Dane osobowe w sklepie internetowym, jak nad nimi zapanować?

Gdy otrzymuję zapytanie ofertowe od właściciela sklepu internetowego, najczęściej dotyczy ono przygotowania regulaminu i polityki prywatności. Odpisuję, że oczywiście opracowuję takie dokumenty, ale to tylko fragment całego procesu prawnego wdrożenia e-sklepu. Istotnym elementem tego procesu jest jeszcze spełnienie wymagań związanych z ochroną danych osobowych.

W dzisiejszym wpisie przedstawię, co trzeba wdrożyć w sklepie internetowym, by te wymagania związane z ochroną danych osobowych spełnić.

UWAGA: Ten artykuł dotyczy obowiązującej do 25.05.2018 r. ustawy o ochronie danych osobowych. RODO wiele zmienia. O wszystkich wyzwaniach związanych z RODO przeczytasz tutaj: RODO – czy naprawdę trzeba się bać?

Prakreacja.pl

Partnerem tego wpisu jest MMC Polska – wiodący i niezależny organizator spotkań biznesowych w Polsce, który rokrocznie przygotowuje niemal kilkadziesiąt projektów szkoleniowo-konferencyjnych. Lider w kategorii konferencji dedykowanych dla branży telekomunikacyjnej, mediów, finansów i energetycznej.

logo_onas-300x76W ramach współpracy z MMC, objąłem patronatem szkolenie pt. „Rozwój ochrony danych osobowych w praktyce„, które odbędzie się w dniach 09.03 – 10.03.2015 r. w hotelu Westin w Warszawie. Celem szkolenia jest ugruntowanie wiedzy dotyczącej ochrony danych osobowych oraz szczegółowe zapoznanie się ze zmianami wynikającymi z nowelizacji ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r. Jeśli chcesz pogłębić swoją wiedzę z zakresu danych osobowych, zapraszam do udziału w szkoleniu.

Spis treści

Regulamin i polityka prywatności to nie wszystko

Postanowienia dotyczące danych osobowych znajdują się najczęściej w regulaminie sklepu internetowego i polityce prywatności. Sprzedawca wskazuje, że przetwarza dane w celu realizacji zamówienia oraz informuje klienta, że ten może wyrazić dodatkowe zgody na przetwarzanie danych w celach marketingowych, otrzymywania newslettera, informacji handlowych.

Same postanowienia w regulaminie i polityce prywatności to jednak nie wszystko, czym trzeba zająć się, gdy chodzi o dane osobowe w sklepie internetowym. Konieczne jest jeszcze:

  • odpowiednie zaprojektowanie procesu zbierania zgód od klienta na przetwarzanie danych,
  • identyfikacja i wyodrębnienie poszczególnych zbiorów danych w obrębie e-sklepu,
  • zawarcie umów o powierzenie danych,
  • przygotowanie wewnętrznej dokumentacji ochrony danych,
  • zgłoszenie zbiorów danych do GIODO,
  • wdrożenie procedur przestrzegania danych w firmie i przeszkolenie pracowników.

Jak widać, obowiązków jest sporo, a sprzedawcy często nie zdają sobie z nich sprawy. Poniżej omówię pokrótce każdy z nich, by przybliżyć, w czym rzecz.

>> Zbieranie zgód na przetwarzanie danych

Zbieranie zgód odbywa się najczęściej poprzez zaznaczanie przez użytkownika stosownych checkboxów. Niby nic trudnego. Problem polega jednak na rozdzieleniu poszczególnych zgód i nadaniu im odpowiedniej treści. Oddzielna zgoda powinna być na marketing, oddzielna na newsletter i oddzielna na informacje handlowe. Często widzę natomiast zgody łączone w jedną, co jest błędem.

Błędem jest również wymuszanie udzielania przez użytkownika zgód, które powinny być dobrowolne. Nie można uzależniać możliwości złożenia zamówienia, czy założenia konta w sklepie od zgody na marketing, newsletter, czy informację handlową.

Checkboxy powinny być odznaczone. Można spierać się na ten temat, ale ze względu na wymóg dobrowolności zgody, bezpieczniej ustawić checkboxy na domyślnie niezaznaczone.

>> Zbiory danych w e-sklepie

Identyfikacja i wyodrębnienie poszczególnych zbiorów danych to zadanie ważne, bo rzutujące na treść wewnętrznej dokumentacji ochrony danych, na procedury tej ochrony oraz na proces zgłoszenia zbiorów do GIODO.

Tutaj sprawa znów wydaje się oczywista, bo przecież mamy jeden zbiór danych klientów. GIODO jednak patrzy na to inaczej i stoi na stanowisku, że jeden zbiór może obejmować tylko jeden cel przetwarzania danych.

W związku z tym, oddzielny zbiór powinniśmy mieć np. na dane służące do realizacji zamówienia i dane do wysyłki newslettera, czy też dane do rozpatrywania reklamacji. Uważam jednocześnie, że nie ma co popadać w ekstremizm i nadmiernie rozbijać cele, ale należy każdorazowo zastanowić się nad nimi i skonfrontować je ze stanowiskiem GIODO o konieczności rozbijania zbiorów wg celów przetwarzania.

Słyszałeś o odzyskiwaniu porzuconych koszyków? Przeczytaj o aspektach prawnych tej techniki marketingowej.

Odzyskiwanie porzuconych koszyków – aspekty prawne.

>> Umowy o powierzenie danych

Dane osobowe klientów przechowywane są najczęściej przez hostingodawcę. To on zapewnia dostęp do serwera i bazy danych. Zatem z takim hostingodawcą powinna zostać zawarta umowa o powierzeniu danych w zakresie ich przechowywania. Jeśli wysyłka newslettera realizowana jest przez zewnętrzny podmiot, również w tej relacji konieczna będzie umowa o powierzenie.

Umowa o powierzenie danych powinna zostać zawarta także w sytuacji, gdy za dostawę towarów odpowiada podmiot trzeci. Dotyczy to w szczególności dropshippingu, gdy to dostawca wysyła produkt do klienta. By przygotować zamówienie do wysyłki, potrzebuje danych klienta, które właściciel sklepu musi mu powierzyć zgodnie z przepisami ustawy.

>> Wewnętrzna dokumentacja ochrony danych

Ustawa o ochronie danych osobowych przewiduje konieczność wdrożenia wewnętrznej dokumentacji ochrony danych, która obejmuje:

  • politykę bezpieczeństwa ochrony danych,
  • instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Są to dwa dokumenty obowiązkowe, od których nie ma odwrotu, gdy chcemy działać w zgodzie z ustawą. Ich treść reguluje rozporządzenie wykonawcze. Ta treść może wydawać się sprzedawcy groteskowa, śmieszna i absurdalna, ale dokumentację trzeba mieć – przynajmniej w podstawowym wydaniu.

>> Zgłoszenie zbiorów do GIODO

Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO.

Jest to kolejny formalny obowiązek, którego jednak od 1 stycznia 2015 r. można uniknąć, powołując Administratora Bezpieczeństwa Informacji (ABI). O zadaniach i obowiązkach takiego administratora można byłoby dużo napisać, ale nie chcę zaśmiecać wpisu. Tym bardziej, że większość e-sklepów, szczególnie tych mniejszych, zapewne nie zdecyduje się na powołanie ABI.

W konsekwencji, znaczna część sprzedawców będzie zgłaszać zbiory danych wykorzystywane w obrębie swoich sklepów do GIODO.

>> Procedury w firmie i szkolenia

Tam, gdzie przetwarzane są dane osobowe, tam powinny obowiązywać określone procedury związane z przetwarzaniem tych danych.

Procedury opisane zostały wcześniej w wewnętrznej dokumentacji, więc pozostaje stosować się do nich. W przypadku sklepów o większej strukturze organizacyjnej, trzeba w tym celu przeszkolić pracowników, nadać stosowne upoważnienia do przetwarzania danych etc.

Chodzi o to, by zapisy w dokumentacji nie były tylko pustymi słowami, ale by szły za tym czyny w postaci konkretnych procedur obowiązujących w firmie.

Myślisz poważnie o sklepie internetowym?

Przeczytaj: sklep internetowy – wdrożenie prawne krok po kroku.

Podsumowanie

Prawne wdrożenie sklepu internetowego to proces, który składa się z kilku etapów. Przygotowanie regulaminu i polityki prywatności to nie wszystko.

Istotną częścią jest zapanowanie nad danymi osobowymi. Obowiązków jest tutaj sporo i rzetelne wywiązanie się z nich wymaga bardziej dokładnego pochylenia się nad problemem i odrobiny cierpliwości.

Prakreacja.pl

Potrzebujesz indywidualnej pomocy?

Napisz do mnie na adres wojciech.wawrzak@prakreacja.pl.

O sklepie internetowym przeczytasz również tutaj:

Być może zainteresuje Cię również kwestia rozsyłania mailingu za pomocą MailChimp:

Mam dla Ciebie również dwa wpisy o prawnych aspektach e-mail marketingu:

Nie zapomnij również o ważnym problemie umowy powierzenia danych:

BONUS: zalecenia wdrożeniowe dla sklepu internetowego

Dodatkiem do tego artykułu są zalecenia wdrożeniowe dla sklepu internetowego.

Dodatek dostępny jest dla subskrybentów newslettera.

Prakreacja.pl

 

Niestety, ale wybrałeś/aś brak obsługi systemu komentarzy Disqus w menu cookies. Zmień to ustawienie, żeby zobaczyć w tym miejscu komentarze.