarzać dane osobowe użytkowników. W tym artykule opisujemy, na jakie kwestie warto przede wszystkim zwrócić uwagę przy tworzeniu serwisu, tak aby działał on zgodnie z wymogami Rozporządzenia RODO.

Jeżeli użytkownicy Twojego serwisu będą podawać jakiekolwiek dane osobowe przy korzystaniu z funkcjonalności, które udostępniasz, będą Cię dotyczyć wszystkie wymogi RODO związane z danymi osobowymi. Użytkownik może podać swoje dane np. w sytuacji, gdy jest możliwe założenie konta w serwisie, zakupienie w serwisie usługi lub towaru. W takim przypadku gromadzisz i przetwarzasz dane użytkowników. Jeżeli jednocześnie decydujesz o celach i sposobach przetwarzania tych danych, a najczęściej tak właśnie będzie, to jesteś administratorem danych osobowych użytkowników serwisu. W takim przypadku ten artykuł jest właśnie dla Ciebie.

 

RODO i Serwis internetowy [1] – Zasady przetwarzania danych osobowych

Jedną z najważniejszych kwestii, na które należy zwrócić uwagę jest przetwarzanie danych osobowych użytkowników serwisu zgodnie z zasadami wyznaczonymi przez Rozporządzenie RODO. Ustawodawca unijny a art. 5 Rozporządzenia RODO ustanawia następujące zasady:

  • zgodność z prawem, rzetelność i przejrzystość – musisz zadbać, aby mieć podstawę prawną do przetwarzania danych oraz aby użytkownik Twojego serwisu wiedział dokładnie jakie jego dane i w jakich celach będą przetwarzane;
  • ograniczenie celu – dane osobowe powinny być przetwarzane tylko w takich celach, w jakich zostały zebrane i o jakich użytkownik został poinformowany. Przykładowo, jeżeli użytkownik podaje swoje dane wyłącznie w celu wykupienia dostępu do płatnej funkcjonalności w serwisie, nie możesz tych danych użyć w celu marketingowym;
  • minimalizacja danych – powinieneś zbierać tylko takie dane użytkowników serwisu, które są konieczne do funkcjonowania serwisu. Przykładowo, jeżeli Twoim klientem jest konsument, kupujący dostęp do usługi elektronicznej oferowanej w serwisie, do korzystania z której wystarczy podanie adresu e-mail i hasła, nie powinieneś wymagać od niego innych danych np. adresu zamieszkania. Wymaganie podawania większej ilości danych niż te, które są konieczne w danym celu jest niezgodne z minimalizacji danych.
  • prawidłowość – w razie potrzeby powinieneś uaktualniać dane użytkowników, a jeżeli dane, które zebrałeś okażą się niepotrzebne do celu, w jakim zostały zebrane, powinieneś je usunąć z miejsca, w którym je przechowujesz;
  • ograniczenie przechowywania – powinieneś przechowywać dane użytkowników nie dłużej, niż to jest niezbędne z punktu widzenia danego celu przetwarzania. Przykładowo, jeżeli zbierasz dane na podstawie zgody na marketing, to powinieneś przechowywać te dane tylko do momentu cofnięcia zgody;
  • integralność i poufność – powinieneś zebrane dane osobowe przetwarzać tak, aby były one bezpieczne, nie uległy przypadkowej utracie, zniszczeniu czy uszkodzeniu.

 

RODO i Serwis internetowy [2] Polityka prywatności zgodna z RODO

Będąc administratorem danych osobowych zbieranych i przetwarzanych poprzez serwis internetowy, masz wobec użytkowników serwisu liczne obowiązki informacyjne. Ustawodawca unijny przyjął, że podmiot, którego dane są przetwarzane, a więc także użytkownik serwisu, powinien otrzymać od administratora kompleksową i wyczerpującą informację w głównych aspektach przetwarzania jego danych. Zgodnie z art. 13 Rozporządzenia RODO, powinieneś zapewnić użytkownikowi serwisu następujące informacje:

  • dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
  • jeżeli wyznaczyłeś w swojej firmie inspektora ochrony danych – dane kontaktowe tej osoby;
  • cele i podstawy prawne przetwarzania danych osobowych;
  • kategorie odbiorców danych osobowych – jeżeli przekazujesz dane użytkowników jakimś podmiotom zewnętrznym (np. firmy kurierskie);
  • przekazywanie danych osobowych użytkowników do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
  • konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
  • prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
  • prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
  • prawie do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
  • czy wymóg podania danych osobowych podczas korzystania z serwisu jest warunkiem koniecznym do zawarcia umowy w serwisie (np. umowy o korzystanie z funkcjonalności serwisu) oraz jakich danych i jakich sytuacji taki wymóg dotyczy;
  • zautomatyzowane podejmowanie decyzji w stosunku do użytkowników, w tym tzw. profilowanie użytkowników oraz zasady działania tego typu mechanizmów, jeżeli są stosowane w serwisie.

Dobrze napisana polityka prywatności ma zatem przede wszystkim funkcję spełnienia wszystkich tych obowiązków informacyjnych wobec użytkowników Twojego serwisu.

 

RODO i Serwis internetowy [3] Podstawy prawne przetwarzania danych

Warto zadbać, aby zbieranie i przetwarzanie danych użytkowników Twojego serwisu miało konkretne podstawy prawne. Rozporządzenie RODO zabrania przetwarzania danych bez takiej postawy. Jeżeli zatem nie możesz znaleźć podstawy do przetwarzania określonych danych w określonej sytuacji, może oznaczać to, że prawo zabrania Ci w danej sytuacji przetwarzać dane. W takim przypadku trzeba zweryfikować, czy cel który założyłeś w związku z przetwarzaniem jest rzeczywiście konieczny lub prawidłowo sformułowany Najczęściej występujące w serwisie internetowym podstawy prawne przetwarzania danych są następujące:

  • wykonanie umowy np. umowy o świadczenie usługi (np. udostępnienie użytkownikowi określonych funkcjonalności w serwisie) lub podjęcie działań na żądanie użytkownika przed zawarciem umowy (art. 6 ust. 1 lit. b) Rozporządzenia RODO);
  • prawnie uzasadniony interes administratora np. dochodzenie roszczeń związanych z zawartymi umowami lub obrona przed takimi roszczeniami (art. 6 ust. 1 lit. f) Rozporządzenia RODO);
  • zgoda użytkownika, np. na marketing (art. 6 ust. 1 lit. a) Rozporządzenia RODO);
  • obowiązek prawny ciążący na administratorze np. prowadzenie ksiąg podatkowych lub rachunkowych (art. 6 ust. 1 lit. c) Rozporządzenia RODO w związku z odpowiednimi przepisami ustaw podatkowych lub ustawy o rachunkowości).

Pełna lista podstaw prawnych przetwarzania danych zawarta jest w art. 6 Rozporządzenia RODO. Warto zapoznać się z tym przepisem w razie jakichkolwiek wątpliwości, czy założony przez Ciebie cel przetwarzania danych użytkowników serwisu jest zgodny z wymogami Rozporządzenia RODO.

 

RODO i Serwis internetowy [4] Checkboxy

Jeżeli w Twoim serwisie można jakąkolwiek umowę – może być to chociażby umowa o świadczenie usługi elektronicznej takiej jak np. konto użytkownika – będziesz potrzebował przynajmniej checkboxa ze zgodą na regulamin serwisu oraz z potwierdzeniem zapoznania się z polityką prywatności. Konieczność zamieszczenia checkboxa ze zgodą na regulamin wynika z ustawy o prawach konsumenta oraz z ustawy o świadczeniu usług drogą elektroniczną. Stanowią one określone obowiązki informacyjne związane z zawieraniem umów przez internet oraz ze świadczeniem usług elektronicznych. Checkbox ma formę zgody, a nie tylko potwierdzenia zapoznania się z dokumentem, ponieważ regulamin serwisu stanowi tzw. wzorzec umowny, który zawiera podstawową treść zawieranych w serwisie umów. Jako zatem część umowy wymaga potwierdzenie przez drugą stronę, którą jest użytkownik.

Z kolei polityka prywatności, jak wskazaliśmy wyżej, spełnia przede wszystkim funkcje informacyjne wobec użytkownika i zasadniczo nie wchodzi w skład zawieranych z nim umów. Nie wymaga ona zatem zgody, a jedynie potwierdzenia zapoznania się. Trzeba jednak pamiętać, że zarówno zgoda, jak i potwierdzanie, opisane powyżej powinny być w pełni świadome i aktywnie przez użytkownika wyrażone. Oznacza to, że checkboxy zawierające te oświadczenia nie mogą być domyślnie zaznaczone. Użytkownik powinien je zaznaczyć każdorazowo samodzielnie. Checkboxy te powinny jednak być obowiązkowe – w każdym miejscu, gdzie użytkownik zawiera umowę lub gdzie zbierane są jego dane, warunkiem przejścia do następnego kroku w serwisie powinno być wyrażenie zgody. Checkboxy powinny zawierać aktywne linki odpowiednio do regulaminu i do polityki prywatności.

Opisane powyżej checkboxy pojawiają się prawie we wszystkich serwisach internetowych. W niektórych przypadkach możesz potrzebować również innych checkboxów. Niektóre inne zgody, jakie mogą być wymagane w serwisie internetowym to:

  • zgoda na przetwarzanie danych użytkowników w celach marketingu Twoich usług lub produktów (tzw. marketing wewnętrzny);
  • zgoda na tzw. marketing zewnętrzny, a więc marketing produktów lub usług Twoich partnerów handlowych;

Każda z tych zgód musi być dobrowolna oraz wyraźna. Stąd również powinny one być wyrażone w formie odrębnych checkboxów. W przeciwieństwie do zgody na regulamin i potwierdzenia zapoznania się z polityką prywatności, checkboxy te nie mogą być obowiązkowe, nie powinny też być domyślnie zaznaczone.

 

RODO i Serwis internetowy [5] Pliki Cookies

Większość serwisów internetowych wykorzystuje tzw. Pliki Cookies.  Z technicznego punktu widzenia są to pliki tekstowe wysyłane przez serwer i zapisywane po stronie użytkownika serwisu (np. na dysku twardym komputera, laptopa, czy też na karcie pamięci smartfona). Z plikami cookies wiążą się obowiązki informacyjne wobec użytkowników. Główne regulacje dotyczące tych plików zawarte są w polskiej ustawie Prawo Telekomunikacyjne. Rozporządzenie RODO ma jedynie pośredni wpływ na regulacje związane z plikami Cookies, natomiast z prawnego punktu widzenia mają one duże znacznie w funkcjonowaniu serwisu.

Bardziej szczegółowe informacje o funkcjonowaniu plików Cookies najlepiej umieścić w polityce prywatności. Można również stworzyć odrębną politykę plików Cookie, ale nie jest to wymagane. Wystarczy, jeżeli odpowiednie zapisy o charakterze informacyjnym znajdą się w polityce prywatności.

Zalecane jest jednak, aby dodatkowo najważniejsze informacje o plikach Cookies zamieścić bezpośrednio na stronie serwisu np.. w formie wyskakującego na stronie komunikatu w linkiem do polityki prywatności oraz możliwością wyłączenia go w momencie kiedy użytkownik zapozna się z komunikatem. W takim krótkim komunikacie możesz zamieścić informacje o tym, że korzystasz z plików Cookies, ogólnie w jakim celu ich używasz, jak  można kontrolować i usuwać te pliki oraz że dalsze korzystanie ze strony serwisu bez zmiany ustawień przeglądarki może być uznane za zgodę użytkownika na stosowanie plików Cookies.

 

RODO i Serwis internetowy [6] Odbiorcy danych i umowy powierzenia

Najczęściej przy prowadzeniu serwisu internetowego korzystasz z pomocy różnych zewnętrznych firm. Często ta pomoc wymaga przekazania im pewnych danych użytkowników. W gruncie przepisów o ochronie danych osobowych, ten przypadek nazywa się „powierzeniem danych osobowych”. Na powierzenie nie trzeba uzyskać odrębnej zgody użytkownika, wystarczy poinformować go, najlepiej w polityce prywatności o takiej praktyce oraz o jej szczegółach. Najczęściej właściciele serwisów internetowych powierzają dane użytkowników takim podmiotom jak

  • firmy obsługujące płatności elektroniczne lub kartą płatniczą – w przypadku płatnych funkcjonalności serwisu;
  • dostawcy oprogramowania komputerowego, do prowadzenia serwisu internetowego i do obsługiwania jego poszczególnych funkcjonalności; dostawcy poczty elektronicznej potrzebnej do wysyłania powiadomień e-mail związanych z realizacją usług dostępnych w serwisie lub w przypadku wysyłki newslettera;
  • biuro księgowe lub kancelaria prawna – jeżeli korzystasz ze wsparcia księgowego czy też prawnego w związku z prowadzeniem działalności w formie serwisu.
  • firmy kurierskie – jeżeli w Twoim serwisie można zakupić produkty;

Jeżeli powierzasz dane użytkowników jakiemuś podmiotowi zewnętrznemu, Rozporządzenie RODO wymaga, abyś zawarł tym podmiotem umowę powierzenia przetwarzania danych osobowych. Zawarcie umowy powierzenia danych to nie tylko kolejny uciążliwy obowiązek. Z pewnego punktu widzenia jest to dla Ciebie korzystne: poprzez postanowienia  takiej umowy i wymagania, jakie możesz w niej ustanowić dla kontrahenta, możesz wykazać w razie ewentualnej kontroli, że przez jej zawarcie zapewniasz należytą ochronę danych. Rozporządzenie RODO nakłada bowiem na Ciebie jako administratora danych obowiązek zapewnienia należytej ochrony danych, które są powierzone przez Ciebie innemu podmiotowi. W standardowych warunkach funkcjonowania firmy nie jest jednak możliwe ciągłe kontrolowanie w/w podmiotów pod kątem zgodności przetwarzania przez nich danych z RODO. Wymagałoby to też od Ciebie znacznej wiedzy z zakresu danych osobowych, której przecież nie musisz posiadać przy prowadzeniu serwisu. Dlatego umowa jest dobrym rozwiązaniem, ponieważ jej zawarcie (jeżeli zawiera dobrze sformułowane obowiązki drugiej strony) do pewnego stopnia stanowi wykazanie, że jako administrator zrobiłeś wystarczająco dużo w celu ochrony powierzonych danych.

 

RODO i Serwis internetowy [7] Dokumentacja wewnętrzna

Warto również pamiętać, że zadbanie o stronę internetową Twojego serwisu nie załatwia wszystkich obowiązków wynikających z Rozporządzenia RODO. Jeżeli przetwarzasz jakiekolwiek dane osobowe w ramach prowadzonej przez siebie działalności zarobkowej, niezależnie od tego czy prowadzisz tylko serwis, czy też posiadasz jeszcze inna działalność, Rozporządzenie RODO wymaga, abyś miał odpowiednią dokumentację wewnętrzną w swojej firmie. W skład takie dokumentacji wchodzi m.in.

  • Polityka bezpieczeństwa zawierająca m.in. główne zasady przetwarzania danych osobowych w firmie, zasady przetwarzania danych przez personel, wykaz urządzeń stosowanych do przetwarzania danych, obowiązki administratora i personelu, prawa osób, których dane dotyczą i sposoby ich realizacji, określenie obszaru przetwarzania danych, środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych;
  • Udzielone przez administratora upoważnienia do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności.
  • Ewidencja upoważnień do przetwarzania danych;
  • Ewidencja podmiotów, którym powierzono przetwarzanie danych.
  • Rejestr czynności przetwarzania.
  • Ewidencja incydentów naruszeń zasad prawidłowego przetwarzania danych;
  • Analiza ryzyka związanego z przetwarzaniem danych wraz z oceną skutków dla przetwarzania danych osobowych;
  • Zawarte przez administratora umowy powierzenia danych osobowych.

Poza samym posiadaniem dokumentacji związanej z przetwarzaniem danych osobowych, trzeba pamiętać o wprowadzeniu w firmie odpowiednich procedur co do postępowania z danymi oraz zabezpieczeń przy przetwarzaniu danych. Dokumentacja nie może pozostać tylko na papierze – musi być ona również wdrożona w praktyce. Jeśli zatrudniasz pracowników, warto przeszkolić ich z najważniejszych zasad związanych z postępowaniem z danymi osobowymi.

 

Podsumowanie

Z przetwarzaniem danych osobowych w serwisie wiążą się liczne obowiązku. Rozporządzenie RODO podchodzi w niezwykle poważny i restrykcyjny sposób do praw osób, których dane przetwarzasz w serwisie a także do obowiązków informacyjnych związanych w przetwarzaniem danych. Spełnienie wymogów stawianych przez te przepisy wobec administratora danych użytkowników powinno być więc jedną z głównych kwestii rozważanych przy zakładaniu nowego serwisu czy też dostosowaniu Twojego obecnego serwisu do zmieniającej się rzeczywistości prawnej.

Ze swojej strony, służymy pomocą we wszystkich kwestiach opisanych w tym artykule. Niezależnie od tego czy potrzebujesz pomocy przy napisaniu odpowiedniego regulaminu i polityki prywatności Twojego serwisu, sformułowaniu właściwych checkboxów, czy też przygotowaniu odpowiedniej dokumentacji wewnętrznej – nasi specjaliści są do Twojej dyspozycji. Możesz skontaktować się z nami np. pod adresem e-mail: kontakt@prokonsumencki.pl.

Obowiązkowe checkboxy w każdym sklepie

Obowiązkowe checkboxy w każdym sklepie

utworzone przez | wrz 27, 2018 | Obowiązki Informacyjne Sprzedawcy, Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, RODO | 0 komentarzy

Obowiązkowe checkboxy ze zgodami klientów stanowią ważny element sklepu internetowego. To dzięki nim możesz jako sprzedawca odebrać zgodę klienta o określone działania, na które jest wymagana zgoda. Dzięki zapisaniu zgody w systemie informatycznym sklepu, uzyskujesz również w łatwy sposób dowód, że klient zaakceptował warunki regulaminu lub zapoznał się w określonymi dokumentami i zasadami. Wraz z rozpoczęciem stosowania rozporządzenia RODO, zmiany nastąpiły również w sposobie formułowania komunikatów i zgód w checkboxach, a także w ich rodzajach. W artykule opisujemy w jaki sposób należy formułować obowiązkowe checkboxy, aby były zgodne z nowymi przepisami, a także zasady odbierania zgód od klientów.

 

Jakie obowiązkowe checkboxy są obowiązkowe w każdym sklepie

Jednym z najważniejszych checkboxów w każdym sklepie internetowym jest checkbox ze zgodą na regulamin. Ten checkbox nie jest wymagany przez rozporządzenie RODO – obowiązek jego posiadania wynika z ustawy o prawach konsumenta oraz z przepisów kodeksu cywilnego. Ustawa o prawach konsumenta wymaga, aby sprzedawca podał konsumentowi szereg informacji przez zawarciem z nim umowy. Sprzedawca powinien poinformować konsumenta m.in. o :

  • swoich danych takich jak nazwa firmy, organ który zarejestrował firmę, numerze REGON, NIP lub KRS, dane kontaktowe – adres prowadzenia działalności i do doręczeń, adres e-mail, numer telefonu;
  • adresie do składania reklamacji;
  • sposobie i terminie płatności;
  • sposobie oraz terminie dostarczenia towaru;
  • możliwości odstąpienia od umowy bez podania przyczyny w terminie 14 dni od dnia otrzymania towaru;
  • obowiązku dostarczenia towaru bez wad;
  • możliwości złożenia reklamacji z tytułu rękojmi w przypadku wadliwości towaru oraz procedurze reklamacyjnej stosowanej przez sprzedawcę.

Regulamin zawierający te wszystkie informacje, stanowi wzorzec umowny. Zgodnie z kodeksem cywilnym, taki wzorzec umowny powinien być przez stronę umowy, która go przygotowała udostępniony drugiej stronie, jeszcze przed zawarciem umowy. Wówczas wchodzi on w skład zawartej umowy. Również tę funkcję spełnia umieszczony w odpowiednim miejscu checkbox.

Checkbox ze zgodą na regulamin powinien zawierać oświadczenie klienta, że zapoznał się on z regulaminem oraz że akceptuje postanowienia regulaminu. W treści checkboxa powinien znajdować aktywny odnośnik (link) do regulaminu na stronie sklepu. Checkbox nie powinien być domyślnie zaznaczony – klient powinien wyrazić zgodę w aktywny sposób, a więc właśnie poprzez zaznaczenie checkboxa. Ta zasada dotyczy wszystkich checkboxów, jakie znajdują się w sklepie – niezależnie od tego, czy ich zaznaczenie jest wymagane, aby dokonać w sklepie jakichś działań, czy też są one fakultatywne. Jeżeli chodzi o miejsca w sklepie, w jakich powinien znajdować się ten checkbox, jest on wymagany w przypadku składania zamówienia i zakładania konta. Powinien on znajdować się zatem na dowolnym etapie formularza zamówienia lub rejestracji, ale przed przyciskiem potwierdzającym złożenie zamówienia lub założenie konta. W przypadku checkboxa ze zgodą na regulamin, powinien on być obowiązkowy – jego zaznaczenie powinno zatem z technicznego punktu widzenia konieczne do założenia konta lub złożenia zamówienia.

Kolejnym checkboxem, który jest wymagany w każdym sklepie internetowym jest checkbox potwierdzający zapoznanie się z polityką prywatności. Ten checkbox jest wypełnieniem obowiązków informacyjnych stanowionych przez rozporządzenie RODO. Z punktu widzenia rozporządzenia RODO w zdecydowanej większości przypadków sprzedawca będzie administratorem zbieranych przez siebie danych osobowych klientów. Rozporządzenie RODO w art. 13 nakłada na administratora obowiązek poinformowania użytkownika strony sklepu o kwestiach takich jak:

  • dane administratora – nazwa firmy, imię i nazwisko administratora (w przypadku firm jednoosobowych), dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
  • jeżeli administrator wyznaczył inspektora ochrony danych – dane kontaktowe tej osoby;
  • cele i podstawy prawne przetwarzania danych osobowych;
  • kategorie odbiorców danych osobowych – jeżeli administrator przekazuje dane klientów jakimś podmiotom zewnętrznym (np. firmy kurierskie);
  • przekazywanie danych osobowych klientów do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG;
  • konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
  • prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
  • prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
  • prawo do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce jest to Prezes Urzędu Ochrony danych Osobowych – UODO);
  • czy wymóg podania danych osobowych podczas korzystania ze sklepu jest warunkiem koniecznym do zawarcia umowy (np. umowy sprzedaży) w sklepie oraz jakich danych i jakich sytuacji taki wymóg dotyczy;
  • zautomatyzowane podejmowanie decyzji w stosunku do klientów w tym tzw. profilowanie klientów oraz zasady działania tego typu mechanizmów, jeżeli są stosowane w sklepie.

Dobrze napisana polityka prywatności sklepu internetowego spełnia funkcję informacyjną w stosunku do powyższych treści. Administrator danych powinien wykazać, że poinformował klienta o w/w kwestiach. Funkcję tę pełni checkbox z potwierdzeniem zapoznania się z polityką prywatności.

 

Zgody marketingowe w sklepie internetowym

W przypadku, gdy zamierzasz zbierać dane klientów, aby wykorzystać je później w celu marketingu a więc np. wysyłania materiałów reklamowych na adres e-mail podany przy rejestracji konta, potrzebne jest odebranie od klientów zgody na ten rodzaj przetwarzania jego danych. Ta sytuacja różni się od przetwarzania danych np. w celu prowadzenia konta klienta lub w celu realizacji zamówienia złożonego w sklepie internetowym. W tamtych przypadkach podstawą do przetwarzania danych jest konieczność realizacji umowy zawieranej z klientem. W przypadku marketingu, podstawą do przetwarzania danych może być wyraźna zgoda klienta. Checkbox, który umożliwia wyrażenie tej zgody ma więc nie tylko charakter informacyjny – jego zaznaczenie jest również podstawą przetwarzania danych. W związku z tym, wymagania co do treści takiego checkboxa są również bardziej restrykcyjne. Zalecane jest, aby najważniejsze informacje związane z przetwarzaniem danych zawrzeć już w treści checkboxa a dopiero dodatkowo odesłać do polityki prywatności. W checkboxie warto zawrzeć m.in. następujące informacje:

  • oświadczenie o zgodzie na przetwarzanie danych w celu marketingowym;
  • wymienienie danych jakie mogą być przetwarzane w tym celu;
  • dobrowolność zgody;
  • możliwość wycofania zgody w każdej chwili oraz w jaki sposób można wycofać zgodę;
  • w jaki sposób będzie wyglądało przetwarzanie danych klienta np. że będzie otrzymywał cykliczny newsletter z informacjami o nowościach w sklepie internetowym;
  • dane rejestrowe administratora danych (przynajmniej nazwa i adres firmy) oraz dane kontaktowe np. adres e-mail;
  • jakie podmioty mogą być odbiorcami danych przetwarzanych w celu marketingowym;
  • jeżeli stosujesz profilowanie w sklepie, to także podstawowe informacje o tym, na czym polega takie profilowanie w Twoim sklepie;
  • wskazanie, że dane będą przetwarzane zgodnie z polityką prywatności oraz odesłanie do tego dokumentu w formie aktywnego linku.

Zgoda musi być aktywnie wyrażona, zatem tak samo jak w przypadku regulaminu i polityki prywatności, checkbox ze zgodą nie powinien być domyślnie zaznaczony. Inaczej niż w przypadku regulaminu i polityki prywatności, zgoda nie może być warunkiem założenia konta czy złożenia zamówienia. Musi ona być w pełni dobrowolna, nie może być zatem wymuszona jako warunek przejścia do następnego kroku formularza rejestracji czy zamówienia. 

Na marginesie można dodać, że w przypadku prowadzenia marketingu bezpośredniego możemy opierać się nie na zgodzie, a na tzw. usprawiedliwionym interesie administratora danych – sygnalizujemy jedynie to zagadnienia i na pewno do niego wrócimy w osobnym wpisie.

 

Inne zgody w sklepie internetowym

Opisane w tym artykule obowiązkowe checkboxy pojawiają się prawie we wszystkich sklepach internetowych. W niektórych przypadkach możesz potrzebować również innych checkboxów. Niektóre inne zgody, jakie mogą być wymagane w sklepie internetowym to:

  • zgoda na tzw. marketing zewnętrzny, a więc marketing produktów lub usług Twoich partnerów handlowych;
  • zgoda na przekazanie danych portalom typu Ceneo/Opineo i na ich przetwarzanie przez te portale w celu wysłania klientowi zaproszenia do wyrażenia opinii o zakupie;
  • zgoda na przekazanie danych osobowych Twoim partnerom handlowym w celu prowadzenia bezpośrednio przez nich marketingu ich produktów i usług – tutaj przede wszystkim zalecane jest, aby wymienić podmioty, którym zamierzasz w taki sposób przekazywać dane;
  • zgoda na przetwarzanie danych wrażliwych (np. dane dotyczące zdrowia przez apteki internetowe)
  • zgoda na dostarczanie treści cyfrowych (np. przy sprzedaży ebooków lub plików mp3) – brak tej zgody może umożliwić bezpłatne korzystanie z treści

Każda z tych zgód musi być dobrowolna oraz wyraźna. Stąd również powinny one być wyrażone w formie odrębnych checkboxów. Tak samo jak opisana wyżej zgoda marketingowa, checkboxy te nie mogą być obowiązkowe, nie powinny też być domyślnie zaznaczone.

 

Podsumowanie

Założeniem RODO w przypadku zbierania i przetwarzania danych osobowych klientów jest przede wszystkim, aby klient wiedział jakie dane i w jakich celach są od niego zbierane. Ważne jest również, aby przetwarzanie opierało się na właściwych podstawach. Tam gdzie jest to realizacja umowy, trzeba wykazać, że klient taką umowę zawarł i otrzymał wszystkie jej szczegóły – tutaj ważny jest checkbox ze zgodą na regulamin oraz z potwierdzeniem zapoznania się z polityką prywatności. Z kolei tam, gdzie przetwarzanie opiera się na zgodzie klienta, odpowiedni checkbox pozwala wykazać, że klient wyraził taką świadomą, dobrowolną i szczegółową zgodę na dany rodzaj przetwarzania jego danych. Warto pamiętać, że przetwarzanie danych niezgodnie z RODO może prowadzić do nałożenia przez Prezesa UODO na właściciela sklepu kary finansowej do 4% całkowitego, rocznego światowego obrotu firmy z poprzedniego roku obrotowego lub do 20 mln euro. Odpowiednio sformułowane obowiązkowe checkboxy są więc świetnym sposobem na wykazanie w razie ewentualnej kontroli, że przetwarzasz dane zgodnie z RODO oraz na podstawie odpowiednich zgód.

Jeżeli masz jakiekolwiek pytania związane z checkboxami w Twoim sklepie internetowym, skorzystaj z pomocy naszych doświadczonych prawników np. pisząc do nas na adres: kontakt@prokonsumencki.pl.

 

Prowadzisz fanpage na Facebooku? Możesz zostać uznany za administratora danych osobowych

Prowadzisz fanpage na Facebooku? Możesz zostać uznany za administratora danych osobowych

utworzone przez | lip 10, 2018 | Obowiązki Informacyjne Sprzedawcy, RODO | 0 komentarzy

Fanpage na Facebooku – dane osobowe ostatnimi czasy są niezwykle gorącym tematem — i to nie tylko w środowiskach prawniczych — co jest zasługą szumu wokół rozporządzenia RODO. Wprowadziło ono zaostrzenie odpowiedzialności za przetwarzanie danych oraz uchyliło dyrektywę 95/46, która wcześniej regulowała tę kwestię. Dawne przepisy unijne potrafią jednak nadal zaskakiwać i dają okazje do rozważań, czego dowodem jest czerwcowy wyrok europejskiego Trybunału Sprawiedliwości. Czy wnioski te znajdą jeszcze zastosowanie na gruncie RODO?

W sprawie między niemieckim organem ochrony danych osobowych a podmiotem prowadzącym fanpage na Facebooku o charakterze dydaktycznym TSUE orzekł, że administrator fanpage’a ponosi odpowiedzialność za przetwarzanie danych osobowych użytkowników razem z Facebookiem. W jaki sposób Trybunał doszedł do tego rozstrzygnięcia?

 

Od czego się zaczęło?

 

Spór miał swój początek w 2011 roku, kiedy Wirtschaftsakademie, wspomniana spółka prowadząca fanpage na Facebooku w celach edukacyjnych, otrzymała nakaz dezaktywacji swojej strony  od lokalnego organu zajmującego się ochroną danych osobowych na podstawie przepisów wdrożonej do prawa krajowego dyrektywy unijnej 95/46.

Zdaniem organu nadzorczego naruszenie polegało na nieinformowaniu użytkowników fanpage’a, że ich dane są gromadzone za pomocą plików cookies i przetwarzane w celach statystycznych przez administratora strony za pomocą narzędzia zwanego Facebook Insights. Pliki cookies przesyłane przez Facebooka zawierają niepowtarzalny kod użytkownika, który można powiązać z danymi użytkowników zarejestrowanych na portalu. Jest on pobrany z urządzenia użytkownika i przetwarzany przy każdorazowym odwiedzeniu przez niego fanpage’a.

W możliwy do przewidzenia sposób Wirtschaftsakademie podjęła próbę obrony, odwołując się od decyzji organu ochrony danych osobowych poprzez zarzucenie mu, że błędnie przypisuje jej odpowiedzialność za narzędzia i rozwiązania techniczne, które są pod kontrolą samego Facebooka.

Ponownie odbił piłeczkę niemiecki organ ochrony danych, wskazując, że w świetle przepisów spółka ponosi odpowiedzialność, ponieważ spełnia kryteria administratora danych osobowych jako podmiot, który zleca innej instytucji (w omawianym przypadku Facebookowi) gromadzenie i przetwarzanie danych użytkowników. Podnoszono, że zakładając i prowadząc fanpage Wirtschaftsakademie przyczyniła się do poszerzania bazy danych osobowych gromadzonych przez Facebooka, a sama korzystała ze statystyk opracowanych na podstawie tych danych za pomocą narzędzi przez niego udostępnionych.

„Administrator danych oznacza każdą osobę lub każdy podmiot, który gromadzi, przetwarza lub wykorzystuje dane osobowe na swój rachunek lub zleca to innym podmiotom”

— § 3 ust. 7 BDSG (federalnej ustawy o ochronie danych osobowych)

Rzecz jasna Wirtschaftsakademie nie zgodziła się ze stanowiskiem organu, zarzucając w szczególności, że spółka ma wgląd jedynie do anonimowych statystyk użytkowników odwiedzających jej fanpage na Facebooku, których nie może powiązać z konkretnymi osobami. Sprawa ostatecznie trafiła do sądu administracyjnego. W korzystnym dla spółki wyroku stwierdzono, że administrator fanpage’a na Facebooku nie jest „administratorem danych” w rozumieniu § 3 ust. 7 BDSG, co oznacza, że wydany nakaz usunięcia jej strony był bezzasadny.

 

Sprawa w Trybunale

 

Oczywiście, sprawa wskutek środków zaskarżenia składanych przez organ ochrony danych została przekazana w końcu sądowi federalnemu, który z kolei zwrócił się do Trybunału Sprawiedliwości z kluczowymi pytaniami odnośnie wykładni niektórych przepisów dyrektywy 95/46. Najważniejszym zagadnieniem, które miało zostać poddane interpretacji TSUE, była właśnie kwestia definicji administratora danych osobowych w kontekście portali społecznościowych.

Trybunał powołał się w swoim orzeczeniu na motywy stojące za wspomnianą dyrektywą, w szczególności natomiast podkreślił konieczność zapewnienia wysokiego poziomu ochrony prawa do prywatności. Nie bez przyczyny na mocy przepisów dyrektywy pojęcie administratora danych jest szeroko definiowane. Celem szerokiego zakresu interpretacji jest skuteczna i pełna ochrona osób, których dane dotyczą.

Za administratora danych należy uważać podmiot, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Oznacza to, że jednocześnie w roli administratora, odpowiedzialnego za przetwarzanie określonego typu danych, występować może nie jeden, lecz kilka podmiotów, które wspólnie tej czynności dokonują. Wówczas każdy z nich ponosi odpowiedzialność za przetwarzanie, jednak w zakresie, który rzeczywiście odpowiada stopniowi zaangażowania w czynności przetwarzania. Oznacza to, że rozmiar tej odpowiedzialności należy oceniać indywidualnie i przy uwzględnieniu wszystkich okoliczności danej sprawy.

Nie było wątpliwości co do tego, że Facebook jest we wskazanej sytuacji głównym podmiotem określającym cele i sposoby przetwarzania danych osobowych swoich użytkowników, także tych, którzy odwiedzali fanpage spółki. Trybunał jednak ustalił, że Wirtschaftsakademie uczestniczył w tym procesie, ponieważ jako administrator fanpage’a podejmował działania, bez których nie doszłoby do przetwarzania określonych rodzajów danych osób odwiedzających jego fanpage — w szczególności natomiast danych demograficznych takich jak płeć, wiek czy stan cywilny. Chociaż przyjmują one postać anonimowych statystyk, to ich sporządzanie opiera się na wcześniejszym gromadzeniu i przetworzeniu danych osobowych za pomocą wspomnianych plików cookies. A te, jak podkreśla TSUE, Facebook instaluje na urządzeniach osób odwiedzających fanpage, co nie miałoby miejsca, gdyby fanpage na Facebooku nie został w pierwszej kolejności założony dobrowolnie przez określony podmiot. Tym samym staje się on współodpowiedzialny za ich gromadzenie i przetwarzanie.

Fakt, że administrator fanpage’a jedynie korzysta z usług oferowanych przez Facebooka, nie zwalnia go z odpowiedzialności, zwłaszcza że fanpage odwiedzony może być nie tylko przez użytkowników portalu, ale także osoby nieposiadające na nim konta. Jak słusznie dostrzegł Trybunał: „W tym przypadku odpowiedzialność administratora fanpage’a w zakresie przetwarzania danych osobowych tych osób jest jeszcze bardziej istotna, ponieważ samo wejście na fanpage’a przez osoby odwiedzające skutkuje automatyczne przetworzeniem ich danych osobowych.”

Trybunał zaznaczył zatem konieczność uwzględnienia współodpowiedzialności portalu społecznościowego oraz administratora fanpage’a jako podmiotu niewątpliwie wnoszącego swój wkład w gromadzenie danych osobowych przez Facebooka. Tylko taka perspektywa może bowiem zapewnić ochronę prawa do prywatności, na którą powoływano się w motywach do dyrektywy 95/46.

 

RODO a orzeczenie

 

Powyższe rozważania doprowadziły ostatecznie TSUE do istotnego wniosku, że „pojęcie administratora danych obejmuje administratora fanpage’a prowadzonego na portalu społecznościowym.” To doprecyzowanie wcześniej spornej definicji nie traci wcale znaczenia mimo  uchylenia dyrektywy 95/46. Może ono znaleźć zastosowanie w interpretacji przepisów obecnie obowiązującego RODO. Pojęcie „administratora danych” pojawia się również na gruncie nowego rozporządzenia, dlatego orzeczenie TSUE, mimo że dotyczące wykładni poprzednich przepisów, nie musi stracić na aktualności.

W praktyce oznacza to, że prowadząc fanpage powinieneś m.in. spełniać obowiązki informacyjne wynikające z RODO (np. w ramach polityki prywatności fanpage). A tych obowiązków jest całkiem sporo – niezbędne minimum zawiera artykuł 13 RODO, zgodnie z którym:

Artykuł 13

Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
d) informacje o prawie wniesienia skargi do organu nadzorczego;
e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

3. Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Informacje te najlepiej zawrzeć w polityce prywatności fanpage i zamieścić je bezpośednio w jednej z zakładek informacyjnych na fanpage lub umieścić tam link z odesłaniem do polityki prywatności. 

Jeśli jesteś zainteresowany przygotowaniem odpowiednich dla Ciebie dokumentów lub masz dodatkowe pytania związane z prowadzeniem fanpage na Facebooku – nasi prawnicy służą pomocą. Możesz skontaktować się z nami pod adresem email: kontakt@prokonsumencki.pl.

 

Co to jest RODO, czyli co musi wiedzieć jako Sprzedawca

Co to jest RODO, czyli co musi wiedzieć jako Sprzedawca

utworzone przez | kwi 16, 2018 | Obowiązki Informacyjne Sprzedawcy, Ochrona Danych Osobowych (GIODO), Profesjonalny Regulamin Sklepu Internetowego od prawników Prokonsumencki.pl, RODO | 0 komentarzy

W ostaniach miesiącach RODO jest odmieniane przez wszystkie przypadki. Przez ten cały szum medialny trudno wyłapać jednak istotę RODO i co ono faktycznie oznacza dla Sprzedawcy Internetowego. Na tym skupimy się w tym artykule tak aby ułatwić Wam dostosowanie swojego sklepu internetowego do wymogów stawianych przez RODO. 

 

Co to właściwie jest RODO

RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej „RODO” lub „Rozporządzenie RODO”.

RODO jest rozporządzeniem PE i Rady UE. Rozporządzenia takie są bezpośrednio stosowane w państwie – członku UE, a więc odróżnieniu od dyrektyw nie wymagają implementacji (wdrożenia) do jego systemu prawnego. Są one narzędziem harmonizacji, uwspólniania pewnych kwestii na terenie całej Unii. Dla przykładu obowiązująca jeszcze dziś ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych stanowi implementację dyrektywy 95/46/WE Parlamentu Europejskiego i Rady 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Oficjalny tekst Rozporządzenia RODO dostępny jest tutaj.

 

Czy RODO oznacza rewolucję w sklepie internetowym

Dla osoby, która dotychczas niewiele robiła w zakresie ochrony danych osobowych, nie dokonała zgłoszenia zbiorów danych do GIODO oraz nie posiałada stosownej dokumentacji wewnętrznej dotyczącej przetwarzania danych osobowych, to tak – RODO może oznaczać małą rewolucję i konieczność podjęcia szeregu kroków celem dostosowania się do jego wymogów.

Natomiast osoby, które rzetelnie wykonywały obowiązki ciążące na nich na mocy ww. ustawy o ochronie danych osobowych, nie powinny obawiać się nadejścia 25 maja 2018 r. . Przepisy wprowadzają oczywiście nowe regulacje, nowe obowiązki informacyjne oraz nowe prawa osób, których dane dotyczą. Jednak dużą część dotychczasowej pracy.

Dotychczasowa ustawa o ochronie danych osobowych przykładowo określała, że administrator danych osobowych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności ma zapewnić, aby dane te były przetwarzane zgodnie z prawem (zasada legalności), zbierane dla oznaczonych, zgodnych z prawem celów i, co do zasady, niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (zasada celowości), merytorycznie poprawne i adekwatne w stosunku do celów przetwarzania (zasada merytorycznej poprawności i adekwatności), czy przechowywane nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania (zasada ograniczenia czasowego).

Do tych zasad RODO wprost dodaje zasadę integralności i poufności (zgodnie z nią dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych) oraz zasadę rozliczalności – zgodnie z którą to na administratorze ciąży obowiązek przestrzegania zasad przetwarzania danych i wykazania ich przestrzegania zarówno w stosunku do osób, których dane przetwarza jak i organowi nadzoru (według projektu nowej ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych).

Ta ostatnia zasada – rozliczalności – najlepiej pokazuje, jak RODO ma zmienić nasze dotychczasowe myślenie o danych osobowych. Formułuje trzy podstawy dotyczące ochrony danych: relatywizm, neutralność technologiczną oraz podejście oparte na ryzyku. Mówiąc w skrócie – obecnie nie wystarczy już raz przygotowana dokumentacja, którą przechowujemy w szufladzie. Administrator danych ma stale myślec o ochronie danych i na bieżąco minimalizować ryzyka związana z naruszeniem ich ochrony. 

 

Czy RODO dotyczy każdego sprzedawcy internetowego

Tak, do RODO musi się stosować każdy sprzedawca internetowy. Warto wspomnieć, że dotychczas obowiązująca ustawa o ochronie danych osobowych także powinna być stosowana przez każdego sprzedawcę internetowego.

W celu realizacji umowy sprzedawca musi posiadać informacje niezbędne do wystawienia rachunku, przesłania towaru do kupującego (imię i nazwisko, adres kupującego). Na pewno nie dotyczy Cię wyjątek z artykułu 23 RODO – nie jesteś np. sądem, policją. Na 99% masz siedzibę w UE, a na 100% oferujesz towary lub usługi znajdującym się w Unii osobom.

 

Dostosowanie sklepu internetowego do RODO – od czego zacząć 

RODO może być rewolucją lub ewolucją – wszystko zależy od tego, co do tej pory było zrobione w temacie ochrony danych osobowych w naszej firmie. Dostosowanie sklepu internetowego do RODO należy przeprowadzić dwutorowo – pierwszy etap dotyczy dostosowanie samej strony sklepu internetowego, czyli to co widoczne dla jego klientów. Drugi etap natomiast dotyczy spraw wewnętrznych sklepu internetowego, czyli tego co jest niewidoczne dla klientów sklepu internetowego. Obie te strefy wzajemnie się przenikają i powinny być spójne ze sobą.

 

RODO na zewnątrz sklepu internetowego – czyli to, co widać 

Dostosowanie sklepu na zewnątrz wydaje się prostsze. W tym zakresie należy zadbać przede wszystkim o:

  1. regulamin sklepu internetowego i politykę prywatności zgodną z RODO 
  2. sprawdzenie i dostosowanie checkboxów stosowanych na stronie sklepu tak aby były one zgodne z RODO
  3. zapewnienie ew. innych informacji, jeżeli ich podanie okaże się konieczne zgodnie z RODO

O polityce prywatności zgodnej z RODO pisaliśmy już tutaj: Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych – zachęcamy do lektury tego wpisu, są tam wskazane obowiązki informacyjne, które należy spełnić aby stosowana przez nas polityka prywatności była zgodna. Polityka prywatności po wejściu w życie RODO stanie się bardzo ważnym miejscem, w którym możliwe będzie spełnienie stawianych obowiązków informacyjnych.

Sam regulamin w zależności od jego konstrukcji i dotychczasowej zawartości może wymagać mniej lub większej ingerencji z uwagi na konieczność dostosowania do RODO.

Istotne na pewno będzie przejrzenie stosowanych przez nas treści zgód (checkboxów) na stronie sklepów pod kątem RODO i w razie potrzeby dostosowanie ich do nowych wymogów informacyjnych.

 

RODO wewnątrz sklepu internetowego – czyli to, czego nie widać 

Teraz przechodzimy ze strony internetowej sklepu do siedziby sklepu. To co jest na stronie sklepu, to tak naprawdę wierzchołek góry lodowej, której reszta powinna być właśnie wewnątrz prowadzonej działalności przez Sprzedawcę. Nie ma jednej złotej recepty dostosowania się do RODO – przepisy te są na tyle nowe, że trudno tutaj mówić o jakiejś wypracowanej praktyce. Będzie się ona dopiero tworzyła na podstawie kolejnych decyzji i wytycznych organu nadzorczego, którym będzie dotychczasowe GIODO. Brak jednoznacznych wytycznych nie zwalania nas jednak z podjęcia próby dostosowania się do RODO i wdrożenia go we własnej firmie.

Tutaj ważna informacja – RODO nie dotyczy tylko sklepu internetowego. Jeżeli w naszej firmie poza sklepem internetowym prowadzimy także inną działalność – chociażby sklep stacjonarny, to wdrożenie RODO powinno obejmować także tę dodatkową działalność.

W zakresie sposobu wdrożenia warto na pewno odesłać do przydatnego naszym zdaniem poradnika – Przewodnik po RODO dla małych i średnich przedsiębiorców przygotowanego przez Ministerstwo Przedsiębiorczości i Technologii (link). Wyróżnia on poniższe etapy wdrożenia RODO w firmie – naszym zdaniem od tego warto zacząć:

  1. Identyfikacja procesów przetwarzania danych osobowych (w skrócie jakie dane i w jakich celach przetwarzamy)
  2. Weryfikacja podstawowych parametrów procesów przetwarzania danych (określamy podstawy przetwarzania, zakres oraz treść obowiązków z tym związanych)
  3. Wdrożenie podejścia opartego na ryzyku (określamy poziom ryzyka związanego z przetwarzaniem danych)
  4. Przeprowadzenie procedury oceny skutków dla ochrony danych (nie zawsze jest to obowiązkowe, ale zalecamy jej przeprowadzenie)
  5. Powierzenie przetwarzania danych (ustalamy komu przekazujemy dane i podpisujemy z tymi podmiotami umowy dot. powierzenia )
  6. Nowe prawa osób, których dane dotyczą (zapewniamy możliwość korzystania z nowych prawa – np. prawa do bycia zapomnianym)
  7. Incydenty bezpieczeństwa (wdrażamy zasady zgłaszania naruszeń)

Większość z tych informacji będzie zawarta w wewnętrznej dokumentacji firmy – np. w polityce bezpieczeństwa (nie mylić z polityką prywatności). Zadaniem sprzedawcy jest przygotować i wdrożyć taką dokumentację w swojej firmie.

 

Czy warto czekać z wdrożeniem RODO do uchwalenia krajowych ustaw

Jak zapewne wiesz wciąż trwają prace nad polską ustawą o ochronie danych osobowych, która ma wdrożyć niektóre zapisy RODO do polskiego systemu prawnego. Naszym zdaniem jednak zdecydowanie nie warto czekać – jak wyżej napisaliśmy RODO zacznie być stosowane od 25 maja 2018 r. I od tego dnia musisz przetwarzać dane zgodnie z zasadami, a więc również wykazać, że przestrzegasz tych zasad. 

Za łamanie podstawowych zasad przetwarzania danych osobowych organ nadzoru może nałożyć karę pieniężną w wysokości do 20 mln EURO lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, przy decydowaniu o nałożeniu kary powinien zwrócić uwagę m. in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także na szereg czynników (szer. art. 83 RODO).

 

Podsumowanie

O RODO usłyszył pewnie jeszcze nie jeden raz. Szczególnie interesujący będzie pierwszy rok obowiązywania nowych przepisów – z pewnością poznamy nowe wytyczny organu nadzoru, które pozwolą lepiej dostosować się do nowych przepisów. Warto na bieżąco śledzić stronę internetową GIODO na której są publikowane ważniejsze informacje dotyczące stosowania RODO. Kwestią czasu pozostaje wydanie stosowanych wytycznych dotyczących branży ecommerce.

Pamiętajmy jednak aby nie czekać, aż  „się samo wdroży” – RODO wymaga od nas aktywnego podejścia do ochrony danych osobowych. Jeżeli potrzebujesz pomocy we wdrożeniu, to skontaktuj się z nami – chętnie pomożemy: 

  • mail: kontakt@prokonsumencki.pl
  • tel: 61 847 55 18

Newsletter prawny dla Sprzedawców

Dowiesz się pierwszy o ważnych zmianach w prawie i otrzymasz specjalne zaproszenia na nasze webinary z prawnikiem!

SUKCES - zapisałeś się!

Wybierz kanał kontaktu:
Napisz maila
*
*
*
Zamów rozmowę tel.
*
*
Cześć, czy mogę pomóc?