RODO a serwis internetowy

Rok 2018 przyniósł duże zmiany dla sklepów i serwisów internetowych z uwagi na RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych. Ochrona danych osobowych w firmie stała się bardzo ważnym aspektem w funkcjonowaniu e-sklepów czy serwisów. Zmiany związane z RODO objęły zarówno firmy przetwarzające dane zwykłe, jak i wrażliwe.

RODO nakłada odpowiedzialność za wszelkiego rodzaju nadużycia związane z przetwarzaniem danych osobowych na administratorów tychże danych. Korzyści z wejścia RODO odczuwają klienci którym zależy na obszarze tj. „ochrona danych osobowych”. Klient w erze RODO może m.in. korzystać z prawa wglądu i żądać wydania kopii swoich danych przetwarzanych przez serwis internetowy; korzystać z prawa do zapomnienia, a więc żądać usunięcia swoich danych ze zbioru danych czy zwrócić się do administratora z żądaniem o przeniesienie swoich danych osobowych na inny podmiot.

Jakie są zasady przetwarzania danych osobowych wedle RODO ?

Zgodnie z art. 5 RODO Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

Regulamin serwisu internetowego oraz regulamin sklepu internetowego w erze RODO

Regulamin serwisu internetowego czy regulaminy sklepów internetowych powinny zawierać podstawowe informacje na temat administratora danych osobowych oraz celu przetwarzania. Jednakże nie ma wymogu prawnego, aby regulamin e-sklepu czy regulamin serwisu internetowego zawierały osobny rozdział „ochrona danych osobowych” . Praktyka jest taka, iż postanowienia dotyczące ochrony danych osobowych zawiera się w ograniczonej formie w regulaminie. Główne postanowienia przenosi się do oddzielnej polityki prywatności. Można jednak stosować rozwiązania inne, pod warunkiem, iż stosowne postanowienia są zawarte w dokumentach na stronie serwisu czy sklepu.

Polityka prywatności w erze RODO.

Zgodnie z art. 13 Rozporządzenia RODO, trzeba wyczerpać określone obowiązki informacyjne. Najlepiej szczegółowo uczynić to w polityce prywatności.
Jakie informacje przede wszystkim powinny być zawarte ?

1. dane administratora – nazwa firmy, imię i nazwisko administratora, dane kontaktowe np. adres miejsca prowadzenia działalności/siedziby, adres e-mail;
2. cele i podstawy prawne przetwarzania danych osobowych;
3. kategorie odbiorców danych osobowych – jeżeli przekazujesz dane użytkowników jakimś podmiotom zewnętrznym (np. firmy kurierskie);
4. konkretny okres przechowywania określonych danych osobowych lub kryteria ustalenia takiego okresu;
5. prawo żądania przez osobę, której dane dotyczą dostępu do jej danych oraz do żądania sprostowania, usunięcia lub ograniczenia przetwarzania jej danych;
6. prawo do cofnięcia wcześniej wyrażonej zgody na przetwarzanie danych;
7. prawie do wniesienia przez osobę, której dane dotyczą skargi do organu nadzorczego (w Polsce UODO);

Jeżeli jest powołany inspektor ochrony danych osobowych należy podać dane kontaktowe tej osoby. W przypadku przekazywania danych osobowych użytkowników do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG- należy wskazać dokładne informacje.

Checkboxy

W serwisie internetowym ważne są również właściwie sformułowane klauzule zgody tzw. checkboxy. Konieczność zamieszczenia checkboxa ze zgodą na regulamin wynika z ustawy o prawach konsumenta oraz z ustawy o świadczeniu usług drogą elektroniczną. Stanowią one określone obowiązki informacyjne związane z zawieraniem umów przez internet oraz ze świadczeniem usług elektronicznych. Są również inne standardowe checkoboxy tj. zgoda na przetwarzanie danych użytkowników w celach marketingu usług lub produktów. Oprócz tego checkboxy spersonalizowane pod dany serwis internetowy. Każda z tych zgód musi być dobrowolna oraz wyraźna.

Oprócz powyższego niezbędne jest posiadanie wewnętrznej dokumentacji pod RODO, której poświęcimy osobny wpis na blogu.