Od 25 maja 2018 r. w całej Unii Europejskiej, w tym w Polsce, stosuje się ogólne rozporządzenie o ochronie danych osobowych (RODO), które znacząco wpłynęło na sposób przetwarzania danych i nałożyło nowe obowiązki m.in. na sprzedawców e-commerce. Jak wygląda RODO w sklepie internetowym i jakie obowiązki ma właściciel?
Obowiązki właściciela sklepu internetowego związane z RODO
Właściciel sklepu online musi jasno informować użytkowników o sposobie zbierania i przechowywania ich danych osobowych oraz o przysługujących im prawach. W razie naruszenia ochrony danych (np. wycieku) powinien ocenić ryzyko, a jeśli jest to wymagane zgłosić naruszenie Prezesowi UODO oraz poinformować osoby, których dane dotyczą. Osobno klienci mogą korzystać z prawa do usunięcia danych w zakresie dozwolonym przez przepisy (np. z uwzględnieniem obowiązków księgowych). Do obowiązków należy także zapewnienie odpowiedniej ochrony danych, udostępnienie informacji kontaktowych oraz dostosowanie regulaminu, polityki prywatności i cookies do wymogów RODO. Dane są niezbędne do realizacji zamówień, dlatego ich właściwe zarządzanie jest kluczowe.
Administrator danych w e-sklepie
Sklep internetowy jako administrator odpowiada za zgodne z prawem przetwarzanie danych klientów, w szczególności za ich zbieranie, przechowywanie, wykorzystywanie, udostępnianie i usuwanie. Podmiotem przetwarzającym może być zewnętrzna firma realizująca zadania w imieniu właściciela, np. dostawca usług IT czy biuro rachunkowe. W praktyce też część firm logistycznych, kurierskich lub operatorów płatności działa jako odrębni administratorzy danych, a zależy to od modelu współpracy i treści umów. Administrator powinien zadbać o dobór odpowiednich systemów zabezpieczających.
Co powinien zawierać rejestr przetwarzania danych?
Rejestr przetwarzania danych to podstawowy dokument sklepu internetowego. Powinien zawierać m.in. informacje o administratorze danych, celach przetwarzania, kategoriach osób, których dane są gromadzone (np. klientów i pracowników), kategoriach danych, kategoriach odbiorców, planowanych okresach przechowywania oraz ogólny opis zastosowanych środków ochrony. Należy w nim uwzględnić także podmioty, którym dane mogą być przekazywane, np. księgowych czy firmy logistyczne.
Choć RODO przewiduje pewne wyjątki dla podmiotów zatrudniających mniej niż 250 osób, sklepy internetowe co do zasady powinny prowadzić taki rejestr, ponieważ przetwarzają dane klientów w sposób regularny i niesporadyczny, a jego posiadanie pomaga uporządkować kwestie formalne związane z ochroną danych osobowych.
RODO w sklepie internetowym a pozyskiwanie zgód
Ważną zasadą jest to, że konsument nie może mieć zasugerowanej zgody na takie działania. Zgoda nie może być domyślnie zaznaczona, a klient musi samodzielnie i świadomie zaznaczyć checkbox lub podjąć inną wyraźną akcję, jeśli chce ją wyrazić. Najczęściej pozyskiwanie zgód odbywa się na etapie składania zamówienia. Po uzupełnieniu swoich informacji kontaktowych klient zaznacza, że zapoznał się z regulaminem i wyraża zgodę na przetwarzanie danych osobowych przez sklep internetowy. Czasami administrator proponuje konsumentowi dodatkowo przetwarzanie danych w innych celach niż realizacja zakupu. Może to być np. wysyłka newslettera. Użytkownik musi wyrazić osobno zgodę na kolejny cel, ale też zgoda jest dobrowolna i wyrażana samodzielnie przez klienta.
Jak dbać o bezpieczeństwo danych w sklepie internetowym?
Zgodność z RODO to obowiązek każdego sklepu online. Klienci oczekują, że ich dane będą odpowiednio chronione – wycieki informacji, takich jak adresy czy nazwiska, mogą zniechęcić do zakupów. Jednym z ważnych elementów zabezpieczeń jest certyfikat SSL/TLS, który szyfruje dane przesyłane przez użytkowników, ale równie istotne są inne środki techniczne i organizacyjne, takie jak kontrola dostępu, aktualizacje oprogramowania czy przemyślana polityka haseł. Warto również tworzyć kopie zapasowe, by uniknąć utraty informacji w razie awarii.
Jeśli sklep umożliwia zakładanie kont, należy wspierać klientów w tworzeniu silnych haseł – pomocny będzie wskaźnik ich złożoności. Im lepsze zabezpieczenia, tym trudniej o dostęp dla cyberprzestępców. Zgodnie z RODO należy zbierać tylko niezbędne dane do realizacji zamówień. Ważna jest też jakość serwerów i wybór sprawdzonego dostawcy hostingu.
Ważnym elementem ochrony danych jest również edukowanie klientów, jak dbać o własne bezpieczeństwo w sieci. Warto przypominać im, aby instalowali aplikacje sklepów internetowych wyłącznie z zaufanych źródeł, takich jak oficjalne sklepy z aplikacjami, oraz zachowywali ostrożność wobec podejrzanych linków czy komunikatów. Coraz więcej sklepów online oferuje własne aplikacje i rozwiązania mobilne, co z jednej strony ułatwia zakupy, ale z drugiej zwiększa ryzyko pojawienia się fałszywych aplikacji tworzonych przez cyberprzestępców.
Klauzula informacyjna RODO to obowiązkowy element każdej witryny. Dobre zabezpieczenia budują zaufanie i pozytywny wizerunek marki. Wdrożenie RODO zwiększyło poufność i zmobilizowało firmy do lepszej ochrony danych.
