RODO dla sklepu internetowego – ochrona danych osobowych w sklepie internetowym – co musisz wiedzieć?

Prowadzenie sklepu internetowego to także konieczność bycia na bieżąco z przepisami i dostosowywaniem sklepu do wymogów prawa. Jednym z nich jest posiadanie i prowadzenie dokumentacji.  Oprócz wszystkiego, co dotyczy księgowości sklepu, regulaminu, czy też cookies, konieczne jest też posiadanie dokumentacji wymaganej przez tak zwane RODO. Czym jest RODO? Jakie są wymagania RODO w sklepie internetowym? Na te pytania odpowiadamy w tym właśnie wpisie.

Co to RODO?

Jest to rozporządzenie o Ochronie Danych Osobowych. Za wprowadzeniem tych regulacji stoi Unia Europejska, a dotyczą one zbierania i przetwarzania danych osobowych. Przepisy te weszły w życie 25 maja 2018 roku. Oczywiście odnoszą się nie tylko do sklepów internetowych, ale do wszystkich podmiotów, które w jakikolwiek sposób gromadzą dane osobowe. Kładą na podmiotach szczególne wymagania, jeśli chodzi o zakres przechowywania danych osobowych i informowanie o nim osób, których dane dotyczą. Wymagane jest też zdobycie od klientów określonych zgód. Celem tych regulacji jest zwiększenie bezpieczeństwa danych osobowych przez jednolite w całej Unii i szczegółowe przepisy.

Dane osobowe, co to właściwie takiego?

Żeby zrozumieć obowiązki, jakie nakłada RODO, trzeba wiedzieć, czym w ogóle są dane osobowe. Przed wejściem stosownych przepisów uważano za nie przede wszystkim adres, imię i nazwisko oraz PESEL, czyli wszystkie dane wrażliwe, które w bezpośredni sposób dotoczyły jakiejś konkretnej osoby.  Od maja 2018 definicja danych osobowych zmieniła się. Są to wszystkie informacje pozwalające zidentyfikować osobę, może więc to być także przynależność do określonej społeczności religijnej czy lista przebytych chorób.

 

Jakie obowiązki nakłada rozporządzenie RODO?

Prowadząc sklep internetowy, gromadzi się dane osobowe klientów, które potrzebne są do realizacji zamówień.  W związku z gromadzeniem tych danych pojawiają się dwie ważne definicje, administrator i podmiot przetwarzający. Administrator odpowiada za bezpieczne przechowywanie danych i ustala cel ich przechowywania.  Jeśli więc pracownicy sklepu w jakikolwiek sposób decydują, w jakim celu są przetwarzane dane (np. do realizacji zamówień), sklep jest administratorem. Natomiast podmiot przetwarzający może być osobą trzecią, która zajmuje się przetwarzaniem danych w imieniu administratora. Może to być firma zewnętrzna, która specjalizuje się w tym i przetwarza dane osobowe w imieniu wielu innych podmiotów (administratorów). Aby lepiej to zobrazować, posłużymy się przykładem.  Jeśli sklep internetowy korzysta z zewnętrznej firmy księgowej, która ma dane dotyczące płac poszczególnych pracowników i wszystkich informacji z tym związanych, to ta firma księgowa jest podmiotem przetwarzającym dane osobowe.

 

Firmy kurierskie a dane osobowe

Nasuwa się więc pytanie, czy konieczne jest podpisywanie specjalnych umów z firmami kurierskimi, które w końcu mają dostęp do adresów i innych danych osobowych klientów sklepu. Na szczęście nie ma takiej potrzeby. Firmy kurierskie, które działają w ramach prawa pocztowego, zobowiązane są, jak i wszyscy ich pracownicy, jako operator pocztowy, do zachowania tak zwanej tajemnicy pocztowej. Nie ma więc konieczności spisywania dodatkowych umów.

Dokumenty sklepu a RODO

Cała dokumentacja sklepu, czyli regulamin, polityka prywatności, a także polityka dotycząca cookies muszą być dostosowane do RODO.  Polityka prywatności musi informować klienta o kilku kwestiach. Są to takie informacje jak:

1. dokładny zakres pozyskiwanych danych;
2. sposób przechowywania danych osobowych;
3. prawo do żądania usunięcia danych i bycia zapomnianym;
4. działania podejmowane w razie włamania do systemu i kradzieży danych;
5. dokładne dane przedsiębiorcy, choć to przeważnie jest w każdym regulaminie;

Ogólnie wymogi RODO sugerują, że powinno przechowywać się jedynie te dane, które są niezbędne do wykonania danej usługi. W przypadku sklepu internetowego zrealizowania zamówienia.

Rejestr przetwarzania danych

Zgodnie z wprowadzonym w 2018 roku prawem konieczne jest prowadzenie rejestru przetwarzania danych. Dokument taki powinien zawierać informacje o tym, kto jest administratorem oraz inspektorem danych osobowych, kategoriach osób, których dane są gromadzone (w przypadku sklepu będą to jego klienci) i podmiotach, którym dane te, w związku z realizacją usługi, będą udostępniane. Zwolnione z obowiązku prowadzenia rejestru mogą być podmioty, które przetwarzają dane w sposób sporadyczny, sklepy jednak takimi działalnościami nie są.

Pozyskanie zgód

Jest to jeden z najważniejszych elementów, jakie wprowadza RODO. To użytkownik, czyli w przypadku sklepu internetowego jego klient, musi wyrazić zgodę na pozyskiwanie i przetwarzanie przez sklep swoich danych osobowych. Co ważne, taka zgoda nie może być pozyskana automatycznie. Co to oznacza? Odpowiednie okienko podczas rejestracji, dokonywania zakupów, pozyskiwania zgód marketingowych i innych użytkownik musi zaznaczyć sam, nie może być ono wcześniej zaznaczone.  Przy każdorazowo pobieranych danych do różnych celów, zgoda musi być wyrażona oddzielnie i za każdym razem musi być podany dokładny cel pozyskiwania konkretnych danych.

Obowiązki sklepu wobec osób, których dane dotyczą

Administrator danych, czyli w tym wypadku sklep internetowy ma określone obowiązki wobec użytkowników sklepu.

• Prawo dostępu. Oznacza ono, iż osoba, której dane dotyczą, ma prawo do wglądu do tych danych, a także do informacji o celu ich przetwarzania, kategorii danych i odbiorcach, którym mogą być one udostępniane.
• Prawo do sprostowania. Klient ma możliwość sprostowania nieprawidłowych danych
• Prawo do bycia zapomnianym. Administrator na żądanie klienta ma obowiązek usunięcia danych, jeżeli występuje jedno z poniższych:
  1. dane osobowe nie są już konieczne do celów, w jakich zostały zebrane;
  2. osoba, której dotyczą dane, cofnęła zgodę, na podstawie której były one przetwarzane;
  3. dane osobowe były przetwarzane niezgodnie z prawem;
  4. muszą być one usunięte na mocy jakichś konkretnych przepisów prawa Unii Europejskiej lub wewnątrzkrajowego;

Bezpieczeństwo danych

RODO nakłada także na przedsiębiorcę obowiązek wykorzystywania systemów informatycznych, które spełniają wszystkie wymogi bezpieczeństwa. Oczywiście w większości przypadków serwer, na jakim znajduje się sklep, należy do zewnętrznego dostawcy. Trzeba się więc upewnić, że spełnia on wszystkie standardy. Warto jednak pamiętać także o innych wymaganiach, które nakład RODO względem bezpieczeństwa przechowywanych danych. Sklep powinien korzystać z certyfikatu SSL, szyfrować odpowiednio dane, a także wykonywać regularnie ich kopię zapasową. Nie można przechowywać dokumentów zawierających dane „na widoku”, czyli na przykład biurkach lub tablicach korkowych, itp. Należy zminimalizować dostęp do danych, powinny go mieć tylko osoby wewnątrz, jak i z zewnątrz sklepu, którym jest on niezbędny do realizacji ich obowiązków.

Pracownicy sklepu

W przypadku zatrudniania w sklepie pracowników warto pamiętać o konieczności podpisania z nimi umowy o powierzeniu danych osobowych. Taka umowa musi być też podpisana z każdą firmą zewnętrzną, która ma dostęp do danych.

Podsumowanie

Wymogów, jeśli chodzi o RODO, jest całkiem sporo. Jednak zastosowanie się do nich jest niezbędne. W przypadku niespełnienia jakichś wymagań możliwe jest nałożenie na sklep kar finansowych. Dlatego zdecydowanie bezpiecznej jest znaleźć jakiś udostępniany w Internecie wzór dokumentów lub zakupić go u specjalistów, dostosować wszystkie procedury niż liczyć, że nikt nie zauważy braków, jeśli chodzi o wymagania względem RODO.

 

Przeczytaj także:

• Darmowy sklep internetowy – jak go założyć? Czy sklep za darmo to możliwe?
• Linkedin B2B – czyli jak budować komunikację i marketing na tej platformie?
• Dyrektywa omnibus w B2B – co trzeba wiedzieć?
• B2B digital marketing – jak wybierać odpowiednią strategię dla Twojego biznesu?
• Sklep internetowy a kasa fiskalna – kiedy jest niezbędna (2021)?