RODO, GIODO i inne, których nie ogarniasz - rozmowa z Rafałem Stępniewskim, Rzetelna Grupa

Ignorantia iuris nocet (łac. nieznajomość prawa szkodzi) - szczęśliwie nie musimy codziennie śledzić z zapartym tchem Monitora Polskiego. Jak nie narazić się na straty finansowe związane z nowymi regulacjami prawnymi?

ehandelmag.com: Już niedługo zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych, krótko i na temat; co powinien zrobić dziś właściciel e-sklepu?

Rafał Stępniewski:

Rozporządzenie zwane potocznie RODO, wprowadza wiele zmian, gdzie jedną,z najważniejszych w mojej ocenie, jest pozostawienie w gestii ADO (Administrator Danych Osobowych – tj. firmy, która przetwarza dane osobowe), kwestii odpowiedniego zabezpieczania danych osobowych. Mówiąc zabezpieczenia nie mam na myśli tylko zabezpieczeń fizycznych, ale również zabezpieczenia logiczne/informatyczne, procesowe, proceduralne oraz formalne. Powodami takiej zmiany w podejściu do kwestii bezpieczeństwa była przede wszystkim konieczność oderwania się od technologii oraz metod przetwarzania danych osobowych. Technologia oraz modele biznesowe tak szybko się zmieniają, że odgórne wskazanie metod zabezpieczeń szybko się dezaktualizuje. Od strony nas - klientów jako osób fizycznych, których dane osobowe są przetwarzane przez różne firmy, to dobrze, ale dla przedsiębiorców stanowić to może nie lada wyzwanie.

W temacie RODO jest obecnie bardzo duże zamieszanie. Jedni upraszczają temat, drudzy go demonizują. Rozwiązaniem jest znalezienie „złotego środka”.

Pojawienie się RODO w moje ocenie stanowi bardzo dobry kierunek zmian w podejściu do danych osobowych. Zmusza przedsiębiorców do myślenia o bezpieczeństwie informacji, gdzie dane osobowe stanowią jedną z kategorii informacji. Sukces prawie każdego e-commerce opiera się finalnie o ilość klientów, którzy kupią nasz produkt lub usługę, a klient oznacza dane osobowe. Można więc śmiało powiedzieć – upraszczając oczywiście - że wartość firmy stanowią dane osobowe klientów – a majątek firmy powinien być odpowiednio chroniony.

Aby zacząć wdrażać RODO należy rozpocząć od identyfikacji procesów, jakie funkcjonują w firmie, w których przetwarzane są dane osobowe. Należy zebrać informacje jakie dane osobowe są gromadzone, mając na uwadze minimalny zakres danych, jaki jest nam potrzebny do realizacji celu przetwarzania. Trzeba określić miejsca, w jakich przetwarzamy dane osobowe, jak są one zabezpieczone, w jakiej formie przetwarzamy dane osobowe (papierowa i/lub elektroniczna), w jakich systemach IT są dane przetwarzane, komu są udostępniane, a komu powierzane. Warto zrobić analizę, której celem jest identyfikacja ryzyk jakie mogą wystąpić w procesach.

Efektem tych prac powinny być odpowiednio opracowane procedury, rozwiązania, procesy, które w/w ryzyka niwelują. Niestety finalnie po stronie ADO jest wykazanie, że wykonał pracę związaną z odpowiednim zabezpieczeniem danych osobowych. To jest największy problem, zwłaszcza dla mniejszych firm, które mogą nie mieć wiedzy i doświadczenia jak wykonać tego typu analizę, jak opracować procesy i procedury, których celem jest dostosowanie się do RODO.

Kolejnym elementem jest stosowanie w praktyce założeń, jakie będą określone w ramach polityki bezpieczeństwa ochrony danych osobowych. Niestety jednym ze słabszych elementów bezpieczeństwa są pracownicy firmy. Popełniają błędy, a czasem działają świadomie, narażając firmę na problemy. Firma wdrażając RODO powinna mieć możliwość wykazania, że dołożyła starań, by dane osobowe były odpowiednio zabezpieczone. Takimi elementami mogą być oczywiście stosowane zabezpieczenia, gdzie możemy wspierać się firmami trzecimi, zabezpieczając się odpowiednimi umowami powierzenia, ale nie bez znaczenia pozostają kwestie szkoleń pracowników z zakresu bezpiecznego przetwarzania danych osobowych, w/w analiza ryzyk oraz dokumentacja bezpieczeństwa ochrony danych osobowych. Te wszystkie elementy stanowić mogą, w razie problemów, solidną linię obrony. Z drugiej strony wdrożenie w/w standardów zabezpieczy naszą firmę i jej zasoby, jakimi są dane osobowe klientów.

Obszary, gdzie pojawiają się najczęściej problemy są na linii procesów biznesowych i systemów IT. Może okazać się, że systemy IT zbierają dużo więcej informacji niż zakłada to biznes. Dodatkowym wyzwaniem jest dostosowanie systemów IT do wymogów RODO, a w szczególności do realizacji praw osób, których dane przetwarzamy. Przykładowo, klient rezygnuje z usługi konta klienta, a my musimy mieć możliwość przechowywać jego dane do celów rozliczeń w zakresie jaki jest do tego konieczny. Tu pojawia się kwestia umożliwienia usunięcia zbędnych danych lub ich oznaczenia jako przetwarzane tylko w celach rozliczeń.

Konsekwencje jakie przewiduje RODO, dla firm niespełniających wymogów, mogą być dotkliwe – ważne by być świadomym zagrożeń, minimalizować je oraz umieć wykazać, że świadomie ryzykiem zarządzamy mając na uwadze możliwości przede wszystkim organizacyjne i finansowe. Nie da się niestety zorganizować bezpieczeństwa danych osobowych w 100%, ale trzeba dążyć do modelu optymalnego tj. bezpieczeństwo vs. możliwości.

ehandelmag.com: W jaki sposób odpowiednio poinformować klienta, że nastąpiły zmiany dotyczące ochrony danych osobowych?

Rafał Stępniewski:

Kwestię obowiązków informacyjnych należy podzielić na dwa obszary. Pierwszym z nich jest analiza tego jak do tej pory zbieraliśmy dane osobowe, jak były spełnione obowiązki informacyjne względem osób, których dane zbieraliśmy, jak były wyrażane zgody na przetwarzanie. Jeżeli wszystko było prowadzone jak należy nie trzeba dodatkowo informować klientów po wejściu RODO. Jeżeli jednak nie mieliśmy poprawnie określonych treści zgód, trzeba wysłać informacje do klientów, z prośbą o wyrażenie takiej zgody.

Drugi obszar to spełnienie obowiązków względem nowych klientów. Trzeba opracować nowe formuły zgód oraz spełnić obowiązki informacyjne. Część z nich może być zamieszczona w polityce prywatności, ale część będzie musiała być zaprezentowana przy formularzu rejestracji.

ehandelmag.com: Jeśli chodzi o GIODO sprawa jest nagłaśniana od dłuższego czasu, ale wiadomo, że zmiany prawne, jakie mają realny wpływ na działanie eSklepów następują częściej niż co kilka lat. Czy zlecenie napisania regulaminu firmie zewnętrznej i jego audyt raz w roku wystarcza, by nie narazić się na kary?

Rafał Stępniewski:

Odpowiadając na to pytanie, przytoczę mój ulubiony przykład: ja nie znam się na księgowości na tyle, by prowadzić rozliczenia mojej firmy, a dodatkowo zmian w prawie, kruczków i niuansów jest na tyle dużo, że trzeba by było poświęcić na to dużo czasu, ale i tak do końca nie miałbym pewności, że robię coś dobrze. Alternatywnie zatrudnianie księgowej na etat byłoby nieefektywne finansowo oraz ryzykowne względem ciągłości obsługi. Kiedy nasz opiekun z firmy księgowej idzie na urlop lub zwolnienie lekarskie zajmuje się nami ktoś inny. Kiedy odejdzie z pracy wówczas firma księgowa szuka zastępstwa.

Analogicznie jest z usługami prawnymi dla e-Sklepów. Główną działalnością e-Sklepu jest generowanie maksymalnego zysku ze sprzedaży, a nie specjalizowanie się w prawie – powinni znać oczywiście prawa konsumentów, ale nie muszą być specjalistami w tym zakresie. Od tego są takie firmy jak nasza, by zapewniać im bezpieczeństwo prawne.

Audyt regulaminu raz do roku niestety nie wystarczy, chociażby z powodu zmian w wielu różnych przepisach – nie tylko w ustawie o prawach konsumenta. Jest bardzo wiele obszarów prawnych, które mają wpływ na zapisy regulaminu, a także, które mogą mieć wpływ na obowiązki informacyjne, czyli treści jakie chociażby powinny być zamieszczone na stronie internetowej sklepu. Drugim obszarem, który trzeba monitorować są klauzule niedozwolone oraz orzecznictwo sądowe, które mogą mieć wpływ na konieczność wprowadzania zmian w regulaminach e-Sklepów.

My zajmujemy się tym na co dzień, a co ważne ponosimy pełną prawną i finansową odpowiedzialność za to, że regulamin naszego klienta jest cały czas aktualny i zgodny z obowiązującym prawem, tj. zarówno przepisami jak i orzecznictwem sądowym. W przepisach prawa i zapisach w regulaminie niestety duże znaczenia ma kontekst, gdzie w jednym przypadku zapis będzie poprawny, a w innym będzie stanowił klauzulę niedozwoloną.

ehandelmag.com: Już po raz kolejny Rzetelny Regulamin jest uczestnikiem Targów eHandlu - z jakiego typu pytaniami można się do Was zwracać?

Rafał Stępniewski:

Na targach pojawiamy się regularnie od 2012 r. Co do zakresu pytań nie mamy prawie żadnych ograniczeń. Oczywiście specjalizujemy się w prawie e-commerce oraz ochronie danych osobowych, ale mamy również duże doświadczenie i wiedzę w innych obszarach. Klienci od nas tego oczekują by oprócz e-commerce czy RODO pomagać im w innych obszarach prawno-biznesowych. Obsługujemy klientów w zakresie prawa pracy, umów gospodarczych, prawa autorskiego, znaków towarowych itd. Generalnie pełen zakres usług, jakich potrzebuje firma, która działa nie tylko w e-commerce. Nie jesteśmy jednak typową kancelarią prawną – działamy internetowo, korzystając z rozwiązań informatycznych, a nasz biznes to e-commerce, z tą różnicą, że zamiast towarów, sprzedajemy usługi świadcząc je zdalnie. Te wszystkie elementy pozwalają nam na pełne zrozumienie potrzeb klienta, który również działa online.

Rafał Stępniewski Prezes Zarządu Rzetelna Grupa właściciela marki Rzetelny Regulamin, Polityka Bezpieczeństwa. Odpowiedzialny za kierowanie i rozwój firmy. Ma ponad 15-letnie doświadczenie zdobyte w branży IT&T, zarządzaniu, sprzedaży i marketingu. Redaktor naczelny RODOmagazyn.pl.

Do zobaczenia w Krakowie, na XIV Targach eHandlu

image

Komentarze