Allegro a zgłoszenie do GIODO
Firma sprzedaje na towary za pośrednictwem allegro. Jakie obowiązki w zakresie ochrony danych osobowych klientów, którzy dokonują zakupu, musi spełnić? Czy trzeba zgłaszać zbiór danych osobowych klientów allegro do GIODO?
- Rafał Stępniewski
- /
- 30 września 2016
Czy prowadząc sprzedaż jedynie na allegro firma musi dokonać zgłoszenia do GIODO? Co w przypadku, gdy sprzedaż za pośrednictwem serwisu allegro jest jednym z wielu kanałów sprzedaży, tj. firma prowadzi również sklep internetowy lub sklep stacjonarny.
W celu wypełnienia obowiązków wynikających z ustawy o ochronie danych osobowych administrator danych osobowych (ADO) ma obowiązek zgłosić zbiór danych osobowych, jeżeli nie wyznaczył administratora bezpieczeństwa informacji (ABI) lub zbiór nie podlega obowiązkowi rejestracji.
Więcej informacji na temat zwolnień z obowiązków rejestracji jest dostępnych w artykuleGIODO zwolnienie z rejestracji
Jeżeli firma prowadzi sprzedaż za pośrednictwem allegro powinna zgłosić zbiór danych osobowych. Zbiór ten niestety nie podlega pod wyjątki zwolnienia z obowiązku rejestracji ponieważ dane osobowe, są przetwarzane w systemach informatycznych (w formie elektronicznej), a dodatkowo dane osobowe są wykorzystywane np. w procesie realizacji dostawy towaru do klienta, realizacji zwrotu (odstąpienia od umowy sprzedaży). W pierwszym przypadku dane osobowe są udostępniane firmie kurierskiej lub poczcie polskiej lub firmie obsługującej paczkomaty. W drugim przypadku, dane osobowe są udostępniane instytucji finansowej (bankowi), za pośrednictwem którego dokonywany jest zwrot płatności albo poczcie polskiej jeżeli zwrot płatności dokonywany jest za pośrednictwem przekazu pocztowego. Kolejnym aspektem, o którym należy pamiętać jest kwestia księgowa. Jeżeli do rozliczeń księgowych firma używa systemu informatycznego albo rozliczenie sprzedaży odbywa się za pośrednictwem firmy księgowej, gdzie mamy do czynienia z klasycznym powierzeniem danych osobowych, należy ten fakt również uwzględnić w aspekcie odpowiedniego opisu w dokumentacji firmowej w Polityce Bezpieczeństwa Ochrony Danych Osobowych.
Zgłoszenie konta allegro w GIODO
Pierwszą podstawową kwestią jaką należy w tym momencie poddać analizie to kwestia konieczności zgłoszenia zbioru jako takiego, a nie konta na allegro. Firma może posiadać wiele kont na allegro, pod którymi prowadzi sprzedaż, ale finalnie w rozumieniu ustawy mamy do czynienia z jednym zbiorem danych osobowych obsługiwanych w ramach różnych kont użytkowników. Ilość kont na allegro nie ma tutaj znaczenia. Zgłosić się powinno zbiór danych, a nie konto.
Zgłoszenie zbioru allegro w GIODO
Jeżeli firma prowadzi sprzedaż jedynie za pośrednictwem serwisu allegro powinna zgłosić co najmniej jeden zbiór danych osobowych tj. zbiór klientów. Drugim opcjonalnym zbiorem może być zbiór reklamacji.
Zbiór klientów będzie zawierał dane osobowe osób fizycznych dokonujący zakupu towarów oferowanych za pośrednictwem allegro.
Zbiór reklamacji powinien być zgłoszony jedynie w przypadku, gdy firma prowadzi rejestr reklamacji między innymi w formie elektronicznej. W praktyce, jeżeli firma przyjmuje od klientów reklamacje w formie dokumentów papierowych i tylko w takiej formie prowadzi rejestr reklamacji, zbiór taki nie podlega obowiązkowi rejestracji. Nie zmienia to oczywiście konieczności opisania takiego zbioru w dokumentacji tj. w Polityce Bezpieczeństwa Ochrony Danych Osobowych w firmie. Trzeba ten zbiór uwzględnić, ale nie trzeba go zgłaszać. Jeżeli firma oprócz rejestru papierowego w zakresie reklamacji prowadzi również rejestr elektroniczny, wówczas ma obowiązek rejestracji takiego zbioru w GIODO.
Na łamach naszego blogu opisywaliśmy krok po kroku proces wypełniania wniosku w GIODO.
Szczegółowa procedura zgłoszenia do GIODO znajduje się w artykuleZgłoszenie zbioru danych osobowych w GIODO.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Jak spełnić wymogi GIODO prowadząc sprzedaż na allegro
Pierwszą podstawową kwestią jest sporządzenie dokumentacji w zakresie ochrony danych osobowych tj. Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. Dokumentacja ta powinna zawierać opis procedur i procesów przetwarzania danych osobowych w firmie. Kolejnym elementem jest zgłoszenie zbioru lub zbiorów w GIODO.
Oprócz w/w formalności należy spełnić kolejne wymogi. Rozporządzenie MSWiA w zakresie ochrony danych osobowych określa wymogi jakie powinny być spełnionego przez ADO, w zakresie przetwarzania danych osobowych oraz ich zabezpieczenia. Jeżeli firma korzysta z własnych rozwiązań wiele aspektów można zabezpieczyć i zautomatyzować. Niestety w przypadku sprzedaży na allegro nie jest to takie proste i wiąże się z praktycznym utworzeniem procedur, które niestety „ręcznie” muszą być wykonywane.
Unikalny login
Pierwszym najczęściej spotykanym problemem w zakresie spełnienia wymogów ustawowych jest unikalny login użytkownika. Przepisy wskazują, że każda osoba upoważniona do przetwarzania danych osobowych w firmie, powinna mieć swój własny identyfikator (czyt. login) do systemu informatycznego. W przypadku sprzedaży na allegro, jeżeli obsługą zamówień zajmuje się więcej niż jedna osoba, nie ma technicznej możliwości spełnienia tego wymogu. Każdy z pracowników loguje się na tego samego użytkownika i podaje ogólnie znane (na poziomie firmy) hasło dostępowe do konta allegro.
Zmiana hasła, a ochrona danych osobowych
Drugim problemem jest spełnienie obowiązku w zakresie częstotliwości zmiany hasła dostępowego do konta allegro wraz z kontrolą jego złożoności. Rozporządzenie określa, że hasło powinno być zmieniane nie rzadziej niż co 30 dni i powinno mieć co najmniej 8 znaków, gdzie powinny to być użyte małe i duże litery, cyfry oraz znaki specjalne. Niestety jeżeli ADO nie wprowadzi dyscypliny, tj. sam nie będzie zmieniał hasła dostępowego dbając jednocześnie o jego złożoność, wymóg ten nie będzie spełniony. Serwis allegro nie wyręczy ADO w tych czynnościach np. kontrolując złożoność hasła i częstotliwość jego zmiany.
Inne obowiązki techniczne w zakresie ochrony danych osobowych (ODO)
Dane osobowe klientów, którzy dokonali zakupu są przechowywane w systemie informatycznym allegro, które dba odpowiednio o ich bezpieczeństwo zarówno fizyczne jak i logiczne (tj. systemy typu firewall, antywirus itp.). Dzięki temu sprzedawca na allegro ma pewność, że allegro dba o to by dane klientów były odpowiednio zabezpieczone przed nieuprawnionym dostępem, że wykonywana jest kopie bezpieczeństwa tj. backup bazy danych, a dane osobowe są przekazywane za pośrednictwem szyfrowanego połączenia tj. SSL’a. Podobnie logowanie odbywa się za pośrednictwem szyfrowanego połącznia SSL. Te wymogi Rozporządzenia są zatem spełnione.
Płatności PayU a ochrona danych osobowych (ODO)
W przypadku korzystania z płatności elektronicznych, które obsługuje i udostępnia sama platforma allegro jest konieczności uwzględniania ich zarówno w dokumentacji jak i w zgłoszeniu do GIODO. Wynika to z faktu, że to sprzedawca na allegro określa, czy płatności z PayU są przez niego udostępniane lub nie. W przypadku udostępnienia, firma PayU, działa na rzecz sprzedawcy, umożliwiając klientom dokonanie płatności za pośrednictwem tego systemu. Nie byłoby tego obowiązku, jeżeli serwis allegro domyślnie dla każdego klienta udostępniał taką formę płatności, a sprzedawcy przekazywałby jedynie informacje o dokonanej płatności. Obowiązek uwzględniania PayU w dokumentacji i zgłoszeniu nie istniałby, jeżeli ta forma płatności byłaby elementem usługi jaką świadczy allegro.
W praktyce trzeba wykazać podczas wypełniani wniosku, w kroku gdzie należy wskazać podmioty, którym dane osobowe są udostępniane, właśnie firmę PayU lub odnieść się do kategorii podmiotów tj. podmioty, które pośredniczą w obsłudze płatności elektronicznych.
Allegro i integracja z własnym sklepem internetowym w kontekście ODO
Częstym modelem działania funkcjonującym na rynku, jest taki, że firma prowadzi swój sklep internetowy oraz dodatkowo albo głównie sprzedaje na allegro, ale zamówienia złożone na allegro są obsługiwane z poziomu sklepu internetowego. Odbywa się to poprzez integrację z platformą allegro, gdzie dane z zamówień są przekazywane do bazy sklepowej poprzez API udostępnione od allegro i moduł integracji z poziomu sklepu internetowego.
W tym przypadku można potraktować taki zbiór jako jeden, przetwarzany w architekturze rozproszonej, tj. cała baza klientów znajduje się w bazie sklepu — tu dane osobowe klientów składających zamówienia w sklepie oraz allegro są przechowywane w firmie hostingowej, gdzie działa sklep internetowy — a częściowa kopia tych danych znajduje się w serwisie allegro, gdzie dostawcą usług hostingowych jest firma Allegro i znajdują się tu jedynie dane osobowe klientów zamawiających właśnie przez allegro.
Można wówczas zgłosić jeden zbiór danych osobowych w GIODO, ale w składanym wniosku, w części mówiącej o podmiotach, którym powierzono przetwarzanie danych osobowych należy wskazać zarówno firmę hostingową, gdzie znajduje się sklep internetowy oraz firmę Allegro. W części udostępniania danych osobowych należy uwzględnić wszystkie firmy odpowiadające za dostawy towarów zarówno dla klientów sklepu internetowego jak i allegro oraz wszystkie firmy, które obsługują płatności zarówno w sklepie jak i PayU na allegro, jeżeli firma korzysta z tego kanału płatności w tym serwisie.
Allegro i Menedżer sprzedaży
Menedżer sprzedaży na allegro bez wątpienia jest wygodnym narzędziem, które ułatwia prowadzenie sprzedaży na allegro. Korzystanie z menedżera sprzedaży na allegro, nie ma wpływu na aspekty ochrony danych osobowych. Z pkt. widzenia przepisów jest to po prostu kolejny interfejs, inna forma dostępu do danych osobowych. Usługa jest świadczona na tej samej infrastrukturze informatycznej oraz przez ten sam podmiot prawny.
Podsumowanie: allegro a zgłoszenie do GIODO
Firma prowadząca sprzedaż za pośrednictwem allegro powinna dokonać rejestracji w GIODO oraz powinna posiadać dokumentację z zakresu ochrony danych osobowych, która będzie uwzględniała zbiór danych osobowych klientów allegro. Instrukcja Zarządzania Systemem Informatycznym powinna uwzględniać procedurę zmiany hasła i kontroli jego złożoności, a sam przedsiębiorca powinien zawrzeć umowę powierzenia danych osobowych z firmą allegro.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?