Ochrona danych osobowych w sprzedaży i innych usługach internetowych
Okres pandemii w Polsce to dla wielu czas poważnego kryzysu oraz załamania gospodarczego,
a dla wielu przedsiębiorców szansa na rozwój i intensyfikację sprzedaży poprzez platformy internetowe. Ważnym jest, aby sprzedaż w internecie była należycie prowadzona i zgodna z ogólnym rozporządzeniem o ochronie danych, czyli RODO. Jak zatem prowadzić swój biznes zgodnie z obowiązującym prawem w zakresie ochrony danych osobowych?
Jaki związek ma RODO z działalnością prowadzoną w internecie?
RODO, czyli nowe rozporządzenie o ochronie danych osobowych, od 25 maja 2018r. ma pełne zastosowanie w Unii Europejskiej. Dotyczy ono wszystkich obywateli – zarówno gwarantuje osobom fizycznym daleko idącą ochronę prywatności, jak i nakłada dodatkowe obowiązki na tych, którzy przetwarzają dane osobowe w celach zarobkowych. Zgodnie z tym rozporządzeniem każdy przedsiębiorca, który zbiera, przechowuje, utrwala, udostępnia czy usuwa dane osobowe swoich klientów staje się administratorem danych osobowych.
Przedsiębiorca internetowy, czyli administrator, powinien przetwarzać te dane zgodnie z prawem oraz zadbać o to, aby były one przetwarzane w sposób bezpieczny. Nie ma znaczenia, w jakim formacie będą one przechowywane – czy w formie papierowej, czy w systemie komputerowym – należy chronić dane, które mogą bezpośrednio lub pośrednio identyfikować klienta jako osobę fizyczną. Obowiązki wynikające z przepisów są jednakowe dla wszystkich firm, bez względu na wielkość obrotów.
Wdrożenie RODO w działalności internetowej
Najogólniej mówiąc, dostosowanie działalności internetowej do RODO wymaga zmiany polityki prywatności i regulaminu oraz wdrożenia procedur i rozwiązań zgodnych z RODO. W tym celu przeprowadza się audyt istniejących rozwiązań prawnych i technicznych z zakresu ochrony danych osobowych. Wymaga to przygotowania niezbędnej dokumentacji i praktycznego szkolenia pracowników, którym warto zapewnić permanentną, bezpośrednią opiekę konsultanta – informuje adwokat z Kancelarii Adwokackiej Beata Bieniek w Zabrzu.
Po przeprowadzeniu audytu należy przygotować lub aktualizować dokumenty dotyczące przepisów RODO w sklepie internetowym. Należą do nich:
- regulamin sklepu internetowego,
- polityka prywatności,
- polityka bezpieczeństwa,
- polityka dotycząca plików cookies,
- instrukcja zarządzania systemem informatycznym,
- upoważnienia do przetwarzania danych osobowych,
- wzór oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych,
- rejestr czynności przetwarzania danych osobowych,
- rejestr incydentów związanych z naruszeniami danych osobowych,
- rejestr osób upoważnionych do przetwarzania danych osobowych,
- wzory formularzy przeznaczonych dla klientów sklepu, jak wzór reklamacji czy wzór odstąpienia od umowy.
Zgodnie z RODO, zadaniem regulaminu działalności prowadzonej w internecie jest informowanie klientów oraz odwiedzających stronę o ich prawach oraz o obowiązkach przedsiębiorcy. Powinien on zawierać informacje m.in. o zakresie pozyskiwania danych osobowych i sposobie ich przechowywania, danych przedsiębiorcy (dalej administratora danych osobowych), prawie do żądania usunięcia danych z baz prowadzonych przed administratora oraz pozostałych prawach klienta.
Rejestr czynności przetwarzania danych w działalności internetowej
Choć rozporządzenie o ochronie danych osobowych zakłada, że podmioty zatrudniające mniej niż 250 pracowników są zwolnione z obowiązku prowadzenia rejestru czynności przetwarzania danych, to właściciele firm internetowych muszą go bezwzględnie prowadzić. Wynika to z uznania, że sklepy internetowe przetwarzają dane osobowe w sposób ciągły, a nie sporadyczny. Zadaniem tego rejestru umożliwienie organowi kontrolującemu monitorowania prowadzonego przetwarzania. Przedsiębiorcy są zobowiązani do udostępnienia organowi nadzorczemu informacji w sposób czytelny i pozwalający na szybką weryfikację.
Rejestr czynności przetwarzania danych zastępuje obowiązek rejestracji prowadzonych zbiorów danych w GIODO. Dokument ten powinien zawierać informacje o:
- administratorze danych osobowych,
- inspektorze danych osobowych,
- podmiotach, którym dane klientów mogą zostać udostępnione,
- kategoriach osób, których dane są pobierane i przechowywane,
- stosowanych środkach bezpieczeństwa.
Zgoda na profilowanie w sklepie internetowym
Kwestia profilowania, czyli wykorzystywania danych osobowych do podejmowania zautomatyzowanych decyzji, również wiąże się z rozporządzeniem o ochronie danych osobowych. Profilowanie pozwala na kategoryzowanie klientów na podstawie ich dotychczasowych zakupów i znacząco wpływa na efektywność wielu biznesów. Przedsiębiorcy, wraz z prawem do pobierania i przechowywania danych osobowych, mają prawo uzyskać informację dotyczącą podejmowania zautomatyzowanych decyzji przez klientów.
Profilowanie ma na celu dopasowanie ofert do preferencji danego klienta oraz zwiększenie zysków, więc jest bardzo istotne w branży e-commerce. Jednak i w tym przypadku należy zadbać o to, aby było ono przeprowadzone zgodnie z obowiązującymi przepisami. RODO pozwala na korzystanie z algorytmów automatyzujących ocenę i decyzję, ale tylko w usystematyzowany sposób – musi być ono jawne i zrozumiałe dla wszystkich. Koniecznym jest uzyskanie zgody użytkownika, umożliwienie mu odwołania od podjętej decyzji oraz ustalenie celów profilowania.
RODO w usługach internetowych – obsługa prawna czy samodzielni
Sprzedaż i świadczenie usług poprzez platformy internetowe stale się rozwija i coraz więcej przedsiębiorców rozszerza swoją działalność o internetową sprzedaż. Aby działania te były w pełni legalne należy bezdyskusyjnie dostosować swoją firmę do wszystkich wymogów RODO i na bieżąco je monitorować. Samodzielne wprowadzenie zmian w zakresie ochrony danych osobowych jest nie tylko pracochłonne, ale i ryzykowne. Choć istnieją gotowe, dedykowane dla e-commerce rozwiązania, warto rozważyć skorzystanie z obsługi prawnej sklepów internetowych. Kwestie dotyczące formalności prowadzenia sklepów internetowych nieustannie ulegają zmianom, dlatego warto rozważyć pomoc specjalisty.
Dziękujemy za ocenę artykułu
Błąd - akcja została wstrzymana