RODO, czyli rozporządzenie o ochronie danych osobowych, funkcjonuje od ponad pół roku, mimo to temat jest nadal żywy. Dowiedz się więcej o najważniejszych zasadach RODO oraz co powinieneś zrobić, by dostosować sklep do jego wymagań.
Czym jest RODO i kogo obejmie?
RODO to zbiór przepisów dotyczących ochrony, zbierania i przetwarzania danych osobowych użytkowników (a zatem naszych klientów i potencjalnych klientów) wprowadzony na terenie całej Unii Europejskiej.
Rozporządzenie (po angielsku GDPR, czyli General Data Protection Regulation) dotyczy każdego przedsiębiorcy świadczącego usługi dla osób prywatnych (fizycznych) w całej Unii Europejskiej. Jeśli więc oferujesz swoje usługi “Kowalskiemu”, koniecznie zapoznaj się z treścią artykułu.
Ogólne założenia RODO
RODO wbrew opinii i długości dokumentu nie jest bardzo szczegółowe i nie określa konkretnych wymagań technicznych, a jego głównym założeniem jest narzucenie przedsiębiorcom (w tym e-commerce) obowiązku informowania użytkowników o tym, jakie dane zbieramy i jak je przetwarzamy, możliwości i sposobie usunięcia danych osobowych z naszej bazy, możliwości świadomego wyrażania zgód marketingowych i przekazywania danych firmom trzecim.
Co ważne, jeśli nasza dotychczasowa polityka prywatności nie odpowiadała wymaganiom RODO, konieczne będzie pozyskanie zgód od już istniejących w naszej bazie klientów. Możemy to zrobić poprzez wysłanie maila lub wyświetlenie pop-upa na stronie.
Z kolei same zgody od maja 2018 powinny być napisane ludzkim i zrozumiałym dla przeciętnego obywatela językiem. Natomiast ich akceptowanie odbywać się w sposób wyraźnie świadomy.
Co zmienić w regulaminie i zgodach marketingowych?
Zmiany obejmą przede wszystkim regulamin strony oraz stosowane pod formularzami zgody. Będziemy musieli zmodyfikować dotychczasowy tekst i choć porada prawnika nie jest obowiązkowa, to jednak warto się z nim skonsultować. Zmieniony regulamin powinien zostać uzupełniony o następujące informacje:
- rodzaje zbieranych danych osobowych,
- pełna informacja o administratorze danych,
- w jakim celu zbierane są dane osobowe,
- o możliwości i sposobie usunięcia oraz modyfikacji danych osobowych,
- o sposobie zgłaszania naruszenia danych osobowych,
- o segmentacji użytkowników.
Ponadto należy zadbać, by regulamin został napisany w sposób prosty i zrozumiały dla każdego użytkownika. Innymi słowy, musimy wystrzegać się skomplikowanego prawniczego języka.
Jednak to nie jedyna kwestia, w której przyda nam się wsparcie prawnicze. Kolejną są zgody. Tu warto pamiętać o tym, że zgoda marketingowa oraz zgoda na przetwarzanie danych osobowych nie mogą być obligatoryjne i muszą zostać rozdzielone. Należy też zrezygnować z pola “Zaznacz wszystkie zgody”, gdyż przepisy obligują nas do tego, by wola ich zaakceptowania była jednoznaczna i konkretna. Dodatkowo ich zaznaczenie musi być w pełni świadome. A co za tym idzie, nie mogą być one domyślnie zaznaczone.
Zbieranie danych osobowych na zapas
RODO wprowadza jeszcze inną ważną zmianę, a konkretnie zasadę “privacy by default”. Co oznacza tyle, że możliwe jest zbieranie tylko tych danych, które niezbędne do świadczenia usług lub realizacji transakcji. A więc nie będzie można zbierać danych na zapas w żaden sposób nieuzasadnionych. Na przykład, jeśli prowadzisz sprzedaż online i zamierzasz zbierać dane do wysyłki newslettera za pomocą formularza zapisu, nie powinieneś zbierać kodu pocztowego. Jednak jeśli posiadasz oddziały lub twoja oferta różni się w zależności od regionu, zbieranie kodu jest uzasadnione.
Przetwarzanie danych osobowych przez firmy trzecie
Przedsiębiorca może przetwarzać dane osobowe na dwa różne sposoby samodzielnie (administrator danych) lub zlecając to zadanie podmiotom zewnętrznym (podmiot przetwarzający dane osobowe).
Administrator danych to taki podmiot, który decyduje o celach i sposobach przetwarzania danych. Innymi słowy, decyduje o tym, w jakim celu i jak wykorzystać dane osobowe. Jest nim zawsze spółka lub określony podmiot gospodarczy.
Z kolei podmiot przetwarzający dane osobowe nie decyduje o celach i środkach przetwarzania danych. Firma ta powinna zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania powierzonych danych.
Rejestr naruszeń i Inspektor Danych Osobowych
Od maja 2018 rekomendowane, a w niektórych przypadkach konieczne, jest zatrudnienie lub wyznaczenie Inspektora Danych Osobowych. Ten obowiązek dotyczy organizacji publicznych, firm specjalizujących się w zbieraniu i przetwarzaniu danych osobowych oraz przedsiębiorstw przetwarzających dane poufne np. o przebytych chorobach. Co oznacza, że większości e-commerce’ów obowiązek ten ominie.
Niestety RODO narzuca na przedsiębiorców inny przykry obowiązek, a konkretnie prowadzenie rejestru naruszeń, w którym mają się znaleźć wszelkie incydenty naruszające bezpieczeństwo danych osobowych. Co więcej, jeśli taki incydent wystąpił, konieczne będzie złożenie stosownego zawiadomienia do GIODO oraz poinformowanie użytkowników, których zdarzenie dotyczyło. Informacje muszą zostać im przekazane w ciągu 72 godzin od zaistnienia zdarzenia.
Konsekwencje i kary związane z RODO
RODO wprowadza również nowe uprawnienia dla Głównego Inspektora Ochrony Danych Osobowych w tym możliwość nakładania kar. A te mogą być niezwykle dotkliwe i mogą sięgać nawet 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku w zależności od tego, która kwota będzie wyższa.