RODO w sklepie internetowym. Jakie zabezpieczenia są istotne dla branży e-commerce?

RODO w sklepie internetowym. Jakie zabezpieczenia są istotne dla branży e-commerce?
O autorze
5 min czytania 2022-11-14

Przepisy związane z przetwarzaniem danych osobowych zawarte zwłaszcza w Rozporządzeniu Ogólnym o Ochronie Danych Osobowych z 25 maja 2018 roku (RODO), dotyczą każdego przedsiębiorcy. Obowiązki, które wynikają z RODO są wiążące również dla branży e-commerce i w wyniku tego mogą wymagać wdrożenia konkretnych procedur, aby zapewnić realizację przepisów RODO. Na czym polegają takie procedury?

RODO i obowiązki, jakie niesie ze sobą dla podmiotów z branży e-commerce

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych, obowiązuje w Polsce od 25 maja 2018 roku, funkcjonuje już od czterech lat. Można więc wnioskować, że przedsiębiorcy będą już doskonale zaznajomieni z ogólnymi założeniami, które dotyczą ochrony danych osobowych. Jednak do pełnej implementacji rozporządzenia w e-sklepie z pewnością nie wystarczy ogólne, pobieżne poznanie założeń RODO.

Przedsiębiorcy powinni znać swoje obowiązki na tyle drobiazgowo, aby móc realizować je w ramach codziennej działalności. Najistotniejsze obowiązki wynikające z RODO dla sklepu internetowego, to:

  • obowiązek wyznaczenia i informowania konsumentów o Administratorze Danych Osobowych (ADO),

    LinkedIn logo
    Na LinkedInie obserwuje nas ponad 100 tys. osób. Jesteś tam z nami?
    Obserwuj
  • możliwość przetwarzania danych niezbędnych, w minimalnym zakresie, w oparciu o konkretne przepisy prawa,

  • uprawnienia podmiotu, którego dane są przetwarzane (np. prawo do bycia zapomnianym),

    Słuchaj podcastu NowyMarketing

  • transparentność w zakresie transferu danych (w szczególności poza EOG),

    NowyMarketing logo
    Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?
    Rozwijaj się
  • uprawnienia i dane Inspektora Ochrony Danych, jeżeli główna działalność podmiotu obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę,

  • zgłaszanie wycieku danych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Wymagana dokumentacja według RODO

Przepisy rozporządzenia nie określają minimalnego pakietu dokumentów, które w pełni wystarczą i zapewniają zgodność z RODO. W rezultacie, w celu sporządzenia kompletu dokumentacji, najlepiej skorzystać z pomocy eksperta. Po analizie sytuacji faktycznej firmy, przedstawi on konkretny pakiet dokumentów, dzięki któremu przedsiębiorca zyska gwarancję bezpieczeństwa prowadzonego sklepu internetowego. 

Bez uwzględniania stanu faktycznego danej firmy, można jednak wskazać pewne ogólne, przykładowe typy dokumentów, które są najbardziej typowe dla RODO sklepu internetowego.

Przede wszystkim znaczenie ma Polityka prywatności – jest to w zasadzie najważniejszy dokument, określający całokształt podstawowych reguł związanych z przetwarzaniem danych. Polityka prywatności musi zawierać głównie:

  • dane Administratora Danych,

  • Informacje dot. miejsca i zakresu przetwarzanych danych,

  • pouczenia o przysługujących prawach,

  • informację, jak można skontaktować się z Administratorem,  

  • informacje o okresie przetwarzania danych,

  • podstawy prawne przetwarzania danych.

Z kolei Polityka cookies powinna uwzględniać również podstawowe, skrócone informacje, a w szczególności: z jakich narzędzi śledzących korzysta e-sklep, powiadomienie o braku obowiązku wyrażenia zgody na przetwarzanie cookies oraz powiadomienie, że dane użytkownika mogą zostać usunięte z bazy. Jednocześnie warto zawrzeć ostrzeżenie, że w wyniku niezaakceptowania ciasteczek, niektóre funkcje strony mogą przestać działać, jak np. wtyczki społecznościowe.

Polityka prywatności i Polityka cookies to dwa dokumenty, które powinny uwzględniać specyfikę danej działalności. Zaprojektowanie ich w sposób indywidualny sprawi, że faktycznie okażą się przydatne i skuteczne dla sklepu internetowego. Warto zlecić ich sporządzenie podmiotowi specjalizującemu się w obsłudze RODO, np. kancelarii prawnej realizującej takie usługi. Niestety, ale gotowe wzorce pobrane z sieci nie spełnią swojego celu. 

Oprócz tego przetwarzanie danych osobowych musi odbywać się w oparciu o podstawę prawną, którą będzie np. zgodna na przetwarzanie danych osobowych. Warto zastanowić się, jak pobierana i przechowywana będzie zgodna udzielona przez użytkowników na przetwarzanie ich danych osobowych. To bardzo ważne zarówno z technicznej, jak i prawnej perspektywy. Wyrażenie zgody nie może sprawiać trudności konsumentom, a także musi być przechowywane w razie kontroli PUODO – po to, aby podmiot mógł szybko wykazać, że dane są przetwarzane zgodnie z prawem i w oparciu o określoną podstawę.

Jeśli sklep internetowy ma działać zgodnie z RODO, klienci muszą wyrazić zgodę również na przesyłanie newslettera. Z reguły zgoda na przetwarzanie treści marketingowych obejmuje też maila z prośbą o wystawienie opinii po zakupie (tego typu wiadomość także jest przetwarzaniem danych osobowych). Należy pamiętać o tym fakcie, tworząc dokumentację RODO. 

Gdy struktura biznesowa sklepu jest skomplikowana i uwzględnia udział w procesie sprzedażowym oraz posprzedażowym kilku podmiotów (nawet powiązanych osobowo lub kapitałowo), konieczna może być też umowa o przetwarzaniu danych. Trzeba pamiętać, że do przetwarzania danych uprawniony jest jedynie administrator, któremu zgoda taka została udzielona. Powierzenie przetwarzania podmiotowi trzeciemu wymaga więc sporządzenia odrębnej umowy.

Dodatkowo dokumentacja RODO dla sklepu online może wymagać również przygotowania:

  • polityki bezpieczeństwa informacji,

  • Instrukcji zarządzania systemem informatycznym,

  • Polityki plików cookies,

  • Rejestru czynności przetwarzania danych osobowych,

  • Rejestru incydentów związanych z naruszeniami danych osobowych,

  • Upoważnienia do przetwarzania danych osobowych,

  • Rejestru osób upoważnionych do przetwarzania danych osobowych,

  • Wzoru oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych.

Są to jedynie przykłady typowych dokumentów, które najczęściej bywają potrzebne, aby zapewnić zgodność sklepu  z rozporządzeniem. Ostateczna ocena, jakie dokumenty okażą się niezbędne, zależy od indywidualnej sytuacji i charakterystyki danego przedsiębiorstwa. 

Co jeszcze ma znaczenie dla sklepu internetowego?

Nie można pominąć również innych wymogów regulacyjnych, które powinien spełniać sklep internetowy. Zawiera je m.in. kodeks cywilny. Aby zapewnić jak największą zgodność z prawem, poza dokumentacją RODO, konieczne może być sporządzenie:

  • Regulaminu sklepu, który nie będzie zawierał klauzul niedozwolonych w obrocie z konsumentami. Regulamin musi również określać kwestie techniczne, takie jak warunki płatności, moment przejścia odpowiedzialności, moment zawarcia umowy czy sposoby dostawy.

  • Regulaminu zwrotów realizującego głównie przepisy prawa konsumenckiego (w tym np. zasady realizowania prawa do odstąpienia od umowy bez podania przyczyny w terminie 14 dni) oraz wskazującego adres do odsyłki i inne kwestie szczególne (takie jak np. wyłączenie odbioru przesyłek za pobraniem). 

  • Procedur rozpatrywania reklamacji, które uwzględniają problematykę rękojmi i gwarancji. To bardzo ważne, gdyż przepisy dotyczące rękojmi w sprzedaży konsumenckiej zawierają cztery rodzaje uprawnień konsumenta w razie wystąpienia wady i każdy z nich związany jest z wystąpieniem pewnych okoliczności, które rozpatrujący reklamację musi uwzględnić.

Według RODO administrator powinien wdrożyć właściwe środki techniczne i organizacyjne, które zapewnią ochronę danych osobowych. W przypadku środków organizacyjnych będzie to m.in. wspomniana wyżej dokumentacja RODO. Do środków technicznych zaliczymy za to np. obowiązek stosowania zabezpieczeń sieciowych sklepów czy skomplikowanych haseł, jednak będzie to zależne od konkretnego przedsiębiorstwa. Istotne jest to, że obowiązek ten spoczywa zawsze na administratorze. 

Sankcje za naruszenie przepisów RODO

Istnieją dwa przewidziane rodzaje kar za naruszenie przepisów RODO. Oczywiście najbardziej dotkliwa z nich to utrata renomy sklepu internetowego, ponieważ informacje o nałożeniu kary są publikowane przez PUODO i mogą być jawne. Dlatego jeśli dojdzie do naruszenia danych, to klienci sklepu internetowego mogą dowiedzieć się o naruszeniu od PUODO. A to na pewno wpłynie na wiarygodność firmy w oczach klientów i może poskutkować utratą rynkowej renomy oraz zaufania konsumentów.

Pierwsza z sankcji, które RODO przewiduje wprost, to sankcja karna. Podlega jej ten, kto przetwarza dane osobowe, mimo że ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie został uprawniony. Takiej osobie grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch.

Druga to administracyjna kara pieniężna. W tym przypadku wysokość kary jest ustalana w zależności od rodzaju i skali naruszenia. Trzeba jednak wskazać, że może wynieść ona nawet do 20.000.000 euro albo 4% obrotu przedsiębiorstwa za rok poprzedni (zależnie od tego, która z tych kwot jest wyższa). Karze podlega Administrator Danych Osobowych i zazwyczaj jest ona niższa niż te wskazane w poprzednim zdaniu. Mimo to jej dotkliwość i tak bywa dużym, finansowym ciosem dla firm.

Jako przykład kary pieniężnej nałożonej przez Prezesa UODO w związku z wyciekiem danych osobowych można wskazać karę nałożoną na stronę Morele.net. Spółka obsługują ten e-sklep otrzymała w 2019 roku niemal 3 miliony zł kary za naruszenie RODO. Niedużo niższą karę, bo w wysokości 2 milionów zł, otrzymał za nieprzestrzeganie reguł RODO znany operator telefonii komórkowej Virgin Mobile. 

Ze względu na poważne problemy wynikające z niezapewnienia zgodności z RODO, warto zadbać o przygotowanie maksymalnie szczegółowej dokumentacji. Z pewnością najlepszym rozwiązaniem będzie więc skorzystanie ze wsparcia adwokata lub radcy prawnego specjalizującego się w prawie e-commerce.