RODO a sklep internetowy – umowa powierzenia danych z dostawcą oprogramowania

Jeśli prowadzisz sklep internetowy, tematyka RODO z pewnością nie jest ci obca. Być może zastanawiałeś się, czy powinieneś zawierać umowę powierzenia przetwarzania danych osobowych z dostawcą oprogramowania do obsługi sklepu internetowego.

Odpowiedź na to pytanie jest twierdząca: powinieneś taką umowę zawrzeć.

Dlaczego? Dostawca oprogramowania typu SaaS w większości przypadków jest procesorem. Oznacza to, że przetwarza dane osobowe, w stosunku do których jesteś administratorem.

Skomplikowane? Omówię to na przykładzie sklepu internetowego.

Spis treści

Dla twojej wygody przygotowałem spis treści, który ułatwi ci poruszanie się po tej stronie.

Umowa powierzenia danych – wideo

Ten artykuł powstał na bazie odcinka cyklu „Zapytaj prawnika” poświęconego umowie powierzenia danych z dostawcą oprogramowania do obsługi sklepu internetowego. Wideo dostępne poniżej.

Wszystkie odcinki cyklu „Zapytaj prawnika” znajdziesz na dedykowanej playliście w serwisie YouTube. Pod każdym z filmów możesz zostawiać pytania do kolejnych nagrań.

Przetwarzanie danych w sklepie internetowym

Prowadzisz sklep internetowy, korzystając z oprogramowania typu SaaS. Twoi klienci składają zamówienia, a ty realizujesz je w ramach mechanizmu sklepu internetowego.

Sklep nie jest zlokalizowany na twoim serwerze – korzystasz z usługi, w ramach której po zalogowaniu się do panelu uzyskujesz dostęp do zamówień.

Wszystkie dane przechowywane są w infrastrukturze sklepu.

Jesteś administratorem danych osobowych swoich klientów oraz danych, które podają w formularzach zamówień.

Nie przetwarzasz jednak tych danych samodzielnie, ponieważ robisz to z wykorzystaniem podmiotu przetwarzającego dane osobowe, czyli dostawcy rozwiązania typu SaaS. I w tym oprogramowaniu dochodzi do przetwarzania danych, a przynajmniej do ich przechowywania.

W związku z tym dostawca tego oprogramowania jest podmiotem przetwarzającym.

Najczęściej dostawca oprogramowania sklepu internetowego działa na podstawie regulaminu. Rejestrując się w jego usłudze, akceptujesz regulamin określający, na jakich zasadach możesz z niej korzystać.

Coraz częściej regulamin taki obejmuje też umowę powierzenia przetwarzania danych. Akceptując go, nie musisz zawierać dodatkowej umowy. Ale nie zawsze tak jest.

Zanim wybierzesz dostawcę oprogramowania SaaS

Zanim wybierzesz dostawcę usługi w modelu Saas, w ramach której przetwarzane będą dane osobowe, sprawdź, czy w regulaminie wykazane są zasady dotyczące przetwarzania danych.

Upewnij się, czy są one należycie opisane i zgodne z RODO.

To ważne, ponieważ RODO, czyli rozporządzenie unijne dotyczące przetwarzania danych osobowych, przewiduje pewne minimum, jakie musi spełniać każda umowa powierzenia.

Samo zawarcie umowy nie wyczerpuje tematu. Jako administrator danych osobowych powinieneś korzystać z takich podmiotów przetwarzających, które dają rękojmię odpowiedniego przetwarzania tych danych.

Upewnij się, że dane są poufne i przetwarzane w bezpieczny sposób.

Audyt procesora, czyli co warto sprawdzić

Jak to sprawdzić? Weryfikujemy to w ramach tzw. audytu procesora, czyli audytu podmiotu przetwarzającego.

Optymalny audyt zakłada, że sprawdzasz dostawcę oprogramowania, zadając mu określone pytania: czy ma politykę ochrony danych osobowych, jak je chroni, czy nadaje upoważnienia, jakie są lokalizacje przetwarzania.

Taki audyt jest możliwy, jednak w przypadku większości usług typu SaaS – mocno utrudniony.

Przykładowo, jeśli korzystasz z usług podmiotu zagranicznego, ciężko będzie przeprowadzić audyt indywidualnie. W takiej sytuacji powinieneś samodzielnie przejrzeć dokumentację, którą dostawca oprogramowania udostępnia na swojej stronie internetowej.

Każdy profesjonalny usługodawca powinien mieć na swojej stronie zakładkę taką jak RODO, prywatność czy bezpieczeństwo.

Jeżeli takich treści nie ma i dany podmiot nie komunikuje niczego związanego z danymi osobowymi, to powinna być to dla ciebie pierwsza lampka ostrzegawcza.

Co możesz zrobić?

Napisz do działu obsługi klienta z prośbą o udostępnienie szczegółów przetwarzania danych, które będziesz wprowadzać do systemu. Dowiedz się, jak są chronione, gdzie są przechowywane i czy są bezpieczne.

Jeżeli dostawca podchodzi do sprawy profesjonalnie, otrzymasz od niego zasoby, które pozwolą ci zweryfikować, w jaki sposób zapewnia bezpieczeństwo danych.

Zwróć szczególną uwagę na to, czy dane z tego oprogramowania nie są transferowane poza Unię Europejską. Często zdarza się, że dostawcy usług SaaS nie bazują na własnych serwerach, tylko korzystają z chmury.

Ważne jest, czy chmura przechowuje dane na terenie UE czy poza nią, np. w USA. W tym drugim przypadku może się pojawić problem z transferem danych osobowych.

Umowa powierzenia danych z dostawcami innych usług

Podmiotem przetwarzającym jest każdy podmiot, który przetwarza dane, w stosunku do których ty jesteś administratorem.

Sytuacja taka została pokazana na przykładzie sklepu internetowego i oprogramowania do obsługi zamówień, ale równie dobrze podmiotem przetwarzającym dane może być:

system fakturowy,
biuro rachunkowe,
informatyk,
podwykonawca z dostępem do twojej bazy,
system CRM,
system mailingowy.

Za każdym razem, gdy zdiagnozujesz, że masz do czynienia z podmiotem przetwarzającym, sprawdź, czy w sposób właściwy postępuje z danymi osobowymi. Finalnie powinieneś z takim podmiotem zawrzeć umowę powierzenia.

W praktyce często zawierana jest ona w sposób elektroniczny, czyli poprzez akceptację regulaminu, który zawiera postanowienia dotyczące powierzenia przetwarzania danych osobowych.

W ramach kancelarii pra.Kreacja.legal przeprowadzamy dla klientów pełne wdrożenia RODO, wykonujemy również audyty podmiotów przetwarzających.

Możesz skorzystać też z pakietu RODO dostępnego w naszym sklepie, który pozwoli ci samodzielnie przejść przez proces wdrożenia.

Pakiet dokumentów przygotowany jest na podstawie najczęściej występujących przypadków związanych z przetwarzaniem danych osobowych. Dzięki temu będziesz mógł dostosować go do swojej sytuacji.

Bonus: zalecenia wdrożeniowe

Chcesz zupełnie nieodpłatnie otrzymać kompletne zalecenia wdrożeniowe dla sklepu internetowego? Zapisz się do newslettera, a w prezencie powitalnym otrzymasz link do pobrania gotowych zaleceń.

Pomoc dla sklepów internetowych

Jeżeli potrzebujesz pomocy prawnej w związku z twoim sklepem internetowym, wyślij wiadomość na adres kancelaria@prakreacja.legal.

Jeżeli szukasz szybkiego rozwiązania, sprawdź pakiet dla sklepu internetowego.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityka”.
cookielawinfo-checkbox-functional	11 months	Plik cookie jest ustawiany przez zgodę na pliki cookie RODO, aby rejestrować zgodę użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checkbox-necessary	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Pliki cookie służą do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-others	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-performance	11 months	Ten plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent. Plik cookie służy do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajność”.
viewed_cookie_policy	11 months	Plik cookie jest ustawiany przez wtyczkę RODO Cookie Consent i służy do przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie. Nie przechowuje żadnych danych osobowych.