RODO w e-commerce

14 min

checklista i długopis na pierwszym tle

Ochrona danych osobowych w sektorze e-commerce jest jednym z kluczowych obszarów, któremu przedsiębiorcy powinni poświęcić swoją uwagę. Dobrze wdrożone przepisy i rozwiązania z zakresu ochrony danych osobowych budują zaufanie klientów, a także pozwalają uniknąć bolesnych kar. Dowiedz się, jak prawidłowo wdrożyć RODO w sklepie internetowym krok po kroku.

Kiedy zlecać audyt…

Jeżeli planujesz wejście do sektora e-commerce, już na wstępie pomyśl o kwestii RODO1. Pozwala to optymalnie projektować narzędzia i rozwiązania, tak, by już od samego początku spełniały wymogi RODO. Jest to zgodne z jedną z zasad rozporządzenia, tj. privacy by design. Zgodnie z nią już na etapie projektowania usług powinno się brać pod uwagę kwestie zapewnienia prywatności danych użytkowników, którzy z tych usług będą korzystać. 

Ale uwaga, nie ma sensu przystępować do audytu RODO zbyt wcześnie, kiedy dopiero planujesz przyszłą działalność. Idealnym momentem jest rozpoczęcie prac nad narzędziami, które będziesz wykorzystywać w sklepie internetowym. Na tym etapie zalecenia, które powstają w toku audytu, będą mogły być od razu wdrażane, np. poprzez umieszczanie w odpowiednich miejscach klauzul zgody, klauzul informacyjnych czy też poprzez dobieranie pól informacyjnych w formularzach w taki sposób, by nie pobierać danych, które nie są niezbędne do procesowania zamówienia.

A co, jeżeli sklep internetowy już działa, ale kwestie RODO nie były odpowiednio dopilnowane? Nic straconego. Jeżeli jeszcze do drzwi firmy nie puka kontrola z Urzędu Ochrony Danych Osobowych, zdążysz wdrożyć odpowiednie rozwiązania, choć mogą one wymagać np. przeprojektowania strony internetowej, czego dałoby się uniknąć, gdyby audyt RODO był przeprowadzany na samym początku. W toku kontroli raczej z rzadka wyciągane są konsekwencje z tego tytułu, że w przeszłości dany podmiot przetwarzał dane bez wdrożonych odpowiednich rozwiązań. Kontrole zazwyczaj koncentrują się na stanie obecnym.

Należy jednak mieć na uwadze, że audyt RODO jest procesem czasochłonnym, i w niektórych przypadkach może potrwać nawet kilka miesięcy. Dobrze jest więc z nim nie zwlekać.

…i komu?

Na rynku operuje dużo firm i kancelarii świadczących usługi w zakresie wykonywania audytów RODO. Dobrze polegać na rekomendacjach innych przedsiębiorców z branży, trzeba być jednak ostrożnym w przypadku wyjątkowo atrakcyjnych finansowo ofert. Jeżeli ktoś oferuje audyt RODO za 1000-2000 zł, to prawdopodobnie ograniczy się on do dostarczenia „gotowców”, wzorcowych dokumentów, które być może same w sobie będą poprawne, ale nie będą dostosowane do specyfiki działalności konkretnej firmy. Wdrożenie dostarczonych rozwiązań może być wówczas przysporzyć licznych problemów i nie gwarantuje bezpieczeństwa w przypadku kontroli. Warto też dopytać potencjalnego wykonawcę o to, czy jest ubezpieczony. Gwarancję taką można mieć tylko w przypadku zlecania audytu kancelariom adwokackim lub radcowskim – adwokaci i radcowie są zobowiązani do posiadania polis ubezpieczeniowych.

Od czego zacząć?

Audyt zaczyna się od rozpoznania zakresu przetwarzania danych u administratora, czyli firmy, która w ramach swojej działalności przetwarza dane osobowe. Konieczne jest przeanalizowanie m.in.: 

  • jakiego rodzaju dane są pozyskiwane, 
  • jakie kanały do tego służą, 
  • kto ma dostęp do danych, 
  • jak przebiega proces realizacji zamówień, 
  • jaka jest szacowana liczba realizowanych zamówień jaka jest skala przetwarzania danych, 
  • czy sprzedaż odbywa się jedynie za pośrednictwem sklepu internetowego, czy też za pośrednictwem innych platform, np. Allegro, Ebay czy Erli.

Efektem pierwszego etapu prac powinny być dwa początkowe dokumenty: analiza ryzyka oraz rejestr czynności przetwarzania. 

Analizując ryzyko, należy wziąć pod uwagę rodzaj działalności, skalę i inne czynniki wpływające na ryzyko, tak aby zgodnie z art. 35 RODO ocenić, czy przypadkiem planowane przetwarzanie nie będzie z dużym prawdopodobieństwem powodować wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Gdy tak się dzieje, pojawia się dodatkowy obowiązek – konieczność sporządzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Zazwyczaj jednak w przypadku przeciętnej wielkości sklepu internetowego, który nie stosuje nowatorskich technologii ingerujących w prywatność użytkowników (np. poprzez ich profilowanie, nietypowe śledzenie ich aktywności itp.), sporządzenie takiej oceny nie będzie konieczne.

Kolejne niezbędne dokumenty to rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania. Pierwszy opisuje procesy przetwarzania danych u administratora. Dla każdej czynności przetwarzania (np. rekrutacji, prowadzenia akt pracowniczych, prowadzenia ksiąg rachunkowych, sprzedaży przez sklep internetowy) wskazuje się:

  • cel przetwarzania, 
  • kategorie osób, których dane są przetwarzane, 
  • kategorie przetwarzanych danych, 
  • podstawę prawną ich przetwarzania (np. zgoda, wykonanie umowy, obowiązek prawny lub prawnie uzasadniony interes administratora), 
  • źródło danych, 
  • planowany termin usunięcia danych, 
  • kategorie odbiorców,
  • opis stosowanych środków bezpieczeństwa.

Z kolei w rejestrze kategorii przetwarzania należy wymienić sytuacje, w których działa tzw. procesor lub podmiot przetwarzający, tj. podmiot, który przetwarza dane osobowe na zlecenie ich administratora. W realiach funkcjonowania sklepu internetowego są to jednak raczej rzadkie przypadki.

IOD – czy zawsze trzeba?

Na tym etapie powinno być już jasne, czy konieczne będzie powołanie przez administratora inspektora ochrony danych (IOD). IOD musi być osobą o specjalistycznej wiedzy z zakresu prawa ochrony danych osobowych. Może to być zarówno osoba zatrudniona na umowę o pracę lub umowę zlecenie, co jest raczej rzadko spotykane, jak i zewnętrzna firma – co jest dużo częstsze. 

Art. 37 ust. 1 RODO zawiera katalog sytuacji, kiedy ustanowienie IOD jest konieczne i są to następujące przypadki:

  • administrator jest podmiotem publicznym;
  • główna działalność administratora polega na przetwarzaniu danych wymagającym regularnego i systematycznego monitorowania osób, których dane dotyczą,
  • główna działalność administratora polega na przetwarzaniu tzw. danych wrażliwych.

W sektorze e-commerce powyższe przypadki należą do rzadkości. To, że nie ma potrzeby powoływania IOD, nie oznacza jednak, że nie można tego zrobić. O bezpieczeństwo danych w firmie i tak ktoś musi dbać. Potrzebne są regularne szkolenia dla pracowników, szczególnie nowych, aktualizacja rejestrów i reagowanie na pojawiające się zapytania i żądania w temacie RODO. W przypadku większych sklepów rekomendowanie jest więc ustanowienie IOD, którego zakres obowiązków będzie uwzględniał wszystkie te kwestie.

Podstawy prawne przetwarzania: zgoda, umowa, obowiązek prawny czy interes administratora?

Przygotowując rejestr czynności przetwarzania, należy zastanowić się nad podstawą prawną każdej czynności przetwarzania danych osobowych. Podstawy wskazuje art. 6 ust. 1 RODO. Łącznie jest ich sześć, jednak w omawianym kontekście istotne są cztery:

  • art. 6 ust. 1 lit. a RODO, czyli zgoda na przetwarzanie danych – w przypadku sklepu internetowego niektóre rodzaje marketingu mogą wymagać zgody osoby, której dane kontaktowe w tym celu miałyby być przetwarzane;
  • art. 6 ust. 1 lit. b RODO, czyli przetwarzanie niezbędne do wykonania umowy – ta przesłanka będzie podstawą przetwarzania danych w związku z realizacjami zleceń (w końcu mamy tutaj do czynienia z niczym innym jak umową sprzedaży). Istnieje pogląd, że również założenie konta użytkownika jest swoistą umową między sklepem a użytkownikiem i w związku z tym nie wymaga zgody, nie ma jednak tutaj pełnej jasności i niektóre sklepy przy zakładaniu kont jednak zgody wymagają;
  • art. 6 ust. 1 lit. c RODO, czyli przetwarzanie związane z obowiązkiem prawnym – ta podstawa dotyczy przetwarzania danych pracowniczych w wymaganym przepisami zakresie oraz przetwarzania danych księgowych, a więc faktur, rachunków, deklaracji itp.;
  • art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora – ta najtrudniejsza do uchwycenia kategoria niewątpliwie będzie obejmować przetwarzanie danych kontaktowych kontrahentów i ich przedstawicieli. Może też stanowić podstawę do przetwarzania danych w celach marketingowych, w ograniczonym zakresie.

Po ustaleniu właściwych podstaw prawnych, można przystąpić do sporządzania klauzul zgody i informacyjnych.

Klauzule informacyjne i zgody

RODO kładzie duży nacisk na przejrzystość i klarowne informowanie użytkowników o przetwarzaniu ich danych. Dlatego nawet jeżeli nie musisz w danym zakresie pobierać zgody na przetwarzanie danych, to i tak upewnij się, że użytkownik zapoznał się z wymaganymi przepisami informacjami, tj.:

  • kim jest administrator danych, 
  • jak można skontaktować się z nim albo z inspektorem ochrony danych, jeżeli takowy został powołany, 
  • jakie dane, w jakim celu i na jakiej podstawie są przetwarzane, 
  • jak długo to przetwarzanie będzie trwać i komu te dane mogą być przekazywane. 

Ponadto w klauzulach trzeba zawrzeć standardowy zestaw pouczeń o prawach każdej osoby, której dane są przetwarzane. Jeśli planujesz stosować zaawansowane systemy profilowania użytkowników pod kątem np. wyświetlanych im reklam, musisz ich o tym wyraźnie poinformować. 

Pomimo że klauzula informacyjna nie jest zgodą, musisz się upewnić, że użytkownik się z nią zapoznał. Najczęściej jest to realizowane tak jak poświadczenie udzielenia zgody – poprzez zaznaczenie wymaganego pola. Ułatwieniem może być to, że w przeciwieństwie do zgody obowiązek informacyjny może być zawarty w treści regulaminu, a więc „odkliknięcie” zapoznania się z regulaminem załatwia przy okazji kwestię realizacji obowiązku informacyjnego RODO.

Inaczej ma się sprawa z klauzulą zgody. Ta musi być wyraźna i oddzielona od innych oświadczeń. Nie może więc być zawarta np. w treści regulaminu. Tam, gdzie uznaje się zgodę za podstawę do przetwarzania danych, tam należy zastosować rozwiązanie, które wymusza zaznaczenie takiej zgody np. przed założeniem konta. Trzeba pamiętać o rozdzielaniu zgód na przetwarzanie w niezbędnym zakresie od dodatkowych zgód (np. na przekazywanie danych użytkowników partnerom). Nie można np. uzależniać możliwości założenia konta od udzielenia przez użytkownika zgody na przekazywanie jego danych podmiotom trzecim.

Procedury i bezpieczeństwo danych

Cały system ochrony danych w firmie powinna spinać Polityka Ochrony Danych. To w niej należy opisać procedury bezpieczeństwa danych, zasady postępowania z nimi i stosowane środki mające zabezpieczyć ich poufność. Musisz uwzględnić zarówno przetwarzanie danych w formie papierowej, jak i elektronicznej. Jeśli chodzi o dane analogowe, to w zależności od organizacji pracy firmy:

  • rozważ wprowadzenie zasad polityki czystego biurka, 
  • nałóż obowiązek przechowywania dokumentów w zamykanych szafach, 
  • ustal zasady niszczenia dokumentów, 
  • określ poziomy dostępu do danych. 

W dokumencie możesz też opisać reguły zabezpieczenia obszaru firmy, biur, magazynów itp. Elementem polityki jest też zazwyczaj instrukcja systemu informatycznego, która z kolei opisuje stosowane informatyczne środki bezpieczeństwa, procedury nadawania uprawnień, zakładania kont itp.

W ramach polityki często też przewiduje się prowadzenie dodatkowych rejestrów, które nie są przewidziane w RODO, ale które warto mieć. Wśród nich są:

  • rejestr osób upoważnionych,
  • rejestr incydentów bezpieczeństwa,
  • rejestr umów powierzenia,
  • rejestr żądań (dostępu do danych, ich usunięcia itp.).

Na tym etapie zbadaj też poziom zabezpieczenia firmowych systemów informatycznych i infrastruktury IT. Tutaj niezbędne będzie wsparcie firm świadczących usługi w tym zakresie, gdyż złamanie zabezpieczeń informatycznych systemu i np. wyciek danych użytkowników to jedno z większych ryzyk związanych z przetwarzaniem danych osobowych w ramach sklepu internetowego. Znany jest przykład sklepu morele.net, z którego na skutek złamania zabezpieczeń wyciekły dane 2,2 mln użytkowników. Organ nadzorczy nałożył na sklep karę w wysokości pierwotnie 2,8 mln zł, a następnie podwyższył ją do 3,8 mln zł. Uzasadnieniem dla nałożenia tej kary było niewystarczające zabezpieczenie systemu.

Umowy powierzenia przetwarzania danych

W ramach audytu należy też oczekiwać przygotowania wzorcowej umowy powierzenia przetwarzania danych, ale też weryfikacji umów już zawartych. Należy zastanowić się, w jakim zakresie przetwarzane dane powierzane są podmiotom trzecim, a takie sytuacje na pewno mają miejsce. Powierzeniem przetwarzania danych są m.in. hosting danych, które są przetwarzane w różnego rodzaju usługach świadczonych „w chmurze”, oraz usługi wsparcia informatycznego, księgowe, prawne itp. W każdym przypadku konieczne będzie podpisanie odrębnej umowy o powierzeniu przetwarzania danych albo weryfikacja treści umów już zawartych na wzorach dostarczonych przez kontrahentów.

Przeszkolenie zespołu

Audyt wieńczy przeszkolenie zespołu firmy, a w szczególności wszystkich pracowników, którzy w ramach swoich obowiązków mają kontakt z danymi osobowymi: czy to klientów, czy kontrahentów, np. dostawców. Pamiętaj jednak, że dotyczy to nie tylko pracowników biurowych, w końcu osoby odpowiedzialne za kompletowanie zamówień na magazynie też mają styczność z danymi klientów.

Szkolenie powinno obejmować zarówno teorię i ogólne zasady przetwarzania danych, jak i omówienie wprowadzonych rozwiązań i środków bezpieczeństwa. Po odbyciu szkolenia przeszkolonym pracownikom wystawiane są upoważnienia do przetwarzania danych, które należy włączyć do akt pracowniczych.

Dokumentacja

Niektóre firmy nadal preferują posiadanie dokumentacji w formie papierowej, jednak biorąc pod uwagę, że rejestry powinny być aktualizowane na bieżąco, obecnie rekomendowane jest prowadzenie ich w wersji elektronicznej. Należy się jednak upewnić, że na bieżąco są wykonywane kopie bezpieczeństwa dokumentacji RODO.

Po audycie

Jak już wspomniałem powyżej, audyt nie zamyka tematu RODO w firmie. Należy szkolić nowych pracowników, a okresowo cały zespół, rejestry muszą być aktualizowane, trzeba też reagować na żądania dot. RODO. Ponadto w przypadku incydentów bezpieczeństwa pamiętaj o obowiązku zgłaszania ich do Prezesa Urzędu Ochrony Danych Osobowych. Bezpieczeństwo danych osobowych w firmie jest procesem, a audyt to tylko początek.

 

1  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Wojciech Krawiec
Wojciech Krawiec
Adwokat

Wspólnik w krakowskiej kancelarii Lassota Krawiec sp.j. Specjalista w zakresie prawa nowych technologii, ochrony danych osobowych, prawa autorskiego i prawa pracy.

Obserwuj mnie na LinkedIn

Czy ten artykuł był przydatny?
średnia: 0 | 0 ocen

Przeglądaj tematy

  • #na startwięcej artykułów z tagiem:#na start
  • #bizneswięcej artykułów z tagiem:#biznes
  • #podatkiwięcej artykułów z tagiem:#podatki
  • #marketingwięcej artykułów z tagiem:#marketing
  • #prawowięcej artykułów z tagiem:#prawo
  • #strategiawięcej artykułów z tagiem:#strategia
  • #pracownicywięcej artykułów z tagiem:#pracownicy
  • #księgowośćwięcej artykułów z tagiem:#księgowość
  • #wideowięcej artykułów z tagiem:#wideo
  • #finansowaniewięcej artykułów z tagiem:#finansowanie
  • #sprzedażwięcej artykułów z tagiem:#sprzedaż
  • #ekowięcej artykułów z tagiem:#eko
  • #markawięcej artykułów z tagiem:#marka
  • #ESGwięcej artykułów z tagiem:#ESG
  • #pomysł na bizneswięcej artykułów z tagiem:#pomysł na biznes
  • #e-commercewięcej artykułów z tagiem:#e-commerce
  • #zmiany w prawiewięcej artykułów z tagiem:#zmiany w prawie
  • #wsparcie dla firmwięcej artykułów z tagiem:#wsparcie dla firm
  • #automatyzacjawięcej artykułów z tagiem:#automatyzacja
  • #internetwięcej artykułów z tagiem:#internet
  • #przewodnikwięcej artykułów z tagiem:#przewodnik
  • #AIwięcej artykułów z tagiem:#AI
  • #samodzielna księgowośćwięcej artykułów z tagiem:#samodzielna księgowość
  • #SEOwięcej artykułów z tagiem:#SEO
  • #ZUSwięcej artykułów z tagiem:#ZUS
  • #leasingwięcej artykułów z tagiem:#leasing
  • #service designwięcej artykułów z tagiem:#service design
  • #instrukcjawięcej artykułów z tagiem:#instrukcja
  • #dotacjewięcej artykułów z tagiem:#dotacje
  • #dokumentywięcej artykułów z tagiem:#dokumenty
  • #kredytwięcej artykułów z tagiem:#kredyt
  • #media społecznościowewięcej artykułów z tagiem:#media społecznościowe
  • #RODOwięcej artykułów z tagiem:#RODO
  • #oszczędnościwięcej artykułów z tagiem:#oszczędności
  • #fakturywięcej artykułów z tagiem:#faktury
  • #bankowośćwięcej artykułów z tagiem:#bankowość
  • #technologiewięcej artykułów z tagiem:#technologie
  • #ochrona środowiskawięcej artykułów z tagiem:#ochrona środowiska
  • #ITwięcej artykułów z tagiem:#IT
  • #podcastwięcej artykułów z tagiem:#podcast
  • #kontrahentwięcej artykułów z tagiem:#kontrahent
  • #analizawięcej artykułów z tagiem:#analiza
  • #google analyticswięcej artykułów z tagiem:#google analytics
  • #ubezpieczeniewięcej artykułów z tagiem:#ubezpieczenie
  • #Polski Ładwięcej artykułów z tagiem:#Polski Ład
  • #umowywięcej artykułów z tagiem:#umowy
  • #badaniewięcej artykułów z tagiem:#badanie
  • #długiwięcej artykułów z tagiem:#długi
  • #faktoringwięcej artykułów z tagiem:#faktoring
  • #USwięcej artykułów z tagiem:#US
  • #konkurencjawięcej artykułów z tagiem:#konkurencja
  • #wynagrodzeniawięcej artykułów z tagiem:#wynagrodzenia
  • #płynność finansowawięcej artykułów z tagiem:#płynność finansowa
  • #urlopywięcej artykułów z tagiem:#urlopy
  • #CEIDGwięcej artykułów z tagiem:#CEIDG
  • #inwestycjewięcej artykułów z tagiem:#inwestycje
  • #zakupywięcej artykułów z tagiem:#zakupy
  • #zdolność kredytowawięcej artykułów z tagiem:#zdolność kredytowa
  • #webinarwięcej artykułów z tagiem:#webinar
  • #kosztywięcej artykułów z tagiem:#koszty
  • #REGONwięcej artykułów z tagiem:#REGON
  • #współpracawięcej artykułów z tagiem:#współpraca
  • #SEMwięcej artykułów z tagiem:#SEM
  • #gwarancjawięcej artykułów z tagiem:#gwarancja
  • #BHPwięcej artykułów z tagiem:#BHP