Już 25 maja zaczyna obowiązywać nowe prawo w zakresie danych osobowych – RODO. Oznacza to, że od tego dnia, wszystkie metody, którymi przetwarzasz dane Twoich klientów muszą być zgodne z RODO.
1. Co to jest RODO?
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, to nowe przepisy prawne, które regulują kwestie zarządzania danymi osobowymi. RODO zastąpi dotychczasową polską ustawę o ochronie danych osobowych, oraz odpowiadające przepisy prawne we wszystkich krajach Unii Europejskiej – odpowiednik w Unii Europejskiej to GDPR. Dzięki tym zmianą, systemy ochrony danych osobowych obowiązujące we wszystkich krajach na terenie Unii Europejskiej będą ujednolicone.
RODO nie wprowadza żadnej rewolucji w przetwarzaniu danych osobowych, bo obowiązki informacyjne, które wprowadza w znacznej mierze obowiązują już teraz. RODO jednak zwiększa prawa konsumentów oraz wprowadza nowy system odpowiedzialności, nakładając na firmy przetwarzające dane osobowe obowiązek wdrożenia wszystkich niezbędnych środków aby zapewnić odpowiedni poziomu ochrony przetwarzanych danych.
2. Kogo dotyczy RODO?
RODO dotyczy wszystkich firm przetwarzających dane osobowe, więc także wszystkich prowadzących sklepy internetowe. Jako prowadzący e-sklep gromadzisz i wykorzystujesz dane dotyczące osób fizycznych. Musisz też wiedzieć, że po 25 maja 2018 roku znika obowiązek rejestrowania zbiorów danych do GIODO. Tak więc RODO przynosi jakieś plusy dla prowadzących biznes i może także pozytywnie wpłynąć na rozwój sprzedaży w Twoim sklepie. Klienci będą bardziej poinformowani o tym co dzieje się z ich danymi osobowymi, będą się czuć bezpieczniejsi. Musisz jednak wiedzieć, że od tego dnia powinieneś prowadzić rejestr czynności przetwarzania danych osobowych.
Czym jest rejestr czynności przetwarzania danych osobowych?
W rejestrze czynności przetwarzania danych osobowych powinny znaleźć się następujące informacje:
- imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz innych współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
- cele przetwarzania danych,
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
- planowane terminy usunięcia poszczególnych kategorii danych – jeżeli to oczywiście możliwe,
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, podjętych w firmie dla ochrony danych – jeżeli jest to także możliwe.
Jednak zawarta w art. 30 ust. 1 RODO treść rejestru czynności nie wskazuje na obowiązek opisywania każdej poszczególnej operacji wykonywanej na danych, takiej jak np. zbieranie, utrwalanie, porządkowanie, modyfikowanie czy usuwanie – lub innej wskazanej w art. 4 pkt 2 RODO. Rejestr czynności powinien natomiast obejmować opis poszczególnych zespołów, operacji związanych zbiorczo z realizacją określonego celu przetwarzania. Należy prowadzić dokumentację w formie pisemnej lub elektronicznej, w której będą znajdować się informacje, o rodzaju danych i celu ich przetwarzania.
Jak prowadzić rejestr czynności przetwarzania danych osobowych opisuje również GIODO na swojej stronie.
3. Co zmienia RODO? Zobacz najważniejsze zmiany.
Tak jak wspominaliśmy powyżej, nie musisz już zgłaszać bazy sklepu do GIODO, co jest znacznym ułatwieniem dla prowadzącego sklep internetowy.
RODO daje konsumentowi także nowe prawa, między innymi:
- Prawo do bycia zapomnianym.
Sytuacje, w których będziesz musiał usunąć dane są opisane w artykule 17 ustawy RODO. Dotyczy to szczególnie przypadków, w których dane już nie są niezbędne do celów, do których je zebrałeś, np. klient zrobił zakupy w Twoim sklepie internetowym a transakcja została już zakończona i klient cofnął zgodę na przetwarzanie danych. Klient dowiedział się, że profilujesz go na swojej stronie i przesłał Ci sprzeciw, a nie występują uzasadnione podstawy przetwarzania jego danych osobowych. Również w sytuacji, w której dane osobowe były przetwarzane bez wyrażenia zgody – czyli niezgodnie z prawem – za pomocą formularza, checkboxa, pisemnie lub ustnie.
Musisz wiedzieć, że zarchiwizowanie danych klienta to nie to samo co ich usunięcie. Dane osobowe klienta, który żądał ich usunięcia możesz dalej przetwarzać, jeśli jest to niezbędne do ustalenia, dochodzenia albo ochrony roszczeń, np. w sytuacji rozpatrywania reklamacji.
- Prawo do otrzymania kopii danych.
RODO daje możliwość klientowi do szerszego niż do tej pory wglądu w dane, które przechowujesz na jego temat. Jeżeli klient poprosi Cię o informację jakie dane jego przetwarzasz, to będziesz musiał w ciągu 30 dni mu je przekazać, najlepiej w postaci pliku XML, JSON lub CSV.
- Prawo do przeniesienia danych.
Klient, którego dane osobowe są przetwarzane, może prosić o przeniesienie danych do innego, wskazanego podmiotu. Wykonując prawo do przenoszenia danych, administrator powinien wysłać je bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
Najważniejsze uwagi w sprawie zmian po wprowadzeniu RODO!
A. Przetwarzaj tylko te dane osobowe, które są Ci niezbędne. Musisz mieć powód zebrania i przechowywania każdej informacji o kliencie, czyli sprawdź jakie dane zbierasz i w jakim celu. Zastanów się, czy np. potrzebna Ci jest data urodzenia klienta, jeżeli żądasz jej od niego przy rejestracji w sklepie.
B. Nie powinieneś stosować domyślnie zaznaczonych checkboxów. Usuń wszystkie domyślnie zaznaczone zgody na stronie sklepu internetowego lub strony www.
C. Informuj klienta o przysługujących mu prawach. Sprawdź, czy klienci mają podaną informację i łatwo mogą realizować swoje prawa do żądania usunięcia danych i cofnięcia zgody na przetwarzanie danych osobowych w Twoim sklepie internetowym.
D. Sprawdź, kto ma dostęp do danych Twoich klientów. Upewnij się, że udzieliłeś pisemnej zgody swoim pracownikom na dostęp do danych Twoich klientów. Jeżeli udostępniasz dane swoich klientów innym firmom np. firmie hostingowej, na której serwerach przechowujesz dane klientów lub firmom kurierskim, podpisz z nimi umowy na powierzenie danych – jeżeli jesteś klientem firmy sStore pobierz umowę z panelu klienta i ją podpisz. Kopię podpisanej umowy wyślij e-mailem na pomoc (małpa) sstore.pl lub poprzez formularz. Musisz także o tym poinformować klienta, jeśli Cię o to zapyta, klient musi wiedzieć o osobach trzecich, którym przekazałeś jego dane.
Musisz wiedzieć, że wszystkie wcześniejsze zgody zbierane na przetwarzanie danych osobowych będą nadal ważne i nie musisz ich zbierać od nowa.
Oczywiście pod warunkiem, że były zbierane zgodnie z obowiązującym prawem, czyli posiadasz zgody, które były dobrowolne, świadome, jednoznaczne, konkretne. Jeżeli masz wątpliwości co do tego, musisz jeszcze raz poprosić klientów o wyrażenie zgody.
Już na dniach ukaże się nowy poradnik dotyczący bardziej precyzyjnych wskazówek „Jak dostosować swój sklep internetowy do RODO”.
W najbliższym czasie wydamy aktualizację oprogramowania, w której dodamy możliwość generowania danych osobowych klienta sklepu w pliku CSV – obecnie można je wygenerować w pliku .pdf (Drukuj Kartę Klienta).
Obserwuj nas i bądź na bieżąco z nowościami:
Zobacz także:
Zobacz także co o RODO pisze Ministerstwo Cyfryzacji
Zapoznaj się z informacjami z GIODO, zobacz czy jesteś gotowy na RODO
Wzór rejestru czynności przetwarzania danych osobowych – znajdziesz go na stronie GIODO lub wyszukasz w Google
Promuj sklep internetowy w Ceneo i sprzedawaj więcej
Reklamuj swój e-sklep w skutecznej porównywarce cen e-Ceny.pl – sprzedawaj więcej, zarabiaj więcej!
Sprzedawaj produkty dzięki Google Merchant Center – Google Zakupy
Masz pytania, opinie lub sugestie, chcesz udoskonalić oprogramowanie e-sklepu, napisz do nas »