W ubiegłym roku 27 kwietnia Parlament Europejski i Rada UE wydały rozporządzenie dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO). Nowe przepisy wchodzące w życie 25 maja 2018 r. wpłyną na właścicieli sklepów internetowych. Konieczne będą zmiany w regulaminie e-sklepu i uszczelnienie polityki przetwarzania danych osobowych klientów.
UODO zostanie zastąpione przez RODO
Do 25 maja 2018 r. ochrona danych osobowych jest regulowana przez Ustawę o Ochronie Danych Osobowych (UODO). Następnie zastąpi ją rozporządzenie Unii Europejskiej – RODO. Przestanie także istnieć taka instytucja jak Generalny Inspektor Ochrony Danych Osobowych, w miejsce której zostanie powołany Urząd Ochrony Danych Osobowych.
Zmiany w aktach prawnych powodują konieczność wprowadzenia nowych zapisów do regulaminu e-sklepu i dokonania modyfikacji w sposobie zarządzania danymi osobowymi użytkowników. Najważniejsze zapisy rozporządzenia poruszają takie kwestie jak:
Rejestracja zbiorów danych
Do tej pory zgodnie z UODO właściciele sklepów internetowych muszą rejestrować zbiory danych osobowych pozyskane np. w celach realizacji zamówienia, prowadzenia statystyk, podejmowania akcji marketingowych do GIODO. Wyjątek stanowi sytuacja, w której przedsiębiorca powołał Administratora Bezpieczeństwa Informacji (ABI). Nowe rozporządzenie znosi obowiązek rejestrowania zbiorów danych, co z pewnością uprości zarządzanie danymi użytkowników.
Zamiast ABI Inspektor Ochrony Danych
RODO wprowadza kosmetyczną zmianę w stanowisku osoby odpowiedzialnej za przetwarzanie danych osobowych – Inspektor Ochrony Danych zastąpi Administratora Bezpieczeństwa Informacji.
Jasne zapisy dotyczące zgód na przetwarzanie danych
Nowe rozporządzenie zmienia także sposób przygotowywania zgód na przetwarzanie danych osobowych. Przedsiębiorcy powinni zadbać, aby zgody:
- były jednoznaczne,
- formułowane w sposób zrozumiały dla użytkowników,
- miały charakter wyraźnego działania (potwierdzenia albo oświadczenia),
- zostały wyrażone dobrowolnie i świadomie przez użytkownika.
Zapisy niezrozumiałe dla klientów, zawiłe lub pokrętne sformułowania nie będą miały mocy wiążącej – takie zasady wprowadza nowe rozporządzenie UE.
Checkboxy z osobnymi zgodami na przetwarzanie danych
Do tej pory kwestia zgód marketingowych nie była jasno rozwiązana – przedsiębiorca mógł przygotować jeden checkbox do udzielenia wszystkich zgód na raz (np. na potrzeby realizacji zamówienia i do celów marketingowych). I chociaż według UODO zgoda nie mogła być domniemana lub dorozumiana, wiele formularzy kontaktowych miało domyślnie zaznaczone pola, co sprawiało, że nieuważny klient podczas zakupów od razu udzielał pozwolenia na otrzymywanie materiałów handlowych.
RODO precyzuje tę kwestię. Zgodnie z nowymi przepisami przedsiębiorca musi przygotować osobne checkboxy dla wszystkich zgód. Nie mogą być domyślnie zaznaczone, a użytkownik powinien posiadać możliwość podjęcia samodzielnej decyzji, czy chce, aby jego dane były przetwarzane w innym celu niż realizacja zamówienia.
Wymóg pozyskania zgody klienta na profilowanie
Profilowanie polega na grupowaniu danych osobowych klientów pod kątem określonych cech demograficznych albo behawioralnych. Ten mechanizm wykorzystywany jest w celu prezentacji spersonalizowanej oferty – np. wyświetlania produktów związanych z miejscem zamieszkania lub zainteresowaniami użytkowników (boks Inni Klienci kupili również, Produkty podobne, Produkty powiązane). Nowe rozporządzenie wprowadza konieczność poinformowania klienta o profilowaniu i uzyskania jego zgody na takie działania.
Prowadzenie rejestru czynności przetwarzania
Do obowiązków właściciela e-sklepu będzie należało prowadzenie rejestru czynności przetwarzania danych osobowych wraz z oceną konsekwencji tego przetwarzania dla ochrony danych osobowych.
Rejestr powinien obejmować takie informacje jak:
- dane administratora, współadministratorów, przedstawiciela administratora lub inspektora danych osobowych,
- cel przetwarzania danych osobowych,
- kategorie osób, których dane są przetwarzane oraz kategorie danych osobowych,
- kategorie podmiotów, którym dane zostaną lub zostały ujawnione,
- przewidywane terminy usunięcia kategorii danych,
- opis środków organizacyjno-technicznych służących do zapewnienia bezpieczeństwa danych osobowych.
Aktualizacja regulaminów i polityki bezpieczeństwa
Zgodnie z obowiązującym prawem w regulaminie sklepu lub polityce bezpieczeństwa znajdują się informacje dotyczące przetwarzania danych osobowych – kto jest administratorem, w jakim celu przetwarzane są dane, w jaki sposób cofnąć zgodę na otrzymywanie informacji handlowej. RODO wprowadza także obowiązek zdefiniowania, w jakim okresie dane są archiwizowane i gdzie można zgłosić skargę, jeśli dojdzie do naruszenia bezpieczeństwa danych lub przepisów o ochronie danych. Przedsiębiorca powinien także opisać mechanizm profilowania, gdy korzysta z niego przy prowadzeniu działalności w sieci.
Obowiązek zgłaszania wycieku informacji z bazy danych
W ciągu 72 godzin właściciel sklepu będzie miał obowiązek zgłoszenia naruszenia bezpieczeństwa danych osobowych do Urzędu Ochrony Danych Osobowych. W przypadku wycieku należy poinformować wszystkie osoby, których dane mogły zostać przejęte np. przez hakerów.
Kary dla przedsiębiorców nieprzestrzegających RODO
Przedsiębiorcy, którzy do 25 maja 2018 r. nie zastosują się do zmian wprowadzanych przez RODO w zakresie ochrony danych osobowych, powinni liczyć się z konsekwencjami finansowymi. Nowe przepisy zaostrzają system kar, które mogą wynosić nawet do 20 mln euro lub 4% całkowitego obrotu firmy za rok poprzedni.
Czy warto więc ryzykować i nie wprowadzać zmian w polityce przetwarzania danych? Lepiej od razu dostosować się do obowiązującego prawa i zagwarantować bezpieczeństwo przetwarzanych danych osobowych, co zostanie docenione przez klientów.