Czym jest RODO i jakie obowiązki ze sobą niesie dla branży e-commerce?
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych obowiązuje w Polsce od 25 maja 2018 roku, czyli już prawie 4 lata. Mogłoby się wydawać, że przedsiębiorcy powinni znać ogólne założenia dotyczące ochrony danych osobowych, ale dla pełnej implementacji rozporządzenia w sklepie internetowym nie jest wystarczające ogólne poznanie założeń. Przedsiębiorcy powinni być świadomi swoich obowiązków szczegółowo, aby móc je w pełni realizować w codziennej działalności.
Jakie obowiązki wynikają z RODO dla sklepu internetowego? Jako wybrane, najważniejsze obowiązki można wskazać:
-
Obowiązek wyznaczenia i informowania konsumentów o Administratorze Danych Osobowych (ADO),
-
możliwość przetwarzania danych niezbędnych, w minimalnym zakresie, w oparciu o konkretne przepisy prawa,
-
uprawnienia podmiotu, którego dane są przetwarzane (np. prawo do bycia zapomnianym),
-
transparentność w zakresie transferu danych (w szczególności poza EOG),
-
uprawnienia i dane Inspektora Ochrony Danych, jeżeli główna działalność podmiotu obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę,
-
zgłaszanie wycieku danych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).
Dokumenty wymagane w świetle RODO
Przepisy rozporządzenia nie wskazują minimalnego, wymaganego “pakietu” dokumentów, które byłyby wystarczające i zapewniały zgodność z RODO. W związku z powyższym, przy sporządzaniu kompletu dokumentów zalecane jest skorzystanie z porady eksperta, który po analizie sytuacji faktycznej przedsiębiorstwa będzie w stanie przedstawić konkretny pakiet dokumentów, który zapewni bezpieczeństwo danego sklepu internetowego.
W oderwaniu od konkretnego stanu faktycznego można natomiast jedynie przykładowo wskazać rodzaje dokumentów, które zazwyczaj będą typowe dla RODO sklepu internetowego.
Przede wszystkim w sklepie internetowym należy pamiętać o polityce prywatności, o której pisaliśmy m.in. w tym tekście. Co do zasady jest to najważniejszy dokument, który określa całokształt podstawowych reguł dot. przetwarzania danych. W szczególności polityka prywatności powinna zawierać:
-
dane Administratora Danych,
-
Informacje dot. miejsca i zakresu przetwarzanych danych,
-
pouczenia o przysługujących prawach,
-
informację, jak można skontaktować się z Administratorem,
-
informacje o okresie przetwarzania danych,
-
podstawy prawne przetwarzania danych.
Polityka cookies natomiast powinna zawierać także podstawowe, skrócone informacje w szczególności np., z jakich narzędzi śledzących korzysta sklep internetowy, powiadomienie o braku obowiązku wyrażenia zgody na przetwarzanie cookies, oraz, że dane użytkownika mogą zostać usunięte z bazy. Przy tym dobrze jest zawrzeć ostrzeżenie, że w wyniku niezaakceptowania cookies, niektóre funkcjonalności strony przestaną działać (np. wtyczki społecznościowe).
Polityka Prywatności i Polityka cookies to dokumenty, które, aby były przydatne i skuteczne dla sklepu internetowego powinny uwzględniać specyfikę jego działalności. Oznacza to, że dokumenty powinny zostać sporządzone tylko dla tego sklepu przez podmiot specjalizujący się w obsłudze RODO (np. wyspecjalizowana kancelaria prawna). Gotowe wzorce pobrane z internetu zazwyczaj nie spełnią tego celu. Informujemy, że kancelaria specjalizuje się w obsłudze RODO podmiotów e-commerce, a nasza pełna oferta dostępna jest tutaj.
Ponadto, przetwarzanie danych osobowych musi odbywać się w oparciu o podstawę prawną, którą może być m.in. zgoda na przetwarzanie danych osobowych. Warto przemyśleć, w jaki sposób pobierana i przechowywana będzie zgoda udzielona przez konsumentów na przetwarzanie ich danych osobowych. Jest to niezwykle istotne zarówno z prawnego, jak i z technicznego punktu widzenia. Wyrażenie zgody przede wszystkim nie powinno sprawiać użytkownikom końcowym nadmiernych problemów, a ponadto musi być przechowywana na wypadek ewentualnej kontroli PUODO , aby podmiot mógł wykazać, że dane są przetwarzane zgodnie z prawem, w oparciu o określoną podstawę.
Aby sklep internetowy działał zgodnie z RODO, klienci muszą także wyrazić zgodę na przesyłanie newslettera. Co do zasady zgoda na przesyłanie treści marketingowych obejmuje także maila z prośbą o wystawienie opinii po zakupie (taki mail również jest przetwarzaniem danych osobowych). Warto zatem o tym pamiętać przy tworzeniu dokumentacji RODO. O tym jak legalnie wysyłać newsletter pisaliśmy także w tym artykule
W przypadku skomplikowanej struktury biznesowej, uwzględniającej w szczególności udział w procesie sprzedażowym i posprzedażowym kilku podmiotów (nawet powiązanych kapitałowo lub osobowo) wymagana może być także umowa o przetwarzaniu danych. Pamiętać należy, że dane może przetwarzać tylko administrator, któremu zgoda na przetwarzanie danych została udzielona. Powierzenie przetwarzania podmiotowi trzeciemu wymaga odrębnej umowy.
Ponadto, dokumentacja RODO sklepu internetowego może wymagać także sporządzenia:
-
polityki bezpieczeństwa informacji,
-
Instrukcję zarządzania systemem informatycznym,
-
Politykę plików cookies,
-
Rejestr czynności przetwarzania danych osobowych,
-
Rejestr incydentów związanych z naruszeniami danych osobowych,
-
Upoważnienia do przetwarzania danych osobowych,
-
Rejestr osób upoważnionych do przetwarzania danych osobowych,
-
Wzór oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych.
Powyższe są tylko przykładami typowych dokumentów, które zazwyczaj będą potrzebne, aby zapewnić zgodność sklepu internetowego z RODO. Ostateczna ocena, jakie dokumenty będą wymagane w przedsiębiorstwie, powinna być dokonana konkretnie dla danego przedsiębiorstwa.
O czym jeszcze należy pamiętać?
W toku prac związanych z przystosowywaniem sklepu internetowego do RODO nie można zapominać także, że sklep internetowy musi także spełniać inne regulacje (w tym w szczególności te z kodeksu cywilnego). Zapewnienie szeroko rozumianej zgodności z prawem, oprócz dokumentów RODO może wymagać sporządzenia:
-
Regulaminu sklepu, który będzie wolny od klauzul niedozwolonych w obrocie z konsumentami. Regulamin ponadto powinien określać kwestie techniczne, takie jak warunki płatności, moment przejścia odpowiedzialności, moment zawarcia umowy czy sposoby dostawy.
-
Regulamin zwrotów, który będzie w szczególności realizował przepisy prawa konsumenckiego (w tym np. zasady realizowania prawa do odstąpienia od umowy bez podania przyczyny w terminie 14 dni) oraz wskazywał adres do odsyłki i inne kwestie szczególne (takie jak np wyłączenie odbioru przesyłek za pobraniem).
-
Procedur rozpatrywania reklamacji, które będą uwzględniały problematykę rękojmi i gwarancji. Jest to niezwykle ważne, ponieważ przepisy dot. rękojmi w sprzedaży konsumenckiej zawierają 4 rodzaje uprawnień konsumenta w razie wystąpienia wady, każdy z nich związany jest z wystąpieniem pewnych okoliczności, które rozpatrujący reklamację powinien uwzględnić.
Zgodnie z RODO, administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych osobowych. Środki organizacyjne zostały częściowo opisane powyżej i jest to np. dokumentacja RODO. Co należy do tych środków technicznych? Ocena powinna odbywać się w kontekście danego przedsiębiorstwa (może być to np. obowiązek stosowania skomplikowanych haseł czy zabezpieczeń sieciowych sklepu). Ważne jest, że obowiązek ten spoczywa na administratorze, rekomendujemy zatem zapoznanie się z naszym poradnikiem administratora danych osobowych.
Co grozi za naruszenie przepisów?
RODO przewiduje dwa rodzaje sankcji za naruszenie przepisów. Niemniej jednak najczęściej najbardziej dotkliwą karą jest utrata renomy sklepu internetowego. Informacje o nałożonej karze co do zasady są publikowane przez PUODO i mogą być jawne, zatem w przypadku naruszenia danych klienci sklepu internetowego mogą się dowiedzieć o naruszeniu od PUODO. Może to zdecydowanie wpłynąć na wiarygodność sklepu w oczach klientów i może skutkować utratą renomy na rynku.
Pierwszym z przewidzianych wprost w RODO sankcji jest sankcja karna, której podlega ten, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony. Osoba taka podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Drugim jest administracyjna kara pieniężna za naruszenie. W tym zakresie wysokość kary zależy od rodzaju i skali naruszenia, ale wskazać należy, że w niektórych przypadkach może ona wynosić nawet do 20.000.000 euro. lub 4% obrotu przedsiębiorstwa za rok poprzedni, zależnie która kwota jest wyższa. Tej karze podlega Administrator Danych Osobowych. W rzeczywistości kara zazwyczaj będzie niższa, ale zapewne jej dotkliwość dla przedsiębiorstwa i tak będzie znaczna.
Przykładem kary pieniężnej, która została nałożona przez Prezesa UODO w związku z wyciekiem danych osobowych jest kara nałożona na stronę Morele.net. Spółka obsługująca ten sklep internetowy otrzymała prawie 3 mln zł kary w 2019 roku za naruszenie RODO. Niewiele niższą karę (prawie 2 mln zł) otrzymał za nieprzestrzeganie zasad RODO także operator telefonii komórkowej Virgin Mobile.
Mając na uwadze przewidziane kary, zdecydowanie warto jest poświęcić czas na zapewnienie zgodności z RODO, w tym poprzez w szczególności przygotowanie stosownej dokumentacji. W tym procesie zazwyczaj pomocne będzie współuczestnictwo adwokata, albo radcy prawnego specjalizującego się w prawie e-commerce.
Zaufali nam: