06.04.2022

Rodo w sklepie internetowym

Kancelaria Prawna

Przedsiębiorcy prowadzący sprzedaż w sieci muszą mierzyć się z wieloma formalnościami. Dokumentacja RODO to konieczność dla sklepu internetowego, dlatego należy zadbać o to, aby była przygotowana przez profesjonalistów. Jak stworzyć regulamin sklepu internetowego, który będzie zgodny z RODO oraz co powinno się w nim znaleźć? Na te oraz wiele innych pytań odpowiadamy w dzisiejszym artykule.

Czym jest RODO?

RODO jest Rozporządzeniem o Ochronie Danych Osobowych (dalej: „Rozporządzenie”) wprowadzonym przez Unię Europejską, które weszło w życie 25 maja 2018 roku. Jego celem jest zwiększenie bezpieczeństwa w tym zakresie poprzez wprowadzenie jednolitych przepisów w całej UE. Dotyczy ono wszystkich podmiotów zbierających i przetwarzających dane osobowe, w tym sklepów internetowych. Regulacje RODO obejmują także sklepy online, które funkcjonują poza UE, ale sprzedają produkty mieszkańcom Europy. Przepisy Rozporządzenia nie wskazują konkretnej grupy dokumentów, jakie powinien posiadać przedsiębiorca prowadzący działalność sprzedażową w Internecie – ich liczba i rodzaj zależy od specyfiki sklepu.

Zasady przetwarzania danych osobowych

RODO przedstawia natomiast wymogi, jakie należy spełnić w sklepie internetowym w zakresie gromadzenia i przetwarzania danych osobowych. Przede wszystkim użytkownik sklepu powinien być poinformowany na temat tego, co się będzie dziać z jego danymi osobowymi. Drugą kwestią jest zastosowanie się do następujących zasad przetwarzania danych osobowych:

  • zgodność z prawem, przejrzystość, rzetelność – dane osobowe należy przetwarzać zgodnie z obowiązującymi przepisami; klienci sklepu powinni być w jasny i klarowny sposób informowani (należy unikać trudnych zwrotów językowych) o celu przetwarzania danych oraz o swoich prawach,
  • minimalizacja danych – sklep powinien zbierać wyłącznie te dane, które są niezbędne do osiągnięcia założonego celu
  • ograniczenie celu – zbierać i przetwarzać dane można jedynie w ściśle określonych celach,
  • ograniczenie czasowe – przetwarzać dane można dotąd, dokąd są one konieczne do osiągnięcia celu
  • prawidłowość – przetwarzane dane muszą być prawidłowe i aktualne,
  • poufność oraz integralność – należy skutecznie zabezpieczyć dane przed nieuprawnioną modyfikacją i dostępem,
  • rozliczalność – administrator musi być w stanie wykazać, że podjął odpowiednie kroki w celu zabezpieczenia danych osobowych.

W ostatniej z przytoczonych zasad pojawiło się pojęcie administratora danych osobowych, które odgrywa dużą rolę w regulacjach RODO. Oznacza ono osobę, której przekazano dane osobowe – do jej obowiązków należy m.in. ustalenie celu, w jakim będą wykorzystywane te dane, a także sposobu ich przetwarzania oraz zabezpieczenia. Oprócz administratora w Rozporządzeniu pojawia się również termin: podmiot przetwarzający. Jego rolą jest przetwarzanie danych w imieniu administratora – współpracę między obiema stronami reguluje Umowa Przekazania Przetwarzania Danych Osobowych.

Co zaliczamy do danych osobowych?

Wiele osób utożsamia dane osobowe z danymi wrażliwymi takimi jak imię, nazwisko czy numer PESEL. Rozporządzenie RODO poszerzyło ten katalog o inne informacje umożliwiające identyfikację osoby. Znalazły się wśród nich m.in. dane o przynależności religijnej czy informacje o stanie zdrowia i różnego rodzaju parametrach fizycznych. Administrator tych danych odpowiada za właściwą ochronę każdego z nich i ponosi odpowiedzialność za pozyskanie ich przez nieuprawnione osoby.

Wdrażanie RODO w sklepie internetowym

Właściciele firm prowadzących sprzedaż online często nie wiedzą, jak dostosować swoją dokumentację do wymagań Rozporządzenia z 2018 roku. Polityka prywatności czy regulamin sklepu internetowego muszą spełniać wymogi RODO, aby przedsiębiorca nie był narażony na sankcje prawne. Część firm zasięga pomocy w sprawie RODO w kancelarii adwokackiej, podczas gdy inne decydują się wykorzystać darmowy wzór dostępny w Internecie. W jaki sposób powinno przebiec wdrożenie wymogów RODO dla sklepu internetowego?

Rejestr przetwarzania danych osobowych

Osoby prowadzące sklep internetowy powinny zastanowić się, z jakimi danymi osobowymi będą miały do czynienia. Wśród nich mogą znaleźć się dane zebrane w celu m.in.:

  • realizacji zamówień,
  • wysyłki newslettera
  • sprzedaży w innych kanałach,
  • prowadzenia księgowości,
  • realizacji akcji marketingowych,
  • przeprowadzenia procesu rekrutacji i zatrudnienia pracowników sklepu.

Jak widać, konieczność odpowiedniego zabezpieczenia danych osobowych związana jest nie tylko ze sprzedażową działalnością sklepu. Określenie ich poszczególnych grup stanowi podstawę do wskazania zagrożeń związanych z ochroną tych poufnych informacji.

Przedsiębiorca prowadzący sklep internetowy jest zobowiązany przez RODO do prowadzenia tzw. rejestru przetwarzania danych osobowych. Należy w nim uwzględniać wszelkie operacje przetwarzania danych osobowych realizowanych przez dany podmiot. Z uwagi na dowolną formę, w jakiej można prowadzić ten rejestr, warto wykorzystać narzędzie, które pozwoli na regularną aktualizację zawartych w nim informacji.

W myśl przepisów nie każdy podmiot jest zobligowany do prowadzenia rejestru przetwarzanych danych osobowych. W przypadku sklepów internetowych jednak zawsze zachodzi taka konieczność, ponieważ przetwarzanie danych w ich wykonaniu nie ma charakteru sporadycznego i wiąże się z ryzykiem narażenia praw i wolności osób, których dane dotyczą.

Analiza ryzyka

Zanim zostanie stworzony regulamin sklepu internetowego zgodny z RODO, należy przeprowadzić analizę ryzyka. Ma ona formę dokumentu, w którym przedstawione są zagrożenia związane z przetwarzaniem danych osobowych przez sklep oraz zestaw działań, jakie należy podjąć w celu ich ograniczenia.

Jakie zagrożenia mogą pojawić się w tym obszarze? Wśród najczęstszych ryzyk wymienia się:

  • złośliwe oprogramowanie,
  • pokonanie zabezpieczeń przez osoby trzecie,
  • utratę zebranych danych np. poprzez zniszczenie nośnika, na którym się znajdowały,
  • błędy ludzkie.

W celu zapobiegnięcia powyższym problemom można wykorzystać m.in.:

  • program antywirusowy,
  • szyfrowanie protokołem SSL,
  • tworzenie kopii zapasowych posiadanych danych,
  • szkolenia pracownicze z zakresu bezpiecznego przetwarzania danych.

Rzetelnie przygotowana analiza ryzyka to klucz do tego, aby wdrożenie wymagań RODO w sklepie internetowym przebiegło pomyślnie.

Dostosowywanie dokumentów sklepu internetowego do wymogów RODO

Regulamin zgodny z RODO to kwestia, która spędza sen z powiek wielu osobom prowadzącym sklep internetowy. To jeden z kilku dokumentów, jakie przedsiębiorcy prowadzący taką działalność muszą dopasować do wymagań Rozporządzenia. W celu sprawdzenia, co należy uaktualnić, a jakie obszary funkcjonują zgodnie z RODO, przeprowadza się audyt RODO będący kluczowym elementem procesu wdrożenia zaleceń z tych przepisów.

Dostosowany do RODO regulamin sklepu internetowego ma za zadanie informowanie użytkowników sklepu o tym, jakie mają prawa oraz jakie obowiązki ma sprzedawca względem klientów. Zawarte są w nim informacje na temat m.in.:

  • zakresu pozyskiwanych danych osobowych,
  • sposobie przechowywania danych osobowych,
  • prawach klienta dotyczących pozyskanych przez sklep danych osobowych,
  • metodach działania w przypadku incydentów związanych z bezpieczeństwem danych osobowych,
  • danych przedsiębiorcy będącego administratorem danych osobowych.

Innym istotnym elementem, który wchodzi w skład dokumentacji RODO, jest polityka bezpieczeństwa. Znajdują się w niej między innymi zasady przetwarzania danych osobowych przez sklep, reguły postępowania w przypadku wystąpienia naruszeń tych informacji, a także obowiązki administratora oraz podmiotów przetwarzających dane osobowe. RODO wymaga również od przedsiębiorców posiadających sklep internetowych Rejestru incydentów i naruszeń w ochronie danych, gdzie zamieszczane są sytuacje powodujące i mogące potencjalnie powodować naruszenie bezpieczeństwa danych.

Jakie obowiązki ma sklep wobec użytkowników zgodnie z przepisami RODO?

Przepisy RODO nakładają na sklepy internetowe różne obowiązki związane z obszarem danych osobowych. Do czego zobligowane są te podmioty? Wśród najistotniejszych kwestii znajdują się m.in.:

  • pozyskanie zgód na przetwarzanie danych osobowych od klientów,
  • podpisywanie umów z podmiotami, którym przekazuje się dane klientów,
  • dbałość o bezpieczeństwo danych,
  • informowanie klientów o ich prawach względem udostępnionych danych osobowych.

Warto przyjrzeć się bliżej każdemu z tych zaleceń, aby lepiej uzmysłowić sobie, do czego zobligowane są sklepy internetowe.

Pozyskiwanie zgód

Jest to fundamentalny obowiązek wprowadzony przez przepisy RODO. Sklepy internetowe potrzebują zgody klienta na pozyskiwanie i przetwarzanie jego danych osobowych. Co istotne, nie może to być zgoda uzyskana w sposób automatyczny. Oznacza to, że checkbox dotyczący zgód nie może zawierać wstępnie zaznaczonych okienek – klient musi sam kliknąć odpowiednie miejsca. Należy również dodać, że przy każdym pobieraniu danych do różnych celów niezbędna jest osobna zgoda poprzedzona przedstawieniem przez sklep konkretnego celu pozyskiwania tych danych.

Zawieranie Umów Przekazania Przetwarzania Danych Osobowych

Sklepy internetowe współpracują z różnymi firmami, którym udostępniane są dane osobowe klientów. Aby to przedsięwzięcie było zgodne z przepisami RODO, niezbędne jest zawarcie pomiędzy obiema stronami Umowy Przekazania Przetwarzania Danych Osobowych. Należy to zrobić z każdym podmiotem, któremu przekazuje się tego rodzaju dane. Co istotne, RODO umożliwia zawieranie takich umów w formie elektronicznej, dzięki czemu czas przeznaczony na sferę formalną jest zredukowany.

Bezpieczeństwo danych osobowych

Zgodnie z wymogami RODO przedsiębiorca musi wykorzystywać systemy informatyczne spełniające odpowiednie standardy bezpieczeństwa. Poza wyborem odpowiedniego serwera należy zadbać o:

  • certyfikat SSL,
  • szyfrowanie danych,
  • regularne wykonywanie kopii zapasowej.

Należy pamiętać, że zalecenia RODO dotyczą nie tylko danych elektronicznych, ale także tych zgromadzonych w wersji papierowej. Przedsiębiorca zobowiązany jest zagwarantować zminimalizowany dostęp do danych – nie powinny one być przechowywane w miejscach, gdzie mogą wpaść w niepowołane ręce. Dotyczy do zarówno pracowników firmy, jak i osób spoza niej.

Poinformowanie o prawach

Na administratorze danych osobowych spoczywa obowiązek poinformowania klientów o ich prawach względem pozyskiwanych przez sklep informacji. Użytkownikom strony przysługuje prawo dostępu, co oznacza, że powinni mieć oni możliwość wglądu do swoich danych. Należy ich również poinformować o celu przetwarzania oraz kategoriach danych, a także odbiorcach, którym mogą być one udostępniane. Ze względu na to, że przetwarzane dane muszą być aktualne, klientowi przysługuje prawo do ich sprostowania. Istotną kwestią jest także prawo do bycia zapomnianym – administrator jest zobligowany do usunięcia danych na żądanie użytkownika sklepu, jeżeli:

  • dane osobowe nie są już dłużej potrzebne do realizacji pierwotnych celów,
  • doszło do cofnięcia zgody na przetwarzanie danych,
  • dane były przetwarzane niezgodnie z prawem,
  • wskazują tak konkretne przepisy prawa polskiego lub UE.

Podsumowanie

Wdrożenie RODO dla sklepu internetowego nie jest łatwym zadaniem. To proces, który wymaga dużego doświadczenia, biegłości w przepisach i umiejętności dopasowania przygotowywanych rozwiązań do potrzeb klienta prowadzącego sklep internetowy. Kancelaria prawna Michała Koniecznego i Marcina Wierzbickiego oferuje kompleksowe usługi w zakresie dostosowywania sklepów online do wymogów RODO. Nasz radca prawny dla firm przeanalizuje zgodność rozwiązań wykorzystujących dane osobowe i przeprowadzi odpowiedni audyt. Zajmujemy się przygotowaniem dokumentów zgodnych z obecnymi przepisami: regulamin, polityka bezpieczeństwa, polityka prywatności – kancelaria zapewni ich niepodważalną poprawność pod względem prawnym. O naszym przygotowaniu merytorycznym świadczy to, że prowadzimy szkolenia, na których przekazujemy praktyczną wiedzę związaną ze spełnianiem wymagań zawartych w regulacjach. Jako zajmująca się RODO kancelaria reprezentujemy również klientów w postępowaniach dotyczących przetwarzania danych osobowych.

Proponujemy profesjonalne doradztwo przedsiębiorcom zainteresowanym wsparciem w innych obszarach. Prawo IT, pomoc prawna dla start-upów czy prawo autorskie – kancelaria Michała Koniecznego i Marcina Wierzbickiego to gwarancja doświadczenia, rzetelności i nienagannego przygotowania merytorycznego. Zapraszamy do kontaktu.

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.

    Strona jest chroniona przez Google reCAPTCHA v3. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

    Administratorem Twoich danych osobowych jest
    KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
    Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
    Warszawa

    ul. Piękna 15 lok. 34,

    00-549 Warszawa,

    +48 12 3957161

    kontakt@kwkr.pl

    Chcesz być na bieżąco? Zapisz się do naszego newslettera

    Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

    czytaj więcej

    Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

     

    Do you want to be up to date? Sign up for our newsletter

    By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

    read more

    The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.