6 rzeczy, które musisz wiedzieć o RODO, gdy jesteś sprzedawcą internetowym

Jeżeli ktoś rzetelnie wykonywał obowiązki ciążące na nim na mocy ww. ustawy o ochronie danych osobowych, to nie powinien obawiać się nadejścia 25 maja 2018 roku.

1) Co to jest RODO?

To ogólne rozporządzenie o ochronie danych osobowych (w skrócie RODO). Rozporządzenie zostało uchwalone 27 kwietnia 2016 roku przez Parlament Europejski. Zadaniem przepisów jest ujednolicenie przepisów dotyczących ochrony danych osobowych w Unii Europejskiej i tym samym poprawienie bezpieczeństwa przetwarzania danych. Koniec z zastanawianiem się, do przepisów którego państwa się zastosować. Stosujemy po prostu przepisy RODO. Kiedy wchodzi RODO? RODO zacznie być stosowane od 25 maja 2018 i będzie dotyczyć wszystkich przedsiębiorców regularnie przetwarzających dane osobowe, bez względu na wielkość firmy.

2) Czy RODO rzeczywiście jest rewolucją?

Zaryzykujemy tezę, że tak i nie. To zależy. Jeżeli ktoś rzetelnie wykonywał obowiązki ciążące na nim na mocy ww. ustawy o ochronie danych osobowych, to nie powinien obawiać się nadejścia 25 maja 2018 r. (bo od tego dnia RODO należy stosować). Ustawa ta określa, że administrator danych osobowych przetwarzający  dane  powinien  dołożyć  szczególnej  staranności  w celu  ochrony  interesów  osób,  których  dane  dotyczą, a w szczególności ma zapewnić, aby dane te były przetwarzane zgodnie z prawem (zasada legalności), zbierane dla oznaczonych, zgodnych z prawem celów i, co do zasady, niepoddawane dalszemu  przetwarzaniu niezgodnemu z tymi celami (zasada celowości), merytorycznie poprawne i adekwatne w stosunku do celów przetwarzania (zasada merytorycznej poprawności i adekwatności), czy przechowywane nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania (zasada ograniczenia czasowego).

Do tych zasad RODO wprost dodaje zasadę integralności i poufności (zgodnie z nią dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych) oraz zasadę rozliczalności – zgodnie z którą to na administratorze ciąży obowiązek przestrzegania zasad przetwarzania danych  i wykazania ich przestrzegania zarówno w stosunku do osób, których dane przetwarza jak i organowi nadzoru (według projektu nowej ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych, który zastąpi Generalnego Inspektora Ochrony Danych Osobowych).

Właśnie zasada rozliczalności jest rewolucyjna i idealnie pokazuje 3 podstawy RODO: relatywizm, neutralność technologiczną oraz podejście oparte na ryzyku.

Podstawy te powinny znaleźć odzwierciedlenie działań przedsiębiorcy we wdrożeniu RODO we własnej firmie. Warto także pamiętać, że o zmianach w zakresie ochrony danych osobowych myślano dużo wcześniej – Komisja 25 stycznia 2012 roku przyjęła pakiet zmian regulacji UE w zakresie ochrony danych, w tym wniosek dotyczący rozporządzenia zawierającego ogólne regulacje w zakresie ochrony danych.

3) Czy RODO dotyczy każdego sprzedawcy internetowego?

Tak, bo jeżeli jesteś sprzedawcą internetowym, to na pewno przetwarzasz dane osobowe. W celu realizacji umowy sprzedawca musi posiadać informacje niezbędne do wystawienia rachunku, przesłania towaru do kupującego (imię i nazwisko, adres kupującego). Na pewno nie dotyczy Cię wyjątek z artykułu 23 RODO – nie jesteś np. sądem, policją. Na 99% masz siedzibę w UE, a na 100% oferujesz towary lub usługi znajdującym się w Unii osobom.

 Zgodnie z RODO: 

„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,

„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

To wszystko powoduje, że RODO dotyczy każdego sprzedawcy internetowego. 

4) Jak wygląda wdrożenie RODO w sklepie internetowym

Tak jak pisaliśmy wyżej RODO może być rewolucją lub ewolucją - wszystko zależy od tego, co do tej pory było zrobione w temacie ochrony danych osobowych w naszej firmie. W zakresie sposobu wdrożenia warto odesłać do przydatnego poradnika - Przewodnik po RODO dla małych i średnich przedsiębiorców przygotowanego przez Ministerstwo Przedsiębiorczości i Technologii (tutaj). Wyróżnia on poniższe etapy wdrożenia RODO w firmie: 

1. Identyfikacja procesów przetwarzania danych osobowych (w skrócie jakie dane i w jakich celach przetwarzamy)
2. Weryfikacja podstawowych parametrów procesów przetwarzania danych (określamy podstawy przetwarzania, zakres oraz treść obowiązków z tym związanych)
3. Wdrożenie podejścia opartego na ryzyku (określamy poziom ryzyka związanego z przetwarzaniem danych)
4. Przeprowadzenie procedury oceny skutków dla ochrony danych (nie zawsze jest to obowiązkowe, ale zalecamy jej przeprowadzenie)
5. Powierzenie przetwarzania danych (ustalamy komu przekazujemy dane i podpisujemy z tymi podmiotami umowy dot. powierzenia )
6. Nowe prawa osób, których dane dotyczą (zapewniamy możliwość korzystania z nowych prawa - np. prawa do bycia zapomnianym)
7. Incydenty bezpieczeństwa (wdrażamy zasady zgłaszania naruszeń)

Większość z tych informacji będzie zawarta w wewnętrznej dokumentacji firmy - np. w polityce bezpieczeństwa (nie mylić z polityką prywatności). Zadaniem sprzedawcy jest przygotować i wdrożyć taką dokumentację w swojej firmie.

Dostosowanie sklepu internetowego do RODO – od czego zacząć?

Dostosowanie sklepu internetowego do RODO należy przeprowadzić dwutorowo – pierwszy etap dotyczy dostosowanie samej strony sklepu internetowego, czyli to co widoczne dla jego klientów. Drugi etap natomiast dotyczy spraw wewnętrznych sklepu internetowego, czyli tego co jest niewidoczne dla klientów sklepu internetowego. Obie te strefy wzajemnie się przenikają i powinny być spójne ze sobą.

RODO na zewnątrz sklepu internetowego – czyli to, co widać

Dostosowanie sklepu na zewnątrz wydaje się prostsze. W tym zakresie należy zadbać przede wszystkim o: 

1) regulamin sklepu internetowego i politykę prywatności zgodną z RODO

2) sprawdzenie i dostosowanie checkboxów stosowanych na stronie sklepu tak aby były one zgodne z RODO

3)  zapewnienie ew. innych informacji, jeżeli ich podanie okaże się konieczne zgodnie z RODO 

Polityka prywatności po wejściu w życie RODO stanie się bardzo ważnym miejscem, w którym możliwe będzie spełnienie stawianych przez RODO obowiązków informacyjnych.  Sam regulamin w zależności od jego konstrukcji i dotychczasowej zawartości może wymagać mniej lub większej ingerencji z uwagi na konieczność dostosowania do RODO. Istotne na pewno będzie przejrzenie stosowanych przez nas treści zgód (checkboxów) na stronie sklepów pod kątem RODO i w razie potrzeby dostosowanie ich do nowych wymogów informacyjnych.

RODO wewnątrz sklepu internetowego – czyli to, czego nie widać

Teraz przechodzimy ze strony internetowej sklepu do siedziby sklepu. To co jest na stronie sklepu, to tak naprawdę wierzchołek góry lodowej, której reszta powinna być właśnie wewnątrz prowadzonej działalności przez Sprzedawcę. Nie ma jednej złotej recepty dostosowania się do RODO – przepisy te są na tyle nowe, że trudno tutaj mówić o jakiejś wypracowanej praktyce. Będzie się ona dopiero tworzyła na podstawie kolejnych decyzji i wytycznych organu nadzorczego, którym będzie dotychczasowe GIODO. Brak jednoznacznych wytycznych nie zwalania nas jednak z podjęcia próby dostosowania się do RODO i wdrożenia go we własnej firmie. 

Tutaj ważna informacja – RODO nie dotyczy tylko sklepu internetowego. Jeżeli w naszej firmie poza sklepem internetowym prowadzimy także inną działalność – chociażby sklep stacjonarny, to wdrożenie RODO powinno obejmować także tę dodatkową działalność. RODO z założenia ma regulować całość przetwarzania danych osobowych w danej firmie.

RODO, a polityka prywatności w sklepie internetowym

Poza wdrożeniem RODO wewnątrz firmy i na przykład oceny ryzyka, sprawdzenia zabezpieczeń oraz przygotowania wewnętrznej dokumentacji dot. przetwarzania danych osobowych, konieczne jest także spełnienie obowiązków informacyjnych na zewnątrz. Tutaj przydatna będzie polityka prywatności.

Rozporządzenie RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu.

Kluczowy w tym zakresie będzie art. 13 Rozporządzenia RODO, zgodnie z którym administrator danych podczas pozyskiwania danych osobowych obowiązany jest podać poniższe informacje: 

1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
9. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
10. informacje o prawie wniesienia skargi do organu nadzorczego;
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Administrator zobowiązany jest także do poinformowania, czy podanie danych i tym samym ich przetwarzanie jest dobrowolne, czy też obowiązkowe – a w tym ostatnim wypadku należy wskazać skąd wynika taki obowiązek – może on wynikać np. z umowy lub z ustawy.

5) Czy warto czekać na uchwalenie krajowych ustaw?

Zdecydowanie nie, jak wyżej napisaliśmy RODO zacznie być stosowane od 25 maja br. I od tego dnia musisz przetwarzać dane zgodnie z zasadami, a więc również wykazać, że przestrzegasz tych zasad.

Za łamanie podstawowych zasad przetwarzania danych osobowych organ nadzoru może nałożyć karę pieniężną w wysokości do 20 mln EURO lub do 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Przy czym, przy decydowaniu o nałożeniu kary powinien zwrócić uwagę m. in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody, umyślny lub nieumyślny charakter naruszenia, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, a także na szereg czynników (szer. art. 83 RODO).

5 najważniejszych informacji o RODO przygotowali dla nas prawnicy Prokonsumencki.pl