Nawigacja

Gdy otrzymuję zapytanie ofertowe od właściciela sklepu internetowego, najczęściej dotyczy ono przygotowania regulaminu i polityki prywatności. Odpisuję, że oczywiście opracowuję takie dokumenty, ale to tylko fragment całego procesu prawnego wdrożenia e-sklepu. Istotnym elementem tego procesu jest jeszcze spełnienie wymagań związanych z ochroną danych osobowych.

W dzisiejszym wpisie przedstawię, co trzeba wdrożyć w sklepie internetowym, by te wymagania związane z ochroną danych osobowych spełnić.

Partnerem tego wpisu jest MMC Polska – wiodący i niezależny organizator spotkań biznesowych w Polsce, który rokrocznie przygotowuje niemal kilkadziesiąt projektów szkoleniowo-konferencyjnych. Lider w kategorii konferencji dedykowanych dla branży telekomunikacyjnej, mediów, finansów i energetycznej.

logo_onas-300x76W ramach współpracy z MMC, objąłem patronatem szkolenie pt. “Rozwój ochrony danych osobowych w praktyce“, które odbędzie się w dniach 09.03 – 10.03.2015 r. w hotelu Westin w Warszawie. Celem szkolenia jest ugruntowanie wiedzy dotyczącej ochrony danych osobowych oraz szczegółowe zapoznanie się ze zmianami wynikającymi z nowelizacji ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r. Jeśli chcesz pogłębić swoją wiedzę z zakresu danych osobowych, zapraszam do udziału w szkoleniu.

Regulamin i polityka prywatności to nie wszystko

Postanowienia dotyczące danych osobowych znajdują się najczęściej w regulaminie i polityce prywatności. Sprzedawca wskazuje, że przetwarza dane w celu realizacji zamówienia oraz informuje klienta, że ten może wyrazić dodatkowe zgody na przetwarzanie danych w celach marketingowych, otrzymywania newslettera, informacji handlowych.

Same postanowienia w regulaminie i polityce prywatności to jednak nie wszystko, czym trzeba zająć się, gdy chodzi o dane osobowe w sklepie internetowym. Konieczne jest jeszcze:

  • odpowiednie zaprojektowanie procesu zbierania zgód od klienta na przetwarzanie danych,
  • identyfikacja i wyodrębnienie poszczególnych zbiorów danych w obrębie e-sklepu,
  • zawarcie umów o powierzenie danych,
  • przygotowanie wewnętrznej dokumentacji ochrony danych,
  • zgłoszenie zbiorów danych do GIODO,
  • wdrożenie procedur przestrzegania danych w firmie i przeszkolenie pracowników.

Jak widać, obowiązków jest sporo, a sprzedawcy często nie zdają sobie z nich sprawy. Poniżej omówię pokrótce każdy z nich, by przybliżyć, w czym rzecz.

>> Zbieranie zgód na przetwarzanie danych

Zbieranie zgód odbywa się najczęściej poprzez zaznaczanie przez użytkownika stosownych checkboxów. Niby nic trudnego. Problem polega jednak na rozdzieleniu poszczególnych zgód i nadaniu im odpowiedniej treści. Oddzielna zgoda powinna być na marketing, oddzielna na newsletter i oddzielna na informacje handlowe. Często widzę natomiast zgody łączone w jedną, co jest błędem.

Błędem jest również wymuszanie udzielania przez użytkownika zgód, które powinny być dobrowolne. Nie można uzależniać możliwości złożenia zamówienia, czy założenia konta w sklepie od zgody na marketing, newsletter, czy informację handlową.

Checkboxy powinny być odznaczone. Można spierać się na ten temat, ale ze względu na wymóg dobrowolności zgody, bezpieczniej ustawić checkboxy na domyślnie niezaznaczone.

>> Zbiory danych w e-sklepie

Identyfikacja i wyodrębnienie poszczególnych zbiorów danych to zadanie ważne, bo rzutujące na treść wewnętrznej dokumentacji ochrony danych, na procedury tej ochrony oraz na proces zgłoszenia zbiorów do GIODO.

Tutaj sprawa znów wydaje się oczywista, bo przecież mamy jeden zbiór danych klientów. GIODO jednak patrzy na to inaczej i stoi na stanowisku, że jeden zbiór może obejmować tylko jeden cel przetwarzania danych.

W związku z tym, oddzielny zbiór powinniśmy mieć np. na dane służące do realizacji zamówienia i dane do wysyłki newslettera, czy też dane do rozpatrywania reklamacji. Uważam jednocześnie, że nie ma co popadać w ekstremizm i nadmiernie rozbijać cele, ale należy każdorazowo zastanowić się nad nimi i skonfrontować je ze stanowiskiem GIODO o konieczności rozbijania zbiorów wg celów przetwarzania.

>> Umowy o powierzenie danych

Dane osobowe klientów przechowywane są najczęściej przez hostingodawcę. To on zapewnia dostęp do serwera i bazy danych. Zatem z takim hostingodawcą powinna zostać zawarta umowa o powierzeniu danych w zakresie ich przechowywania. Jeśli wysyłka newslettera realizowana jest przez zewnętrzny podmiot, również w tej relacji konieczna będzie umowa o powierzenie.

Umowa o powierzenie danych powinna zostać zawarta także w sytuacji, gdy za dostawę towarów odpowiada podmiot trzeci. Dotyczy to w szczególności dropshippingu, gdy to dostawca wysyła produkt do klienta. By przygotować zamówienie do wysyłki, potrzebuje danych klienta, które właściciel sklepu musi mu powierzyć zgodnie z przepisami ustawy.

>> Wewnętrzna dokumentacja ochrony danych

Ustawa o ochronie danych osobowych przewiduje konieczność wdrożenia wewnętrznej dokumentacji ochrony danych, która obejmuje:

  • politykę bezpieczeństwa ochrony danych,
  • instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Są to dwa dokumenty obowiązkowe, od których nie ma odwrotu, gdy chcemy działać w zgodzie z ustawą. Ich treść reguluje rozporządzenie wykonawcze. Ta treść może wydawać się sprzedawcy groteskowa, śmieszna i absurdalna, ale dokumentację trzeba mieć – przynajmniej w podstawowym wydaniu.

>> Zgłoszenie zbiorów do GIODO

Zidentyfikowane i wyodrębnione w obrębie e-sklepu zbiory danych należy zgłosić do GIODO.

Jest to kolejny formalny obowiązek, którego jednak od 1 stycznia 2015 r. można uniknąć, powołując Administratora Bezpieczeństwa Informacji (ABI). O zadaniach i obowiązkach takiego administratora można byłoby dużo napisać, ale nie chcę zaśmiecać wpisu. Tym bardziej, że większość e-sklepów, szczególnie tych mniejszych, zapewne nie zdecyduje się na powołanie ABI.

W konsekwencji, znaczna część sprzedawców będzie zgłaszać zbiory danych wykorzystywane w obrębie swoich sklepów do GIODO.

>> Procedury w firmie i szkolenia

Tam, gdzie przetwarzane są dane osobowe, tam powinny obowiązywać określone procedury związane z przetwarzaniem tych danych.

Procedury opisane zostały wcześniej w wewnętrznej dokumentacji, więc pozostaje stosować się do nich. W przypadku sklepów o większej strukturze organizacyjnej, trzeba w tym celu przeszkolić pracowników, nadać stosowne upoważnienia do przetwarzania danych etc.

Chodzi o to, by zapisy w dokumentacji nie były tylko pustymi słowami, ale by szły za tym czyny w postaci konkretnych procedur obowiązujących w firmie.

Myślisz poważnie o sklepie internetowym?

Przeczytaj: sklep internetowy – wdrożenie prawne krok po kroku.

Podsumowanie

Prawne wdrożenie sklepu internetowego to proces, który składa się z kilku etapów. Przygotowanie regulaminu i polityki prywatności to nie wszystko.

Istotną częścią jest zapanowanie nad danymi osobowymi. Obowiązków jest tutaj sporo i rzetelne wywiązanie się z nich wymaga bardziej dokładnego pochylenia się nad problemem i odrobiny cierpliwości.

Potrzebujesz indywidualnej pomocy?

Napisz do mnie na adres wojciech.wawrzak@prakreacja.pl.

Mam do Ciebie prośbę. Podaj dalej ten tekst w swoich kanałach społecznościowych. Dzięki poniższym przyciskom zajmie Ci to tylko chwilę, a ja dotrę ze swoim przekazem do szerszego grona.

O sklepie internetowym przeczytasz również tutaj:

Być może zainteresuje Cię również kwestia rozsyłania mailingu za pomocą MailChimp:

Mam dla Ciebie również dwa wpisy o prawnych aspektach e-mail marketingu:

Nie zapomnij również o ważnym problemie umowy powierzenia danych:

Jeśli chcesz otrzymywać więcej porad prawnych dotyczących prowadzenia sklepu internetowego, zapisz się na mój newsletter. Zero SPAMu, wiadomość raz w tygodniu, tylko soczysty konkret.

Powyższych zgód udzielasz mi, czyli Wojciechowi Wawrzak, prowadzącemu działalność gospodarczą pod firmą “Usługi prawne i księgowe Wojciech Wawrzak” z siedzibą w Łodzi (93-279), ul. Tatrzańska 91/51.

  • http://artexpo.com.pl

    Dane osobowe każdego z nas są już w tylu rękach, że nawet nie zdajemy sobie o tym sprawy, a potem pojawiają się wiadomości o wygranej w konkursie – widmo…

  • Rafał Tochman

    Pisząc o zgodach warto zwróci uwagę, aby nie przesadzić też w drugą stronę i nie zbierać zgód, które nie są potrzebne. Jak widzę “zgodę na przetwarzanie danych w celu realizacji zamówienia” to mnie krew zalewa 😉

    • Dokładnie! GIODO stoi wręcz na stanowisku, że nie powinno się takiej zgody zbierać, bo to sugeruje, że można ją wycofać, co jest nieprawdą w takim przypadku.

      • Jakub

        Wykaże się kompletna ignorancją, ale co sugeruje że można wycofać zgodę?

        • Ogólne zasady wyrażania zgód – jeśli jakąś zgodę wyrażasz, to zawsze możesz ją cofnąć.

  • Dlaczego nie powoływać ABI? Nie jest to wygodniejsze?

    • Powoływanie ABI ma sens, gdy powołuje się człowieka kompetentnego, który rzeczywiście będzie ochroną danych osobowych zajmował się profesjonalnie. Jeśli ma być to tylko “słup”, nie ma to większego sensu.

  • Paweł

    Witam,

    mam pytanie dotyczące części: “Wewnętrzna dokumentacja ochrony danych”, a konkretnie upoważnienia do przetwarzania danych osobowych dla współmałżonka.
    W sieci znajduję informacje, mówiące o tym, że ADO może wystawić upoważnienie każdej osobie fizycznej jeżeli uzna, że potrzeba dostępu do danych jest w pełni uzasadniona, a forma zatrudnienia nie ma znaczenia w kontekście wydawania upoważnień. Jednak informacje na temat upoważnienia pojawiają się zawsze w kontekście “formy zatrudnienia”.
    Moje pytanie: Jak sytuacja wygląda w przypadku braku zatrudnienia?

    Studium przypadku.
    Jeden z małżonków rejestruje jednoosobową działalność gospodarczą: sklep internetowy, w ramach którego podany jest numer telefonu – jako jedna z form kontaktu, pozostając w stosunku pracy, co uniemożliwia pełną dyspozycyjność w zakresie odbierania telefonu. Współmałżonek nie jest zatrudniony, w związku z czym ma możliwość odbierania telefonów i mógłby to robić w zakresie pomocy małżeńskiej, nie wymagającej zatrudnienia w ramach DG.
    Czy – w związku z powyższym, możliwe jest wystawienie upoważnienia do przetwarzania danych osobowych dla współmałżonka pozostającego bez zatrudnienia?
    Jeżeli tak, czy niezbędny jest przy tym jakiś dodatkowy dokument, np. umowa/oświadczenie o zachowaniu poufności?

    Pozdrawiam serdecznie.

    • Dzień dobry! Uważam, że jak najbardziej w tej sytuacji możliwe jest upoważnienie do przetwarzania danych. Upoważnieniu zawsze towarzyszy zobowiązanie podmiotu upoważnianego do zachowania poufności.

  • certyfikatydo

    Warto zwrócić uwagę na fakt, że zasady przetwarzania danych osobowych dla sklepów internetowych już niedługo się zmienią. Warto o tym poczytać na http://certyfikatydo.pl/dane-osobowe-w-s…pie-internetowym/ ‎Edytuj