RODO dla sklepów internetowych – poradnik właściciela

RODO dla sklepów internetowych – poradnik właściciela

RODO – to temat, który od kilku miesięcy elektryzuje cały biznesowy świat. Chociaż nowe przepisy o ochronie danych osobowych obowiązują już od 25 maja 2018 roku, wciąż budzą one wiele wątpliwości i obaw wśród właścicieli sklepów internetowych. Czas najwyższy jednak, aby przestać się go bać i zacząć działać!

Jako osoba prowadząca e-commerce, musisz mieć świadomość, że RODO chroni Cię z dwóch stron. Z jednej strony, jako przedsiębiorcę, który przetwarzając dane osobowe Twoich klientów, musi przestrzegać nowych przepisów. Z drugiej zaś, jako zwykłą osobę fizyczną, której dane są przetwarzane przez różne firmy. Odbierasz telefony z ofertami, dostajesz mailem newslettery, których nigdy nie zamawiałeś – RODO ma ukrócić tego typu nadużycia.

Zatem, czy jako właściciel sklepu internetowego musisz się RODO obawiać? Zdecydowanie nie! Wystarczy, że podejdziesz do tematu z głową i przestrzegając podstawowych zasad, zapewnisz swoim klientom odpowiednią ochronę danych. Oczywiście, to wymaga od Ciebie nieco więcej pracy i uwagi, jednak w gruncie rzeczy, wcale nie jest to takie skomplikowane, jak mogłoby się wydawać na pierwszy rzut oka.

Według redakcji Selesto, najważniejsze pytania, jakie stawia sobie każdy przedsiębiorca, brzmią: “Czy RODO dotyczy mnie jako właściciela sklepu internetowego?” oraz “Jak mam się do niego dostosować?”. Odpowiedź jest prosta – dwa razy tak. Tak, RODO Cię dotyczy, ponieważ przetwarzasz dane osobowe Twoich klientów. I tak, musisz się do niego dostosować, aby uniknąć przykrych konsekwencji.

Zanim jednak zagłębimy się w szczegóły, warto przypomnieć sobie czym właściwie jest RODO. W zagranicznych artykułach możesz spotkać się z określeniem GDPR, które oznacza po prostu Ogólne Rozporządzenie o Ochronie Danych (ang. General Data Protection Regulation). Jest to rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej, które zastąpiło polską ustawę o ochronie danych osobowych z 1997 roku.

Co ważne, w przeciwieństwie do większości unijnych aktów prawnych, które muszą być przepisane do polskiego prawa, RODO stosuje się bezpośrednio. Oznacza to, że nie musisz czekać na uchwalenie odpowiedniej ustawy – od 25 maja 2018 roku po prostu musisz się do niego stosować.

Warto jednak wspomnieć, że Polska ma własną ustawę o ochronie danych osobowych, uchwaloną 11 maja 2018 roku. Ma ona jednak głównie funkcje techniczne – określa m.in. uprawnienia Prezesa Urzędu Ochrony Danych Osobowych, kary za nieprzestrzeganie RODO, itp. Dla Ciebie, jako właściciela sklepu internetowego, najważniejszy będzie więc sam tekst RODO.

Czy to oznacza, że dotychczasowe przepisy o ochronie danych osobowych w ogóle się nie różnią? Nie do końca. Owszem, definicja danych osobowych czy obowiązki administratora danych nie różnią się aż tak bardzo. Największa zmiana polega na tym, że RODO daje Ci większą swobodę w wyborze środków, jakimi będziesz chronić dane osobowe. Z drugiej strony, przed RODO mało kto przejmował się ochroną danych osobowych – teraz jest to o wiele ważniejsze.

Według Shoper, sklep internetowy powinien spełniać wszystkie wymogi wynikające zarówno z polskiej ustawy, jak i z unijnego rozporządzenia. Nie musisz się jednak RODO bać – wystarczy, że podejdziesz do tematu z głową i zadbasz o kilka podstawowych kwestii.

Po pierwsze, musisz wiedzieć, jakich danych osobowych Twoich klientów używasz w swojej działalności. Prawdopodobnie są to typowe dane, takie jak imię, nazwisko, adres e-mail, numer telefonu, itp. – a więc nie dane wrażliwe, jak informacje o stanie zdrowia czy poglądach politycznych. To znacznie ułatwi Ci dalsze kroki.

Kolejnym krokiem powinno być dopasowanie środków bezpieczeństwa, jakimi będziesz chronił te dane. RODO daje Ci tu sporo swobody – nie ma już sztywnych wymogów, jak przed 2018 rokiem. Musisz jednak pamiętać, że ochrona danych osobowych to nie tylko reagowanie na ewentualne naruszenia, ale przede wszystkim zapobieganie im.

Dlatego też ważne jest, aby Twój sklep internetowy spełniał zasady “privacy by default” oraz “privacy by design”. Pierwsza z nich mówi, że ochrona prywatności powinna być domyślnym ustawieniem Twojego systemu – np. formularz rejestracji na newsletter nie może mieć domyślnie zaznaczonej zgody. Druga zaś zakłada, że ochrona danych musi być wbudowana w Twój system od samego początku.

Nie możesz też zapomnieć o kluczowych dokumentach, jakie powinieneś mieć w swoim sklepie internetowym. Przede wszystkim chodzi o REGULAMIN, który określa zasady świadczenia przez Ciebie usług drogą elektroniczną. Możesz w nim uwzględnić elementy wymagane przez RODO, takie jak informacje o rodzaju, celu i podstawie przetwarzania danych osobowych.

Kolejny ważny dokument to INFORMACJA O PLIKACH COOKIES. Wynika ona z art. 173 prawa telekomunikacyjnego i nakłada na Ciebie obowiązek informowania użytkowników Twojej strony o używaniu plików cookies oraz uzyskiwania ich zgody na to.

Nie możesz też pominąć KLAUZULI OBOWIĄZKU INFORMACYJNEGO. Jest to dokument ściśle związany z RODO, który mówi, że jako Administrator danych osobowych (czyli Ty, jako właściciel sklepu) musisz poinformować swoich klientów o szeregu kwestii określonych w art. 13 RODO. Możesz to zrobić np. wyświetlając klauzulę przy pierwszym wejściu klienta na stronę sklepu.

Ważnym obowiązkiem wynikającym z RODO jest również stworzenie REJESTRU CZYNNOŚCI PRZETWARZANIA. Choć brzmi to skomplikowanie, tak naprawdę nie jest to uciążliwy obowiązek. Wystarczy, że stworzysz plik lub tabelę, w której opiszesz m.in. kategorie danych osobowych, cel i podstawę ich przetwarzania, kategorie odbiorców, okresy przechowywania danych, itp. Wzór takiego rejestru możesz znaleźć na stronie Prezesa Urzędu Ochrony Danych Osobowych.

Co ważne, stworzenie rejestru nie jest obowiązkowe dla jednoosobowych przedsiębiorców ani dla podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych. W praktyce, warto jednak taki rejestr stworzyć, aby móc się nim okazać w razie ewentualnej kontroli oraz aby rzeczywiście panować nad zakresem przekazywanych Ci danych osobowych.

Kolejnym aspektem, o którym musisz pamiętać, jest przekazywanie danych osobowych podmiotom trzecim, takim jak np. księgowa, obsługa informatyczna czy prawna. W większości przypadków robisz to na co dzień, dlatego potrzebujesz UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Może to być uniwersalny dokument, który z małymi modyfikacjami będziesz mógł stosować przy każdej okazji przekazywania danych chronionych przez RODO.

Jeśli chodzi o firmy kurierskie, z których usług z pewnością korzystasz, RODO daje Ci alternatywę – podstawą powierzenia może być nie tylko umowa, ale także inny instrument prawny określający zasady powierzenia. W praktyce, oznacza to, że możesz kwestie związane z powierzeniem zawrzeć w regulaminie Twojego sklepu internetowego.

Nie możesz też zapomnieć o swoich pracownikach, którzy pomagają Ci w prowadzeniu sklepu i mają dostęp do danych osobowych Twoich klientów. Powinieneś nadać im UPOWAŻNIENIE do przetwarzania danych w Twoim imieniu i na Twoje polecenie, w określonym zakresie. Warto też stworzyć REJESTR UPOWAŻNIEŃ, aby w razie kontroli móc bez problemu wykazać, kto ma dostęp do jakich danych.

Ostatnią, ale nie mniej ważną kwestią, jest ZGODA NA WYSYŁKĘ NEWSLETTERA. To odrębna od RODO kwestia, ale niezbędna dla tych usługodawców, którzy w ten sposób chcą reklamować swoje produkty. Pamiętaj, że w przypadku newslettera, zgoda klienta musi być wyrażona aktywnie – nie może to być po prostu domyślnie zaznaczone pole.

Podsumowując, RODO to w gruncie rzeczy nowa filozofia ochrony danych osobowych. Nie wystarczy już tylko reagowanie na ewentualne naruszenia – musisz spróbować im zapobiegać. Odpowiednie środki bezpieczeństwa, dokumentacja i upoważnienia dla pracowników to klucz do sukcesu.

Oczywiście, temat RODO jest znacznie szerszy, niż to, co tutaj przedstawiłem. Warto śledzić publikacje na ten temat, a w razie wątpliwości, skonsultować się z ekspertem. Pamiętaj jednak, że RODO nie jest takie straszne, jak mogłoby się wydawać. Wystarczy, że podejdziesz do tematu z głową, a Twój sklep internetowy będzie w pełni zgodny z obowiązującymi przepisami.

Stronyinternetowe.uk to platforma, która pomoże Ci w stworzeniu wymarzonego sklepu internetowego. Nasi eksperci z chęcią odpowiedzą na Twoje pytania i poprowadzą Cię przez cały proces, abyś mógł cieszyć się profesjonalnym e-sklepem, spełniającym wszystkie wymogi RODO. Nie zwlekaj i skontaktuj się z nami już dziś!