W pierwszej kolejności wprowadzając przepis Rozporządzenia o ochronie danych osobowych RODO dla sklepu internetowego powinniśmy określić jego administratora. Jest to podmiot, który decyduje o tym, w jakim celu oraz jaki zakres danych będzie przetwarzany. W omawianym przypadku będzie to spółka prowadząca sklep internetowy. Oczywiście może zdarzyć się tak, że administratorem danych osobowych będzie także właściciel sklepu prowadzący jednoosobową działalność gospodarczą.
RODO dla e-commerce. Wszystko co powinieneś wiedzieć
Prowadzenie działalności gospodarczej za pomocą Internetu niewątpliwie wiąże się z przetwarzaniem danych osobowych. Bez tych informacji podmioty działające w Internecie prowadząc np. sklep internetowy nie byłyby w stanie nadać przesyłki do klienta. Także odwrotnie- to klient bez podania danych osobowych podczas rejestracji lub logowania nie będzie w stanie przeprowadzić interesujących go czynności.
Tematyka e-commerce w kontekście ochrony danych osobowych może przysparzać wiele trudności. Zależy bowiem od skali prowadzonej działalności oraz ilości przetwarzanych danych. Jeśli potrzebujesz wsparcia w tym zakresie skontaktuj się z naszą kancelarią. Z powodzeniem wspieramy podmioty działające w branży e-commerce w kwestii wdrożenia rozwiązań Rozporządzenia o ochronie danych osobowych, a także bieżącej obsługi.
Sprawdź naszą ofertę
RODO dla sklepu internetowego od czego powinniśmy zacząć?
Podstawa przetwarzania danych w sklepie internetowym
Przetwarzanie danych osobowych może odbywać się na podstawie jednej lub kilku ze wskazanych w Rozporządzeniu o ochronie danych osobowych podstaw prawnych.
Najbardziej znaną i w rzeczywistości najczęściej spotykaną w branży e-commerce jest zgoda. Dopuszcza wysyłanie klientom informacji marketingowych w związku z prowadzona działalnością, czyli na przykład newsletterów.
Pamiętać powinniśmy, że ważna zgoda to taka, która została udzielona dobrowolnie, świadomie oraz w sposób jednoznaczny w formie oświadczenia lub wyraźnego działania potwierdzającego. Jako administratorzy danych powinniśmy zachować przejrzystość. Zgoda nie może być na przykład umieszczona w regulaminie sklepu lub zaznaczona domyślnie. Powinna być natomiast umieszczona w widocznym dla klienta lub potencjalnego klienta miejscu.
RODO dla sklepu internetowego pozwala także na przetwarzanie danych osobowych w związku z realizacją zawartej umowy. Nie mamy zatem obowiązku proszenia o zgodę w celu realizacji zamówienia. Dane potrzebne do realizacji umowy to znaczy do realizacji określonego zamówienia, takie jak imię, nazwisko, adres dostawy, dane kontaktowe możesz zatem przetwarzać bez zgody klienta, ale tylko i wyłącznie w celu zawarcia i realizacji określonej umowy, czyli najczęściej realizacji zamówienia.
RODO dla sklepu internetowego - czy regulamin wystarczy?
Rozporządzenie o ochronie danych osobowych nie narzuca odpowiedniego czy konkretnego katalogu dokumentów jakie muszą zostać przygotowane w danej branży. Sami jesteśmy zobowiązani do tego, aby określić jaki zakres dokumentacji jest niezbędny, biorąc pod uwagę charakter naszej działalności.
Również w przypadku branży e-commerce ich zakres zależny będzie od specyfikacji klientów sklepu czy zakresu danych pozyskiwanych niezbędnych do realizacji usług.
Określenie odpowiednich zasad ochrony danych osobowych jak również wdrożenie odpowiednich dokumentów powinno być poprzedzone przeprowadzeniem audytu, który określi jakie środki powinny być wprowadzone.
Na katalog wdrożonych dokumentów powinny składać się przede wszystkim:
- regulamin sklepu internetowego,
- polityka plików cookies,
- Polityka prywatności,
- polityka ochrony danych,
- instrukcja zarządzania systemem informatycznym,
- rejestry czynności przetwarzania danych osobowych,
- rejestr incydentów związanych z naruszeniem danych,
- Rejestr osób upoważnionych do przetwarzania danych osobowych.
Zauważyć należy, że regulamin sklepu internetowego, polityka plików cookies oraz polityka prywatności przygotowane zostały dla użytkowników sklepu internetowego. Powinny one być zatem sporządzone prostym oraz zrozumiałym językiem, bez stosowanie skomplikowanych sformułowań.
Wspomniana powyżej polityka przetwarzania danych osobowych jest dokumentem bardzo obszernym. Zgodnie z Rozporządzeniem o ochronie danych osobowych powinna zawierać przede wszystkim uwzględnienie ochrony danych w fazie projektowania ( tzw. privacy by design), a także wskazywać na spełnianie warunków zgodności z zasadą privacy by default- domyślnej ochrony danych.
Co oznacza powyższe dla sklepu internetowego?
Oznacza to, że powinniśmy wdrożyć środki techniczne i organizacyjne, które będą współmierne z ryzykiem naruszenia praw i wolności osób objętych przetwarzaniem i musimy to zrobić już na etapie wyboru dostawcy procesu przetwarzania oraz wyboru technologii.
W pierwszej kolejności zadbać należy o stworzenie odpowiedniego połączenia między stroną internetową a serwerem w taki sposób, aby dać gwarancje zaszyfrowania danych osobowych wykorzystywanych w sklepie. Mowa tutaj o certyfikatach SSL. Dane gromadzone w sklepach internetowych powinny również zabezpieczenia w postaci backupów. Uchroni to przed całkowitą utratą informacji oraz w przypadku naruszenia umożliwia odzyskanie zasobów. Powinno się także zabezpieczyć serwery wykorzystywane do prowadzenia sklepu. W przypadku korzystania z zewnętrznego hostingu, konieczna jest weryfikacja dostawcy odpowiedzialnego za stosowanie zabezpieczeń. Natomiast, w przypadku korzystania z lokalnego serwera konieczne jest zastosowanie oprogramowania odpowiedniego do przechowywania danych poufnych.
Ponadto, powinniśmy zapewnić, że przetwarzaniu poddawane będą tylko te dane osobowe, które będą absolutnie niezbędne do celu przetwarzania. Przykładowo, podczas rejestrowania konta użytkownika sklepu internetowego wymagane powinno być podanie tylko niezbędnych danych. Natomiast o dodaniu pozostałych informacji powinien decydować sam użytkownik.
RODO w e-commerce
Wprowadzenie RODO w sklepie internetowym wymaga przeprowadzenia szeregu czynności. Rozporządzenie o ochronie danych osobowych w art. 51 wskazuje, że każde państwo członkowskie zapewnia by za monitorowanie stosowania Rozporządzenia odpowiadał organ nadzorczy. W Polsce jest nim Urząd Ochrony danych osobowych.
Oczywistym jest, że wprowadzenie RODO w sklepie internetowym wymaga przeprowadzenie szeregu czynności. Niespełnienie wszystkich obowiązków w zakresie ochrony danych osobowych może skutkować nałożeniem administracyjnej kary pieniężnej przez organ nadzorczy. Ogólne warunki nakładania kar na podmioty przetwarzające dane zostały określone w art. 83 Rozporządzenia o ochronie danych osobowych.