25 maja 2016 r. zostało opublikowane nowe rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych – w skrócie zwane RODO. Firmy w Unii Europejskiej mają 2 lata na dostosowanie się do nowych przepisów. Rozporządzenie wprowadza wiele zmian dla przedsiębiorców, ale już dzisiaj można dostosować model działania firmy. Zaprocentuje to w przyszłości przede wszystkim pod kątem zbieranych danych osobowych, które będzie można wciąż wykorzystywać po wejściu przepisów w życie.
Czyje dane mają być chronione?
Nowe przepisy mają zastosowanie do przetwarzania danych osobowych osób fizycznych jeżeli czynności przetwarzania wiążą się z oferowaniem towarów lub usług osobom zamieszkującym na terenie UE, których dane dotyczą – niezależnie od tego, czy wymaga się od tych osób zapłaty lub są chcemy monitorować ich zachowanie.
Z punktu widzenia firmy prowadzącej sklep pierwsza część powyższego zakresu zastosowania jest oczywista. W każdym sklepie internetowym dane są przetwarzane w celu realizacji zamówień lub w celu świadczenia bezpłatnych usług, jakimi są prowadzenie konta klienta w sklepie, newsletter lub możliwość zamieszczania opinii o towarach na stronach internetowych lub komentowania bloga.
Druga część powyższego zakresu zastosowania odnosi się do różnego rodzaju metod analizy zachowań klientów sklepu. Firma prowadząc sklep może korzystać z wielu narzędzi, które to umożliwiają. Przykładowo może analizować zachowania klientów na stronie, jakie produkty oglądają, jak długo przebywają na stronie i na podstawie tych parametrów może podejmować pewne automatyczne czynności tj. prezentowanie dopasowanej oferty do preferencji klienta, oferowania specjalnych rabatów itp. Monitorowaniem zachowania będzie również korzystanie z niektórych funkcji Google Analytics, gdzie jest możliwość śledzenia użytkowników po określonym ID.
Definicja danych osobowych
Definicja „czym są dane osobowe” została rozszerzona i dostosowana do tego, jak dzisiaj w praktyce działa przetwarzanie danych w sieci. Przede wszystkim danymi osobowymi są dane, które identyfikują konkretną osobę lub pozwalają ją zidentyfikować bezpośrednio lub pośrednio. Prowadząc sklep internetowy bez wątpienia przetwarzane są dane osobowe przy okazji zawierania umów sprzedaży, subskrypcji newslettera lub założenia i prowadzenia konta w sklepie.
Nowa definicja została jednak rozszerzona o numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Nowy zakres kategorii danych może mieć również odniesienie do sklepów internetowych. Przykładowo korzystając z funkcji logowania przez konto na Facebooku, czy to przy zakładaniu konta lub przy dodawania komentarza pod produktem lub na blogu, w bazie sklepu zapisuje się identyfikator i w szczególnych przypadkach możemy mówić o przetwarzaniu danych osobowych. Kolejnym przykładem jest lokalizacja użytkownika, gdzie odpowiednio na podstawie położenia klienta, prezentowane są inne dane i zakres oferty (tzw. marketing na bazie geolokalizacji).
Czym jest przetwarzanie danych osobowych?
W nowym rozporządzeniu katalog czynności jakie określają przetwarzanie został rozszerzony. Przetwarzanie oznacza operację wykonywaną na danych osobowych taką jak:
- zbieranie, utrwalanie, przechowywanie,
- organizowanie, porządkowanie,
- adaptowanie lub modyfikowanie,
- pobieranie, przeglądanie, wykorzystywanie,
- ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.
W praktyce jakakolwiek styczność z danymi osobowymi oznacza ich przetwarzanie. Powyższy zakres działań dla firmy prowadzącej sklep internetowy może być doskonałym drogowskazem wskazującym obszary, które należy odpowiednio zabezpieczyć. Dobrym przykładem może być przechowywanie danych osobowych. Często spotykanym modelem działania jest korzystanie z hostingu w zakresie zapewnienia infrastruktury pod sklep, gdzie fizycznie dane osobowe są przechowywane na serwerach firmy hostingowej.
Drugim przykładem jest korzystanie z usług księgowych na platformie do wystawiania faktur (tzw. e-księgowość). Tam również dane osobowe klientów i pracowników są przechowywane i przetwarzane przed podmiot trzeci. Jest to ważne z punktu widzenia firmy, która jest administratorem danych osobowych (ADO). To ona jest odpowiedzialna za bezpieczeństwo przetwarzania danych osobowych, w tym za wybór partnerów biznesowych, którzy biorą udział w przetwarzaniu lub którzy wykonują część obowiązków za ADO, jak ma to miejsce w przypadku firmy hostingowej.
Profilowanie danych osobowych
RODO wprowadza nowe pojęcie do przetwarzania danych osobowych jakim jest profilowanie, które oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega to na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Już dzisiaj wiele firm profiluje swoich klientów kierując do nich odpowiednio dostosowane wiadomości lub oferty. Wykorzystywane do tego celu narzędzia marketingowe pomagają w generowaniu większej sprzedaży i opierają się przede wszystkim na automatycznej analizie wielu parametrów i informacji jakie zbierają o konkretnej osobie. Sprzedawcy często nie zdają sobie sprawy z tego, że profilują klientów. Prostym przykładem jest wysyłanie oferty na ostrza do maszynki do golenia do klienta, który kupił maszynkę miesiąc wcześniej. Metod profilowania zarówno tych prostych i bardziej zaawansowanych może być wiele, więc przed wdrożeniem i podjęciem działań marketingowych należy uważnie je przeanalizować pod kątem przepisów.
RODO wprowadza obowiązki informacyjne, gdzie ADO musi poinformować klientów o tym, że ich profiluje. Co ważne, dotyczy to także zasad profilowania i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Wprowadzenie nowej definicji oraz obowiązków informacyjnych ma na celu przede wszystkim budowanie świadomości po stronie klientów, że ich dane osobowe są wykorzystywane właśnie w takich celach. Co ważne RODO przewiduje również możliwość wyrażenia sprzeciwu przeciwko takiemu przetwarzaniu, gdzie nieprzestrzeganie przez ADO może wiązać się z konsekwencjami finansowymi.
Obowiązki Administratora Danych Osobowych
Administrator danych osobowych ma wiele obowiązków jakie nakłada na niego RODO. Od wymogów formalnych, poprzez operacyjne działania wykonywane w codziennej pracy, kończąc na zadaniach związanymi z ewentualnymi kontrolami lub związanymi z naruszeniami danych osobowych.
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko, administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. ADO musi mieć możliwość wykazania przed GIODO, że odpowiednio wywiązuje się z w/w zakresu.
ZAKRES OCHRONY DANYCH PRZEDSTAWILIŚMY TUTAJ.
W praktyce oznacza to opracowanie dokumentacji opisującej procedury i procesy bezpiecznego przetwarzania danych osobowych w firmie. Już dzisiaj jest to obowiązek, by firma posiadała taką dokumentację. ADO powinien wdrożyć adekwatne do swoich możliwości zabezpieczenia miejsc, w których przetwarzane są dane osobowe, urządzeń za pośrednictwem których dochodzi do przetwarzania danych oraz ma obowiązek przeszkolenia pracowników w zakresie ochrony danych osobowych. Te wszystkie działania mają na celu wykazanie staranności ADO w podjętych działania w zakresie ochrony danych osobowych.
W ramach obowiązków ADO dochodzą także kwestie związane z aktualizacją procedur ochrony danych. Zastosowane środki, w razie potrzeby powinny być poddawane przeglądom i uzupełnieniom. Oznacza to, że ochrona danych osobowych, dokumenty i procedury nie powinny być jedynie formalnością, ale powinny być na bieżąco weryfikowane, sprawdzane i kontrolowane. Przeglądem można nazwać weryfikację wiedzy pracowników w zakresie procesów i procedur bezpieczeństwa danych osobowych lub weryfikację, czy zasady są w praktyce przestrzegane. Weryfikacją powinno być sprawdzenie, czy kopie bezpieczeństwa, które są wykonywane, można łatwo i szybko odzyskać. W praktyce każda procedura opisana w dokumentacji, która ma zapewnić bezpieczeństwo i ochronę danych osobowych w firmie, powinna być poddawana weryfikacji i sprawdzeniu. Systemy informatyczne powinny być zabezpieczone i wciąż aktualizowane.
Zgłaszanie naruszeń danych osobowych
Nowe przepisy nakładają na ADO obowiązek zgłaszania naruszeń danych osobowych. ADO będzie miał na to 72 godziny od momentu wykrycia takiego naruszenia. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki powinien zawiadomić osobę, której dane dotyczą, o takim naruszeniu.
Oznacza to, że ADO będzie miał obowiązek wysyłania szczegółowych informacji do GIODO zgodnie z zakresem jakie określa RODO w tej kwestii, a w przypadkach poważnych wycieków danych osobowych będzie miał obowiązek poinformowania osób, których dane dotyczą, o tym, że nastąpiło takie zdarzenie.
Wbrew pozorom sytuacja wycieku danych osobowych nie jest tak abstrakcyjna, jakby się to mogło wydawać. Administrator sklepu może zainstalować niesprawdzoną wtyczkę pobraną z sieci, która będzie miała dostęp do bazy danych sklepu i wykorzysta ją w celach wysyłki spamu lub wręcz wykona kopię danych. Oprogramowanie sklepu nie zostanie zaktualizowane na czas i przez lukę lub błąd w kodzie strony osoby trzecie będą miał dostęp do danych osobowych. Inną kwestią jest bezpieczeństwo samych systemów operacyjnych na jakich działa oprogramowanie. Ważne w tym miejscu jest to by wybierać z rynku doświadczonych współpracowników i firmy, które dbają o wdrożenie odpowiednich standardów bezpieczeństwa.
Kolejną ważną kwestią na jaką należy zwrócić uwagę jest aspekt wizerunkowy. Jeżeli sprzedawca będzie zobowiązany do wysyłki wiadomości o wycieku danych do swoich klientów, wówczas utrata mozolnie budowanego zaufania może przynieść wymierne straty dla prowadzonego biznesu.
Nowe zapisy kar dla RODO
O ile dzisiaj GIODO nie jest wyposażone w narzędzia nakładania kar administracyjnych tak jak UOKiK, czy UKE, to wraz z nowym rozporządzeniem uprawnienia te zostaną zdecydowanie rozszerzone. RODO przewiduje możliwość karania przedsiębiorców w trybie decyzji wydanej przez organ nadzorczy – czyli GIODO. Kary mogą być nałożone nawet za nieumyślne działania ze strony ADO, a ich wymiar może zależeć od wielu aspektów. Kary mogą sięgać nawet sum rzędu 2-4% przychodów za rok poprzedni, w zależności od rodzaju naruszenia.
Katalog przewinień ciężkich wiąże się z nieprzestrzeganiem zasad przetwarzania w zakresie celu np. wykorzystywanie danych w innym celu niż je zebrano, adekwatnością i minimalizacją, czyli zbieraniem danych na zapas lub nadmiarowo w sensie zakresu danych, poprzez przetwarzanie danych osobowych bez zgody lub w celu nie związanym z umową, kończąc na niespełnieniu obowiązków informacyjnych i utrudnianiu lub wręcz uniemożliwieniu dostępu do danych przez osoby, których dane są przetwarzane.
Nowe przepisy i kary mają za zadanie przede wszystkim wprowadzenie większej dyscypliny w zakresie ochrony danych osobowych wśród przedsiębiorców. Należy pamiętać o warunkach łagodzących tj. stopień współpracy z GIODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, kategorii danych osobowych, których dotyczyło naruszenie, sposobu, w jaki GIODO dowiedziało się o naruszeniu, w szczególności, czy i w jakim zakresie ADO zgłosił naruszenie.
Przedsiębiorcy nie będą mogli ignorować wymogów prawnych oraz bezpieczeństwa, a GIODO może być poinformowane bezpośrednio przez osobę, której dane osobowe będą przetwarzane niezgodnie z jej wolą i bez zgody.
Wskazówki dla e-sklepu
W celu uniknięcia negatywnych konsekwencji wynikających z nowych przepisów warto już dzisiaj wdrożyć procedury bezpieczeństwa danych osobowych, które powinny być opisane zgodnie z aktualnie obowiązującymi przepisami w dokumentach tj. polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Już dzisiaj należy zadbać o spełnienie obowiązków informacyjnych i bezpieczny system przetwarzania danych w dniu wejścia ustawy w życie. Bardzo duża część przedsiębiorców korzysta głównie z zewnętrznych technologii przechowywania danych klientów (np. bazy MySQL na hostingu operatora), dlatego ważne jest, aby wybierać na rynku firmy i rozwiązania sprawdzone oraz przede wszystkim bezpieczne w przypadku wystąpienia jakichkolwiek awarii. W ofercie hostingu należy sprawdzić, jaką opcję przywrócenia kopii zapasowej oferuje usługodawca. Podstawowym elementem zwiększającym bezpieczeństwo jest możliwość przywrócenia kopii danych z kilku dni.
Z jednej strony wymogi prawne w zakresie ochrony danych osobowych mogą wydawać się przesadzone, ale należy spojrzeć na całość zagadnienia zdecydowanie szerzej. Internet i informatyzacja przedsiębiorstw oraz konieczność działania na rynkach krajowych lub globalnych, niesie za sobą wiele korzyści i jest słusznym kierunkiem rozwoju, ale niesie za sobą również wiele zagrożeń. Firma bez klientów, a co za tym idzie bez ich danych osobowych, nie będzie się rozwijać, a pozyskiwanie nowych klientów, na bardzo konkurencyjnym rynku kosztuje coraz więcej. Wartością firmy sprzedającej towary lub świadczącej usługi są jej klienci, więc ich dane powinny być traktowane jak coś, co jest majątkiem firmy, o który należy dbać i go zabezpieczać.
—
Autorem wpisu jest Rafał Stępniewski z firmy Rzetelna Grupa Sp. z.o.o. – firmy świadczącej kompleksowe usługi doradcze w zakresie prawa gospodarczego, prawa spółek handlowych, prawa konsumenckiego, praw autorskich oraz ochrony danych osobowych.
Szukasz pomocy prawnej do regulaminu swojego serwisu lub sklepu? Skorzystaj z unikalnych warunków Rzetelnej grupy, tylko dla klientów home.pl: