Autor:Kinga Tobała
Specjalistka ds. Copywritingu
gromadzenie danych osobowych

RODO w sklepie internetowym

RODO dotyczy wszystkich podmiotów przetwarzających dane osobowe, w związku z czym jest jednym z najgorętszych tematów ostatnich miesięcy. Choć rozporządzenie wzbudza ogromne emocje, nie rewolucjonizuje przepisów o ochronie danych osobowych, a rozszerza wiele z dotychczasowych zaleceń w nich zawartych. Poznaj zasady RODO w sklepie internetowym.

  • Dane osobowe to wszystkie informacje mogące pomóc w identyfikacji klienta.
  • Przetwarzanie danych osobowych obejmuje wszystkie czynności włącznie z ich magazynowaniem na serwerze.
  • Administrator danych (osoba gromadząca dane osobowe) jest odpowiedzialna za ich bezpieczeństwo i wykorzystywanie wyłącznie zgodnie z prawem.

 

Co to jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (RODO) jest dokumentem stworzonym przez Unię Europejską. Regulacje dotyczące zbierania i przetwarzania danych osobowych weszły w życie z dniem 25 maja 2018 r. Dotyczą każdego podmiotu zbierającego jakiekolwiek informacje o swoich użytkownikach i klientach. W porównaniu do dotychczasowych przepisów, zwracają szczególną uwagę na zakres przechowywanych danych, obowiązek informowania ich właścicieli o celu i czasie trwania czynności, a także podkreślają konieczność jasnego formułowania rozmaitych zgód. Największą korzyścią płynącą z RODO jest zwiększona dbałość o prywatność i ochronę danych użytkowników. Nowość w przepisach stanowi możliwość pobrania wszystkich zgromadzonych informacji i przeniesienia ich do innego podmiotu.

Czym są dane osobowe?

RODO w znaczny sposób rozszerzyło pojęcie danych osobowych. Od czasu wejścia rozporządzenia w życie są nimi nie tylko informacje takie jak: imię, nazwisko, numer PESEL, adres zamieszkania i podobne, ale także adres e-mail, status socjo-ekonomiczny, lokalizacja, dane dotyczące przynależności religijnej i etnicznej oraz stanu zdrowia i poszczególnych parametrów fizycznych. W rezultacie mianem danych osobowych możemy określić wszystkie informacje, które mogą umożliwić identyfikację osoby. Obowiązkiem administratora danych jest ochrona każdej z nich i to on ponosi odpowiedzialność za ewentualne pozyskanie ich przez osoby nieuprawnione.

Jakie czynności obejmuje przetwarzanie danych osobowych?

Przetwarzanie danych osobowych jest terminem, który może okazać się mylący. Dotyczy bowiem nie tylko wykorzystywania zgromadzonych informacji, ale także samego ich gromadzenia i przechowywania, a nawet momentu usuwania. W rezultacie niezależnie od tego, czym się zajmujesz, jakiekolwiek informacje uzyskane od klientów lub użytkowników sprawiają, że stajesz się administratorem danych odpowiedzialnym za ich bezpieczeństwo i wykorzystywanie w sposób zgodny z prawem. Zbieranie danych osobowych musi być uzasadnione i konieczne do wykonania usług np. dostawy produktu. Zrozumienie nowych przepisów wymaga poznania podstawowych definicji RODO:

  • Administrator – osoba, której zostały przekazane dane osobowe. Odpowiada za ich zabezpieczenie, ustala cel, w jakim są wykorzystywane oraz sposób ich przetwarzania,
  • Podmiot przetwarzający – osoba bądź instytucja, która przetwarza dane w imieniu administratora. Umowa Powierzenia Przetwarzania Danych reguluje te działania. Dobrą wiadomością jest fakt, że wraz z wejściem RODO możliwe jest jej zawarcie przez internet, bez konieczności przesyłania dokumentów w wersji papierowej. Działania tego typu mają miejsce np. wtedy, kiedy platforma Sky-Shop odpowiada za przechowywanie wszelkich informacji z Twojego sklepu na swoich serwerach,
  • Pseudonimizacja – proces zaszyfrowania danych, w którym tożsamość osoby zostaje ukryta pod unikalnym kodem np. ciągiem znaków, który sam w sobie nie dostarcza żadnych informacji osobie trzeciej. Instrukcje o sposobie odszyfrowania danych osobowych muszą zostać objęte szczególną ochroną.

RODO w sklepie internetowym

Wprowadzenie wymagań RODO do sklepu internetowego związane jest z modernizacją oprogramowania, a także wyznaczeniem poszczególnych zgód, które zostaną wyświetlone jego użytkownikom. Temat ten został poruszony we wpisie zawierającym informacje o tym, jak dostosować sklep internetowy do RODO. Pozostałe zmiany w przepisach, na które warto zwrócić uwagę obejmują:

 

Rejestracja zbioru danych osobowych w GIODO

Wprowadzenie RODO zniosło obowiązek rejestrowania zbiorów danych osobowych w GIODO. Został on zastąpiony prowadzeniem rejestru czynności przetwarzania danych osobowych, w którym muszą znaleźć się zarówno dane administratora danych, jak i obszary, w których informacje zostaną wykorzystane oraz szacowany czas ich usunięcia z bazy. Nie jest konieczne prowadzenie szczegółowych zapisów, ale obowiązkiem jest określenie ich kategorii. Przykładowo: dane zostaną przekazane firmie kurierskiej, dobrowolnie wyrażona zgoda marketingowa wiąże się z przesyłaniem newslettera. Dokument powinien zawierać także informacje o użytych w organie zabezpieczeniach.

Zwolnione z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych są przedsiębiorstwa zatrudniające poniżej 250 osób. Niestety, przywilej zostaje zniesiony w przypadku małych firm jeśli:

  • gromadzenie danych odbywa się regularnie np. poprzez zapisywanie zamówień klientów w sklepie internetowym,
  • zbierane są dane szczegółowe, wrażliwe (np. dotyczące seksualności, stanu zdrowia, przynależności etnicznej),
  • istnieje ryzyko naruszenia praw i wolności osób, których dane gromadzisz,
  • zbierane są informacje obejmujące wyroki bądź informacje o naruszeniach prawa.

 

Rejestr czynności przetwarzania danych stanowi dokument wewnętrzny.

 

Umowa Przekazania Przetwarzania Danych Osobowych

Niezwykle ważną częścią RODO, zwłaszcza z punktu widzenia funkcjonowania sklepu internetowego, jest zawarcie Umowy Przekazania Przetwarzania Danych Osobowych. Należy ją zawrzeć z wszystkimi firmami, którym udostępniane są dane klientów. Zalecenie obejmuje zarówno firmę odpowiadającą za hosting informacji pochodzących z Twojego sklepu, jak i kurierów, bramki płatnicze oraz inne podmioty, które mają styczność z pobieranymi informacjami. Ułatwienie pozwalające na zawarcie jej w formie elektronicznej znacznie minimalizuje czas przeznaczany na formalności, co dotychczas było niemożliwe. W praktyce zapis ten widnieje w podpisywanej z dostawcą usług umowie bądź regulaminie i nie trzeba zaprzątać sobie głowy przygotowaniem dodatkowych dokumentów.

Zasady ogólne RODO

RODO opiera się o 7 podstawowych zasad ogólnych, których świadomość warto mieć:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości – obejmuje przetwarzanie danych wyłącznie w sposób zgodny z prawem, informowanie o celu czynności oraz prawach (do usunięcia, przeniesienia i wglądu), jakie ma każda z osób. Dodatkowo nakazuje używania jasnego i prostego języka, tak by osoba udostępniająca dane miała pełną świadomość zakresu, w jakim będą przetwarzane.
  2. Zasada ograniczenia celu przetwarzania danych – cel przetwarzania danych musi zostać precyzyjnie określony. Powierzonych danych nie można wykorzystywać w celach innych niż te, na które zgodziła się osoba je udostępniająca. Każda z wyrażanych przez nią zgód powinna zostać zawarta w osobnym podpunkcie. Nie można domyślnie zaznaczać zgód do przetwarzania danych np. w celu marketingowym.
  3. Zasada minimalizacji danych – dopuszczalne jest gromadzenie jedynie ilości i zakresu danych niezbędnych do wykonania określanych wcześniej czynności. Jeśli w procesie zakupowym można uniknąć podawania adresu zamieszkania klienta (np. przy odbiorze produktu w punkcie), należy usunąć pole wymagające jego wprowadzenia z formularza.
  4. Zasada prawidłowości danych – administrator danych jest zobowiązany do ich aktualizacji, jeśli zostanie o niej poinformowany.
  5. Zasada ograniczenia przechowania danych – w myśl RODO okres przechowywania danych powinien być uzależniony od celu. Po jego zrealizowaniu dane muszą zostać usunięte. Ich archiwizacja jest dopuszczalna w celach publicznych, naukowych oraz historycznych.
  6. Zasada integralności i poufności danych – nakłada obowiązek zabezpieczenia procesu przetwarzania danych przez odpowiednie środki technologiczne oraz organizacyjne.
  7. Zasada rozliczalności – na administratorze danych osobowych ciąży obowiązek udowodnienia, że ich przetwarzanie jest zgodne z prawem. W rezultacie musi wykazać, że podejmowane czynności są uzasadnione i odpowiednio zabezpieczone.

Opisane zasady nie stanowią dużej zmiany w przepisach o ochronie danych osobowych. W znaczącej większości nieco rozszerzają dotychczas funkcjonujące wskazówki.

5.00 avg. rating (98% score) - 4 votes 5

Kinga Tobała

Specjalistka ds. Copywritingu