Jak RODO wpływa na e-commerce?
Wprowadzone przez RODO zmiany w istotny sposób dotyczą przedsiębiorców działających w obszarze handlu elektronicznego. O czym powinni pamiętać właściciele e-sklepów w związku z nowymi unijnymi przepisami dotyczącymi ochrony danych osobowych?
- Rafał Stępniewski
- /
- 17 lipca 2018
Wprowadzone przez RODO zmiany w istotny sposób dotyczą przedsiębiorców działających w obszarze handlu elektronicznego. O czym powinni pamiętać właściciele e-sklepów w związku z nowymi unijnymi przepisami dotyczącymi ochrony danych osobowych?
Bez obowiązku rejestracji zbiorów danych
Istotną zmianą dla sklepów internetowych (oraz wszystkich innych przedsiębiorstw gromadzących dane osobowe) jest zniesienie obowiązku zgłaszania zbiorów danych osobowych do PUODO – Prezesa Urzędu Ochrony Danych Osobowych.
Obowiązek rejestrowy zniknął, ale zgodnie z unijnymi przepisami administratorzy danych osobowych powinni w określonych sytuacjach prowadzić rejestr czynności przetwarzania. Obowiązek ten nie dotyczy podmiotów zatrudniających mniej niż 250 osób, chyba że przetworzenie, którego dokonują może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą lub obejmuje szczególne kategorie danych osobowych (np. poglądy polityczne, przekonania religijne, przynależność do związków zawodowych, dane genetyczne, biometryczne, dotycząc zdrowia, orientacji seksualnej ) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa. Wymóg ten wynika z art. 30 RODO.
Co powinno znaleźć się w rejestrze?
- Dane kontaktowe administratora danych osobowych (lub jeśli ma to zastosowanie – współadministratorów i Inspektorów Danych Osobowych)
- Cele przetwarzania danych osobowych
- Informacje na temat kategorii osób, których dane dotyczą, a także wszystkich kategorii danych osobowych
- Informacje o kategoriach odbiorców danych osobowych
- Informacje o przekazania danych osobowych do państwa spoza Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej
- Po upłynięciu jakiego terminu dane osobowe będą usuwane
- Informacje na temat technicznych i organizacyjnych środków bezpieczeństwa
Zgody na przetwarzanie danych osobowych (art. 7 RODO)
Rozpoczęcie stosowania RODO po 25 maja 2018 roku oznacza również zmiany w zakresie zgód na przetwarzanie danych osobowych. Warto pamiętać, że klienci sklepów internetowych, którzy zdecydują się na zakup, nie mogą być automatycznie wpisani na listę odbiorów treści marketingowych. Muszą wyrazić osobną zgodę na przetwarzanie danych osobowych w tym celu. Co więcej, każdy dodatkowy cel przetwarzania danych osobowych oraz każdy odrębny administrator – wymaga osobnej zgody, np. jeżeli właściciel sklepu chce przekazywać dane osobowe swoich klientów partnerom biznesowym – w celu realizowania przez nich działań marketingowych bezpośrednio wobec tych klientów.
Samo wyrażenie zgody powinno być czynnością dobrowolną i świadomą, np. polegającą na zaznaczeniu odpowiedniego pola podczas finalizacji zakupu lub rejestracji w sklepie internetowym.
Przepisy RODO kładą duży nacisk na tworzenie przez administratorów jasnych komunikatów kierowanych do osób, których dane dotyczą. W kontaktach z osobami administratorzy mają unikać niezrozumiałych sformułowań i posługiwać się prostym językiem. Zgodnie z tymi wytycznymi powinny być formułowane treści zgód.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Nowe obowiązki informacyjne (art. 13 RODO)
W momencie gromadzenia zgody na przetwarzanie danych osobowych, administrator powinien spełnić również tak zwany obowiązek informacyjny. Polega on na przedstawieniu osobie, której dane dotyczą, informacji na temat:
- Tożsamości oraz danych kontaktowych administratora danych osobowych oraz Inspektora Ochrony Danych (jeśli został powołany)
- Celu przetwarzania danych wraz z podstawą prawną
- Okresu, przez jaki dane osobowe klienta będą przechowywane lub kryteriów, które pozwolą ustalić ten okres
- Odbiorców danych
- Przekazania danych do państwa spoza Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowej
- Praw osób, których dane dotyczą – w szczególności: prawie dostępu do danych, możliwości ich poprawiania, usuwania, prawie do sprzeciwu wobec przetwarzania i przeniesienia danych osobowych, a także prawie do wniesienia skargi do organu nadzorczego
- Procesów zautomatyzowanego podejmowania decyzji oraz profilowaniu
Profilowanie (art. 22 RODO)
Dotychczas większość sklepów w celu lepszego dopasowania oferty do zainteresowań klientów, stosowała tak zwane profilowanie, polegające na gromadzeniu wielu różnych danych na temat użytkownika (wiek, płeć, historia zakupów itp.).
Proces ten mógł odbywać się bez wiedzy klienta, jednak zgodnie z RODO, e-sklep powinien poinformować osobę, której dane dotyczą o stosowaniu wobec niej profilowania, jeżeli jest ono w pełni zautomatyzowane oraz w wyniku zautomatyzowanego przetwarzania zapadają decyzje wywołujące skutki prawne dla osoby lub w inny sposób znacząco wpływają na osobę.
Ocena skutków dla ochrony danych osobowych (art. 35 RODO)
Każdy administrator powinien przeprowadzić ocenę skutków dla ochrony danych, szczególnie, jeśli przetwarzanie danych wiąże się z ryzykiem naruszenia praw lub wolności osób, których dane dotyczą, a same dane przetwarzane są z użyciem nowych technologii.
Ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA) polega na dokładnej analizie stosowanych w danym przedsiębiorstwie systemów oraz rozwiązań w zakresie przetwarzania danych osobowych. Proces ten ma na celu zidentyfikowanie, jakie rodzaje przetwarzania wiążą się z największymi ryzykami naruszeń.
Przeprowadzenie DPIA może być niezwykle pracochłonnym działaniem, jednak organ nadzorczy ma to zadanie ułatwić, określając rodzaje przetwarzań, które wymagają dokonania oceny skutków dla ochrony danych.
Ocena skutków przetwarzania powinna zawierać:
- Opis planowanych operacji oraz celów przetwarzania
- Informację na temat tego, czy przetwarzanie danych jest konieczne i proporcjonalne do celów
- Zapis dotyczący możliwości wystąpienia naruszenia praw i wolności osób, których dane dotyczą
- Opis środków, które będą miały na celu zmniejszenia prawdopodobieństwa wystąpienia ryzyka
Lista proponowanych operacji dotychczas przedstawiona przez Urząd Ochrony Danych Osobowych nie jest jeszcze kompletna i administratorzy powinni traktować ją jako wskazówkę określającą, jakie rodzaje operacji przetwarzania danych osobowych wymagają przeprowadzenia oceny skutków dla ochrony danych.
Planowane jest również przygotowanie przez organ nadzorczy osobnej listy, która wskazywałaby, jakie rodzaje przetwarzania danych nie wymagają przeprowadzenia oceny skutków.
Wysokie kary (art. 83 RODO)
Sklepy internetowe oraz pozostałe przedsiębiorstwa, które gromadzą oraz przetwarzają dane osobowe użytkowników lub klientów czeka jeszcze sporo pracy w celu dostosowania swojej działalności do nowych przepisów unijnych. Nie należy bagatelizować tej kwestii, gdyż konsekwencją niedostosowania się do RODO są znaczące kary finansowe, sięgające nawet 20 mln euro lub 4% wartości rocznego obrotu przedsiębiorstwa.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?