Do rozpoczęcia stosowania Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., czyli w skrócie “RODO”, zostało niewiele ponad dwa tygodnie. To zatem ostatni moment, aby przygotować swój sklep internetowy do nowych regulacji unijnych. Co prawda, RODO nie oznacza dla handlu elektronicznego rewolucji, jednak jednocześnie nie jest to temat, który można zlekceważyć. Jakie zmiany zatem powinniśmy wprowadzić w swoim sklepie?
W ramach przygotowania sklepu internetowego od RODO można wyróżnić kilka obszarów, którym powinniśmy poświęcić uwagę. Te najważniejsze to prawidłowe skonstruowanie klauzul zgód, dostosowanie polityki prywatności do wymogów RODO, wprowadzenie lub zaktualizowanie dokumentacji przetwarzania danych osobowych, a także zawarcie lub aneksowanie już zawartych umów powierzenia przetwarzania danych osobowych.
Klauzule zgody zgodne z RODO
Jeżeli chodzi o treść checkboxów znajdujących się w formularzu zamówienia lub rejestracji to wbrew pozorom RODO nie wprowadza dalece idących zmian w tym zakresie. Podstawy przetwarzania danych osobowych zostały bowiem uregulowane w RODO w sposób bardzo zbliżony do regulacji zawartych w dotychczas obowiązującej ustawie o ochronie danych osobowych. Rozpoczęcie stosowanie RODO to jednak doskonały moment, aby zweryfikować treść zgód, które pozyskujemy od naszych klientów. W szczególności pod kątem tego, czy po pierwsze pozyskujemy zgody, które rzeczywiście są nam potrzebne, a po drugie czy w każdym przypadku gdy wymagamy „odfajkowania” checkboxa faktycznie musimy pozyskać zgodę klienta na przetwarzanie jego danych osobowych w konkretnym celu. Przykładowo, wbrew powszechnie stosowanej praktyce, wcale nie musimy mieć zgody klienta na przetwarzanie jego danych osobowych w celu realizacji zamówienia. Wykonanie umowy bowiem jest samoistną przesłanką legalnego przetwarzania danych osobowych. Zgoda klienta w takim przypadku jest więc zbędna.
Polityka prywatności do zmiany
Kolejną istotną kwestią na którą powinniśmy zwrócić uwagę jest treść polityki prywatności. Wyjaśnić trzeba, że polityka prywatności nie jest dokumentem wymaganym przez jakiekolwiek przepisy. Powszechnie jednak przyjęło się, że właśnie poprzez politykę prywatności administratorzy realizują spoczywający na nich obowiązek informacyjny. W ramach tego obowiązku natomiast RODO wprowadza kilka istotnych zmian, znacznie poszerzając zakres informacji jakie administrator obowiązany jest przekazać w momencie pozyskiwania danych od danej osoby. Oprócz bowiem podstawowych informacji, takich jak dane administratora czy cel przetwarzania, czyli informacji, które już na gruncie ustawy o ochronie danych osobowych zobligowani byliśmy przekazać klientom, RODO nakłada ponadto obowiązek przekazania klientom informacji dotyczących m.in. okresu przetwarzania danych, podstawy prawnej przetwarzania danych, prawa wniesienia skargi do organu nadzoru, czy też o prawie do bycia zapomnianym, czy przenoszenia danych. Wszystkie te informacje powinny znaleźć się więc w polityce prywatności.
Nowa dokumentacja przetwarzania danych osobowych
RODO wprowadza również istotny zmiany w zakresie dokumentacji przetwarzania danych osobowych jaką powinniśmy wdrożyć w swojej firmie. Podkreślić trzeba, że RODO zupełnie zmienia podejście do obowiązków administratora w zakresie prowadzenia wewnętrznych polityk przetwarzania danych. Zrezygnowano bowiem ze szczegółowego regulowania tego jaka dokumentacja powinna być prowadzona przez administratora i co powinna zawierać. Nie oznacza to jednak, że administrator zwolniony jest z obowiązku prowadzenia dokumentacji przetwarzania danych osobowych. Wprost przeciwnie, prowadzenie wewnętrznych polityk jest jednym ze sposobów wykazania przez administratora zgodnego z prawem przetwarzania danych osobowych. Różnica jedynie jest taka, że nie został określony rodzaj tych dokumentów, jak również ich treść. Niezwykle więc istotne jest indywidualne podejście do tematu dokumentacji i opracowanie jej w sposób adekwatny do zakresu i sposobu przetwarzania danych osobowych w firmie.
Powierzenie przetwarzana danych osobowych
Kolejnym niezwykle ważnym obszarem, którym powinniśmy zająć się w związku z rozpoczęciem stosowania RODO jest kwestia powierzenia przetwarzania danych osobowych. Powierzenie przetwarzania to sytuacja gdy jako administrator przekazujemy innemu podmiotowi dane osobowe uprzednio przez nas pozyskane. W przypadku sklepu internetowego z powierzeniem przetwarzania danych osobowych bez wątpienia mamy do czynienia chociażby wobec hostingodawcy, dostawcy oprogramowania sklepu, czy też biura rachunkowego. Z tymi podmiotami więc powinniśmy zawrzeć umowy powierzenia przetwarzania danych osobowych. Co prawda RODO nie wprowadza w tym zakresie dalece idących zmian, bowiem obowiązek zawarcia tego rodzaju umów istniał już dotychczas, jednak nowe unijne przepisy dodają kilka postanowień, które powinniśmy zawrzeć w umowie. Jeżeli więc do tej pory nie zawieraliśmy umów powierzenia to powinniśmy zweryfikować z jakimi podmiotami taką umowę powinniśmy zawrzeć, a w przypadku gdy takie umowy mieliśmy zawarte to najprawdopodobniej będą one wymagały aneksowania i uzupełnienia o postanowienia wymagane przez RODO.
Podsumowanie
Słowem podsumowania, RODO nie takie straszne jak je malują. Żeby jednak spać spokojnie powinniśmy zadbać o przygotowanie sklepu internetowego do nowych regulacji unijnych i absolutnie nie powinniśmy ignorować nadchodzących zmian. Pamiętajmy również, że to ostatni moment na ich wprowadzenie, RODO bowiem zacznie być stosowane już 25 maja 2018 r.
Sprawdź ile kosztuje dostosowanie sklepu internetowego do RODO (kliknij)