Co to jest RODO i jakie przyniesie zmiany?
RODO przyniesie ze sobą szereg istotnych zmian, na które trzeba przygotować siebie i swój sklep internetowy. Nowe przepisy zaczną obowiązywać już 25 maja 2018 roku. Co zmieni RODO?
RODO przyniesie ze sobą szereg istotnych zmian, na które trzeba przygotować siebie i swój sklep internetowy. Nowe przepisy zaczną obowiązywać już 25 maja 2018 roku. RODO nie narzuca kokretnych rozwiązań, nie nakazuje zastosowania zaawansowanych technologicznie rozwiązań. Ważne jest takie dzialanie, które zapewni bezpieczeństwo przetwarzania danych osobowych w Twojej firmie. Sam musisz zdecydować jakie dokumenty i procesy będą potrzebne dla ich ochrony i przestrzegania nowych przepisów. Ale zacznijmy od początku.
Co to jest RODO?
To ogólne rozporządzenie o ochronie danych osobowych (w skrócie RODO). Rozporządzenie zostało uchwalone 27 kwietnia 2016 roku przez Parlament Europejski. Zadaniem przepisów jest ujednolicenie przepisów dotyczących ochrony danych osobowych w Unii Europejskiej i tym samym poprawienie bezpieczeństwa przetwarzania danych. Koniec z zastanawianiem się, do przepisów którego państwa się zastosować. Stosujemy po prostu przepisy RODO.
Kiedy wchodzi RODO?
RODO zacznie być stosowane od 25 maja 2018 i będzie dotyczyć wszystkich przedsiębiorców regularnie przetwarzających dane osobowe, bez względu na wielkość firmy.
Czy mnie też dotyczy RODO?
Rozporządzenie będzie dotyczyło każdego podmiotu, w tym działającego w e-commerce przetwarzającego dane osobowe. A zatem każdy przedsiębiorca, który sprzedaje produkty lub usługi obywatelom UE musi stosować się do RODO. Każdy sklep internetowy, który sprzedaje swoje produkty przetwarza dane osobowe osób fizycznych. E-commerce szczególnie starannie musi przygotować się na RODO ze względu na ucyfrowienie całego procesu zakupowego.
Do RODO muszą stosować się również osoby, które nie prowadzą działalności gospodarczej, ale przetwarzają dane osobowe w związku z jakąś zorganizowaną aktywnością, np. blogerzy wysyłający newslettery. RODO dotyczy nie tylko administratorów danych, ale także firm, które przetwarzają dane na zlecenie administratora (np. firm outsourcingowych).
Co oznacza przetwarzanie danych osobowych?
Każda operacja na danych to ich przetwarzanie. W celu realizacji umowy sprzedawca musi posiadać informacje niezbędne do wystawienia rachunku, przesłania towaru do kupującego (imię i nazwisko, adres kupującego). Co istotne - na fakt przetwarzania danych osobowych nie ma znaczenia czy robione jest to w celu wysyłki towarów, wystawienia imiennej faktury, czy w celu przesłania newslettera.
Kim jest administrator danych osobowych
Administratorem danych osobowych jest osoba, która zarządza danymi osobowymi. Zbiera je w sposób bezpośredni lub pośredni do swojej bazy. To często właśnie administratorowi danych udziela się zgody na przesyłanie informacji marketingowych. Administrator decyduje po co i kiedy wykorzysta dane osobowe, oraz w jakim zakresie. Pojęcie administratora nie zmienia się w sposób znaczący pod rządami nowych przepisów w stosunku do tego, co obowiązuje na dzień dzisiejszy.
Co zmienia RODO?
Każdy podmiot, który przetwarza dane osobowe, będzie musiał po 25 maja tego roku wprowadzić wewnętrzne procedury i środki techniczne, zapewniające adekwatny stopień bezpieczeństwa przetwarzanych danych. Wszystko będzie tutaj zależeć od poziomu ryzyka utraty lub ujawnienia danych w konkretnej firmie. Oznacza to, że każdy pracownik działu HR, sprzedaży, marketingu, księgowości, czy też IT - każdy, kto ma do czynienia z przetwarzaniem danych osobowych w swoim miejscu pracy, musi wiedzieć, czym jest RODO i jaki ma wpływ na jego pracę.
RODO zakłada, że konsumenci powinni być bardziej świadomi tego, w jaki sposób oraz w jakim celu firma przetwarza i wykorzystuje dane osobowe. Nowe przepisy rozszerzają również uprawnienia obywateli w zakresie przetwarzania danych osobowych. Jakie zmiany wprowadza RODO?
- wprowadza zasadę - privacy by design, która będzie wymagać uwzględniania ochrony danych i prywatności na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie (systemów informatycznych, sposobu zbierania zgód, wypełniania obowiązków informacyjnych itp.)
- wprowadza zasadę privacy by default, która wymaga, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Tym samym privacy by default przewiduje jak najszerszą domyślną ochronę prywatności wszystkich użytkowników np klientów sklepu internetowego
- firmy muszą umożliwić klientowi korzystanie z nowych praw wprowadzanych przez RODO m.in. z prawa do bycia zapomnianym (możliwość usunięcia danych, na których przetwarzanie kiedyś wyraził zgodę), prawa przeniesienia wszelkich danych z bazy jednego administratora do wskazanego przez siebie administratora (dzięki czemu zmiana usługodawcy na innego będzie dużo łatwiejsza, a także prawa do dostępu do danych (każdy będzie miał prawo do żądania wydania kopii wszystkich danych osobowych, jakie są przetwarzane u danego administratora)
- ograniczenie profilowania - obowiązek zbierania zgód na profilowanie oraz informowania o profilowaniu (Wiele sklepów działających w branży e-commerce stosuje profilowanie, które jest skutecznym sposobem na bardziej efektywną sprzedaż produktów. Przykładem może być gromadzenie oraz analizowanie danych klienta takich jak jego wiek, płeć, data urodzenia, miejsce zamieszkania. Teraz profilowanie bez względu na jego zaawansowanie może być przeprowadzane tylko za dobrowolną zgodą klienta i klient musi być za każdym razem świadom tego procesu
- zapytania o zgody na przetwarzanie danych osobowych muszą według RODO – być napisane przystępnym, zrozumiałym językiem i wyjaśniać sposób oraz cel przetwarzania
- wzmacniają się obowiązki informacyjne i należy informować np klientów sklepu internetowego m.in. o tym, jakie dane zbieramy, jak je przetwarzamy, w jakim celu, co można zrobić w regulaminie i polityce prywatności e-sklepu. RODO zakłada, że konsumenci powinni być bardziej świadomi tego, w jaki sposób oraz w jakim celu firma przetwarza i wykorzystuje dane osobowe
- zmienia się podejście do zbiorów danych osobowych. Już nie trzeba ich rejestrować w GIODO. Zamiast tego należy prowadzić rejestr czynności przetwarzania danych
- w przypadku naruszenia bezpieczeństwa danych osobowych firmy mają obowiązek reagowania w ciągu 72 godzin po wydarzeniu i zawiadamiania organu nadzorczego i samego użytkownika o tym, że w firmie doszło do jakiegoś incydentu ochrony danych osobowych np. włamania do systemu, w którym przechowywane są dane
- zamiast dotychczasowego administratora bezpieczeństwa informacji, którego obecność była dobrowolna, pojawia się inspektor ochrony danych. Zatrudnienie lub wyznaczenie Inspektora Danych Osobowych nie jest jednak konieczne dla większości firm. Przepisy RODO rekomendują jedynie nominowanie takiej osoby.
- zmienia się kształt umów o powierzenie danych, a więc dotyczących sytuacji, kiedy administrator danych osobowych korzysta z pomocy innej firmy i udostępnia jej tego rodzaju informacje
- RODO podtrzymuje konieczność upoważniania wybranych pracowników do przetwarzania danych osobowych, opartego między innymi na zobowiązaniu do zachowania tajemnicy i należytej ochronie tego rodzaju informacji
Jakie kary za nieprzestrzeganie RODO?
RODO przewiduje możliwość nakładania kar pieniężnych w wysokości nawet do 20 mln euro lub do 4% obrotu przedsiębiorstwa z roku poprzedniego. Nie oznacza to jednak, że taka kara będzie nakładana w każdym przypadku naruszenia przepisów o ochronie danych osobowych. RODO jednocześnie wspomina, że kary mają być proporcjonalne, a organ nadzorczy ustalając wysokość kary ma się kierować różnymi innymi względami.
Czy RODO niesie pozytywne zmiany?
Wprowadzane zmiany są potrzebne. Aktualna ustawa regulująca w Polsce bezpieczeństwo danych osobowych jest z 1997 roku, a od tego czasu wiele się zmieniło. Skuteczna ochrona danych osobowych w perspektywie rozwoju technologicznego, rozwoju Internetu i portali masowo przetwarzających nasze dane, w świecie, w którym nieustanna wymiana informacji jest codziennością, a usługi chmurowe standardem, nowe rozwiązania wydają się koniecznością. Zmiana ta jednak będzie wymagała naszego zaangażowania.
Jak wygląda wdrożenie RODO w sklepie internetowym?
Aktualnie wszyscy przedsiębiorcy przetwarzający dane osobowe - w tym sklepy internetowe muszą posiadać dokumenty takie jak: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, czy ewidencja osób upoważnionych do przetwarzania danych osobowych. RODO to zmienia, znosząc obowiązek posiadania tych konkretnych dokumentów. Nie oznacza to jednak, że dokumentacji tej nie należy posiadać.
RODO nie narzuca konkretnych działań. Administrator danych osobowych będzie mógł samodzielnie zadecydować, czy takie dokumenty są potrzebne ze względu na skalę, cele, zakres i kontekst przetwarzania danych osobowych. RODO nie nakłada – przykładowo – obowiązku zastosowania najbardziej zaawansowanych technologicznie lub najdroższych rozwiązań. Akt prawny jest dość ogólny i jedynie wskazuje kierunek, w jakim powinniśmy pójść. Nie znajdziemy tutaj gotowych rozwiązań konkretnych problemów.
O tym jak dostosować sklep internetowy do wymagań RODO przeczytacie w następnym artykule.