Wiesz już kiedy zacznie obowiązywać ogólne rozporządzenie o ochronie danych osobowych? I czy musisz powoływać IODa? Bez obaw, to nie jest wcale czarna magia…
25 maja 2018 roku to magiczna data. Zwłaszcza dla e-sklepów. To wtedy właśnie zacznie obowiązywać nowe rozporządzenie o ochronie danych osobowych, czyli RODO.
Dzisiaj wpisując tę czteroliterową frazę w Google, wśród najczęściej wyszukiwanych zapytań można znaleźć m.in. hasła: „RODO szkolenie”, „RODO co to jest”, „RODO kogo dotyczy” – co najlepiej świadczy o tym, że choć czasu do wprowadzenia go w życie jest coraz mniej, wielu przedsiębiorców wciąż nie wie, czego się po RODO spodziewać. No a przede wszystkim – jak się na nie przygotować.
Co się zmienia?
Po 25 maja 2018 roku znika obowiązek rejestrowania zbiorów danych. Jeśli więc prowadzisz sklep internetowy, nie masz już obowiązku zgłaszać rejestru do GIODO, ale musisz od tego dnia prowadzić rejestr czynności przetwarzania danych osobowych.
Innymi słowy – potrzebna ci będzie dokumentacja, prowadzona w formie pisemnej lub elektronicznej, zawierająca informacje o tym, jakie dane i w jakim celu są u ciebie przetwarzane.
W rejestrze mogą być uwzględnione obecnie już prowadzone w sklepie dokumentacje nt. polityki bezpieczeństwa czy instrukcji zarządzania systemem, ale przede wszystkim musi on zawierać:
☞ informacje o przekazywaniu danych osobowych do państwa trzeciego (poza UE/EOG),
☞ planowane terminy usunięcia poszczególnych kategorii danych (jeśli to możliwe),
☞ ogólny opis techniczny i organizacyjny środków bezpieczeństwa.
Jakie środki musisz przedsięwziąć?
Musisz stosować pseudonimizację i szyfrowanie. Czyli tak przechowywać i przetwarzać dane osobowe, by osoby postronne nie mogły zidentyfikować, do kogo one należą. Potrzebny ci do tego będzie dobry certyfikat SSL na stronie sklepu, szyfrowanie urządzeń przenośnych i certyfikowana niszczarka w biurze, a także stałe monitorowanie sieci, z której korzystasz.
Zanim jednak zaczniesz przetwarzać…
…musisz uzyskać na to zgodę osoby, od której dane chcesz wyciągnąć. A taka zgoda musi być:
☞ dobrowolna,
☞ możliwa do wycofania w każdej chwili,
☞ jej wycofanie musi być proste.
Na samym wstępie trzeba jednak wyraźnie rozdzielić zgodę od umowy. Jeśli bowiem przetwarzasz czyjeś dane na podstawie umowy – np. na podstawie zaakceptowanego przez taką osobę regulaminu – nie musisz mieć od niej dodatkowej zgody.
Musisz natomiast spełnić obowiązek informacyjny, jaki RODO zrzuca na administratora danych, a który przejawia się w udzieleniu informacji o zbieraniu i przetwarzaniu danych w jasnej i zrozumiałem formie. I musisz to zrobić w momencie próby pozyskiwania takich danych.
Dla osoby, której dane chcesz uzyskać, musi być jasne:
☞ kim jesteś jako administrator i jak się z tobą skontaktować,
☞ jaki jest cel/cele przetwarzania danych osobowych,
☞ jaka jest podstawa prawna przetwarzania,
☞ jeśli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, jakie to interesy,
☞ kto jest odbiorcą jej danych osobowych,
☞ czy zamierzasz przekazywać dane osobowe do państwa trzeciego lub organizacji międzynarodowej.
Oprócz powyższych informacji, jako administrator danych musisz jasno określić:
☞ okres, przez który dane osobowe są przetwarzane,
☞ prawo żądania od administratora dostępu do swoich danych osobowych , ich sprostowania, ograniczenia udostępniania lub usunięcia,
☞ prawo do wniesienia sprzeciwu wobec przetwarzania,
☞ prawo do cofnięcia zgody na przetwarzanie danych,
☞ prawo do wniesienia skargi do organu nadzorczego.
Nowe prawo (i nowe obowiązki)
RODO nakłada na prowadzących e-biznesy nowe obowiązki, ale przede wszystkim zmienia się dostęp do danych osobowych po stronie klientów.
W przypadku przetwarzania danych na podstawie zgody, umowy oraz w sposób zautomatyzowany, osoba, której dotyczą dane, ma prawo otrzymania tych danych i przesłania ich do innego administratora. Ty, jako administrator tych danych, na prośbę takiej osoby, powinieneś udostępnić jej dane w formie elektronicznej niezwłocznie.
Musisz dać jej też prawo do „bycia zapomnianym”. A możliwe jest ono wtedy, gdy:
☞ dane osobowe nie są już niezbędne, np. do świadczenia danej usługi,
☞ osoba, której dane dotyczą cofnęła zgodę na ich wykorzystywanie,
☞ osoba, której dane dotyczą wnosi sprzeciw na mocy art.21 ust.1 lub 2
☞ dane są przetwarzane niezgodnie z prawem,
☞ dane muszą zostać usunięte w celu wywiązania się z obowiązku prawnego,
☞ dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego.
Prawo do bycia zapomnianym nie dotyczy natomiast:
☞ wolności wypowiedzi i informacji,
☞ konieczności wywiązania się z obowiązku prawnego,
☞ dochodzenia roszczeń.
Profilowanie i dane szczegółowe
Do tej pory zbieranie informacji o konsumencie na podstawie jego zachowań w sieci nie podlegało restrykcyjnym regulacjom. Ba, było to bardzo powszechne zjawisko, w końcu profilowanie – czyli zbieranie danych takich jak wiek, płeć, miejsce zamieszkania i zainteresowania – było skutecznym sposobem na bardziej efektywną sprzedaż produktów. RODO jednak to zmienia.
Profilowanie nie będzie zakazane, ale będzie wymagać od zbierającego dane o np. klientach, lepszego informowania ich o tym. O czym konkretnie? Przede wszystkim o tym, że proces profilowania ma miejsce, jakie są jego konsekwencje i czy dzieje się to w sposób zautomatyzowany.
Taka informacja musi być jasna i dla osoby ją czytającej przejrzysta.
Dodatkowo, art. 21 ust. 1 i 2 RODO zezwala wnosić konkretnej osobie sprzeciw wobec profilowania i nie ma znaczenia, czy profilowanie odbywa się z udziałem czynnika ludzkiego, czy zautomatyzowanego.
Klient sklepu internetowego musi być też świadom, że dany sklep chce uzyskać od niego informacje ze szczególnych kategorii danych, np. o:
☞ stanie zdrowia,
☞ orientacji seksualnej,
☞ pochodzeniu rasowym/etnicznym,
☞ poglądach politycznych,
☞ przekonaniach religijnych/światopoglądowych,
☞ przynależności do związków zawodowych,
☞ danych genetycznych oraz biometrycznych.
I jeśli się na zbieranie oraz przetwarzanie takich danych nie zgadza, należy uszanować jego prawo.
Zrób to sam
Wielu właścicieli sklepów internetowych pyta: czy jestem w stanie sam poradzić sobie z wymogami RODO? Niestety, każdy musi sobie na to pytanie odpowiedzieć indywidualnie.
Rozporządzenie przewiduje działanie ADO oraz IODa. Pierwszy to Administrator Danych Osobowych, i staje się nim już każdy podmiot prowadzący sklep internetowy.
IOD to z kolei Inspektor Ochrony Danych, który musi posiadać ku temu odpowiednie kwalifikacje. IOD powinien być wyznaczany na podstawie kwalifikacji zawodowych, wiedzy w zakresie prawa i praktyk w dziedzinie ochrony danych, a także znajomości technologii oraz stosowanych przez organizację rozwiązań informatycznych.
Kto jednak musi powołać IODa? Podmiot publiczny i taki, którego główna działalność polega na operacjach przetwarzania, wymagających regularnego i systematycznego monitorowania na dużą skalę osób, których dane dotyczą.
W przeciętnym sklepie internetowy wystarczy więc tylko ADO. Taka osoba powinna sobie poradzić z prowadzeniem rejestru przetwarzania danych, a w razie naruszenia zasad przetwarzania (np. wycieku danych lub przetwarzania niezgodnego z prawem), powinna umieć przedsięwziąć odpowiednie kroki i poinformować niezwłocznie o tym zdarzeniu poszkodowanych.
Masz więcej pytań?
Obejrzyj specjalny webinar, w którym wspólnie z Legal Geek przedstawiamy najważniejsze zagadnienia związane z nowym rozporządzeniem i prowadzeniem sklepu w internecie.
