Jak przygotować swój e-commerce do RODO

RODO – polski skrót od Rozporządzenie Ogólne o

Ochronie Praw Osobowych (z angielskiego GDPR – General
Data Protection Regulation).

Nadciągające wielkimi krokami unijne rozporządzenie RODO wymusza na

przedsiębiorcach z sektora e-commerce gruntowne przemodelowanie
swojej polityki prywatności. Już od 25 maja roku 2018 (czyli od dnia w
którym obowiązywać zacznie rzeczona dyrektywa) właściciele firm
gromadzących dane osobowe klientów pod groźbą dotkliwej kary
finansowej obarczeni zostaną nowymi obowiązkami.

Zmiany i regulacje niesione przez RODO oraz

zalecany sposób działania

1. GIODO przestaje istnieć

Informacje ogólne

Koniec z przesyłaniem danych do urzędu Generalnego Inspektora Ochrony

Danych Osobowych. Wprowadzenie RODO znosi dotychczasowy obowiązek
zgłaszania zbioru informacji w GIODO i nakazuje przedsiębiorcom
indywidualne prowadzenie tak zwanego rejestru czynności przetwarzania. Z
powinności tej zwolnieni będą administratorzy danych zatrudniający mniej
niż 250 pracowników, jeśli zbieranie przez nich informacji będzie miało
charakter sporadyczny oraz nie będą gromadzić:
 danych wrażliwych (związanych na przykład z wyznaniem czy rasą)
 danych godzących w wolności i prawa zainteresowanych osób
 danych związanych z wyrokami skazującymi i naruszeniami praw

Co zrobić?

Rejestr czynności przetwarzania winien zawierać następujące ustępy:

  imię, nazwisko i dane kontaktowe administratora oraz ewentualnych
współadministratorów, przedstawiciela administratora i inspektora
ochrony danych
 cel przetwarzania danych
 opis kategorii danych osobowych jak również opis kategorii osób,
których te dane przedstawiają (kategorie danych dzieli się na zwykłe i
wrażliwe, przykładem kategorii osób mogą zaś być na przykład
darczyńcy)
 kategorie odbiorców, którym dane są udostępnione jak i tych, którym
dane zostaną ujawnione (tyczy się to również odbiorców z krajów
spoza Unii Europejskiej oraz z organizacji międzynarodowych)
 przekazanie danych osobowych do organizacji międzynarodowej i/lub
kraju nie będącego członkiem UE
 planowane terminy usunięcia konkretnych danych
 sposób zapewnienia odpowiedniego poziomu bezpieczeństwa
(zdefiniowany w art. 32 ust. 1 RODO)
Dopuszcza się dwie formy prowadzenia rejestru – wirtualną i na papierze.

2. Zgoda na profilowanie

Informacje ogólne

Profilowanie, czyli powszechna praktyka segregowania kontrahentów

według płci, wieku, miejsca zamieszkania i tym podobne; dotychczas
odbywało się ono przeważnie bez wiedzy podmiotu tej czynności. Od 25
maja wejdzie natomiast w życie obowiązek informowania klienta o
przeprowadzonym profilowaniu – będzie można wyrazić na nie zgodę lub
odmówić, w wyniku czego firma nie będzie oczywiście mogła wykonać
rzeczonej operacji.

Co zrobić?

Zaleca się zawrzeć wzmiankę o profilowaniu w polityce prywatności firmy.

Można również poinformować konsumenta poprzez formularz w formie
pop-upu na stronie domowej sklepu lub (po dokonaniu pierwszego zakupu)
przez wysłanie do niego maila. Przykładowo w ostatnim przypadku godzi się
oznajmić klientowi, że na podstawie danego zakupu spróbuje sie określić
jego preferencje i w przyszłości zaproponować produkty, które mogą go
zainteresować.
3. Osobne zgody na przetwarzanie danych osobowych

Informacje ogólne

Dotychczas użytkownik podczas korzystania ze sklepu internetowego

natrafiał na ujednoliconą (częstokroć też niejasno sformułowaną) prośbę o
zgodę na przetwarzanie danych osobowych. Jednorazowe zaakceptowanie
tej prośby skutkowało więc nie tylko zezwoleniem na magazynowanie
swoich danych w celach fakturowania, ale również na przykład na ich
udostępnianie osobom trzecim, co mogło pociągnąć za sobą znaczny wzrost
niechcianego spamu na poczcie. RODO wprowadza podział w tej materii –
osobne zgody na przetwarzanie danych osobowych jako narzędzie do
realizacji zamówienia, osobne zgody na gromadzenie danych w celach
marketingowych.

Co zrobić?

Należy stworzyć dwa odpowiednie formularze, przy czym ważnym jest, by

komponujący je położyli nacisk na przejrzystość i jasność treści – winny być
one napisane językiem prostym, zwięzłym i zrozumiałym. Akceptowanie
zgód musi być dobrowolne, co wyklucza stosowanie automatycznego
odznaczenia checkboxów.

4. Prawa klientów i zmiany w regulaminach

Informacje ogólne

Wprowadzone zostanie tak zwane prawo do bycia zapomnianym, dzięki

czemu dane osób, które domagać się będą ich usunięcia, muszą zostać
bezzwłocznie wykasowane z bazy administratora sklepu. Dodatkowo klienci
udostępniający swoje dane będą mieli możliwość wniesienia sprzeciwu
wobec ich przetwarzania w celach marketingu bezpośredniego (uderzy to
głównie w firmy działające w oparciu o analizę zebranych informacji) a
także możność zażyczenia sobie, by te dane przeniesiono do innej firmy.

Co zrobić?

Jednym z nadrzędnych celów dyrektywy RODO jest uświadomienie

klientów o sposobie i celach gromadzenia ich danych. Koniecznym jest więc
umieszczenie stosownych informacji w polityce prywatności firmy.
Regulaminy należy także uzupełnić o zapis mówiący o możliwości
zgłoszenia wszelakich skarg do odpowiednich organów, a także
odpowiednio zaktualizować w oparciu o wyszczególnione wyżej prawa
klienta.

5. Bezpieczeństwo

Informacje ogólne

Wprowadzenie RODO przyniesie również istotne zmiany w kwestiach

bezpieczeństwa oraz nowe obowiązki dla administratora danych.

Co zrobić?

W sytuacji wycieku danych należy natychmiastowo powiadomić konkretne

osoby o przypadku naruszeniu ich prywatności. Prócz tego każda wykryta
nieprawidłowość, która może być zalążkiem naruszenia praw osób objętych
ochroną danych musi zostać zgłoszona do odpowiedniego organu nadzoru
w przeciągu 72 godzin. Na barkach osób przetwarzających dane spocznie też
ocena ryzyka ich wycieku oraz określenie działań mających temu zapobiec.

Śpiesz się, przedsiębiorco

Zostało już mało czasu do restrukturyzacji swoich regulaminów i
zaadaptowania się do zmian wynikających z RODO. W wypadku
niezastosowania się przedsiębiorcom grożą restrykcyjne kary finansowe
sięgające nawet 20 milionów Euro. Wypada takoż bez zwłoki rozpocząć
uświadamianie i szkolenie pracowników oraz skonfrontować obecną
politykę prywatności firmy z nowymi wymogami.