RODO w sklepie internetowym – początki
Niezależnie od tego czy prowadzi się sklep internetowy od dłuższego czasu, czy to dopiero początki konieczne jest zadbać o przestrzeganie zasad rozporządzenia europejskiego. Jest ono obowiązujące dla wszystkich krajów Wspólnoty Europejskiej, niezależnie od tego czy sprzedaje się asortyment na skalę krajową, czy ogólnoeuropejską. Brak przestrzegania zasad ochrony danych osobowych może skutkować wysokimi karami finansowymi. Dane osobowe przechowywane przez sklep internetowy to przede wszystkim dane osób kupujących. W ramach rozporządzenia nie ma konkretnych zasad określających w jakim zbiorze albo katalogu mają być przechowywane dane osobowe. Jest to pozostawione do decyzji przedsiębiorcy prowadzącego sklep, który ma zapewnić bezpieczeństwo przechowywanych danych. Jednak z uwagi na specyfikę sklepu internetowego zarówno rodzaj zbieranych danych, jak i ich przetwarzanie są uzależnione od specyfiki klientów, którzy z niego korzystają. Jest to istotne, ponieważ dokumentacja dotycząca RODO jest istotna przede wszystkim dla klienta. Oznacza to, że musi być przygotowana w sposób stosunkowo prosty i zrozumiały, bez skomplikowanych zwrotów, które mogłyby utrudniać ich zrozumienie.
Dokumenty dotyczące RODO
Zanim przejdzie się do wdrażania zasad rozporządzenia w sklepie internetowym dobrze jest zebrać niezbędne informacje do opracowania podstawowych dokumentów i katalogów. Nawet jeśli prowadzi się sklep od wielu lat, zmiana zwiększa wymogi w zakresie informacji, które należy przekazywać klientom oraz zabezpieczeń danych. Rozeznanie w tej kwestii pozwala ocenić, które z aktualnie posiadanych zabezpieczeń są zgodne z RODO, które zmieniły się i wymagają poprawienia, a które należy wdrożyć od podstaw. Przedstawiany klientom katalog przepisów związanych RODO, użytkowany i dostępny w sklepie internetowym powinien zawierać kilka następujących elementów:
- regulamin sklepu internetowego,
- politykę bezpieczeństwa i prywatności,
- informacje dotyczące gromadzenia i wykorzystania plików cookies.
Dodatkowo powinny pojawić się instrukcje zarządzania systemem informatycznym, upoważnienia do przetwarzania gromadzonych danych, jak również rejestr osób, które takie dane mogą przetwarzać, rejestr incydentów związanych z naruszeniem danych osobowych i rejestr czynności przetwarzania danych osobowych. Klient powinien mieć również wgląd do wzorów oświadczeń o udzielenie zgody na przetwarzanie danych osobowych. Trzeba mieć świadomość, że klient swojej zgody na przetwarzanie danych może udzielić, lecz musi mieć możliwość jej odwołania. Rozporządzenie zmieniło bowiem podstawowe zasady umożliwiając odwołanie zgody na przetwarzanie danych oraz dając tzw. prawo do bycia zapomnianym. Oznacza to konieczność usunięcia danych z bazy.
Nowy sklep internetowy a RODO
RODO nieznacznie skomplikowało proces otworzenia sklepu internetowego, który i tak wymaga sporo pracy. Aby mieć pewność, że będzie poprawnie wykonany można zlecić jego przygotowanie doświadczonym programistom. Jednak ich odpowiedzialność za layout strony, sposób prezentacji asortymentu, zakupu, dodawania do „koszyka”, grafikę, nie oznacza odpowiedzialności za elementy związane z ochroną danych osobowych. Przy zlecaniu prac należy zaznaczyć, że sklep internetowy musi posiadać wyraźne zaznaczenie ochrony danych osobowych oraz łatwy sposób na wyrażenie zgody na ich gromadzenie i użytkowanie. Najczęściej są to wyskakujące na stronie głównej okienka, lecz można również zasady oraz wszelkie zgody przedstawić klientowi w momencie dokonywania zakupu.
O czym trzeba poinformować klientów?
Podstawa to oczywiście poprawne poinformowanie klientów sklepu internetowego o zasadach przedstawianych w regulaminie i zgodnych z RODĄ. Istotą są prawa klientów, jak również obowiązki sprzedawcy, których niedopatrzenie może nieść ze sobą konsekwencje dla niego. W kwestii danych osobowych klient powinien mieć świadomość, jakie dane są pozyskiwane. Powinno być to wyraźnie, czytelnie zaznaczone. Samo hasło „dane osobowe” jest bowiem zbyt ogólne, aby było wystarczające. Konieczne jest również zaznaczenie w jaki sposób sklep internetowy zamierza dane przechowywać i czy będą one prawidłowo zabezpieczone. Nie jest to bez znaczenia, bowiem słabe lub niepoprawne przechowywanie skutkuje wyciekiem danych i brakiem kontroli nad ich dalszym wykorzystaniem. Profesjonalny sklep internetowy nie może pozwolić sobie na takie uchybienie. Jednocześnie klienta należy poinformować o możliwości żądania usunięcia danych z bazy, zaznaczając że jest to jego prawo, z którego może skorzystać na każdym etapie działania. Jest to wspomniane już prawo do zapomnienia, ale możliwe jest także edytowanie danych, jak i zgłaszanie wszelkich przypadków naruszeń. Warto podkreślić, jakie zasady wdraża administrator danych osobowych i sklepu internetowego w chwili włamania się do serwerów, na których dane są przechowywane. Zawsze trzeba zaznaczyć, że klient zostanie poinformowany o takim incydencie, aby mógł podjąć ewentualne, dodatkowe kroki zabezpieczające. Wraz z tą informacją konieczne jest podanie danych administratora gromadzonych danych osobowych. Nie może on pozostać nieokreślony lub ujęty jedynie w formie skrótowej.
Podstawowe wymogi techniczne w sklepie internetowym
Zabezpieczanie danych osobowych jest bardziej skomplikowane, niż może się wydawać. Właściciel sklepu internetowego musi o tym pamiętać i spełnić odpowiednie wymogi techniczne. Zazwyczaj prowadzący sklep korzystają z serwisów hostingowych, jednak nie należy uważać, że to całkowicie rozwiązuje problem. Przekazanie czuwania nad systemem innej jednostce nie zwalnia ani nie ogranicza odpowiedzialności właściciela. To właściciel sklepu internetowego jest zobowiązany do oceny jakie dane wchodzą w jego posiadanie przy każdym zakupie, jakie zabezpieczenia będą najbardziej korzystne dla zagwarantowania im bezpieczeństwa. Istnieje możliwość stosowania zabezpieczeń fizycznych, odnoszące się do dokumentacji papierowej, jak i zabezpieczeń informatycznych. Do nich należy anonimizacja, szyfrowanie danych, firewall. Nie można także zapomnieć o przechowywaniu kopii zapasowych danych, aby użytkownicy sklepu internetowego mieli możliwość odzyskania danych po ich ewentualnej utracie lub naruszeniu ich bezpieczeństwa.