Europejski rynek e-commerce generuje miliardy dolarów rocznego przychodu, a jego wzrost wciąż przyspiesza. Unia Europejska ma obecnie drugą co do wielkości gospodarkę na świecie i populację prawie 450 milionów ludzi, z dostępem do Internetu na poziomie ponad 80 procent.
Wyzwaniem regulacyjnym, przed którym stoją zarówno duże, jak i małe firmy, jest ogólne rozporządzenie o ochronie danych (RODO).
RODO zapewnia konsumentom w UE ochronę i kontrolę nad tym, w jaki sposób ich dane osobowe są gromadzone czy wykorzystywane, ale jak z tą regulacją powinny poradzić sobie sklepy?
Konsumentom zależy na prywatności danych
Wdrożenie RODO w sklepie (internetowym) to wyzwanie, z którym boryka się każdy właściciel takiego biznesu. W czasach, gdy dane osobowe stały się cennym towarem, klienci na całym świecie są coraz bardziej zaniepokojeni prywatnością swoich danych. Według badania pt. „Rosnące znaczenie prywatności. Znaczenie i wpływ” przeprowadzonego przez Cisco:
- 94% organizacji twierdzi, że ich klienci nie będą od nich kupować, jeśli dane nie będą odpowiednio chronione;
- 95% organizacji uważa, że wszyscy ich pracownicy muszą wiedzieć, jak chronić prywatność danych;
- 95% organizacji uważa prywatność za imperatyw biznesowy.
W odpowiedzi na te obawy, firmy muszą wprowadzać innowacyjne rozwiązania chroniące prywatność, aby dbać o utrzymanie zaufania klientów.
Czy muszę wdrożyć RODO w sklepie?
Bez względu na to, czy handlujesz w modelu B2B, czy B2C, przetwarzanie danych osobowych jest niezbędne do realizacji zamówień. Dlatego też konieczne jest zastosowanie RODO, aby działać zgodnie z prawem. Nawet jeśli Twoja firma nie jest zarejestrowana w Unii Europejskiej, ale przetwarzasz dane osób z UE w związku z oferowaniem towarów lub monitorowaniem ich zachowań, musisz dostosować się do RODO.
Jakie działania podjąć, aby dostosować sklep do RODO?
RODO wymaga zapewnienia bezpieczeństwa przetwarzania danych, ale nie narzuca konkretnych metod. Dlatego proces wdrożenia powinien być dostosowany do specyfiki Twojego sklepu i modelu biznesowego (sprzedawca działający w modelu dropshippingu potrzebuje innych dokumentów niż sprzedawca posiadający magazyn, zatrudnionych pracowników oraz prowadzący kontakty biznesowe z krajami spoza EOG).
Jednak podstawą dla każdego przedsiębiorcy mogą być następujące, uniwersalne kroki:
- Przeprowadź dokładny audyt procesów przetwarzania danych osobowych, zwłaszcza procesu sprzedaży.
- Na podstawie zebranych danych dokonaj analizy ryzyka dla osób, których dane będą przetwarzane.
- Wybierz odpowiednie środki bezpieczeństwa minimalizujące ryzyka.
- Przygotuj dokumentację RODO na wewnętrzne potrzeby firmy.
- Przygotuj dokumenty z zakresu ochrony danych osobowych, które będziesz wykorzystywać w relacjach z klientami i partnerami biznesowymi.
Co powinna zawierać wewnętrzna dokumentacja RODO?
Dokumentacja powinna odpowiadać na potrzeby i ryzyka, zdefiniowane wcześniej. Pakiet minimum powinien obejmować:
- Politykę ochrony danych osobowych
- Rejestr czynności przetwarzania danych
- Rejestr kategorii czynności przetwarzania
- Procedurę realizacji uprawnień osób fizycznych
- Procedurę postępowania w przypadku naruszeń
- Rejestr naruszeń danych
- Analizę ryzyka
- Wzory klauzul informacyjnych
- Wzory oświadczeń dla personelu
- Wykaz środków ochrony danych
Jakie dokumenty skierowane do klientów/kontrahentów powinien posiadać sklep?
Aby w pełni działać legalnie, konieczne jest spełnienie obowiązków wynikających z RODO także wobec osób spoza firmy.
Jeśli zbierasz dane klientów – konieczne będzie zrealizowanie wobec nich obowiązku informacyjnego.
Jeśli prowadzisz sklep internetowy – zamieść na nim dobrą politykę prywatności. O najczęściej popełnianych błędach przy jej tworzeniu możesz przeczytać tutaj: Jak (nie) pisać polityki prywatności – dobre praktyki – iSecure. Pamiętaj także o zaopiekowaniu się tematem plików cookie.
Jeśli zawierasz umowy z kontrahentami, którzy np. pośredniczą w sprzedaży Twoich towarów i przekazujesz im dane swoich klientów – rozważ, czy nie będzie konieczne zawarcie dodatkowych umów regulujących kwestie danych osobowych (np. umowa powierzenia przetwarzania danych).
Jeśli chcesz spróbować zwiększyć swoją sprzedaż i skierować treści o charakterze marketingowym do swoich klientów – pamiętaj o adekwatnych zgodach uwzględniających także prawo telekomunikacyjne/ustawę o świadczeniu usług drogą elektroniczną.
Jakie uprawnienia z RODO mają klienci wobec sklepów internetowych?
Klienci posiadają szereg uprawnień związanych z danymi osobowymi, które administrator – właściciel sklepu, musi respektować. Zalicza się do nich zamknięty katalog wymieniony w art. 15-22 RODO:
- prawo dostępu do danych – klient ma prawo żądać od Ciebie informacji o tym, jakie dane osobowe są przetwarzane, w jakim celu, przez jaki okres oraz czy i komu są udostępniane;
- prawo do sprostowania danych – klient ma prawo żądać sprostowania swoich danych osobowych, jeśli uważa, że są one nieprawdziwe lub nieaktualne;
- prawo usunięcia lub ograniczenia przetwarzania – klient ma prawo żądać ograniczenia przetwarzania swoich danych osobowych, jeśli np. kwestionuje ich prawidłowość lub uważa, że przetwarzanie jest niezgodne z prawem. Jednocześnie klient ma prawo do bycia zapomnianym tj. może żądać usunięcia wszelkich jego danych osobowych, jeśli nie ma już podstaw prawnych do ich dalszego przetwarzania;
- prawo do przenoszenia danych – klient ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie, który umożliwia ich przeniesienie do innego administratora danych;
- prawo do wniesienia sprzeciwu – klient ma prawo wnieść sprzeciw wobec przetwarzania swoich danych osobowych, jeśli uważa, że prawa i wolności klienta przeważają nad interesem administratora danych. Sprzeciw można wnieść m.in. wobec przetwarzania danych w celach marketingu bezpośredniego;
- prawo do niepodlegania decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu – klient ma prawo żądać, aby decyzje dotyczące jego osoby nie były oparte wyłącznie na zautomatyzowanym przetwarzaniu danych, jeśli mają one istotny wpływ na jego sytuację (np. profilowanie klientów w celu przyznania im rabatów);
- prawo do cofnięcia zgody na przetwarzanie danych – jeśli przetwarzanie danych osobowych odbywa się na podstawie zgody klienta, ma on prawo w dowolnym momencie cofnąć tę zgodę, co jednak nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
Informacja o tych prawach klientów powinna być zawarta w polityce prywatności sklepu internetowego, udostępnianej klientowi podczas zbierania danych osobowych, na przykład podczas rejestracji konta czy składania zamówienia.
Podsumowanie
RODO było i nadal jest najbardziej przełomową regulacją z zakresu ochrony danych osobowych we współczesnym świecie i (nie)stety ciężko znaleźć branżę, która nie musiałaby się do niej dostosować. Większość czynności wykonywanych przez przedsiębiorców wiąże się z przetwarzaniem danych osobowych osób fizycznych – klientów, pracowników, kontrahentów, a to rodzi określone obowiązki.
Aby cały proces wdrażania RODO przebiegł prawidłowo, istotne jest:
- przeprowadzenie dokładnego audytu procesów przetwarzania danych osobowych w Twoim sklepie;
- na podstawie wyników audytu, określenie procesów przetwarzania danych osobowych;
- przeprowadzenie analizy ryzyka opartej na zebranych i opracowanych materiałach (należy pamiętać, że jest to proces ciągły, który wymaga regularnej aktualizacji dokumentacji, procedur i procesów);
- na podstawie wyników analizy, określenie potrzeb i dobór odpowiednich środków zabezpieczających dane osobowe;
- przygotowanie dokumentacji RODO do użytku wewnętrznego i w relacjach z podmiotami zewnętrznymi, zwłaszcza z klientami i partnerami biznesowymi.