RODO - czy Twój sklep jest gotowy na zmiany?

Rozporządzenie RODO wchodzi w życie już za kilka dni. Dla e-sprzedawców wiąże się to z dodatkową pracą – każdy administrator danych musi bowiem być w stanie wykazać, że dołożył wszelkich starań w zabezpieczeniu danych osobowych, które ma w posiadaniu. Niedopełnienie obowiązków i nieprzystosowanie sklepu do nowych uregulowań może w najgorszym wypadku skutkować wysokimi grzywnami, o czym z pewnością nie warto przekonywać się na własnej skórze. Co udało Ci się już przygotować, a co jeszcze masz do zrobienia? Poniżej przygotowaliśmy kilka najważniejszych kwestii, o które musi zadbać każdy e-sprzedawca przed 25 maja.

Utworzenie rejestru przetwarzania danych – główny element RODO

Rejestr przetwarzania danych osobowych należy do najważniejszych nowości. W skrócie – chodzi o to, aby wszystkie procesy dotyczące zapisywania i przetwarzania danych osobowych były możliwie dokładnie dokumentowane. Należy zadać sobie pytania: kto i kiedy ma dostęp do danych w firmie? Jakich danych dotyczy dostęp? Gdzie te dane są zapisywane? Szczegółowy zakres informacji, które powinny zostać wskazane w rejestrze określa artykuł 30 ust. 1 RODO. Istnieje wiele możliwości dokumentowania – zarówno czasochłonnych jak i wygodnych. Można samodzielnie utworzyć tabelę Excel i ją aktualizować. Można pobrać jeden z wielu bezpłatnych wzorców dostępnych w Internecie lub skorzystać z płatnego, gotowego rozwiązania – wszystko zależy od Ciebie. Należy jednak pamiętać, że rejestr musi zostać utworzony przed wejściem rozporządzenia w życie, a Ty jako sprzedawca musisz być w stanie od 25 maja przedłożyć go na żądanie organów nadzorujących.

Gromadzenie danych użytkowników w minimalnym zakresie

Głównym celem RODO jest ochrona danych osobowych oraz przejrzystość dla użytkowników i konsumentów pod względem tego, co się dzieje z ich danymi. Zgodnie z tymi wytycznymi obowiązuje zasada minimalizacji danych, czyli pobieranie tylko tych, które rzeczywiście są niezbędne do wykonania danej usługi. Formularze stosowane w e-sklepie – np. formularz kontaktowy czy formularz zgłoszeniowy do newslettera powinny ograniczać się do niezbędnych informacji. Ma to swoje plusy i klientom z pewnością się to spodoba. Nikt nie wypełnia zbyt chętnie formularzy z wieloma danymi tylko po to, by subskrybować newsletter lub zrealizować zamówienie.

Dopasowanie polityki prywatności

Polityka prywatności stanowi dla większości konsumentów raczej nudną lekturę niż źródło informacji. W większości przypadków nie jest ona w ogóle czytana. A polityka prywatności jest naprawdę ważna. Udostępnienie na stronie e-sklepu przejrzystej i transparentnej polityki prywatności jest najlepszym i najprostszym sposobem na spełnienie przewidzianych w RODO obowiązków informacyjnych. Są to informacje, jakie administrator danych (np. właściciel sklepu internetowego) musi przekazać osobom, których dane są przetwarzane.

Również w tym zakresie obowiązuje zasada, że konsument powinien być obszernie poinformowany o tym, co dzieje się z jego danymi osobowymi — i to nie tylko bezpośrednio na stronie internetowej i serwerach Twojej firmy, lecz także u podmiotów trzecich, z którymi współpracujesz i przekazujesz dane klientów. W polityce prywatności należy zawrzeć przede wszystkim cel oraz podstawę prawną przetwarzania danych osobowych. W sklepach internetowych dane są wykorzystywane przede wszystkim do celów realizacji umowy, a także w celach marketingowych (narzędzia analizy sieciowej, konto klienta lub biuletyny). W Internecie możesz znaleźć i pobrać bezpłatne wzory polityki prywatności.

Utworzenie planu działania na wypadek sytuacji kryzysowej

Naruszenie ochrony danych to nie tylko kłopot dla klienta, lecz także dla sprzedawcy internetowego. Pomijając problemy prawne, takie naruszenie psuje dobrą opinię sprzedawcy. Warto zatem stworzyć odpowiednie procedury działania na wypadek pojawienia się incydentów związanych z przetwarzaniem danych osobowych. Zgodnie z RODO sprzedawca musi w ciągu 72 godzin zgłosić naruszenie danych osobowych właściwemu organowi nadzorującemu. Plan działania umożliwia odpowiednią reakcję w razie naruszenia danych. Kogo należy poinformować w firmie? Kto może zapewnić natychmiastową pomoc? Jakie narzędzia są dostępne?

Właściwe sformułowanie zgody na otrzymywanie biuletynu

Biuletynów nie wolno wysyłać bez zgody adresata — to logiczne. Pod tym względem nic się nie zmienia. RODO wskazuje możliwości wyrażenia zgody w formie pisemnej, elektronicznej lub ustnej. Mechanizm wyrażania zgody może mieć charakter: checkbox’a, ustawienia w profilu, podpisu pod klauzulą, zgody ustnej, bądź jednoznacznego działania. Niezależnie od formy wyrażenia zgody administrator danych osobowych ma obowiązek poinformowania osoby, której dane dotyczą o swojej tożsamości oraz planowanym celu przetwarzania. Poza wskazaniem danych ADO oraz celu przetwarzania, osoba, której dane dotyczą, musi zostać poinformowana o możliwości wycofania zgody. W klauzuli z oświadczeniem zgody należy zamieścić również odnośnik do polityki prywatności ze szczegółowymi informacjami o zasadach przetwarzania danych.

Szyfrowanie formularzy kontaktowych

Szyfrowanie danych powinno być już od dawna standardem w zakresie bezpieczeństwa danych. Jeżeli Twoje formularze kontaktowe nie są jeszcze zaszyfrowane, teraz jest idealny moment na wprowadzenie odpowiednich zmian. Różne formularze, np. zamówienia lub kontaktowe, w których użytkownik wpisuje swoje dane, bez wyjątku powinny być szyfrowane. Oprócz tego administratorzy stron w dalszym ciągu mają obowiązek oznaczania pól obowiązkowych, aby zbierać tylko te informacje, które są konieczne do złożenia zamówienia czy założenia konta klienta. Zgodnie z zasadą minimalizacji danych nie należy zbierać danych „na zapas”.

Autor: Jennifer Rost, Trusted Shops GmbH

image

Komentarze