Jak nowe rozporządzenie o ochronie danych osobowych wpłynie na prowadzenie e-sklepu?
Rozporządzenie UE w sprawie ochrony danych osobowych przyjęte. Nowe przepisy, ujednolicające zasady przetwarzania danych osobowych na terenie Unii Europejskiej, zaczną obowiązywać wiosną 2018 roku. Jak w praktyce nowe regulacje wpłyną na prowadzenie e-sklepu? Sprawdź, jakie nowe obowiązki będą mieć właściciele sklepów internetowych po wejściu w życie nowego rozporządzenia.
- Rafał Stępniewski
- /
- 15 czerwca 2016
Profilowanie – obowiązki e-sprzedawcy
Każdy z nas robiąc zakupy w internecie zetknął się z mechanizmem profilowania nie raz. — Chodzi o taką sytuację, w której otrzymujemy od sklepu internetowego, w którym już raz zrobiliśmy zakupy, sprofilowaną pod nasze potrzeby ofertę na adres email – mówi Rafał Stępniewski, ekspert ochrony danych osobowych w Rzetelnej Grupie. — Mimo że krajowe przepisy o ochronie danych osobowych nie regulują kwestii profilowania, sprzedawcy, bez naszej zgody, wykorzystują ten mechanizm na co dzień, bazując np. na historii naszych zakupów czy też przeglądanych ostatnio produktach – dodaje. Przyjęte Rozporządzenie nie tylko wprowadza pojęcie profilowania do porządku prawnego, ale przede wszystkim nakłada na e-sprzedawców jasno określone obowiązki. — Od 2018 r. każdy e-sprzedawca będzie miał obowiązek, po pierwsze poinformowania klienta o profilowaniu, po drugie przekazania mu istotnych informacji o trybie jego działania, znaczeniu i przewidywanych konsekwencjach przetwarzania danych osobowych w ten sposób i po trzecie o prawie do sprzeciwu wobec przetwarzania danych osobowych przy użyciu profilowania – wylicza ekspert z Rzetelnej Grupy.
Minimalizacja danych
Obecnie obowiązująca ustawa o ochronie danych osobowych obliguje każdego administratora danych do zbierania danych osobowych wyłącznie w zakresie niezbędnym do realizacji celów, dla których są one zbierane. – Jak pokazują wyniki naszych audytów, u ponad 50 proc. sklepów internetowych, spotykamy się z nadużyciem polegającym na zbieraniu od klientów e-sklepu np. numeru PESEL lub daty urodzenia w sytuacji, gdy do realizacji umowy sprzedaży tego rodzaju dane są zbędne – mówi Rafał Stępniewski. Rozporządzenie UE idzie nieco dalej i w sposób jednoznaczny stwierdza, iż administratorzy danych obowiązani są zbierać dane osobowe „ograniczone do tego, co niezbędne do celów, w których są przetwarzane”. Jak wyjaśnia Rafał Stępniewski, każdy sprzedawca prowadzący e-sklep będzie musiał ocenić, jaki jest minimalny zakres danych osobowych zbieranych od klientów, niezbędny do realizacji umowy sprzedaży czy np. prowadzenia konta klienta.
Nowe zasady wyrażenia zgody
Rozporządzenie nakłada na e-sprzedawcę obowiązek wykazania, że osoba, której dane dotyczą, udzieliła zgody na przetwarzanie swoich danych osobowych. — Najczęściej występującą formą wyrażenia zgody na przetwarzanie danych osobowych jest zaznaczenie odpowiedniego checkbox’a na stronie e-sklepu – mówi ekspert z Rzetelnej Grupy. – Checkbox jednak może okazać się mało skuteczną formą w kontekście spełnienia tego obowiązku, ponieważ mechanizmy stosowane na stronach e-sklepów nie zawsze pozwalają na zarejestrowanie faktu zaznaczenia tego pola przez danego klienta. Jeśli takie ograniczenie techniczne występuje, sprzedawca nie będzie w stanie udowodnić, iż klient wyraził zgodę na przetwarzanie jego danych (np. w celach marketingowych), a w konsekwencji przetwarzanie danych może okazać się bezpodstawne – tłumaczy Rafał Stępniewski. — Z tego powodu należy spodziewać się sytuacji, w której sprzedawcy będą zmuszeni odbierać zgodę od klientów w inny sposób, np. mailowo – dodaje.
Dodatkowo, sprzedawca musi zapewnić, aby wycofanie zgody klienta było równie łatwe jak jej udzielenie.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
72 godziny na zgłaszanie naruszenia
Każdy administrator danych, a w konsekwencji każdy sprzedawca prowadzący e-sklep, będzie obowiązany do zgłaszania przypadków naruszenia ochrony danych osobowych w ramach swojej działalności Generalnemu Inspektorowi Ochrony Danych Osobowych. Każdy przypadek będzie musiał być zgłoszony niezwłocznie, lecz nie później niż w terminie 72 godzin od jego stwierdzenia. W przypadku gdy sprzedawca dokona zgłoszenia w terminie późniejszym, będzie musiał dodatkowo załączyć wyjaśnienie przyczyn opóźnienia. — Jeżeli naruszenie ochrony danych osobowych może spowodować duże zagrożenie dla praw i wolności klientów, sprzedawca będzie musiał o takim naruszeniu zawiadomić niezwłocznie wszystkich klientów, których dane dotyczą. W praktyce konieczne będzie rozesłanie do klientów stosownej wiadomości email – dodaje Rafał Stępniewski.
Wiele podmiotów – jeden zestaw zasad przetwarzania danych
- W obecnym stanie prawnym, w przypadku gdy dwie firmy prowadzą wspólnie jeden sklep internetowy, każda z nich musi we własnym zakresie spełnić obowiązki wynikające z ustawy o ochronie danych osobowych (m.in. prowadzenie dokumentacji, rejestracja zbiorów danych) – mówi Rafał Stępniewski. Rozporządzenie wprowadza pojęcie „współadministratora”, które będzie miało zastosowanie do przypadku, w którym co najmniej dwaj administratorzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych. Będą oni mieli możliwość wspólnego ustalenia podziału zadań w zakresie wypełniania obowiązków wynikających z przepisów Rozporządzenia. — Możliwe, że nieunikniona nowelizacja polskich przepisów umożliwi również podział zadań w kontekście prowadzenia dokumentacji lub rejestracji zbiorów danych – dodaje ekspert.
Przekazywanie danych osobowych do państw trzecich
Na mocy nowego Rozporządzenia, Komisja Europejska będzie oceniała czy konkretne państwo trzecie zapewnia odpowiedni poziom ochrony danych osobowych. — Może być to istotnym ułatwieniem dla e-sklepów, które korzystają np. z usług firm hostingowych mających siedzibę w państwach trzecich. Jeśli państwo (w którym firma ma siedzibę) znajdzie się na liście Komisji Europejskiej, sprzedawcy nie będą musieli spełniać dodatkowych, często niełatwych wymogów, by przesłać dane osobowe do państwa trzeciego – tłumaczy Rafał Stępniewski.
Nowe kary administracyjne
Rozporządzenie wprowadza nowy katalog kar finansowych, które będą mogły być nakładane na administratorów danych (w tym sprzedawców e-sklepu) przetwarzających dane osobowe niezgodnie z przepisami. Górna wysokość to 4 proc. rocznych – oraz co warte podkreślenia – globalnych obrotów, do kwoty 20 mln euro. Istotna zmiana dotyczy również charakteru tych kar, które zostały określone jako administracyjne. — W praktyce oznacza to, iż GIODO będzie mógł bezpośrednio nałożyć karę na administratora danych, który łamie przepisy Rozporządzenia – mówi ekspert z firmy Rzetelna Grupa. — W obecnym stanie prawnym kary nakłada sąd, na podstawie przepisów karnych ustawy o ochronie danych osobowych – dodaje.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?