fbpx

Wszystko, co musisz wiedzieć o RODO w sklepie internetowym znajdziesz w tym artykule.

Poprowadzę Cię krok po kroku po kolejnych punktach, które jako sprzedawca musisz wziąć pod uwagę, aby działać zgodnie z RODO. Podam przykłady i wskazówki, które pozwolą Ci zaplanować proces wdrożenia RODO na stronie sklepu oraz w Twojej działalności.

W tym artykule dowiesz się:

  • Kto jest administratorem danych klientów sklepu.
  • Kiedy zgoda kupującego na przetwarzanie danych jest potrzebna.
  • Jakie wymogi RODO musi spełniać sklep internetowy.
  • O jakie dokumenty RODO trzeba zadbać.
  • Jakie prawa ma Twój klient na gruncie RODO.
  • Jakie zasady przetwarzania danych rządzą w biznesie.
  • Jak można sprawnie i szybko wdrożyć RODO w sklepie online.

Osoby, które obecnie zastanawiają się nad przeniesieniem swoich działań do Internetu, pytają o to, jak założyć i prowadzić biznes online zgodnie z przepisami. Dlatego ten artykuł jest częścią większego poradnika, który będzie systematycznie uzupełniany o kolejne wpisy w następnych tygodniach. Życzę Ci miłej lektury!

Administrator danych w sklepie online.

Prowadząc działalność gospodarczą, zwłaszcza przez Internet, nie ma praktycznie możliwości, aby nie przetwarzać danych osobowych. Bez tych informacji nie będziemy w stanie nadać przesyłki na wskazany przez klienta adres, czy przesłać mu e-booka. Klient bez podawania danych nie będzie mógł zalogować się do wykupionego właśnie kursu online. Nie wystawimy mu także imiennego rachunku, ani faktury. Dlatego w sklepie online zawsze dochodzi do przetwarzania danych osobowych, a sprzedawca jest ich administratorem.

Administrator danych, czyli kto? Administrator to w skrócie ten, kto decyduje o tym jakie dane i w jakim celu będą przetwarzane. A taką osobą jest niewątpliwie właściciel sklepu. Jeśli zastanawiasz się właśnie nad tym, kto zatem będzie formalnie administratorem danych, to mam dla Ciebie gotowe odpowiedzi.

Gdy prowadzisz sklep mając wpis do CEiDG to wtedy administratorem danych jest Jan Kowalski, prowadzący działalność pod nazwą XYZ z siedzibą w miejscowości XXX. W przypadku spółki z ograniczoną odpowiedzialnością lub spółki akcyjnej administratorem danych jest ta spółka. Natomiast, jeśli sprzedajesz jako osoba fizyczna w formie działalności nierejestrowanej, to Ty jesteś administratorem danych, a zamiast nazwy i siedziby podajesz swoje imię i nazwisko oraz adres zamieszkania. 

Tożsamość i dane kontaktowe administratora danych ma zasadnicze znaczenie, ponieważ pełne informacje na ten temat muszą zostać przekazane klientowi jeszcze przed dokonaniem zakupu. Najczęściej informacja ta jest przekazywana w regulaminie sklepu lub polityce prywatności. Do tego dokumentu jeszcze wrócimy w dalszej części tego artykułu.

Zgoda na przetwarzanie danych w sklepie online.

Wielu sprzedawców w sklepach internetowych mylnie sądzi, że klient musi wyrazić zgodę na przetwarzanie danych w celu realizacji zamówienia. Podobne formułki można bardzo często znaleźć na stronach internetowych i to nawet dużych, popularnych sklepów online. Jest to jeden z tych mitów, które zupełnie nie znajdują uzasadnienia w przepisach RODO. Zgodnie z nimi, można przetwarzać podstawowe dane osobowe klienta w celu realizacji umowy, w tym zamówienia w sklepie online. Pod warunkiem, że to klient wychodzi z inicjatywą zakupu. Przez Internet również zawierasz umowę, z tym że jest ona zawierana na odległość i nie ma formy pisemnej. Dane osobowe, które można gromadzić w tym celu to, np. imię i nazwisko, adres, numer telefonu czy adres e-mail. Te dane można przetwarzać więc bez zgody klienta, ale tylko i wyłącznie w celu zawarcia i realizacji zamówienia.

Jeśli jednak chcesz mieć póżniej możliwość, aby wysyłać klientom informacje marketingowe na temat Twojego sklepu, np. newsletter z nową ofertą, to musisz pamiętać o uzyskaniu ich zgody. Taka zgoda nie może być ukryta w regulaminie sklepu, ani domyślnie zaznaczona. Klient musi mieć wybór i podjąć świadomą, dobrowolną decyzję, że taką zgodę wyraża. Tylko taka zgoda zostanie uznana za zgodną z RODO. W przypadku newslettera, czy to na stronie internetowej czy w sklepie online, zgodę można odebrać w formie elektronicznej. O tym, jak ustawić newsletter zgodny z RODO na przykładzie jednego z popularnych systemów do wysyłania mailingu, pisałam w osobnym artykule. Dlatego tutaj już nie będę rozwijać ponownie tego wątku. Zajrzyj do niego, jeśli ten temat nadal spędza Ci sen z powiek. Zobaczysz, że można sprawnie i łatwo wdrożyć u siebie newsletter, który jest zgodny z RODO i zabezpiecza Twoje interesy.

wzory RODO

Wymogi RODO dla sklepu internetowego.

Oprócz regulaminu sklepu online oraz odpowiednich checkboxów ze zgodami i akceptacją regulaminu, musisz pamiętać także o kilku innych dokumentach wymaganych przez RODO. Jednym z tych dokumentów jest polityka prywatności strony lub sklepu online. Warto jednak wyraźnie podkreślić, że nie jest to jedyny wymóg, który musi zostać spełniony. Sam fakt posiadania polityki prywatności absolutnie nie oznacza, że wdrożyło się RODO. Jednak niektórzy sprzedawcy świadomie pomijają pozostałe aspekty RODO, łudząc się, że zajmą się tym póżniej. Ale wtedy, kiedy biznes online zaczyna się kręcić, a oni mają inne problemy na głowie, zupełnie o tym zapominają. 

Wybór należy do Ciebie, jednak zgodnie z prawem RODO musi być gotowe już od pierwszego dnia, w którym zaczynasz przetwarzać dane osobowe. Kiedy to odkładasz, to nie tylko łamiesz prawo, ale też ciągle masz z tyłu głowy, że jeszcze coś masz do zrobienia. Coś na Ciebie czeka. Zupełnie niepotrzebnie, bo można to zrobić łatwo i przyjemnie, oszczędzając przy tym czas i nerwy. Poniżej omawiam kilka punktów, które są niezbędne do zastosowania. Poznasz najważniejsze kroki, które pomogą Ci ustalić czego konkretnie jeszcze Ci brakuje, aby wreszcie działać zgodnie z RODO.

Certyfikat SSL w sklepie online.

Certyfikat SSL w sklepie online to obowiązkowy element. Powinien być zainstalowany na każdej stronie, na której będziesz zbierać dane osobowe lub pobierać płatności online. Taki certyfikat to specjalny protokół szyfrujący połączenie z Twoją witryną. Brak takiego certyfikatu powoduje, że strona jest oznaczana przez przeglądarki jako niezabezpieczona, bo przesył danych nie będzie szyfrowany. Strona bez certyfikatu SSL obniża znacząco zaufanie potencjalnego klienta. Nawet jeśli już wejdzie na Twoją stronę, to na pewno nie poda na niej żadnych danych osobowych ani danych do płatności. Osobiście omijam takie strony szerokim łukiem. 

Polityka prywatności sklepu.

Dokument, który znają wszyscy. Polityka prywatności. W takiej formie sprzedawcy i właściciele serwisów online wypełniają tzw. obowiązki informacyjne. Istnieją bowiem prawem przewidziane informacje, które muszą zostać przekazane osobom odwiedzającym Twoją stronę lub sklep online. Wśród nich są takie dane, jak tożsamość i adres administratora danych, cele przetwarzania danych, jak i prawa klienta gwarantowane przez RODO. Nie są to jednak jedyne informacje, jakie musisz przekazać potencjalnym klientom. O tym, co powinna zawierać polityka prywatności pisałam w osobnym artykule, dlatego teraz przejdę już do następnej pozycji z listy tematów do zrobienia.

Rejestry i procedury wewnętrzne RODO.

Tak, jak wspominałam już wcześniej, polityka prywatności jest tylko jednym z wielu dokumentów, o które trzeba zadbać, wprowadzając RODO w sklepie internetowym. Rozporządzenie ogólne o ochronie danych wymaga wprowadzenia określonych zasad i procedur, które będą zapewniały danym osobowym ochronę. A następnie wykazania, że to zrobiono. Dlatego warto od razu założyć sobie osobną teczkę na wszystkie dokumenty, które będą w Twojej działalności dotyczyć spełnienia wymogów RODO. Kiedy przygotowujemy indywidualne wdrożenie RODO w firmie to klient otrzymuje gotowy segregator, z wypełnionymi wszystkimi dokumentami, tak, aby nie tylko łatwiej mu było je wdrożyć, ale także przechowywać na cele ewentualnej kontroli UODO.

Jako administrator danych masz określone w RODO obowiązki, a wśród nich trzeba wymienić co najmniej:

  • prowadzenie rejestru czynności przetwarzania dla sklepu online,
  • przygotowanie analizy ryzyka dla takich zagrożeń, jak ujawnienie danych, utrata, zniszczenie, etc.,
  • zawarcie umów powierzenia danych z odbiorcami danych, np. biurem księgowym, które obsługuje Twój sklep online i ma wgląd do danych pracowników lub klientów,
  • opracowanie i wprowadzenie procedury bezpieczeństwa danych osobowych,
  • wdrożenie instrukcji zarządzania systemem informatycznym (dotyczy Cię nawet, jeśli masz tylko jeden komputer w firmie lub inne podobne urządzenie),
  • wprowadzenie procedury postępowania w przypadku naruszenia danych.

Dlaczego procedury RODO są potrzebne?

Rejestr czynności, analiza ryzyka czy procedury bezpieczeństwa danych to dokumenty wewnętrzne RODO, których posiadanie jest niezbędne w celu udowodnienia przestrzegania przepisów. Nie są to oczywiście jedyne czynności, jednak dokumentacja stanowi dla PUODO ważny punkt odniesienia. Każdy dokument, który wymieniłam powyżej wynika albo z konkretnego przepisu prawa albo z zasad zarządzania bezpieczeństwem informacji. Dla przykładu rejestr czynności to obowiązek wynikający z art. 30 RODO. W pakiecie NA START, w którym są regulaminy i RODO dla sklepu internetowego przygotowałam już gotowe przykłady czynności dla tego typu działalności. Jeśli rozważasz udział w tym kursie, to rejestr czynności jest już w nim odpowiednio wypełniony, a Ty tylko musisz wybrać to, co Cię dotyczy. Dzięki temu, całe wdrożenie RODO w sklepie online jest bardzo szybkie i proste. Podobnie jest z analizą oraz procedurami, które są w pakiecie przygotowane konkretnie pod biznes online i najczęściej występujące w nim sytuacje.

Z kolei analiza ryzyka i procedury wewnętrzne, które wymieniłam powyżej, wynikają z obowiązku wprowadzenia w firmie takich środków bezpieczeństwa, które będą adekwatne do ewentualnych zagrożeń. Adekwatność oznacza w tym przypadku to, że będą one wystarczające i odpowiednio zabezpieczą dane w stosunku do tego ryzyka. Administrator danych, czyli w tym przypadku osoba prowadząca działalność, musi następnie opisać te zasady i środki bezpieczeństwa, które stosuje. Możesz przygotować jeden obszerny dokument lub kilka mniejszych. U mnie zawsze są to co najmniej trzy procedury i takie rozwiązanie rekomenduję moim klientom. Polityka bezpieczeństwa danych to zasady ogólne przetwarzania danych. Instrukcja zarządzania systemami opisuje postępowanie przy przetwarzaniu danych w systemach informatycznych, a procedura naruszenia danych podczas sytuacji ujawnienia czy wycieku danych.

Upoważnienia dla pracowników sklepu.

W sytuacji, w której inne osoby będą miały dostęp do danych osobowych Twoich klientów, kontrahentów lub pracowników, pamiętaj o nadaniu im odpowiednich upoważnień do przetwarzania danych. Na prostych przykładach omawiam to w innym wpisie, do przeczytania którego Cię zachęcam, jeśli nie działasz tylko jako jednoosobowa firma. Dzięki temu dowiesz się, kto powinien mieć upoważnienie do przetwarzania danych w firmie.

Konsekwencje nieprzestrzegania RODO.

Od 25 maja 2018 r. RODO wprowadziło bardzo duże zmiany. Kontrolą przestrzegania przepisów ochrony danych w Polsce zajmuje się obecnie Urząd Ochrony Danych Osobowych (UODO) na czele z prezesem urzędu. Możliwość nałożenia kary finansowej wzrosła do 20 mln EUR lub 4% obrotu za rok poprzedni, przy czym decyduje to, która kwota będzie wyższa. Grzywna jest jednak nakładana proporcjonalnie do naruszenia przepisów, wielkości osiąganych obrotów, a także podejścia administratora danych do ich ochrony. Im większe jest zaangażowanie administratora danych, czyli Twoje, tym mniejsza szansa na wysoką karę. Kiedy już otrzymasz wezwanie, to sprawdź koniecznie, jak się przygotować do kontroli PUODO w firmie. Zebrałam w tym wpisie kilka pomocnych i praktycznych zasad, które warto zawsze mieć na uwadze. Przydadzą się także w trakcie postępowania wyjaśniającego, które urząd może wszcząć po otrzymaniu skargi od osoby fizycznej na przetwarzanie jej danych niezgodne z RODO.

© ABI Consulting Sylwia Templin-Świtała

Polityka Prywatności

Polityka cookies

Regulamin sklepu online

+48 607 718 878

Znajdź nas w sieci:

error: Treść strony jest chroniona!