RODO w e-commerce
Ochrona danych osobowych w sektorze e-commerce jest jednym z kluczowych obszarów, któremu przedsiębiorcy powinni poświęcić swoją uwagę. Dobrze wdrożone przepisy i rozwiązania z zakresu ochrony danych osobowych budują zaufanie klientów, a także pozwalają uniknąć bolesnych kar. Dowiedz się, jak prawidłowo wdrożyć RODO w sklepie internetowym krok po kroku.
Kiedy zlecać audyt…
Jeżeli planujesz wejście do sektora e-commerce, już na wstępie pomyśl o kwestii RODO1. Pozwala to optymalnie projektować narzędzia i rozwiązania, tak, by już od samego początku spełniały wymogi RODO. Jest to zgodne z jedną z zasad rozporządzenia, tj. privacy by design. Zgodnie z nią już na etapie projektowania usług powinno się brać pod uwagę kwestie zapewnienia prywatności danych użytkowników, którzy z tych usług będą korzystać.
Ale uwaga, nie ma sensu przystępować do audytu RODO zbyt wcześnie, kiedy dopiero planujesz przyszłą działalność. Idealnym momentem jest rozpoczęcie prac nad narzędziami, które będziesz wykorzystywać w sklepie internetowym. Na tym etapie zalecenia, które powstają w toku audytu, będą mogły być od razu wdrażane, np. poprzez umieszczanie w odpowiednich miejscach klauzul zgody, klauzul informacyjnych czy też poprzez dobieranie pól informacyjnych w formularzach w taki sposób, by nie pobierać danych, które nie są niezbędne do procesowania zamówienia.
A co, jeżeli sklep internetowy już działa, ale kwestie RODO nie były odpowiednio dopilnowane? Nic straconego. Jeżeli jeszcze do drzwi firmy nie puka kontrola z Urzędu Ochrony Danych Osobowych, zdążysz wdrożyć odpowiednie rozwiązania, choć mogą one wymagać np. przeprojektowania strony internetowej, czego dałoby się uniknąć, gdyby audyt RODO był przeprowadzany na samym początku. W toku kontroli raczej z rzadka wyciągane są konsekwencje z tego tytułu, że w przeszłości dany podmiot przetwarzał dane bez wdrożonych odpowiednich rozwiązań. Kontrole zazwyczaj koncentrują się na stanie obecnym.
Należy jednak mieć na uwadze, że audyt RODO jest procesem czasochłonnym, i w niektórych przypadkach może potrwać nawet kilka miesięcy. Dobrze jest więc z nim nie zwlekać.
…i komu?
Na rynku operuje dużo firm i kancelarii świadczących usługi w zakresie wykonywania audytów RODO. Dobrze polegać na rekomendacjach innych przedsiębiorców z branży, trzeba być jednak ostrożnym w przypadku wyjątkowo atrakcyjnych finansowo ofert. Jeżeli ktoś oferuje audyt RODO za 1000-2000 zł, to prawdopodobnie ograniczy się on do dostarczenia „gotowców”, wzorcowych dokumentów, które być może same w sobie będą poprawne, ale nie będą dostosowane do specyfiki działalności konkretnej firmy. Wdrożenie dostarczonych rozwiązań może być wówczas przysporzyć licznych problemów i nie gwarantuje bezpieczeństwa w przypadku kontroli. Warto też dopytać potencjalnego wykonawcę o to, czy jest ubezpieczony. Gwarancję taką można mieć tylko w przypadku zlecania audytu kancelariom adwokackim lub radcowskim – adwokaci i radcowie są zobowiązani do posiadania polis ubezpieczeniowych.
Od czego zacząć?
Audyt zaczyna się od rozpoznania zakresu przetwarzania danych u administratora, czyli firmy, która w ramach swojej działalności przetwarza dane osobowe. Konieczne jest przeanalizowanie m.in.:
- jakiego rodzaju dane są pozyskiwane,
- jakie kanały do tego służą,
- kto ma dostęp do danych,
- jak przebiega proces realizacji zamówień,
- jaka jest szacowana liczba realizowanych zamówień jaka jest skala przetwarzania danych,
- czy sprzedaż odbywa się jedynie za pośrednictwem sklepu internetowego, czy też za pośrednictwem innych platform, np. Allegro, Ebay czy Erli.
Efektem pierwszego etapu prac powinny być dwa początkowe dokumenty: analiza ryzyka oraz rejestr czynności przetwarzania.
Analizując ryzyko, należy wziąć pod uwagę rodzaj działalności, skalę i inne czynniki wpływające na ryzyko, tak aby zgodnie z art. 35 RODO ocenić, czy przypadkiem planowane przetwarzanie nie będzie z dużym prawdopodobieństwem powodować wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Gdy tak się dzieje, pojawia się dodatkowy obowiązek – konieczność sporządzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Zazwyczaj jednak w przypadku przeciętnej wielkości sklepu internetowego, który nie stosuje nowatorskich technologii ingerujących w prywatność użytkowników (np. poprzez ich profilowanie, nietypowe śledzenie ich aktywności itp.), sporządzenie takiej oceny nie będzie konieczne.
Kolejne niezbędne dokumenty to rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania. Pierwszy opisuje procesy przetwarzania danych u administratora. Dla każdej czynności przetwarzania (np. rekrutacji, prowadzenia akt pracowniczych, prowadzenia ksiąg rachunkowych, sprzedaży przez sklep internetowy) wskazuje się:
- cel przetwarzania,
- kategorie osób, których dane są przetwarzane,
- kategorie przetwarzanych danych,
- podstawę prawną ich przetwarzania (np. zgoda, wykonanie umowy, obowiązek prawny lub prawnie uzasadniony interes administratora),
- źródło danych,
- planowany termin usunięcia danych,
- kategorie odbiorców,
- opis stosowanych środków bezpieczeństwa.
Z kolei w rejestrze kategorii przetwarzania należy wymienić sytuacje, w których działa tzw. procesor lub podmiot przetwarzający, tj. podmiot, który przetwarza dane osobowe na zlecenie ich administratora. W realiach funkcjonowania sklepu internetowego są to jednak raczej rzadkie przypadki.
IOD – czy zawsze trzeba?
Na tym etapie powinno być już jasne, czy konieczne będzie powołanie przez administratora inspektora ochrony danych (IOD). IOD musi być osobą o specjalistycznej wiedzy z zakresu prawa ochrony danych osobowych. Może to być zarówno osoba zatrudniona na umowę o pracę lub umowę zlecenie, co jest raczej rzadko spotykane, jak i zewnętrzna firma – co jest dużo częstsze.
Art. 37 ust. 1 RODO zawiera katalog sytuacji, kiedy ustanowienie IOD jest konieczne i są to następujące przypadki:
- administrator jest podmiotem publicznym;
- główna działalność administratora polega na przetwarzaniu danych wymagającym regularnego i systematycznego monitorowania osób, których dane dotyczą,
- główna działalność administratora polega na przetwarzaniu tzw. danych wrażliwych.
W sektorze e-commerce powyższe przypadki należą do rzadkości. To, że nie ma potrzeby powoływania IOD, nie oznacza jednak, że nie można tego zrobić. O bezpieczeństwo danych w firmie i tak ktoś musi dbać. Potrzebne są regularne szkolenia dla pracowników, szczególnie nowych, aktualizacja rejestrów i reagowanie na pojawiające się zapytania i żądania w temacie RODO. W przypadku większych sklepów rekomendowanie jest więc ustanowienie IOD, którego zakres obowiązków będzie uwzględniał wszystkie te kwestie.
Podstawy prawne przetwarzania: zgoda, umowa, obowiązek prawny czy interes administratora?
Przygotowując rejestr czynności przetwarzania, należy zastanowić się nad podstawą prawną każdej czynności przetwarzania danych osobowych. Podstawy wskazuje art. 6 ust. 1 RODO. Łącznie jest ich sześć, jednak w omawianym kontekście istotne są cztery:
- art. 6 ust. 1 lit. a RODO, czyli zgoda na przetwarzanie danych – w przypadku sklepu internetowego niektóre rodzaje marketingu mogą wymagać zgody osoby, której dane kontaktowe w tym celu miałyby być przetwarzane;
- art. 6 ust. 1 lit. b RODO, czyli przetwarzanie niezbędne do wykonania umowy – ta przesłanka będzie podstawą przetwarzania danych w związku z realizacjami zleceń (w końcu mamy tutaj do czynienia z niczym innym jak umową sprzedaży). Istnieje pogląd, że również założenie konta użytkownika jest swoistą umową między sklepem a użytkownikiem i w związku z tym nie wymaga zgody, nie ma jednak tutaj pełnej jasności i niektóre sklepy przy zakładaniu kont jednak zgody wymagają;
- art. 6 ust. 1 lit. c RODO, czyli przetwarzanie związane z obowiązkiem prawnym – ta podstawa dotyczy przetwarzania danych pracowniczych w wymaganym przepisami zakresie oraz przetwarzania danych księgowych, a więc faktur, rachunków, deklaracji itp.;
- art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora – ta najtrudniejsza do uchwycenia kategoria niewątpliwie będzie obejmować przetwarzanie danych kontaktowych kontrahentów i ich przedstawicieli. Może też stanowić podstawę do przetwarzania danych w celach marketingowych, w ograniczonym zakresie.
Po ustaleniu właściwych podstaw prawnych, można przystąpić do sporządzania klauzul zgody i informacyjnych.
Klauzule informacyjne i zgody
RODO kładzie duży nacisk na przejrzystość i klarowne informowanie użytkowników o przetwarzaniu ich danych. Dlatego nawet jeżeli nie musisz w danym zakresie pobierać zgody na przetwarzanie danych, to i tak upewnij się, że użytkownik zapoznał się z wymaganymi przepisami informacjami, tj.:
- kim jest administrator danych,
- jak można skontaktować się z nim albo z inspektorem ochrony danych, jeżeli takowy został powołany,
- jakie dane, w jakim celu i na jakiej podstawie są przetwarzane,
- jak długo to przetwarzanie będzie trwać i komu te dane mogą być przekazywane.
Ponadto w klauzulach trzeba zawrzeć standardowy zestaw pouczeń o prawach każdej osoby, której dane są przetwarzane. Jeśli planujesz stosować zaawansowane systemy profilowania użytkowników pod kątem np. wyświetlanych im reklam, musisz ich o tym wyraźnie poinformować.
Pomimo że klauzula informacyjna nie jest zgodą, musisz się upewnić, że użytkownik się z nią zapoznał. Najczęściej jest to realizowane tak jak poświadczenie udzielenia zgody – poprzez zaznaczenie wymaganego pola. Ułatwieniem może być to, że w przeciwieństwie do zgody obowiązek informacyjny może być zawarty w treści regulaminu, a więc „odkliknięcie” zapoznania się z regulaminem załatwia przy okazji kwestię realizacji obowiązku informacyjnego RODO.
Inaczej ma się sprawa z klauzulą zgody. Ta musi być wyraźna i oddzielona od innych oświadczeń. Nie może więc być zawarta np. w treści regulaminu. Tam, gdzie uznaje się zgodę za podstawę do przetwarzania danych, tam należy zastosować rozwiązanie, które wymusza zaznaczenie takiej zgody np. przed założeniem konta. Trzeba pamiętać o rozdzielaniu zgód na przetwarzanie w niezbędnym zakresie od dodatkowych zgód (np. na przekazywanie danych użytkowników partnerom). Nie można np. uzależniać możliwości założenia konta od udzielenia przez użytkownika zgody na przekazywanie jego danych podmiotom trzecim.
Procedury i bezpieczeństwo danych
Cały system ochrony danych w firmie powinna spinać Polityka Ochrony Danych. To w niej należy opisać procedury bezpieczeństwa danych, zasady postępowania z nimi i stosowane środki mające zabezpieczyć ich poufność. Musisz uwzględnić zarówno przetwarzanie danych w formie papierowej, jak i elektronicznej. Jeśli chodzi o dane analogowe, to w zależności od organizacji pracy firmy:
- rozważ wprowadzenie zasad polityki czystego biurka,
- nałóż obowiązek przechowywania dokumentów w zamykanych szafach,
- ustal zasady niszczenia dokumentów,
- określ poziomy dostępu do danych.
W dokumencie możesz też opisać reguły zabezpieczenia obszaru firmy, biur, magazynów itp. Elementem polityki jest też zazwyczaj instrukcja systemu informatycznego, która z kolei opisuje stosowane informatyczne środki bezpieczeństwa, procedury nadawania uprawnień, zakładania kont itp.
W ramach polityki często też przewiduje się prowadzenie dodatkowych rejestrów, które nie są przewidziane w RODO, ale które warto mieć. Wśród nich są:
- rejestr osób upoważnionych,
- rejestr incydentów bezpieczeństwa,
- rejestr umów powierzenia,
- rejestr żądań (dostępu do danych, ich usunięcia itp.).
Na tym etapie zbadaj też poziom zabezpieczenia firmowych systemów informatycznych i infrastruktury IT. Tutaj niezbędne będzie wsparcie firm świadczących usługi w tym zakresie, gdyż złamanie zabezpieczeń informatycznych systemu i np. wyciek danych użytkowników to jedno z większych ryzyk związanych z przetwarzaniem danych osobowych w ramach sklepu internetowego. Znany jest przykład sklepu morele.net, z którego na skutek złamania zabezpieczeń wyciekły dane 2,2 mln użytkowników. Organ nadzorczy nałożył na sklep karę w wysokości pierwotnie 2,8 mln zł, a następnie podwyższył ją do 3,8 mln zł. Uzasadnieniem dla nałożenia tej kary było niewystarczające zabezpieczenie systemu.
Umowy powierzenia przetwarzania danych
W ramach audytu należy też oczekiwać przygotowania wzorcowej umowy powierzenia przetwarzania danych, ale też weryfikacji umów już zawartych. Należy zastanowić się, w jakim zakresie przetwarzane dane powierzane są podmiotom trzecim, a takie sytuacje na pewno mają miejsce. Powierzeniem przetwarzania danych są m.in. hosting danych, które są przetwarzane w różnego rodzaju usługach świadczonych „w chmurze”, oraz usługi wsparcia informatycznego, księgowe, prawne itp. W każdym przypadku konieczne będzie podpisanie odrębnej umowy o powierzeniu przetwarzania danych albo weryfikacja treści umów już zawartych na wzorach dostarczonych przez kontrahentów.
Przeszkolenie zespołu
Audyt wieńczy przeszkolenie zespołu firmy, a w szczególności wszystkich pracowników, którzy w ramach swoich obowiązków mają kontakt z danymi osobowymi: czy to klientów, czy kontrahentów, np. dostawców. Pamiętaj jednak, że dotyczy to nie tylko pracowników biurowych, w końcu osoby odpowiedzialne za kompletowanie zamówień na magazynie też mają styczność z danymi klientów.
Szkolenie powinno obejmować zarówno teorię i ogólne zasady przetwarzania danych, jak i omówienie wprowadzonych rozwiązań i środków bezpieczeństwa. Po odbyciu szkolenia przeszkolonym pracownikom wystawiane są upoważnienia do przetwarzania danych, które należy włączyć do akt pracowniczych.
Dokumentacja
Niektóre firmy nadal preferują posiadanie dokumentacji w formie papierowej, jednak biorąc pod uwagę, że rejestry powinny być aktualizowane na bieżąco, obecnie rekomendowane jest prowadzenie ich w wersji elektronicznej. Należy się jednak upewnić, że na bieżąco są wykonywane kopie bezpieczeństwa dokumentacji RODO.
Po audycie
Jak już wspomniałem powyżej, audyt nie zamyka tematu RODO w firmie. Należy szkolić nowych pracowników, a okresowo cały zespół, rejestry muszą być aktualizowane, trzeba też reagować na żądania dot. RODO. Ponadto w przypadku incydentów bezpieczeństwa pamiętaj o obowiązku zgłaszania ich do Prezesa Urzędu Ochrony Danych Osobowych. Bezpieczeństwo danych osobowych w firmie jest procesem, a audyt to tylko początek.
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Polecamy
- Ewidencja sprzedaży w działalności nierejestrowanej i rejestrowanej, czyli dokumenty potwierdzające sprzedażczas czytania5minuty06.07.2023Dowiedz się więcej o obowiązkach ewidencyjnych związanych z prowadzeniem działalności rejestrowanej i nierejestrowanej.
- Obowiązek płatności bezgotówkowych – o jakich zobowiązaniach muszą wiedzieć przedsiębiorcy?czas czytania5minuty08.03.2024Rozwój nowoczesnych metod płatności przebiega w niesamowitym tempie. Przekonaj się, czy płatności bezgotówkowe to już obowiązek.
- Ochrona danych osobowych i RODO w jednoosobowej działalności gospodarczejczas czytania6minutyartykuł zawiera załącznik30.11.2022RODO w jednoosobowej działalności gospodarczej – czy należy go przestrzegać? Tak! Dowiedz się więcej.6min
- Zgoda na przetwarzanie danych osobowych w celach marketingu bezpośredniego – czy zawsze jest konieczna?czas czytania7minuty08.11.2023Czy taka zgoda zawsze jest niezbędna? I jakie wymagania musi spełnić administrator, żeby przetwarzać dane osobowe zgodnie z prawem? Na te i inne pytania odpowiedzi znajdziesz w tekście.
- Ochrona danych osobowych – o tych kwestiach nie zapomnij w 2023 rokuczas czytania3minutyartykuł zawiera załącznik03.01.2023Z danymi osobowymi masz kontakt w wielu sytuacjach. Sprawdź, na co przede wszystkim zwrócić uwagę w nowym roku!3min
- RODO na stronie internetowej – co należy wiedzieć o obowiązku informacyjnym?czas czytania5minutyartykuł zawiera załącznik05.07.2023Masz własną stronę internetową? Odkryj swoje obowiązki prawne jako administratora danych.5min