Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., czyli w skrócie „RODO” to temat, który w ostatnim czasie spędza sen z powiek wielu przedsiębiorców. Nowe regulacje unijne to również duże wyzwanie dla całego sektora e-commerce, którego działalność nierozerwalnie wiąże się z przetwarzaniem danych osobowych. Czy jednak rzeczywiście jest się czego obawiać?
Przed udzieleniem odpowiedzi na to pytanie myślę, że warto zwrócić uwagę na kilka podstawowych kwestii związanych z rozpoczęciem stosowania RODO i na plusy wynikające z nowych unijnych przepisów, bo tych wbrew pozorom jest całkiem sporo. Przede wszystkim podkreślić trzeba, że unijny ustawodawca zdecydował się na reformę przepisów z zakresu ochrony danych osobowych przez akt prawny będący rozporządzeniem. Konsekwencją tego jest po pierwsze to, że nowe unijne przepisy są bezpośrednio stosowane w każdym z państw członkowskich, a po drugie w każdym kraju Unii Europejskiej przepisy te są takie same. W kontekście sklepów internetowych to szczególnie istotne w przypadku prowadzenia sprzedaży zagranicznej. Jeżeli bowiem dostosujemy swój sklep do wymogów RODO to mamy pewność, że zabezpieczamy dane osobowe w sposób należyty niezależnie od tego w jakim kraju UE prowadzimy sprzedaż.
Kolejną pozytywną nowością jest zniesienie obowiązku rejestracji zbiorów danych osobowych. Dotychczas, gdy zaczynaliśmy gromadzić dane osobowe, naszym obowiązkiem, umożliwiającym legalne przetwarzanie danych osobowych, było zgłoszenie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Co do zasady zbiorów tych musiało być tyle ile celów przetwarzania. W przypadku sklepów internetowych zazwyczaj był to więc zbiór dotyczący realizacji zamówień, reklamacji i zwrotów oraz prowadzenia działań marketingowych. Z dniem rozpoczęcia stosowania RODO obowiązek ten zniknie. Po części zastąpiony zostanie on obowiązkiem prowadzenia rejestru czynności przetwarzania. Podkreślić trzeba, że jedynie po części, bowiem RODO wprowadza w zakresie tego obowiązku szereg wyjątków, określających kiedy administrator nie musi prowadzić rejestru czynności przetwarzania. Jednocześnie jednak rejestr czynności przetwarzania to najlepsza forma na wykazanie przez administratora w jakim zakresie i w jakich celach przetwarza dane osobowe, a to z kolei jest konieczne chociażby dla wdrożenia właściwych środków bezpieczeństwa. Dlatego też rekomendowanym działaniem jest stworzenie i bieżące aktualizowanie dokumentu zawierającego dane wymagane przez art. 30 RODO. Można też postawić tezę, że nawet jeśli nie podlegamy obowiązkowi prowadzenia rejestru czynności przetwarzania jego stworzenie w naszej firmie może okazać się ostatecznie korzystne właśnie dla nas.
Generalnie unijne rozporządzenie zupełnie inaczej określa też rolę administratora danych osobowych. Zrezygnowano z nakładania na administratora obowiązków w zakresie zabezpieczenia danych, szczegółowo określonych przez przepisy. Zgodnie z RODO obowiązkiem administratora jest wdrożenie odpowiednich i skutecznych środków, a ponadto wykazanie, że czynności przetwarzania są zgodne z przepisami RODO. W zakresie bezpieczeństwa danych osobowych RODO nakłada na administratora trzy podstawowe obowiązki: wdrożenie odpowiednich środków technicznych, przyjęcie wewnętrznych polityk oraz wdrożenie odpowiednich środków organizacyjnych.
Na co w związku z powyższymi obowiązkami powinni zwrócić szczególną uwagę właściciele sklepów internetowych, aby dostosować prowadzony sklep do nowych unijnych regulacji? Można wyróżnić tu kilka obszarów. Te najważniejsze to prawidłowe skonstruowanie klauzul zgód, dostosowanie polityki prywatności do wymogów RODO, wprowadzenie lub zaktualizowanie dokumentacji przetwarzania danych osobowych, a także zawarcie lub aneksowanie już zawartych umów powierzenia przetwarzania danych osobowych.
Jeżeli chodzi o klauzule zgody, czyli tzw. checkboxy, znajdujące się w formularzu zamówienia to zasadniczo RODO nie wprowadza w tym zakresie wielkich zmian. Przesłanki bowiem legalnego przetwarzania danych osobowych, które dotychczas wskazywał art. 23 ustawy o ochronie danych osobowych, w RODO uregulowane są bardzo podobnie, wręcz analogicznie. Art. 6 RODO wskazuje bowiem, że przetwarzanie danych jest zgodne z prawem m.in. wówczas gdy odbywa się na podstawie zgody, jest niezbędne do wykonania umowy, jak również gdy wymagają tego uzasadnione interesy administratora. Każda z tych podstaw obowiązywała już na podstawie obecnie obowiązujących przepisów. Rozpoczęcie stosowanie RODO to jednak bardzo dobry moment na przeprowadzenie audytu zbieranych zgód i odpowiedzenie sobie na pytanie po pierwsze czy zbieramy je w sposób prawidłowy, a po drugie, czy zawsze konieczne jest ich pozyskanie. Co do prawidłowości zbierania zgód to przede wszystkim podkreślić trzeba, że wyrażenie zgody powinno być dobrowolne. W przypadku sklepu internetowego wykluczone więc jest – a niestety często spotykane – aby tego rodzaju checkbox był obowiązkowy do odznaczenia. Niedopuszczalne jest także łącznie zgód dotyczących różnych celów. Często stosowaną praktyką, acz nie do końca prawidłową jest również pobieranie od klientów zgody na przetwarzanie danych osobowych w celu realizacji zamówienia. Tymczasem zgoda jest tylko jedną z kilku przesłanek legalnego przetwarzania danych osobowych. Realizacja zamówienia jest natomiast inną to jest wykonaniem umowy. Zatem przesłanką, która uprawnia nas do przetwarzania danych osobowych klienta w celu realizacji zamówienia (rzecz jasna wyłącznie w tym celu) jest art. 6 ust. 1 lit b) RODO i nie musimy na to pozyskiwać od klienta odrębnej zgody. Podobnie rzecz ma się w przypadku przetwarzania danych osobowych w celach marketingowych. Na to również nie musimy mieć zgody klienta. Do przetwarzania danych klienta w tym celu uprawnia nas z kolei art. 6 ust. 1 lit f) RODO. Oczywiście przepis ten nie jest podstawą do wszelkiego rodzaju marketingu, a ogranicza się do marketingu własnych usług lub produktów. Dodatkową przesłanką jest w tym zakresie także i to, że pozyskaliśmy dane klienta w sposób legalny.
Kolejnym niezwykle ważnym obszarem wdrożenia RODO z perspektywy sklepu internetowego jest dostosowanie polityki prywatności do nowych przepisów. W tym miejscu warto podkreślić, że generalnie polityka prywatności nie jest dokumentem, którego treść, czy też obowiązek posiadania regulowały jakiekolwiek przepisy. Zwyczajowo jednak przyjęło się, że właśnie w ramach polityki prywatności realizowany jest obowiązek informacyjny w stosunku do osób, których dane przetwarzany. Zrealizowanie tego obowiązku informacyjnego jest konieczne, aby przetwarzanie danych osobowych mogło zostać uznane za zgodne z prawem. To ważny obszar dostosowanie sklepu do nowych przepisów bowiem RODO zdecydowanie poszerza zakres informacji jakie obowiązani jesteśmy przekazać klientom. Oprócz bowiem podstawowych informacji, takich jak dane administratora czy cel przetwarzania, czyli informacji, które już na gruncie ustawy o ochronie danych osobowych zobligowani byliśmy przekazać klientom, RODO w art. 13 nakłada na nas ponadto obowiązek przekazania klientom informacji dotyczących m.in. okresu przetwarzania danych, podstawy prawnej przetwarzania danych, prawa wniesienia skargi do organu nadzoru, czy też o prawie do bycia zapomnianym, czy przenoszenia danych. Co ważne wszystkie te informacje powinny być przekazane klientom w momencie pozyskiwania danych, czyli w przypadku sklepu internetowego, w chwili składania zamówienia lub też zakładania konta. Powinniśmy zatem zadbać, aby na etapie wypełnienia formularza, czy to rejestracyjnego czy też bezpośrednio dotyczącego złożenia zamówienia, klient miał realną możliwość zapoznania się z informacjami wymaganymi przez art. 13 RODO.
RODO wprowadza również istotne zmiany w zakresie dokumentacji przetwarzania danych osobowych. Dotychczas funkcjonowało to w ten sposób, że polskie przepisy wprost określały jaką dokumentację administrator ma obowiązek wdrożyć i co powinna ona zawierać. Każdy zatem właściciel sklepu internetowego zobligowany był do posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. W RODO zrezygnowano całkowicie z regulowania tej kwestii. Nie oznacza to jednak, że administrator zwolniony jest z prowadzenia dokumentacji przetwarzania danych osobowych. Wprost przeciwnie, w motywach do RODO podkreślone zostało, że administrator, aby móc wykazać przestrzeganie przepisów powinien przyjąć wewnętrze polityki. Różnica jedynie jest taka, że nie został określony rodzaj tych dokumentów, jak również ich treść.
Kolejnym ważnym aspektem, na który powinni zwrócić uwagę właściciele sklepów internetowych to kwestia powierzenia przetwarzania danych osobowych. W zakresie tej instytucji RODO co prawda nie wprowadza jakiś drastycznych zmian, ale w pewnym sensie porządkuje jej funkcjonowanie i kompleksowo reguluje kwestie powierzenia przetwarzania. Obecne uregulowania były bowiem w tym zakresie dalece niewystarczające. Przede wszystkim więc RODO określa jakie gwarancje musi spełnić procesor, aby w ogóle mogły zostać mu powierzone dane, a także wskazuje obligatoryjne postanowienia umowy powierzenia. Rozpoczęcie stosowania RODO to więc najlepszy na weryfikację posiadanych umów powierzenia przetwarzania danych osobowych i przede wszystkim sprawdzenie czy posiadamy takie umowy z wszystkimi podmiotami, którym powierzamy dane naszych klientów do przetwarzania. W przypadku sklepu internetowego taka umowa winna być zawarta m.in. z hostingodawcą, czy też dostawcą oprogramowania sklepu internetowego. Ponadto jeżeli posiadamy już takie umowy, zawarte na gruncie poprzednich regulacji to najprawdopodobniej będą one wymagały aneksowania i uzupełnienia o postanowienia wymagane przez RODO. To również doskonały moment na lepsze zabezpieczenie swoich praw jako administratora w związku z powierzeniem danych innej firmie i ich późniejsze egzekwowanie w przypadku ewentualnego naruszenia umowy przez podmiot przetwarzający.
Słowem podsumowania, chociaż wejście w życie RODO przez wielu określane jest mianem rewolucji, w rzeczywistości każdy przedsiębiorca, który odpowiednio wcześnie zadba o dostosowanie procesów przetwarzania danych osobowych do nowych regulacji, bez problemu spełni wszystkie obowiązki jakie na nim spoczywają. Niezależnie więc od branży działania związane z wdrożeniem RODO w firmie w skrócie koncentrować powinny się na zweryfikowaniu jakie dane, w jaki sposób i w jakich celach pozyskujemy, a także czy w sposób należyty je zabezpieczamy. Oczywiście nie oznacza to, że RODO można zbagatelizować, jednak na pewno nie należy się go bać, bo jest to co prawda duża zmiana prawa w zakresie ochrony danych osobowych, jednak w największej mierze dostosowująca te regulację do potrzeb biznesu.
Zostaw komentarz