Prowadzenie tak ciekawego przybytku jak sklep internetowy obłożone jest – podobnie jak niemal każda dziedzina naszego życia – wieloma przepisami regulującymi jego działalność. Podstawowymi aktami tego typu jest między innymi „Ustawa o świadczeniu usług drogą elektroniczną” czy „Ustawa o ochronie danych osobowych”. Tak się składa, że właśnie w kwestii ochrony danych osobowych szykują się pewne zmiany.
Od dnia 25 maja 2018 rozpoczną obowiązywanie zapisy europejskiego rozporządzenia o ochronie danych osobowych, nazywane w skrócie RODO. Zapisy tego rozporządzenia zastąpią obowiązującą obecnie Ustawę o ochronie danych osobowych i obowiązywać będą one zarówno wielkie korporacje jak i firmy jednoosobowe.
Aby się dostosować do zapisów RODO czasu zostało niewiele, a dostosować się warto, gdyż unijne rozporządzenie ustala dosyć wysokie kary pieniężne za naruszenie przepisów. Wysokość takiej kary to nawet 20 milionów euro bądź do 4% obrotu danego przedsiębiorstwa z poprzedniego roku.
A zatem co się zmieni? Podstawowe zmiany związane z RODO to:
1. Samodzielna analiza ryzyka związanego z przetwarzaniem danych osobowych.
To chyba jedna z najdalej idących zmian i najbardziej złożona.
Przeprowadzając analizę ryzyka, należy zidentyfikować zagrożenia z jakimi może spotkać się nasze przedsiębiorstwo (np. katastrofa budowlana, pożar, zalanie, przerwa w dostępie prądu lub brak dostępu do Internetu, kradzież dokumentów, włamanie, błąd administratora, atak hakerski). W następnej kolejności należy rozważyć jakie zasoby (np. budynki, dokumenty lub zawartość baz danych) mogą być zagrożone w wyniku tych zdarzeń oraz określić prawdopodobieństwo ich wystąpienia. Na podstawie tych ustaleń, należy przygotować odpowiednie procedury awaryjne i zaradcze.
2. Brak obowiązku zgłaszania zbioru danych do GIODO
Dotychczas, gdy gromadzone i przetwarzane były jakiekolwiek dane osobowe, na firmę nakładany był obowiązek zgłoszenia tego faktu do Generalnego Inspektoratu Danych Osobowych (oczywiście poza wyjątkiem, gdy dane te nie były wrażliwe i powołaliśmy Administratora Bezpieczeństwa Informacji). Należało wypełnić też dodatkowy, szczegółowy wniosek o wpisanie takiego zbioru do rejestru zbiorów danych osobowych. Oprócz tego, należało przygotować takie dokumenty jak polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym.
Po 25 maja 2018 roku, takie oboAwiązki zostaną zniesione.
3. Zmiana definicji danych osobowych
Zapisy RODO poszerzają definicję danych osobowych. Od maja 2018 roku, będzie to teraz każda informacja, która pozwoli na ustalenie tożsamości osoby. Zgodnie z tymi zapisami, danymi osobowymi będą też: dane o stanie zdrowia, dane genetyczne, dane o lokalizacji, adres IP czy nawet pliki cookies.
4. Zwiększony obowiązek informacyjny
W chwili pozyskiwania danych osobowych (np. podczas składania zamówienia w sklepie) należy obowiązkowo w prosty i zrozumiały sposób poinformować klienta:
– o celu pozyskiwania danych,
– o okresie czasu, przez jaki będziemy te dane przetwarzać,
– jeśli mamy taki zamiar, to komu będą te dane przesyłane dalej,
– skąd posiadamy dane, jeśli nie uzyskaliśmy ich bezpośrednio od klienta.
5. Zwiększone uprawnienia właścicieli danych
Osoba będąca właścicielem danych będzie mogła zażądać usunięcia danych z naszej bazy, gdy dane te nie będą już niezbędne do celów, w których zostały zebrane lub gdy cofnęła zgodę, na podstawie której dane te przetwarzano.
Właściciel może też żądać usunięcia danych, gdy były one przetwarzane niezgodnie z prawem lub gdy zostały zebrane w związku z zaoferowaniem dziecku „usług społeczeństwa informacyjnego”.
Co więcej, osoba będąca właścicielem danych ma także prawo do przeniesienia danych do innej firmy oraz wglądu w historię przetwarzania swoich danych (czyli np. w historię dokonywanych zakupów).
6. Wyznaczenie Inspektora Ochrony Danych Osobowych
W chwili obecnej, zgodnie z zapisami Ustawy o ochronie danych osobowych, istnieje możliwość powołania Administratora Bezpieczeństwa Informacji (ABI), co zwalniało firmę z obowiązku zgłaszania do GIODO rejestru tzw. danych niewrażliwych.
Wraz z nadejściem regulacji RODO, podmiot przetwarzający dane osobowe (z wyjątkiem kilku kategorii – art. 37 RODO) ma obowiązek powołać Inspektora Ochrony Danych Osobowych, którego zadaniem będzie doradztwo i monitorowanie działań administratora danych. Jako administratora danych rozumie się tu osobę fizyczną lub prawną, organ publiczny lub jednostkę organizacyjną samodzielnie lub wspólnie z innymi ustalającą cele i sposób przetwarzania danych (takim administratorem jest więc np. firma lub osoba prowadząca działalność gospodarczą, dysponująca danymi swoich klientów).
7. Powiadamianie o naruszeniach ochrony danych
W sytuacji gdy dojdzie do kradzieży lub wycieku danych klientów z bazy, podmiot zarządzający danymi zmuszony jest do powiadomienia o tym fakcie zarówno osób których dane wykradziono, jak również organów nadzorujących. Niedopuszczalna stanie się więc sytuacja – niestety obecnie dosyć częsta – że właściciele danych jako ostatni dowiadują się o ich wycieku i to najczęściej z prasy, telewizji czy portali internetowych.
8. Umowy z firmami zewnętrznymi
To chyba jedna z tych istotniejszych zmian, jeśli chodzi o działalność sklepów internetowych.
Praktycznie wszystkie firmy prowadzące działalność handlową w Internecie, korzystają z usług podwykonawców. Są nimi np. firmy świadczące usługi e-mail marketingowe, firmy kurierskie, firmy hostingowe czy księgowe.
Od maja 2018 roku, konieczne będzie stworzenie dokumentacji uzasadniającej przekazywanie danych konkretnej firmie, a oprócz tego, uaktualnić należy bieżące umowy o zapisy o powierzeniu danych osobowych. Dane w tych zapisach muszą być szczegółowe i zwierać np. informacje o czasie trwania powierzenia danych, charakterze tego powierzenia oraz rodzaju danych jakie będą przekazywane firmie zewnętrznej.
Zmian jak widać trochę jest, a termin ich wprowadzenia jest coraz bliżej.
Gdyby ktoś miał ochotę zapoznać się z całym dokumentem RODO, link do tego rozporządzenia znajduje się tutaj.
http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL