Web Design Blog / Bezpieczeństwo:

Sklep internetowy zgodny z RODO

Jak już wspomniałem w artykule strony www zgodne z RODO, w całej Europie 25 maja 2018 zaczną obowiązywać nowe przepisy regulujące przetwarzanie danych osobowych. Sklepy internetowe to systemy informatyczne, które wyjątkowo intensywnie przetwarzają dane osobowe.

Są one dostępne dla osób obsługujących sklep internetowy i dla informatyków wewnątrz firmy. Co więcej, dochodzi tam do wymiany danych na drodze sklep – dostawca, sklep – operator płatności internetowych itd… a to wszystko trzeba „ogarnąć” pod katem prawnym. Pozbierać od klientów wymagane zgody i udostępnić techniczną możliwość zarządzania tymi danymi wraz z ich całkowitym usunięciem.

Dlaczego RODO w ogóle powstało i dlaczego jest nam potrzebne?

Pierwszym czynnikiem jest szybki rozwój technologii. Dotychczasowe przepisy nie były w stanie regulować szczegółowo przetwarzania danych. Dobrze ilustruje ten problem koncepcja „trudnego hasła”, która do tej pory była specyfikowana a przynajmniej podjęto takie wysiłki. Jak wiecie sami, hasło jako technika uwierzytelnienia jest już od dawna zastępowana innymi metodami takimi jak odcisk palca (np. w iPhone) czy rozpoznawania twarzy (Windows Hello z wykorzystaniem kamerki). RODO nie będzie nam wprost proponować poszczególnych rozwiązań a jedynie wytyczać poprawne ścieżki i sposób myślenia o danych osobowych.

Brak jednolitych zasad w poszczególnych krajach. Jak wiadomo internet zaciera granicę pomiędzy Państwami a świat staje się jedną wioską. Jednolitość prawa w poszczególnych krajach członkowskich zapewnia w ogóle możliwość uregulowania takich procesów jak sprzedaż i działania marketingowe, które jak wiemy są prowadzone na skalę globalną.

Szczególne poszanowanie i zwiększenie wartości danych osobowych. Obecnie mamy sytuację, w której firmy szastają naszymi danymi na prawo i lewo. RODO chce uregulować i uporządkować procesy związane z przetwarzaniem danych osobowych. Celem jest minimalizacja nadużyć i ułatwienie rozliczania firm z takich nadużyć.

RODO na straży danych osobowych

RODO nie proponuje implementacji a jedynie definiuje ogólne zasady według których należy projektować i utrzymywać sklepy internetowe. W śród nich pojawiają się takie pojęcia jak „privacy by design” i „privacy by default”. co to właściwie oznacza? Już spieszę z odpowiedzią.

Privacy by design – jest to zasada według której należy „przejmować” się przetwarzaniem danych już na początku projektowania sklepu internetowego czy też innego systemu informatycznego czy usługi przetwarzającej dane osobowe. Tworząc system informatyczny już na etapie zbierania wymagań, trzeba brać pod uwagę zasady RODO jako krytyczny czynnik ograniczający.

Privacy by design wymaga aby prowadzić działania zaradcze a nie naprawcze. Domyślnymi ustawieniami w systemach ma być najwyższa prywatność i ma być ona szanowana a wszelkie procesy, w których dochodzi do użycia danych osobowych mają być przejrzyste i transparentne.

W praktyce oznacza to że nasz sklep internetowy musi mieć włączony certyfikat SSL oraz musi udostępniać użytkownikom funkcje związane z zarządzaniem danych osobowych.

Privacy by defalut to zasada według której początkowe ustawienia użytkownika (np. w naszym sklepie internetowym) są tak dobrane aby maksymalnie chronić prywatność uzytkowników. Np. pokazuj mój e-mail i pokaż moje prawdziwe nazwisko mają być domyślnie wyłączone.

RODO w praktyce

Zasady, które wypunktowaliśmy w poprzedniej sekcji sprowadzają się do tego że, jako przedsiębiorcy musimy już na etapie wyboru wykonawcy i wyboru technologii przejmować się ochroną danych osobowych. RODO jest na tyle przyszłościowe, że mamy swobodę co do tego jakimi środkami zapewniamy prywatność i ochronę danych osobowych naszych klientów.

sklep internetowy AMP - galeria

Jednocześnie RODO nie wskazuje szczegółowo jak dokumentować fazę projektowania sklepu czy innego systemu internetowego. Warto jednak taką dokumentację stworzyć – każdy profesjonalny wykonawca stron i sklepów internetowych będzie w stanie taki dokument dostarczyć.

Aktualizacja polityki prywatności i regulaminów

Podstawa prawna polityki prywatności sklepu internetowego

Polityka prywatności w naszym sklepie internetowym musi posiadać pewne wymagane klauzule. Oto one:

Działając w zgodzie z art. 13 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w skrócie: „RODO” informujemy, że nasz sklep internetowy…

Informacje o właścicielu sklepu internetowego

Musimy też wyraźnie poinformować, jaka firma jest właścicielem sklepu internetowego czyli kto jest Administratorem danych osobowych:

Administratorem Państwa danych osobowych w naszym sklepie internetowym jest:

Firma ABC
ul. Przykładowa 1
00-000 Warszawa
e-mail: info@domena.pl
telefon: 123 123 123

Cel zbierania danych osobowych klientów sklepu

W kolejnym punkcie informujemy, po co tak naprawdę zbieramy dane osobowe:

Przetwarzanie Państwa danych osobowych odbywa się na podstawie art. 6 RODO i w celach marketingowch Administrator Danych Osobowych powołuje się na prawnie uzasadniony interes, którym jest analiza odwiedzin sklepu internetowego, obsługę zamówienia [itd… wypisujemy własnymi słowami]

Narzędzia analityczne e-commerce

Jeżeli korzystamy z narzędzi takich jak Google Analytics, Facebook Pixel, Yandex, musimy o tym wyraźnie poinformować:

Zgadzam się na przetwarzanie moich danych osobowych przez firmę ABC z siedzibą w ul. Przykładowa 1, 00-000 Warszawa, w celach marketingowych marketingowym.

Podanie moich danych osobowych jest dobrowolne a podstawą ich przetwarzania jest moja zgoda. Odbiorcami danych są Google Analytics, Facebook [i wypunktowujemy wszystkie podobne serwisy z których korzystamy]

Czas przetwarzania danych

Trzeba wyraźnie określić przez jaki okres wykorzystujemy dane osobowe klientów sklepu internetowego:

Państwa dane osobowe będą przechowywane przez okres 5 lat do czasu wykorzystania możliwości marketingowych i analizy danych potrzebnych do prowadzenia działalności gospodarczej lub do odwołania zgodny na przetwarzanie danych osobowych.

Prawa użytkownika / klienta sklepu internetowego

W kolejnej klauzuli lub sekcji polityki informujemy o prawach użytkownika:

  • Mam prawo do wycofania się z mojej zgody w dowolnym czasie. Moje dane osobowe będą przetwarzane do czasu tego odwołania.
  • Mam prawo dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do wniesienia skargi do organów nadzorujących.

Dane są wykorzystywane do profilowania marketingu za pomocą narzędzi Google Analytics, W sytuacji wniesienia sprzeciwu wobec profilowania – prosimy skorzystać z ustawień przeglądarki.”

W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z Administratorem Danych Osobowych lub z Inspektorem Ochrony Danych.

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania to kolejny element wdrożenia RODO, którym musimy się zainteresować. Tymczasowo odsyłam do dokumentu zewnętrznego:

https://giodo.gov.pl/pl/file/13439

Zielona kłódka przy adresie czyli certyfikat SSL

Ogólne zalety płynące z posiadania zielonego paska z adresem sklepu internetowego pisałem w osobnym wpisie: zalety certyfikatów SSL. Opracowałem też instrukcję krok po kroku jak instalować SSL i przekierować sklep z http na https. Sklep internetowy z poprawnie wdrożonym SSL rozpoznamy po zaznaczonym na zielono protokołem https:// przed domeną w pasku adresu przeglądarki.

RODO wymaga bezpieczeństwa transmisji danych osobowych. Posiadając formularz takie funkcje jak koszyk, rejestrację użytkowników, formularz logowania, i inne potrzebne do zrealizowania zamówienia certyfikat SSL jest wymagany.

audyt bezpieczeństwa sklepu internetowego

SSL szyfrując dane przesyłane pomiędzy przeglądarką klienta a sklepem internetowym zapewnia prywatność przesyłanych danych. To powoduje, że dane osobowe są możliwe do przetwarzania jedynie w tych dwóch punktach i podsłuchując taką transmisję nie jesteśmy w stanie odszyfrować takich danych ponieważ jest to silne szyfrowanie asymetryczne.

Źródła:

https://www.mpit.gov.pl/media/50521/PrzewodnikMSP_RODO_2018.pdf – „Przewodnik po RODO dla małych i średnich przedsiębiorców” autor: dr Paweł Litwiński. Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018 r.

https://giodo.gov.pl/pl/1520281/10449

 

 

Ciąg dalszy nastąpi…

 

 

Sklep internetowy zgodny z RODO
4.6 (92.94%) głosów: 17

Autor: (29 lat)

Służę pomocą w razie wykonania / odnowienia strony lub sklepu internetowego dla twojej firmy niezależnie od twojej lokalizacji czy skali przedsięwziecia.

Tego typu wpisy piszę w wolnych chwilach lub pomiędzy projektami. Tylko pomyśl co mogę dla Ciebie zrobić w ramach usługi :-)

Zadaj pytanie lub skomentuj

Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę Paweł Mansfeld z siedzibą w Jastrzębiu-Zdroju, ul. Plebiscytowa 10, w celu udzielenia odpowiedzi, w tym przedłożenia oferty jeśli o nią pytam. Moje dane osobowe będą przetwarzane do czasu cofnięcia zgody lub przez okres niezbędny do ustalenia, dochodzenia lub obrony roszczeń. Mam prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego i prawo do przeniesienia danych.

Komentarze publiczne

Brak komentarzy.
Otrzymuj powiadomienie o nowych artykułach

Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę Paweł Mansfeld z siedzibą w Jastrzębiu-Zdroju, ul. Plebiscytowa 10, w celu udzielenia odpowiedzi, w tym przedłożenia oferty jeśli o nią pytam. Moje dane osobowe będą przetwarzane do czasu cofnięcia zgody lub przez okres niezbędny do ustalenia, dochodzenia lub obrony roszczeń. Mam prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego i prawo do przeniesienia danych.

*Bez obaw, nie udostępniam nikomu twojego adresu e-mail