Shopify to jedna z popularniejszych platform e-commerce typu SaaS, która coraz częściej wybierana jest przed przedsiębiorców z Polski. Jak zapewne doskonale zdajesz sobie sprawę, korzystanie z tego typu rozwiązań nierozerwalnie wiąże się z przetwarzaniem danych osobowych. Czy z związku z tym, że dostawcą silnika Shopify jest zagraniczna spółka korzystanie z niego jest zgodne z RODO?
W pierwszej kolejności warto wyjaśnić czym jest oprogramowanie typu SaaS i dlaczego korzystanie z niego może mieć ogromny wpływ na zgodność z RODO Twojego sklepu internetowego. SaaS to w skrócie oprogramowanie jako usługa, czyli rodzaj oprogramowania, w którym aplikacja przechowywana jest na serwerach dostawcy i udostępniana użytkownikom przez Internet. Co za tym idzie, wszystkie dane osobowe jakie gromadzone są w ramach tego rodzaju oprogramowania również przechowywane są na serwerach dostawcy. A w przypadku sklepu internetowego tych danych osobowych jest całkiem sporo. Każde zamówienie bowiem wiąże się z tym, że klient sklepu zostawia Ci co najmniej swoje imię i nazwisko, adres, e-mail oraz adres, a także sporo mniej oczywistych danych jak chociażby numer zamówienia, czy identyfikator płatności.
Powierzenie przetwarzania danych osobowych Shopify
W przypadku więc gdy korzystasz z silnika Shopify dochodzi do sytuacji, w której jako administrator powierzasz przetwarzanie danych osobowych klientów swojego sklepu podmiotowi przetwarzającemu (procesorowi), którym w tym przypadku jest dostawca oprogramowania Shopify. Jest to dosyć normalna sytuacja w funkcjonowaniu sklepu internetowego. Prowadząc sklep internetowy zapewne korzystasz z narzędzi do fakturowania, czy też automatyzacji marketingu. Dostawcy tych narzędzi również będą podmiotami przetwarzającymi (procesorami), którym powierzasz do przetwarzania dane osobowe swoich klientów. Czy zatem powinieneś zawrzeć z Shopify umowę powierzenia przetwarzania danych osobowych? Co z faktem, że Shopify ma siedzibę za granicą?
Umowa powierzenia przetwarzania danych osobowych z Shopify
Zgodnie z przepisami RODO w każdym przypadku, gdy ma miejsce powierzenie przetwarzania danych osobowych przetwarzanie takie odbywać się powinno na podstawie umowy zawartej pomiędzy administratorem, a podmiotem przetwarzającym. Umowa taka powinna określać jakie dane osobowe są przetwarzane, a także jakie są prawa i obowiązki administratora i podmiotu przetwarzającego. Umowy takie zwykło się nazywać umowami o powierzenie przetwarzania danych osobowych. Umowa taka powinna być więc podstawą przetwarzania przez Shopify danych osobowych, których jesteś administratorem.
Aby spełnić ten wymóg, Shopify dodał do swoich Warunków świadczenia usług Aneks dotyczący przetwarzania danych osobowych. Korzystając, więc z Shopify zgadzasz się na Warunki świadczenia usług, a co za tym idzie z Aneksem dotyczącym przetwarzania danych osobowych, który w tym przypadku pełni rolę umowy o powierzenie przetwarzania danych osobowych. Nie musisz podpisywać tego dokumentu, ponieważ jest on dołączony do Warunków świadczenia usług, a zgodę na te warunki wyrażasz, kontynuując korzystanie z usług Shopify. Jest to zgodne z wymaganiami RODO. I na tym w zasadzie można by skończyć rozważania dotyczące zgodności Shopify z RODO, gdyby nie fakt, że siedzibą tej spółki jest Kanada, która zgodnie z RODO uważana jest za „państwo trzecie”.
Co ciekawe jednak, jak wynika z przygotowanego przez Shopify dokumentu „Shopify GDPR Whitepaper”, firma Shopify, w celu zapewnienia wysokich gwarancji ochrony danych osobowych, w taki sposób zorganizowała przepływ danych, że dane gromadzone w ramach sklepu internetowego przekazywane są w pierwszej kolejności do irlandzkiego oddziału Shopify w Europie, tj. Shopify International Ltd. Wedle więc zapewnień firmy Shopify, nie dochodzi do bezpośredniego transferu danych do państwa trzeciego, a przetwarzanie danych gromadzonych w ramach aplikacji Shopify odbywa się w obrębie Unii Europejskiej. To jednak jedynie pierwszy etap transferu danych w ramach struktur Shopify. Jak czytam bowiem dalej w wyżej wspomnianym dokumencie – „Shopify GDPR Whitepaper” część danych, która pierwotnie trafia do irlandzkiej Shopify International Ltd. następnie może być przekazywana do Shopify Inc. z siedzibą w Kanadzie, czyli państwa trzeciego w rozumieniu RODO. Czy zatem taki transfer danych będzie zgodny z unijnym rozporządzeniem?
Transfer danych do państw trzecich
W tym miejscu myślę, że warto omówić trochę szerzej kwestię przekazywania danych osobowych do państw trzecich w świetle RODO, ponieważ jest to niezbędne do odpowiedzi na powyżej postawione pytanie. Przekazywanie danych osobowych do państw należących do Europejskiego Obszaru Gospodarczego (kraje Unii Europejskiej + Norwegia, Islandia i Lichtenstein) odbywa się na ogólnych zasadach przetwarzania danych osobowych określonych w RODO – tak jak transfer danych osobowych na terytorium Polski i nie wymaga żadnych dodatkowych działań. Przekazywanie natomiast danych osobowych do państwa trzeciego (tak nazywane są państwa, które nie należą do Europejskiego Obszaru Gospodarczego) podlega szczególnym warunkom, określonym w przepisach RODO. Podstawowym warunkiem dopuszczalności i przekazywania danych osobowych z UE do państwa trzeciego jest potwierdzenie przez Komisję Europejską, że to państwo trzecie zapewnia odpowiedni stopień ochrony, który gwarantuje RODO. Co ważne w kontekście Shopify, Komisja Europejska jeszcze w 2001 r. wydała decyzję 2002/2/WE w sprawie odpowiedniej ochrony danych osobowych zapewnionej w ustawie kanadyjskiej o ochronie informacji osobowych i dokumentów elektronicznych. Co za tym idzie, decyzja ta potwierdza, że Kanada jest państwem trzecim, który zapewnia odpowiedni stopień ochrony danych osobowych. Mimo, więc, że w przypadku korzystania z silnika Shopify może wchodzić w grę przekazywanie danych do państwa trzeciego, to takie przetwarzanie danych będzie co do zasady uważane za zgodne z RODO.
To jednak nie koniec. Dostawca oprogramowania Shopify, czyli Shopify Inc. z siedzibą w Kanadzie w celu świadczenia usług korzysta z licznych podprocesorów (czyli podmiotów, którym podmiot przetwarzający powierza dane do dalszego przetwarzania), o czym informuje w omówionym wyżej Aneksie dotyczącym przetwarzania danych osobowych, będącym częścią Warunków świadczenia usług. Wspomniani podprocesorzy to głównie spółki-córki Shopify Inc., spośród których część ma siedziby w jeszcze innych niż Kanada państwach trzecich, jak chociażby Stany Zjednoczone. Analizując więc w pełni transfer danych w ramach aplikacji Shopify mamy do czynienia z sytuacją w której dane przetwarzane w ramach tego oprogramowania trafiają do spółki irlandzkiej, czyli przetwarzane są w ramach EOG, następnie mogą być częściowo przekazywane do spółki w Kanadzie, w odniesieniu do którego to państwa Komisja Europejska wydała decyzję, że zapewnia ono adekwatny stopień ochrony, a finalnie dane mogą trafić do jeszcze innych państw trzecich, które już niekoniecznie taki stopień ochrony gwarantują. Wśród tych państw wymienić należy przede wszystkim Stany Zjednoczone. Zwracam uwagę właśnie na to państwo z tego względu, że dotychczas przesyłanie danych osobowych do Stanów Zjednoczonych najczęściej odbywało się na podstawie tzw. Tarczy Prywatności UE-USA, czyli decyzji Komisji Europejskiej stwierdzającej, że podmioty, które przystąpiły do tego programu zapewniają adekwatną ochronę danych osobowych. Tarcza Prywatności została jednak unieważniona przez Trybunał Sprawiedliwości Unii Europejskiej w wyroku z lipca 2020 r. W związku z tym obecnie, także w przypadku Stanów Zjednoczonych koniecznym stało się poszukiwanie innego niż decyzja Komisji Europejskiej mechanizmu transferu danych do państwa trzeciego. W przypadku braku decyzji Komisji Europejskiej, dane osobowe mogą być przekazywane zgodnie z RODO do państwa trzeciego wyłącznie, gdy zapewnione zostaną odpowiednie zabezpieczenia. Do odpowiednich zabezpieczeń należą m.in. wiążące reguły korporacyjne (czyli zasady transferu danych w ramach grupy przedsiębiorców, zatwierdzone przez organ nadzorczy) lub standardowe klauzule umowne (przyjęte przez Komisję Europejską).
Wracając do Shopify i „Shopify GDPR Whitepaper”, firma Shopify informuje w tym dokumencie, że w przypadku gdy dane przekazywane są przez Shopify Inc. do państw trzecich to transfer taki odbywa się właśnie na podstawie umów gwarantujących adekwatny stopień ochrony i na warunkach analogicznych do Aneksu dotyczącego przetwarzania danych osobowych albo na podstawie wiążących reguł korporacyjnych (po ich zatwierdzeniu). Z „Shopify GDPR Whitepaper” dowiedzieć się można bowiem, że Shopify jest w trakcie składania wniosku o zatwierdzenie wiążących reguł korporacyjnych przez irlandzki organ nadzorczy (odpowiednik naszego Prezesa Urzędu Ochrony Danych Osobowych). Po ich zatwierdzeniu Shopify będzie polegać na tych regułach korporacyjnych w celu ochrony danych osobowych przenoszonych między firmami Shopify na całym świecie.
Polityka prywatności sklepu działającego na Shopify
Jak zostało wspomniane powyżej Shopify w taki sposób organizuje przepływ danych, że dane osobowe gromadzone w ramach sklepu opartego na Shopify przekazywane są w pierwszej kolejności do europejskiego oddziału firmy Shopify w Irlandii. Finalnie jednak dane mogą trafić do państw trzecich w tym m.in. Kanady i Stanów Zjednoczonych. Wobec tego, myślę, że warto wzbogacić politykę prywatności sklepu internetowego opartowego na Shopify o zapis informujący klientów, że dostawca oprogramowania do obsługi sklepu internetowego może przechowywać dane klientów poza Europejskim Obszarem Gospodarczym, ale dane będą przekazywane wyłącznie do państw, które zapewniają adekwatny stopień ochrony na podstawie decyzji Komisji Europejskiej, a do państw, które nie zapewniają adekwatnego stopnia ochrony, jedynie w przypadku zapewnienia odpowiednich zabezpieczeń, w tym m.in. na podstawie standardowych klauzul umownych przyjętych przez Komisję Europejską lub wiążących reguł korporacyjnych. Pozwoli to na wypełnienie wobec użytkowników sklepu obowiązku informacyjnego określonego w art. 13 RODO. Musisz bowiem pamiętać, że sam fakt, że platforma sprzedażowa, z której korzystasz spełnia wymogi RODO nie zwalnia Cię z ogólnych obowiązków spoczywających na Tobie jako administratorze danych osobowych, w związku z przetwarzaniem danych klientów, jak chociażby opracowanie polityki prywatności, wdrożenie odpowiednich zabezpieczeń, czy też wewnętrznych procedur przetwarzania danych osobowych.
