RODO 2018 – co zmienić w sklepie
WSTĘP czyli POPRAWNIE
25 maja 2018 r. wejdzie w życie RODO (Rozporządzenie o Ochronie Danych Osobowych z angielskiego EU GDPR – European Union General Data Protection Regulation) to rozporządzenie o ochronie danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.
Przepisy RODO zastąpią aktualnie obowiązującą ustawę o ochronie danych osobowych z 29 sierpnia 1997 r. oraz wydane na jej podstawie rozporządzenia wykonawcze, takie jak np. Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych.
Celem RODO jest „…zapewnienie wysokiego poziomu ochrony konsumentów – przyczynianie się do należytego funkcjonowania rynku wewnętrznego, w szczególności jego aspektu cyfrowego dzięki stworzeniu europejskiej platformy ODR (zwanej dalej „platformą ODR” – opis niżej) ułatwiającej niezależne, bezstronne, przejrzyste, skuteczne, szybkie i sprawiedliwe pozasądowe rozstrzyganie przez internet sporów między konsumentami i przedsiębiorcami”
Nowe przepisy przenoszą na przedsiębiorcę i dają dużą swobodę ocenie ryzyka naruszenia danych osobowych, sposoby ochrony danych, samodzielnie wdrożenie ochrony w życie. Zatem samodzielnie dobieramy formy i sposoby wdrażania zmian. Wiele przepisów jest tożsama z obecnymi regulacjami to znakomity punkt startowy.
RODO generuje organizacyjną zmianę
- dotychczasowy ABI – Administrator Bezpieczeństwa Informacji
- zmienia się w IODO – Inspektor Ochrony Danych Osobowych.
Czy mała firma musi mieć zatrudnionego IODO? Obowiązek powołania dotyczy tylko:
- przetwarzania dokonują organ lub podmiot publiczny;
- główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (brak definicji dużej skali)
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych). (sklepy internetowe nie powinny posiadać danych wrażliwych)
Zatem NIE MUSISZ ale MOŻESZ powołać osobę na stanowisko IODO
Znika też obowiązek zgłaszania swojej bazy danych osobowych do GIODO
Powołanie IODO nie musi wiązać się to z dodatkowymi kosztami dla firm. Funkcja Inspektora Ochrony Danych Osobowych może zostać powierzona jednemu z obecnych pracowników (lub najczęściej właściciel firmy) i nie będzie przysługiwało mu z tego tytułu dodatkowe wynagrodzenie.
OBOWIĄZEK INFORMACYJNY DLA KLIENTA
RODO zwiększa zakres informacji, jakie powinni otrzymać konsumenci na temat administrowania swoich danych już na etapie pozyskiwania jego danych powinien zostać poinformowany o:
- MOMENT WEJŚCIA NA STRONĘ WEJŚCIE NA STRONĘ – dotychczasowa informacja o plikach cooki, kierująca do regulaminu lub polityki bezpieczeństwa
Jeśli serwis wystarczająco jasno informuje, że dalsza nawigacja i brak blokady plików cookies oznaczają wyrażenie zgody, a użytkownik nadal porusza się po stronie internetowej i nie zablokował cookies w przeglądarce, to czynności takie mogą być interpretowane jako „wyraźne działanie potwierdzające”. Tutaj zaczynasz zbierać dane o których powinien już wiedzieć np dane zbierane przez Google Analytics czy Adwords - ZŁOŻENIE ZAMÓWIENIA – dotychczasowy “ptaszek” bez zmian. “Zapoznałem się z regulaminem i polityką zwrotów”. Zgoda konsumenta na przetwarzanie danych nie jest wymagana do realizacja umowy lub czynności prowadzących do jej zawarcia.
- MOMENT REJESTRACJI NA NEWSLETTER – celu przetwarzania danych musisz podać informację po co zbierasz dane np w celu wysłania
W opisie polityki prywatności powinna znajdować się przykładowa informacja
“Wyrażam zgodę na otrzymywanie od …………………. treści marketingowych (informacji handlowych) za pośrednictwem newslettera, w tym informacji o promocjach i ofertach specjalnych.
Administratorem Twoich danych osobowych jest …………………. Dane będą przetwarzane w celu wysyłki newslettera, na zasadach określonych w regulaminie. Podanie danych jest dobrowolne, ale niezbędne do otrzymania newslettera. Osobie, której dane dotyczą, przysługuje prawo dostępu do treści swoich danych oraz ich poprawiania
SPRAWDŹ REGULAMIN i POLITYKĘ PRYWATNOŚCI W SKLEPIE
- czy podajesz swoją tożsamość i dane kontaktowe
- czy podajesz jakie informacje zbierasz
- czy podajesz w jakim celu będą przetwarzane
- dodaj: informację o tym, że każdy ma prawo zażądać usunięcia jego danych
- dodaj: informację o tym, że każdy ma prawo otrzymać kopię danych przechowywanych przez sklep
- dodaj: informację o tym, że każdy ma prawo ma prawo zgłosić naruszenie w przetwarzaniu danych do odpowiedniego organu
- gdy ma to zastosowanie – podaj informacje o zamiarze przekazania danych osobowych do …………. w celu ………………..
np. OPINEO -> w celu przekazania opinii o zakupach
REJESTR CZYNNOŚCI PRZETWARZANIA
NIE MUSISZ ale MOŻESZ
Wymóg prowadzenia rejestru czynności przetwarzania danych osobowych nie ma zastosowania wobec administratorów danych oraz podmiotów przetwarzających zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje dane wrażliwe (szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO).
Prowadzony przez przedsiębiorców zbiór informacji o celach, dla jakich posiadane przez nich dane są przetwarzane, środkach ich ochrony oraz administratorach owych danych.
Przykładem mogą być adresy mailowe osób biorących udział w konkursie, które zostały zebrane w celu poinformowania o ewentualnej wygranej. Przedsiębiorstwa otrzymują całkowitą autonomię w kontekście wyglądu i stopnia szczegółowości tego dokumentu. Nie istnieje oficjalny wzór, który mógłby stanowić przykład, więc ostateczna decyzja o strukturze rejestru czynności przetwarzania zależy od firmy. W przeciwieństwie do zbiorów zgłaszanych do GIODO jest dokumentem wewnętrznym i jedynie w czasie kontroli musi być dostępny do wglądu. Z pewnością rzetelne przygotowanie rejestru będzie stanowić atut podczas inspekcji i wykrycia nieprawidłowości, więc warto zawczasu o niego zadbać.
Możesz prowadzić rejestr elektronicznie, wzór w formacie XLS znajdziesz pod adresem: https://giodo.gov.pl/pl/file/13424
REJESTR NARUSZEŃ
Kolejną zmianą jest budzący niepokój rejestr naruszeń, czyli zapis wszystkich przypadków naruszenia przez firmę bezpieczeństwa posiadanych danych osobowych. Budzący kontrowersje wśród przedsiębiorców jest fakt, że o popełnionych błędach będą zobligowani sami poinformować obecny GIODO, a przyszły PUEDO (PUODO). Mają na to 72 h od momentu uświadomienia sobie, że przepisy zostały naruszone. W przypadku wysokiego ryzyka naruszenia praw osoby, której dane wyciekły konieczne będzie jej zawiadomienie. Przykładem takiej sytuacji mogą być cyberprzestępstwa lub ataki hakerskie.
Obecnie wycieki danych są słabo egzekwowane, instytucje często się do nich nie przyznają lub wręcz ich wypierają. Gdy nowa ustawa o ochronie danych osobowych wejdzie w życie, a w firmie wystąpi przypadek naruszenia bezpieczeństwa posiadanych informacji, kary będą mniej dotkliwe, gdy przedsiębiorca sam poinformuje o popełnionym błędzie.
Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę
Rejestr naruszeń powinien zawierać:
- Liczba porządkowa naruszenia
- Administrator (nazwa, dane kontaktowe)
- Jeśli do incydentu i naruszenia doszło u podmiotu przetwarzającego – wskazanie nazwy i danych kontaktowych podmiotu przetwarzającego
- Data i godzina wystąpienia incydentu prowadzącego do naruszenia
- Data i godzina stwierdzenia naruszenia
Zawiadomienia GIODO można dokonać na formularzu, który jest dostępny na stronie internetowej www.giodo.gov.pl w zakładce Elektroniczna Skrzynka Podawcza, jak również na stronie internetowej www.epuap.gov.pl.
NOWE PRAWA OSÓB FIZYCZNYCH
Rozporządzenie RODO to odpowiedź na obawę osób prywatnych o bezpieczeństwo udostępnianych danych osobowych. Ma na celu zwiększenie ich ochrony i zapewnienie transparentnego dostępu do informacji o stosowanym sposobie przetwarzania personaliów. Podczas gdy dla firm oznacza to kolejne obowiązki, osoby fizyczne otrzymają nowe prawa.
O prawach tych musisz poinformować klientów w Regulaminie lub polityce prywatności
Nowe i rozszerzone prawa osób fizycznych, mogą obecnie:
- żądać od administratora danych przeniesienia swoich danych na inny podmiot lub innego administratora, których sami wskażą
- wymagać wydania kopii wszystkich swoich danych przetwarzanych przez daną firmę (prawo wglądu)
- korzystać z tzw. prawa do zapomnienia (żądanie usunięcia naszych danych osobowych, gdy ich przetwarzanie stało się niecelowe)
- korzystać z prawa sprzeciwu wobec tzw. „profilowania zwykłego” (przetwarzanie danych związane z reklamami kontekstowymi oraz targetowaniem).
ODR
Platforma ODR to jeden punkt dostępu dla konsumentów i przedsiębiorców pragnących pozasądowego rozstrzygania sporów objętych, to strona internetowa, do której możliwy jest elektroniczny i bezpłatny dostęp we wszystkich językach urzędowych instytucji Unii. Odnośnie nowych obowiązków sklepów internetowych rozporządzenie nakłada na nie obowiązek zamieszczenia zamieszczania informacji o ODR m.in w regulaminach sklepów internetowych (ogólnych warunkach umów). Informacja powinna zawierać wskazanie o możliwości wykorzystania platformy ODR w celu rozstrzygnięcia ich sporów,
ODR (Online Dispute Resolution) https://ec.europa.eu/consumers/odr
JAK TO WSZYSTKO WDROŻYĆ ?
Wszystko możesz wykonać samodzielnie w panelu swojego sklepu:
- Nie musisz wysyłać specjalnych informacji do dotychczasowych klientów jeżeli uzyskałeś ich dane w sposób legalny.
- Sprawdź czy nie posiadasz bazy danych osobowych z “niejasnego” źródła – do tych osób musisz wysłać informację z prośbą o wyrażenie zgody na przetwarzanie danych
- Sprawdź czy posiadasz zapisy w regulaminie i polityce prywatności przetwarzania danych informujące o nowych prawach i podmiotach którym przekazujesz dane
- Sprawdź umowy z podmiotami zewnętrznymi pod względem przekazywania danych zgodnymi z RODO – większość firm takich jak kurierzy, Allegro, serwery, email marketing już od dawna takie zapisy w umowach posiadały.
- Pamiętaj, że ten dokument jest tylko próbą ułatwienia przejścia 25 maja 2018 i kontaktu z RODO, zawsze może się pojawić jakiś wyjątek którego nie przewidziałem. Jeżeli taki znajdziesz daj znać pomogę go rozwiązać.
Czy istnieje wzór idealny? Nie, RODO daje pełną dowolność więc w Internecie możemy znaleźć ogromną ilość wzorów dokumentacji ochrony danych osobowych odpłatnie i nieodpłatnie. Mają różną objętość i treść. Jak odnaleźć się w tym gąszczu?
- zachowaj zdrowy rozsądek
- załóż nowy segregator
- wydrukuj niezbędne
- wypełnij swoimi danymi
- lub dostosuj do swoich indywidualnych potrzeb
- RODO gotowe
W regulaminie sklepu i polityce prywatności powinny się znajdować informacje komu przekazywane są dane i w jakim celu.
WZÓR UMOWY POWIERZENIA DANYCH
- W 99% przypadków, kiedy sklep internetowy kupuje usługę zewnętrzną np przesyłki kurierskiej, email marketingu, hostingu… itp w umowie powinny znajdować się już zapisy dotyczące przetwarzania danych osobowych.
- Umieść w regulaminie i polityce prywatności informacje komu powierzasz przetwarzanie danych osobowych
- Sprawdź umowę z podmiotem zewnętrznym, jeżeli takowej nie posiadasz podpisz umowę powierzenia danych, możesz użyć do tego poniższy wzór umowy.
Umowa powierzenia przetwarzania danych osobowych
zawarta dnia ____________ pomiędzy: (zwana dalej „Umową”)
_______________________________ (*dane podmiotu który umowę zawiera) zwany w dalszej części umowy „Podmiotem przetwarzającym” reprezentowana przez: _______________________________ zwany w dalszej części umowy „Administratorem danych” lub „Administratorem” reprezentowana przez: ______________________________
- 1 Powierzenie przetwarzania danych osobowych
- Administrator danych powierza Podmiotowi przetwarzającym, w trybie art. 28 ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (zwanego w dalszej części „Rozporządzeniem”) dane osobowe do przetwarzania, na zasadach
i w celu określonym w niniejszej Umowie.
- Podmiot przetwarzający zobowiązuje się przetwarzać powierzone mu dane osobowe zgodnie z niniejszą umową, Rozporządzeniem oraz z innymi przepisami prawa powszechnie obowiązującego, które chronią prawa osób, których dane dotyczą.
- Podmiot przetwarzający oświadcza, iż stosuje środki bezpieczeństwa spełniające wymogi Rozporządzenia.
- 2 Zakres i cel przetwarzania danych
- Podmiot przetwarzający będzie przetwarzał, powierzone na podstawie umowy dane (*należy podać rodzaj danych) ……………… np. dane zwykłe oraz dane szczególnych kategorii ……………. (*należy podać kategorię osób, których dane dotyczą) np. pracowników administratora, klientów administratora itd. w postaci ……………….. np. imion i nazwisk, adresu zamieszkania, nr PESEL itd.
- Powierzone przez Administratora danych dane osobowe będą przetwarzane przez Podmiot przetwarzający wyłącznie w celu ……………………….. (*należy podać cel przetwarzania danych przez podmiot przetwarzający) np. realizacji umowy z dnia …… nr ……… w zakresie prowadzenia kadr.
- 3 Obowiązki podmiotu przetwarzającego
- Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu powierzonych danych osobowych, do ich zabezpieczenia poprzez stosowanie odpowiednich środków technicznych i organizacyjnych zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku związanym z przetwarzaniem danych osobowych, o których mowa w art. 32 Rozporządzenia.
- Podmiot przetwarzający zobowiązuje się dołożyć należytej staranności przy przetwarzaniu powierzonych danych osobowych.
- Podmiot przetwarzający zobowiązuje się do nadania upoważnień do przetwarzania danych osobowych wszystkim osobom, które będą przetwarzały powierzone dane w celu realizacji niniejszej umowy.
- Podmiot przetwarzający zobowiązuje się zapewnić zachowanie w tajemnicy, (o której mowa w art. 28 ust 3 pkt b Rozporządzenia) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie zatrudnienia ich w Podmiocie przetwarzającym, jak i po jego ustaniu.
- Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa/ zwraca Administratorowi wszelkie dane osobowe (należy wybrać czy podmiot przetwarzający ma usunąć czy zwrócić dane) oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
- W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą oraz wywiązywania się z obowiązków określonych w art. 32-36 Rozporządzenia.
- Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi w ciągu ….. (*można wskazać np. w ciągu 24 h).
- 4 Prawo kontroli
- Administrator danych zgodnie z art. 28 ust. 3 pkt h) Rozporządzenia ma prawo kontroli, czy środki zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych spełniają postanowienia umowy.
- Administrator danych realizować będzie prawo kontroli w godzinach pracy Podmiotu przetwarzającego i z minimum …….. (*należy wpisać z ilu dniowym wyprzedzeniem Administrator informuje o kontroli) jego uprzedzeniem.
- Podmiot przetwarzający zobowiązuje się do usunięcia uchybień stwierdzonych podczas kontroli w terminie wskazanym przez Administratora danych nie dłuższym niż 7 dni (*administrator termin może określić dowolnie).
- Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 Rozporządzenia.
- 5 Dalsze powierzenie danych do przetwarzania
- Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
- Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji
z uwagi na ważny interes publiczny.
- Podwykonawca, o którym mowa w §3 ust. 2 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający w niniejszej Umowie.
- Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.
- 6 Odpowiedzialność Podmiotu przetwarzającego
- Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym.
- Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych określonych w umowie, o jakiejkolwiek decyzji administracyjnej lub orzeczeniu dotyczącym przetwarzania tych danych, skierowanych do Podmiotu przetwarzającego, a także o wszelkich planowanych,
o ile są wiadome, lub realizowanych kontrolach i inspekcjach dotyczących przetwarzania w Podmiocie przetwarzającym tych danych osobowych, w szczególności prowadzonych przez inspektorów upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych. Niniejszy ustęp dotyczy wyłącznie danych osobowych powierzonych przez Administratora danych.
- 7 Czas obowiązywania umowy
- Niniejsza umowa obowiązuje od dnia jej zawarcia przez czas nieokreślony/określony* od ….. do ….. .
- Każda ze stron może wypowiedzieć niniejszą umowę z zachowaniem ……… * okresu wypowiedzenia.
- 8 Rozwiązanie umowy
- Administrator danych może rozwiązać niniejszą umowę ze skutkiem natychmiastowym gdy Podmiot przetwarzający:
- a) pomimo zobowiązania go do usunięcia uchybień stwierdzonych podczas kontroli nie usunie ich w wyznaczonym terminie;
- b) przetwarza dane osobowe w sposób niezgodny z umową;
- c) powierzył przetwarzanie danych osobowych innemu podmiotowi bez zgody Administratora danych;
- 9 Zasady zachowania poufności
- Podmiot przetwarzający zobowiązuje się do zachowania w tajemnicy wszelkich informacji, danych, materiałów, dokumentów i danych osobowych otrzymanych od Administratora danych i od współpracujących z nim osób oraz danych uzyskanych w jakikolwiek inny sposób, zamierzony czy przypadkowy w formie ustnej, pisemnej lub elektronicznej („dane poufne”).
- Podmiot przetwarzający oświadcza, że w związku ze zobowiązaniem do zachowania w tajemnicy danych poufnych nie będą one wykorzystywane, ujawniane ani udostępniane bez pisemnej zgody Administratora danych w innym celu niż wykonanie Umowy, chyba że konieczność ujawnienia posiadanych informacji wynika z obowiązujących przepisów prawa lub Umowy.
- 10 Postanowienia końcowe
- Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
- W sprawach nieuregulowanych zastosowanie będą miały przepisy Kodeksu cywilnego oraz Rozporządzenia.
- Sądem właściwym dla rozpatrzenia sporów wynikających z niniejszej umowy będzie sąd właściwy Administratora danych (*lub Podmiotu przetwarzającego w zależności od postanowień stron).
_______________________ ____________________
Administrator danych Podmiot przetwarzający
POLITYKA BEZPIECZEŃSTWA w FIRMIE
To temat rzeka, nie spotkałem małej firmy która posiada takowy dokument. Może najbliższy czas to znakomita okazja aby coś takiego przygotować samodzielnie i zacząć proceduralnie podchodzić do tematu bezpieczeństwa firmy.
Polityka bezpieczeństwa to nic innego jak dokument opisujący szczegółowe zasady pracy i zbiór jasnych procedur dla pracowników co mają robić w krytycznych momentach. Dokument taki może zawierać wszelkie instrukcje zarządzania systemem informatycznym, umowy powierzenia i przetwarzania danych osobowych, regulaminu ochrony danych osobowych, regulaminu użytkowania komputerów, obsługa danych klientów przez pracowników, oświadczenia o zachowaniu poufności itp…
Jeżeli chcesz otrzymać gotowy dokument polityki bezpieczeństwa dla pracowników sklepu internetowego możesz go zamówić pakiet w naszym sklepie.