RODO w e-commerce

Ochrona danych osobowych w sektorze e-commerce jest jednym z kluczowych obszarów, któremu przedsiębiorcy powinni poświęcić swoją uwagę. Dobrze wdrożone przepisy i rozwiązania z zakresu ochrony danych osobowych budują zaufanie klientów, a także pozwalają uniknąć bolesnych kar. Dowiedz się, jak prawidłowo wdrożyć RODO w sklepie internetowym krok po kroku.

Kiedy zlecać audyt…

Jeżeli planujesz wejście do sektora e-commerce, już na wstępie pomyśl o kwestii RODO¹. Pozwala to optymalnie projektować narzędzia i rozwiązania, tak, by już od samego początku spełniały wymogi RODO. Jest to zgodne z jedną z zasad rozporządzenia, tj. privacy by design. Zgodnie z nią już na etapie projektowania usług powinno się brać pod uwagę kwestie zapewnienia prywatności danych użytkowników, którzy z tych usług będą korzystać. 

A co, jeżeli sklep internetowy już działa, ale kwestie RODO nie były odpowiednio dopilnowane? Nic straconego. Jeżeli jeszcze do drzwi firmy nie puka kontrola z Urzędu Ochrony Danych Osobowych, zdążysz wdrożyć odpowiednie rozwiązania, choć mogą one wymagać np. przeprojektowania strony internetowej, czego dałoby się uniknąć, gdyby audyt RODO był przeprowadzany na samym początku. W toku kontroli raczej z rzadka wyciągane są konsekwencje z tego tytułu, że w przeszłości dany podmiot przetwarzał dane bez wdrożonych odpowiednich rozwiązań. Kontrole zazwyczaj koncentrują się na stanie obecnym.

Należy jednak mieć na uwadze, że audyt RODO jest procesem czasochłonnym, i w niektórych przypadkach może potrwać nawet kilka miesięcy. Dobrze jest więc z nim nie zwlekać.

…i komu?

Na rynku operuje dużo firm i kancelarii świadczących usługi w zakresie wykonywania audytów RODO. Dobrze polegać na rekomendacjach innych przedsiębiorców z branży, trzeba być jednak ostrożnym w przypadku wyjątkowo atrakcyjnych finansowo ofert. Jeżeli ktoś oferuje audyt RODO za 1000-2000 zł, to prawdopodobnie ograniczy się on do dostarczenia „gotowców”, wzorcowych dokumentów, które być może same w sobie będą poprawne, ale nie będą dostosowane do specyfiki działalności konkretnej firmy. Wdrożenie dostarczonych rozwiązań może być wówczas przysporzyć licznych problemów i nie gwarantuje bezpieczeństwa w przypadku kontroli. Warto też dopytać potencjalnego wykonawcę o to, czy jest ubezpieczony. Gwarancję taką można mieć tylko w przypadku zlecania audytu kancelariom adwokackim lub radcowskim – adwokaci i radcowie są zobowiązani do posiadania polis ubezpieczeniowych.

Od czego zacząć?

Efektem pierwszego etapu prac powinny być dwa początkowe dokumenty: analiza ryzyka oraz rejestr czynności przetwarzania. 

Analizując ryzyko, należy wziąć pod uwagę rodzaj działalności, skalę i inne czynniki wpływające na ryzyko, tak aby zgodnie z art. 35 RODO ocenić, czy przypadkiem planowane przetwarzanie nie będzie z dużym prawdopodobieństwem powodować wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Gdy tak się dzieje, pojawia się dodatkowy obowiązek – konieczność sporządzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Zazwyczaj jednak w przypadku przeciętnej wielkości sklepu internetowego, który nie stosuje nowatorskich technologii ingerujących w prywatność użytkowników (np. poprzez ich profilowanie, nietypowe śledzenie ich aktywności itp.), sporządzenie takiej oceny nie będzie konieczne.

Kolejne niezbędne dokumenty to rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania. Pierwszy opisuje procesy przetwarzania danych u administratora. Dla każdej czynności przetwarzania (np. rekrutacji, prowadzenia akt pracowniczych, prowadzenia ksiąg rachunkowych, sprzedaży przez sklep internetowy) wskazuje się:

• cel przetwarzania, 
• kategorie osób, których dane są przetwarzane, 
• kategorie przetwarzanych danych, 
• podstawę prawną ich przetwarzania (np. zgoda, wykonanie umowy, obowiązek prawny lub prawnie uzasadniony interes administratora), 
• źródło danych, 
• planowany termin usunięcia danych, 
• kategorie odbiorców,
• opis stosowanych środków bezpieczeństwa.

Z kolei w rejestrze kategorii przetwarzania należy wymienić sytuacje, w których działa tzw. procesor lub podmiot przetwarzający, tj. podmiot, który przetwarza dane osobowe na zlecenie ich administratora. W realiach funkcjonowania sklepu internetowego są to jednak raczej rzadkie przypadki.

IOD – czy zawsze trzeba?

Na tym etapie powinno być już jasne, czy konieczne będzie powołanie przez administratora inspektora ochrony danych (IOD). IOD musi być osobą o specjalistycznej wiedzy z zakresu prawa ochrony danych osobowych. Może to być zarówno osoba zatrudniona na umowę o pracę lub umowę zlecenie, co jest raczej rzadko spotykane, jak i zewnętrzna firma – co jest dużo częstsze. 

W sektorze e-commerce powyższe przypadki należą do rzadkości. To, że nie ma potrzeby powoływania IOD, nie oznacza jednak, że nie można tego zrobić. O bezpieczeństwo danych w firmie i tak ktoś musi dbać. Potrzebne są regularne szkolenia dla pracowników, szczególnie nowych, aktualizacja rejestrów i reagowanie na pojawiające się zapytania i żądania w temacie RODO. W przypadku większych sklepów rekomendowanie jest więc ustanowienie IOD, którego zakres obowiązków będzie uwzględniał wszystkie te kwestie.

Podstawy prawne przetwarzania: zgoda, umowa, obowiązek prawny czy interes administratora?

Przygotowując rejestr czynności przetwarzania, należy zastanowić się nad podstawą prawną każdej czynności przetwarzania danych osobowych. Podstawy wskazuje art. 6 ust. 1 RODO. Łącznie jest ich sześć, jednak w omawianym kontekście istotne są cztery:

• art. 6 ust. 1 lit. a RODO, czyli zgoda na przetwarzanie danych – w przypadku sklepu internetowego niektóre rodzaje marketingu mogą wymagać zgody osoby, której dane kontaktowe w tym celu miałyby być przetwarzane;
• art. 6 ust. 1 lit. b RODO, czyli przetwarzanie niezbędne do wykonania umowy – ta przesłanka będzie podstawą przetwarzania danych w związku z realizacjami zleceń (w końcu mamy tutaj do czynienia z niczym innym jak umową sprzedaży). Istnieje pogląd, że również założenie konta użytkownika jest swoistą umową między sklepem a użytkownikiem i w związku z tym nie wymaga zgody, nie ma jednak tutaj pełnej jasności i niektóre sklepy przy zakładaniu kont jednak zgody wymagają;
• art. 6 ust. 1 lit. c RODO, czyli przetwarzanie związane z obowiązkiem prawnym – ta podstawa dotyczy przetwarzania danych pracowniczych w wymaganym przepisami zakresie oraz przetwarzania danych księgowych, a więc faktur, rachunków, deklaracji itp.;
• art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora – ta najtrudniejsza do uchwycenia kategoria niewątpliwie będzie obejmować przetwarzanie danych kontaktowych kontrahentów i ich przedstawicieli. Może też stanowić podstawę do przetwarzania danych w celach marketingowych, w ograniczonym zakresie.

Po ustaleniu właściwych podstaw prawnych, można przystąpić do sporządzania klauzul zgody i informacyjnych.

Klauzule informacyjne i zgody

RODO kładzie duży nacisk na przejrzystość i klarowne informowanie użytkowników o przetwarzaniu ich danych. Dlatego nawet jeżeli nie musisz w danym zakresie pobierać zgody na przetwarzanie danych, to i tak upewnij się, że użytkownik zapoznał się z wymaganymi przepisami informacjami, tj.:

• kim jest administrator danych, 
• jak można skontaktować się z nim albo z inspektorem ochrony danych, jeżeli takowy został powołany, 
• jakie dane, w jakim celu i na jakiej podstawie są przetwarzane, 
• jak długo to przetwarzanie będzie trwać i komu te dane mogą być przekazywane. 

Ponadto w klauzulach trzeba zawrzeć standardowy zestaw pouczeń o prawach każdej osoby, której dane są przetwarzane. Jeśli planujesz stosować zaawansowane systemy profilowania użytkowników pod kątem np. wyświetlanych im reklam, musisz ich o tym wyraźnie poinformować. 

Pomimo że klauzula informacyjna nie jest zgodą, musisz się upewnić, że użytkownik się z nią zapoznał. Najczęściej jest to realizowane tak jak poświadczenie udzielenia zgody – poprzez zaznaczenie wymaganego pola. Ułatwieniem może być to, że w przeciwieństwie do zgody obowiązek informacyjny może być zawarty w treści regulaminu, a więc „odkliknięcie” zapoznania się z regulaminem załatwia przy okazji kwestię realizacji obowiązku informacyjnego RODO.

Inaczej ma się sprawa z klauzulą zgody. Ta musi być wyraźna i oddzielona od innych oświadczeń. Nie może więc być zawarta np. w treści regulaminu. Tam, gdzie uznaje się zgodę za podstawę do przetwarzania danych, tam należy zastosować rozwiązanie, które wymusza zaznaczenie takiej zgody np. przed założeniem konta. Trzeba pamiętać o rozdzielaniu zgód na przetwarzanie w niezbędnym zakresie od dodatkowych zgód (np. na przekazywanie danych użytkowników partnerom). Nie można np. uzależniać możliwości założenia konta od udzielenia przez użytkownika zgody na przekazywanie jego danych podmiotom trzecim.

Procedury i bezpieczeństwo danych

Cały system ochrony danych w firmie powinna spinać Polityka Ochrony Danych. To w niej należy opisać procedury bezpieczeństwa danych, zasady postępowania z nimi i stosowane środki mające zabezpieczyć ich poufność. Musisz uwzględnić zarówno przetwarzanie danych w formie papierowej, jak i elektronicznej. Jeśli chodzi o dane analogowe, to w zależności od organizacji pracy firmy:

• rozważ wprowadzenie zasad polityki czystego biurka, 
• nałóż obowiązek przechowywania dokumentów w zamykanych szafach, 
• ustal zasady niszczenia dokumentów, 
• określ poziomy dostępu do danych. 

W dokumencie możesz też opisać reguły zabezpieczenia obszaru firmy, biur, magazynów itp. Elementem polityki jest też zazwyczaj instrukcja systemu informatycznego, która z kolei opisuje stosowane informatyczne środki bezpieczeństwa, procedury nadawania uprawnień, zakładania kont itp.

W ramach polityki często też przewiduje się prowadzenie dodatkowych rejestrów, które nie są przewidziane w RODO, ale które warto mieć. Wśród nich są:

• rejestr osób upoważnionych,
• rejestr incydentów bezpieczeństwa,
• rejestr umów powierzenia,
• rejestr żądań (dostępu do danych, ich usunięcia itp.).

Na tym etapie zbadaj też poziom zabezpieczenia firmowych systemów informatycznych i infrastruktury IT. Tutaj niezbędne będzie wsparcie firm świadczących usługi w tym zakresie, gdyż złamanie zabezpieczeń informatycznych systemu i np. wyciek danych użytkowników to jedno z większych ryzyk związanych z przetwarzaniem danych osobowych w ramach sklepu internetowego. Znany jest przykład sklepu morele.net, z którego na skutek złamania zabezpieczeń wyciekły dane 2,2 mln użytkowników. Organ nadzorczy nałożył na sklep karę w wysokości pierwotnie 2,8 mln zł, a następnie podwyższył ją do 3,8 mln zł. Uzasadnieniem dla nałożenia tej kary było niewystarczające zabezpieczenie systemu.

Umowy powierzenia przetwarzania danych

W ramach audytu należy też oczekiwać przygotowania wzorcowej umowy powierzenia przetwarzania danych, ale też weryfikacji umów już zawartych. Należy zastanowić się, w jakim zakresie przetwarzane dane powierzane są podmiotom trzecim, a takie sytuacje na pewno mają miejsce. Powierzeniem przetwarzania danych są m.in. hosting danych, które są przetwarzane w różnego rodzaju usługach świadczonych „w chmurze”, oraz usługi wsparcia informatycznego, księgowe, prawne itp. W każdym przypadku konieczne będzie podpisanie odrębnej umowy o powierzeniu przetwarzania danych albo weryfikacja treści umów już zawartych na wzorach dostarczonych przez kontrahentów.

Przeszkolenie zespołu

Audyt wieńczy przeszkolenie zespołu firmy, a w szczególności wszystkich pracowników, którzy w ramach swoich obowiązków mają kontakt z danymi osobowymi: czy to klientów, czy kontrahentów, np. dostawców. Pamiętaj jednak, że dotyczy to nie tylko pracowników biurowych, w końcu osoby odpowiedzialne za kompletowanie zamówień na magazynie też mają styczność z danymi klientów.

Szkolenie powinno obejmować zarówno teorię i ogólne zasady przetwarzania danych, jak i omówienie wprowadzonych rozwiązań i środków bezpieczeństwa. Po odbyciu szkolenia przeszkolonym pracownikom wystawiane są upoważnienia do przetwarzania danych, które należy włączyć do akt pracowniczych.

Dokumentacja

Niektóre firmy nadal preferują posiadanie dokumentacji w formie papierowej, jednak biorąc pod uwagę, że rejestry powinny być aktualizowane na bieżąco, obecnie rekomendowane jest prowadzenie ich w wersji elektronicznej. Należy się jednak upewnić, że na bieżąco są wykonywane kopie bezpieczeństwa dokumentacji RODO.

Po audycie

Jak już wspomniałem powyżej, audyt nie zamyka tematu RODO w firmie. Należy szkolić nowych pracowników, a okresowo cały zespół, rejestry muszą być aktualizowane, trzeba też reagować na żądania dot. RODO. Ponadto w przypadku incydentów bezpieczeństwa pamiętaj o obowiązku zgłaszania ich do Prezesa Urzędu Ochrony Danych Osobowych. Bezpieczeństwo danych osobowych w firmie jest procesem, a audyt to tylko początek.

¹  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).