Jak już wspomniałem w artykule strony www zgodne z RODO, w całej Europie 25 maja 2018 zaczną obowiązywać nowe przepisy regulujące przetwarzanie danych osobowych. Sklepy internetowe to systemy informatyczne, które wyjątkowo intensywnie przetwarzają dane osobowe.
Są one dostępne dla osób obsługujących sklep internetowy i dla informatyków wewnątrz firmy. Co więcej, dochodzi tam do wymiany danych na drodze sklep – dostawca, sklep – operator płatności internetowych itd… a to wszystko trzeba „ogarnąć” pod katem prawnym. Pozbierać od klientów wymagane zgody i udostępnić techniczną możliwość zarządzania tymi danymi wraz z ich całkowitym usunięciem.
Dlaczego RODO w ogóle powstało i dlaczego jest nam potrzebne?
Pierwszym czynnikiem jest szybki rozwój technologii. Dotychczasowe przepisy nie były w stanie regulować szczegółowo przetwarzania danych. Dobrze ilustruje ten problem koncepcja „trudnego hasła”, która do tej pory była specyfikowana a przynajmniej podjęto takie wysiłki. Jak wiecie sami, hasło jako technika uwierzytelnienia jest już od dawna zastępowana innymi metodami takimi jak odcisk palca (np. w iPhone) czy rozpoznawania twarzy (Windows Hello z wykorzystaniem kamerki). RODO nie będzie nam wprost proponować poszczególnych rozwiązań a jedynie wytyczać poprawne ścieżki i sposób myślenia o danych osobowych.
Brak jednolitych zasad w poszczególnych krajach. Jak wiadomo internet zaciera granicę pomiędzy Państwami a świat staje się jedną wioską. Jednolitość prawa w poszczególnych krajach członkowskich zapewnia w ogóle możliwość uregulowania takich procesów jak sprzedaż i działania marketingowe, które jak wiemy są prowadzone na skalę globalną.
Szczególne poszanowanie i zwiększenie wartości danych osobowych. Obecnie mamy sytuację, w której firmy szastają naszymi danymi na prawo i lewo. RODO chce uregulować i uporządkować procesy związane z przetwarzaniem danych osobowych. Celem jest minimalizacja nadużyć i ułatwienie rozliczania firm z takich nadużyć.
RODO na straży danych osobowych
RODO nie proponuje implementacji a jedynie definiuje ogólne zasady według których należy projektować i utrzymywać sklepy internetowe. W śród nich pojawiają się takie pojęcia jak „privacy by design” i „privacy by default”. co to właściwie oznacza? Już spieszę z odpowiedzią.
Privacy by design – jest to zasada według której należy „przejmować” się przetwarzaniem danych już na początku projektowania sklepu internetowego czy też innego systemu informatycznego czy usługi przetwarzającej dane osobowe. Tworząc system informatyczny już na etapie zbierania wymagań, trzeba brać pod uwagę zasady RODO jako krytyczny czynnik ograniczający.
Privacy by design wymaga aby prowadzić działania zaradcze a nie naprawcze. Domyślnymi ustawieniami w systemach ma być najwyższa prywatność i ma być ona szanowana a wszelkie procesy, w których dochodzi do użycia danych osobowych mają być przejrzyste i transparentne.
W praktyce oznacza to że nasz sklep internetowy musi mieć włączony certyfikat SSL oraz musi udostępniać użytkownikom funkcje związane z zarządzaniem danych osobowych.
Privacy by defalut to zasada według której początkowe ustawienia użytkownika (np. w naszym sklepie internetowym) są tak dobrane aby maksymalnie chronić prywatność uzytkowników. Np. pokazuj mój e-mail i pokaż moje prawdziwe nazwisko mają być domyślnie wyłączone.
RODO w praktyce
Zasady, które wypunktowaliśmy w poprzedniej sekcji sprowadzają się do tego że, jako przedsiębiorcy musimy już na etapie wyboru wykonawcy i wyboru technologii przejmować się ochroną danych osobowych. RODO jest na tyle przyszłościowe, że mamy swobodę co do tego jakimi środkami zapewniamy prywatność i ochronę danych osobowych naszych klientów.
Jednocześnie RODO nie wskazuje szczegółowo jak dokumentować fazę projektowania sklepu czy innego systemu internetowego. Warto jednak taką dokumentację stworzyć – każdy profesjonalny wykonawca stron i sklepów internetowych będzie w stanie taki dokument dostarczyć.
Aktualizacja polityki prywatności i regulaminów
Podstawa prawna polityki prywatności sklepu internetowego
Polityka prywatności w naszym sklepie internetowym musi posiadać pewne wymagane klauzule. Oto one:
Działając w zgodzie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w skrócie: „RODO” informujemy, że nasz sklep internetowy…
Informacje o właścicielu sklepu internetowego
Musimy też wyraźnie poinformować, jaka firma jest właścicielem sklepu internetowego czyli kto jest Administratorem danych osobowych:
Administratorem Państwa danych osobowych w naszym sklepie internetowym jest:
Firma ABC
ul. Przykładowa 1
00-000 Warszawa
e-mail: info@domena.pl
telefon: 123 123 123
Cel zbierania danych osobowych klientów sklepu
W kolejnym punkcie informujemy, po co tak naprawdę zbieramy dane osobowe:
Przetwarzanie Państwa danych osobowych odbywa się na podstawie art. 6 RODO i w celach marketingowch Administrator Danych Osobowych powołuje się na prawnie uzasadniony interes, którym jest analiza odwiedzin sklepu internetowego, obsługę zamówienia [itd… wypisujemy własnymi słowami]
Narzędzia analityczne e-commerce
Jeżeli korzystamy z narzędzi takich jak Google Analytics, Facebook Pixel, Yandex, musimy o tym wyraźnie poinformować:
Zgadzam się na przetwarzanie moich danych osobowych przez firmę ABC z siedzibą w ul. Przykładowa 1, 00-000 Warszawa, w celach marketingowych marketingowym.
Podanie moich danych osobowych jest dobrowolne a podstawą ich przetwarzania jest moja zgoda. Odbiorcami danych są Google Analytics, Facebook [i wypunktowujemy wszystkie podobne serwisy z których korzystamy]
Czas przetwarzania danych
Trzeba wyraźnie określić przez jaki okres wykorzystujemy dane osobowe klientów sklepu internetowego:
Państwa dane osobowe będą przechowywane przez okres 5 lat do czasu wykorzystania możliwości marketingowych i analizy danych potrzebnych do prowadzenia działalności gospodarczej lub do odwołania zgodny na przetwarzanie danych osobowych.
Prawa użytkownika / klienta sklepu internetowego
W kolejnej klauzuli lub sekcji polityki informujemy o prawach użytkownika:
- Mam prawo do wycofania się z mojej zgody w dowolnym czasie. Moje dane osobowe będą przetwarzane do czasu tego odwołania.
- Mam prawo dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do wniesienia skargi do organów nadzorujących.
Dane są wykorzystywane do profilowania marketingu za pomocą narzędzi Google Analytics, W sytuacji wniesienia sprzeciwu wobec profilowania – prosimy skorzystać z ustawień przeglądarki.”
W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Administratorem Danych Osobowych lub z Inspektorem Ochrony Danych.
Rejestr czynności przetwarzania
Rejestr czynności przetwarzania to kolejny element wdrożenia RODO, którym musimy się zainteresować. Tymczasowo odsyłam do dokumentu zewnętrznego:
https://giodo.gov.pl/pl/file/13439
Zielona kłódka przy adresie czyli certyfikat SSL
Ogólne zalety płynące z posiadania zielonego paska z adresem sklepu internetowego pisałem w osobnym wpisie: zalety certyfikatów SSL. Opracowałem też instrukcję krok po kroku jak instalować SSL i przekierować sklep z http na https. Sklep internetowy z poprawnie wdrożonym SSL rozpoznamy po zaznaczonym na zielono protokołem https:// przed domeną w pasku adresu przeglądarki.
RODO wymaga bezpieczeństwa transmisji danych osobowych. Posiadając formularz takie funkcje jak koszyk, rejestrację użytkowników, formularz logowania, i inne potrzebne do zrealizowania zamówienia certyfikat SSL jest wymagany.
SSL szyfrując dane przesyłane pomiędzy przeglądarką klienta a sklepem internetowym zapewnia prywatność przesyłanych danych. To powoduje, że dane osobowe są możliwe do przetwarzania jedynie w tych dwóch punktach i podsłuchując taką transmisję nie jesteśmy w stanie odszyfrować takich danych ponieważ jest to silne szyfrowanie asymetryczne.
Źródła:
https://www.mpit.gov.pl/media/50521/PrzewodnikMSP_RODO_2018.pdf – „Przewodnik po RODO dla małych i średnich przedsiębiorców” autor: dr Paweł Litwiński. Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018 r.
https://giodo.gov.pl/pl/1520281/10449
Ciąg dalszy nastąpi…
Odpowiedz lub skomentuj