Rok 2018 przyniósł duże zmiany dla sklepów i serwisów internetowych z uwagi na RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych. Ochrona danych osobowych w firmie stała się bardzo ważnym aspektem w funkcjonowaniu e-sklepów czy serwisów. Zmiany związane z RODO objęły zarówno firmy przetwarzające dane zwykłe, jak i wrażliwe.
RODO nakłada odpowiedzialność za wszelkiego rodzaju nadużycia związane z przetwarzaniem danych osobowych na administratorów tychże danych. Korzyści z wejścia RODO odczuwają klienci którym zależy na obszarze tj. „ochrona danych osobowych”. Klient w erze RODO może m.in. korzystać z prawa wglądu i żądać wydania kopii swoich danych przetwarzanych przez serwis internetowy; korzystać z prawa do zapomnienia, a więc żądać usunięcia swoich danych ze zbioru danych czy zwrócić się do administratora z żądaniem o przeniesienie swoich danych osobowych na inny podmiot.
Zgodnie z art. 5 RODO Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Regulamin serwisu internetowego czy regulaminy sklepów internetowych powinny zawierać podstawowe informacje na temat administratora danych osobowych oraz celu przetwarzania. Jednakże nie ma wymogu prawnego, aby regulamin e-sklepu czy regulamin serwisu internetowego zawierały osobny rozdział „ochrona danych osobowych” . Praktyka jest taka, iż postanowienia dotyczące ochrony danych osobowych zawiera się w ograniczonej formie w regulaminie. Główne postanowienia przenosi się do oddzielnej polityki prywatności. Można jednak stosować rozwiązania inne, pod warunkiem, iż stosowne postanowienia są zawarte w dokumentach na stronie serwisu czy sklepu.
Zgodnie z art. 13 Rozporządzenia RODO, trzeba wyczerpać określone obowiązki informacyjne. Najlepiej szczegółowo uczynić to w polityce prywatności.
Jakie informacje przede wszystkim powinny być zawarte ?
Jeżeli jest powołany inspektor ochrony danych osobowych należy podać dane kontaktowe tej osoby. W przypadku przekazywania danych osobowych użytkowników do państwa będącego poza Europejskim Obszarem Gospodarczym – EOG (czyli państwami członkowskimi Unii Europejskiej oraz Norwegią, Islandią i Liechtensteinem) lub organizacji międzynarodowej mającej siedzibę poza EOG- należy wskazać dokładne informacje.
W serwisie internetowym ważne są również właściwie sformułowane klauzule zgody tzw. checkboxy. Konieczność zamieszczenia checkboxa ze zgodą na regulamin wynika z ustawy o prawach konsumenta oraz z ustawy o świadczeniu usług drogą elektroniczną. Stanowią one określone obowiązki informacyjne związane z zawieraniem umów przez internet oraz ze świadczeniem usług elektronicznych. Są również inne standardowe checkoboxy tj. zgoda na przetwarzanie danych użytkowników w celach marketingu usług lub produktów. Oprócz tego checkboxy spersonalizowane pod dany serwis internetowy. Każda z tych zgód musi być dobrowolna oraz wyraźna.
Oprócz powyższego niezbędne jest posiadanie wewnętrznej dokumentacji pod RODO, której poświęcimy osobny wpis na blogu.