RODO w sklepie internetowym – co musisz wiedzieć?

Kinga Tobała
Sklep internetowy

RODO dotyczy wszystkich podmiotów, które przetwarzają dane osobowe w Unii Europejskiej w związku z prowadzoną działalnością, przez co jest nieustannie jednym z najgorętszych tematów od kilku lat. Choć rozporządzenie wzbudza ogromne emocje, nie rewolucjonizuje przepisów o ochronie danych osobowych, a rozszerza wiele obowiązków i praw, które w dużej mierze istniały już wcześniej. Poznaj najważniejsze zasady RODO w sklepie internetowym.

  • Dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, czyli np. kliencie Twojego sklepu.
  • Przetwarzanie danych osobowych obejmuje wszystkie czynności dokonywane na danych osobowych, włącznie z ich magazynowaniem na serwerze.
  • Administrator (podmiot decydujący o celach i sposobach przetwarzania, czyli w sklepie internetowym – sprzedawca) jest odpowiedzialny za ich bezpieczeństwo i wykorzystywanie wyłącznie zgodnie z prawem.
  • Platforma Sky-Shop.pl jest w pełni dostosowana do RODO!

Co to jest RODO?

Rozporządzenie o Ochronie Danych Osobowych (RODO) jest aktem prawnym obowiązującym na terenie całej Unii Europejskiej. Regulacje dotyczące zbierania i przetwarzania danych osobowych zaczęły obowiązywać 25 maja 2018 r.

Dotyczą każdego podmiotu zbierającego jakiekolwiek informacje o swoich użytkownikach i klientach.

W porównaniu do dotychczasowych przepisów, zwracają szczególną uwagę na zakres przechowywanych danych, obowiązek informowania ich właścicieli o celu i czasie trwania czynności, a także podkreślają konieczność jasnego formułowania rozmaitych komunikatów i treści zgód. Największą korzyścią płynącą z RODO jest zwiększona dbałość o prywatność i ochronę danych użytkowników. Nowość w przepisach stanowi możliwość pobrania wszystkich zgromadzonych informacji i przeniesienia ich do innego podmiotu.

Czym są dane osobowe?

RODO w znaczny sposób rozszerzyło pojęcie danych osobowych. Od czasu wejścia rozporządzenia w życie są nimi informacje takie jak:

  • imię,
  • nazwisko,
  • numer PESEL,
  • adres zamieszkania i podobne,
  • adres e-mail,
  • status socjo-ekonomiczny,
  • lokalizacja,
  • dane dotyczące przynależności religijnej i etnicznej,
  • dane o stanie zdrowia i poszczególnych parametrach fizycznych.

W rezultacie mianem danych osobowych możemy określić wszystkie informacje, które mogą umożliwić identyfikację osoby. Obowiązkiem administratora danych jest ochrona każdej z nich i to on ponosi odpowiedzialność za ewentualne pozyskanie ich przez osoby nieuprawnione.

Jakie czynności obejmuje przetwarzanie danych osobowych?

Przetwarzanie danych osobowych jest terminem, który może okazać się mylący. Dotyczy bowiem nie tylko wykorzystywania zgromadzonych informacji, ale także samego ich gromadzenia i przechowywania, a nawet momentu usuwania. W rezultacie niezależnie od tego, czym się zajmujesz, jakiekolwiek informacje uzyskane od klientów lub użytkowników sprawiają, że stajesz się administratorem danych odpowiedzialnym za ich bezpieczeństwo i wykorzystywanie w sposób zgodny z prawem. Zbieranie danych osobowych musi być uzasadnione i konieczne do realizacji celów przetwarzania, np. wykonania usługi  dostawy produktu.

Zrozumienie nowych przepisów wymaga poznania podstawowych definicji RODO:

  • Administrator – podmiot, który ustala cele i sposoby przetwarzania, odpowiada m.in. za bezpieczeństwo danych (w odniesieniu do osób kupujących w sklepie internetowym, administratorem będzie sprzedawca),
  • Podmiot przetwarzający – osoba bądź instytucja, która przetwarza dane w imieniu administratora i na jego polecenie. Takie powierzenie wymaga zawarcia Umowy Powierzenia Przetwarzania Danych, która reguluje te działania. Dobrą wiadomością jest fakt, że wraz z wejściem RODO możliwe jest jej zawarcie przez internet, bez konieczności przesyłania dokumentów w wersji papierowej. Działania tego typu mają miejsce np. wtedy, kiedy platforma Sky-Shop odpowiada za przechowywanie wszelkich informacji z Twojego sklepu na swoich serwerach,
  • Pseudonimizacja – przetworzenie danych osobowych w sposób, który umożliwia przypisanie ich konkretnej osobie dopiero pod warunkiem użycia dodatkowych informacji. Może polegać przykładowo na ukryciu tożsamości osoby pod unikalnym kodem, np. ciągiem znaków, który sam w sobie nie dostarcza żadnych informacji osobie trzeciej. Instrukcje o sposobie odszyfrowania danych osobowych muszą zostać objęte szczególną ochroną.

RODO w sklepie internetowym

Wprowadzenie wymagań RODO do sklepu internetowego może spowodować konieczność poprawnego sformułowania treści poszczególnych komunikatów i zgód, które zostaną wyświetlone jego użytkownikom. Temat ten został poruszony we wpisie zawierającym informacje o tym, jak dostosować sklep internetowy do RODO.

Pozostałe zmiany w przepisach, na które warto zwrócić uwagę obejmują:

Rejestracja zbioru danych osobowych w GIODO

Wprowadzenie RODO zniosło obowiązek rejestrowania zbiorów danych osobowych w GIODO. Został on zastąpiony prowadzeniem rejestru czynności przetwarzania danych osobowych, w którym muszą znaleźć się zarówno dane administratora danych, jak i obszary, w których informacje zostaną wykorzystane oraz szacowany czas ich usunięcia.

Nie jest konieczne prowadzenie szczegółowych zapisów, ale obowiązkowe jest określenie kategorii osób, danych oraz ich odbiorców. Przykładowo, jeśli opisujemy czynności obejmujące realizację zamówienia, wskazujemy, że będziemy przetwarzać dane kupującego, czyli m.in. imię, nazwisko, mail, numer telefonu i adres dostawy, a dane te przekażemy np. firmie kurierskiej i hurtowni, z której przesyłka zostanie nadana. Co ważne, nie ma obowiązku wskazywania konkretnych informacji o każdym odbiorcy danych – wystarczy ogólne określenie (takie jak np. „hurtownia”, „firma kurierska” itp.). Dokument powinien zawierać także ogólne informacje o użytych w przedsiębiorstwie zabezpieczeniach.

Zwolnione z obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych są przedsiębiorstwa zatrudniające poniżej 250 osób. Niestety, przywilej zostaje zniesiony w przypadku małych firm jeśli:

  • przetwarzanie danych odbywa się regularnie, np. poprzez zapisywanie zamówień klientów w sklepie internetowym,
  • zbierane są dane szczególnych kategorii, wrażliwe (np. dotyczące seksualności, stanu zdrowia, przynależności etnicznej),
  • istnieje ryzyko naruszenia praw i wolności osób, których dane gromadzisz,
  • zbierane są informacje obejmujące wyroki bądź informacje o naruszeniach prawa.

Łatwo więc ustalić, że w przypadku sklepu internetowego szansa, że nie będziemy musieli takiego rejestru prowadzić jest raczej znikoma. Co ważne, rejestr czynności przetwarzania danych stanowi dokument wewnętrzny – nie publikuj go więc na stronie sklepu ani nie ujawniaj osobom postronnym.

Umowa Przekazania Przetwarzania Danych Osobowych

Niezwykle ważną częścią RODO, zwłaszcza z punktu widzenia funkcjonowania sklepu internetowego, jest zawarcie Umowy Powierzenia Przetwarzania Danych Osobowych. Należy ją zawrzeć z wszystkimi firmami, którym powierzanesą dane klientów. Zalecenie obejmuje zarówno firmę odpowiadającą za hosting informacji pochodzących z Twojego sklepu, jak i kurierów, bramki płatnicze oraz inne podmioty, które mają styczność z pobieranymi informacjami.

Ułatwienie pozwalające na zawarcie jej w formie elektronicznej znacznie minimalizuje czas przeznaczany na formalności, co dotychczas było niemożliwe. W praktyce umowa powierzenia stanowi często załącznik do podpisywanej z dostawcą usług umowy bądź regulaminu.

W Sky-Shop.pl zapis o powierzeniu przetwarzania danych jest jednym z punktów regulaminu.

Dokumentacja RODO

Oprócz opisanego już wcześniej rejestru czynności przetwarzania, RODO nakłada na administratorów danych obowiązek prowadzenia jeszcze innych dokumentów wewnętrznych. Są to w szczególności:

  • Analiza ryzyka przetwarzania danych, w której oceniane jest ryzyko wystąpienia incydentu. Wysoki poziom ryzyka nie jest akceptowalny, w związku z czym taki wynik świadczy o konieczności obniżenia go, np. poprzez dodatkowe zabezpieczenia techniczne czy organizacyjne;
  • Polityki ochrony danych, opisujące zasady postępowania z danymi osobowymi w przedsiębiorstwie i wykazujące wdrożone zasady, zabezpieczenia oraz procedury postępowania w odniesieniu do działalności administratora.

Zasady ogólne RODO

RODO można w pewnym uproszczeniu podsumować do 7 podstawowych zasad ogólnych, z których musisz zdawać sobie sprawę:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości – obejmuje przetwarzanie danych wyłącznie w sposób zgodny z prawem, informowanie o celu przetwarzania oraz prawach (do usunięcia, przeniesienia i wglądu), jakie ma każda z osób, której dane dotyczą. Dodatkowo nakazuje używania jasnego i prostego języka, tak by osoba, której dane dotyczą miała pełną świadomość zakresu i celu, w jakim będą przetwarzane.
  2. Zasada ograniczenia celu przetwarzania danych – cel przetwarzania danych musi zostać precyzyjnie określony. Powierzonych danych nie można wykorzystywać w celach innych niż te, co do których mamy podstawę prawną. Przykładowo, każda z wyrażanych przez nią zgód powinna zostać zawarta w osobnym podpunkcie/checkboxie. Nie można domyślnie zaznaczać zgód na przetwarzanie danych np. w celu marketingowym.
  3. Zasada minimalizacji danych – dopuszczalne jest gromadzenie jedynie ilości i zakresu danych niezbędnych do wykonania określanych wcześniej czynności. Jeśli w procesie zakupowym można uniknąć podawania adresu zamieszkania klienta (np. przy odbiorze produktu w punkcie), należy usunąć pole wymagające jego wprowadzenia z formularza.
  4. Zasada prawidłowości danych – administrator danych jest zobowiązany do ich aktualizacji, jeśli zostanie o niej poinformowany.
  5. Zasada ograniczenia przechowania danych – w myśl RODO okres przechowywania danych powinien być uzależniony od celu i podstawy prawnej przetwarzania. Po zrealizowaniu celu lub upływie okresu, w którym mamy przesłankę do przetwarzania danych osobowych, muszą one zostać usunięte.
  6. Zasada integralności i poufności danych – nakłada obowiązek zabezpieczenia procesu przetwarzania danych przez odpowiednie środki technologiczne oraz organizacyjne. Trzeba więc zabezpieczyć dane nie tylko pod kątem ryzyka ich utraty, ale także niepożądanej ingerencji w ich poprawność i kompletność.
  7. Zasada rozliczalności – na administratorze danych osobowych ciąży obowiązek udowodnienia, że ich przetwarzanie jest zgodne z prawem. W rezultacie musi wykazać, że podejmowane czynności są uzasadnione i odpowiednio zabezpieczone.

Opisane zasady nie stanowią dużej zmiany w przepisach o ochronie danych osobowych. W znaczącej większości nieco rozszerzają dotychczas funkcjonujące obowiązki i zasady.

RODO w dropshippingu

Przepisy RODO w przypadku dropshippingu są bardzo zbliżone do tych, które stosowane są w sklepach posiadających własne magazyny.

Największą różnicę stanowi fakt, że dane Twoich klientów będą przetwarzane przez dodatkowy podmiot, jakim jest hurtownia dropshippingowa. W związku z tym powinieneś pamiętać o dwóch kwestiach:

  1. W dokumentach prawnych sklepu, a zwłaszcza w Polityce Prywatności, powinna znaleźć się informacja o tym, że dane klienta będą powierzonewybranej przez Ciebie hurtowni.
  2. Musisz zawrzeć umowę powierzenia z hurtownią dropshippingową.

Uwaga: wskazane powyżej zasady dotyczą sytuacji, w której pomimo, że fizycznie towar “nie przechodzi przez Twoje ręce”, to z Tobą kupujący zawiera umowę sprzedaży, a więc sprzedawcą jesteś Ty, nie hurtownia. W przypadku modelu, w którym działasz jedynie jako pośrednik, sytuacja będzie wyglądać nieco inaczej.

Sporządzenie dokumentów RODO możesz powierzyć naszemu partnerowi, jakim jest Legal Geek!

Nie zwlekaj i testuj sklep dostosowany do RODO bezpłatnie przez 14 dni!

prawo w dropshippingu
4.50 avg. rating (90% score) - 8 votes 5
Kinga Tobała
Senior Marketing Specialist

Powiązane posty

Wypróbuj platformę Sky-Shop bezpłatnie.

Przez 14 dni bez zobowiązań z pełną funkcjonalnością platformy.