RODO dla sklepów internetowych

Zastanawialiście się kiedyś, czy prowadząc sklep internetowy przetwarzanie i przechowujecie dane osobowe? Czy słyszeliście już o RODO i czy wiecie, o co z nim tak naprawdę chodzi?

RODO dla sklepów internetowych, RODO, ochrona danych

RODO to ogólne rozporządzenie o ochronie danych osobowych, które wchodzi w życie z dniem 25.05.2018 roku i będzie dotyczyło wszystkich podmiotów przetwarzających dane osobowe. Generalny Inspektor Danych Osobowych od dawna alarmuje, że mali i średni przedsiębiorcy w naszym kraju są słabo przygotowani na nadchodzące zmiany, a także często w ogóle nie zdają sobie z nich sprawy.

Jak donosi raport przygotowany w grudniu 2017 roku przez Kantar Public dla GIODO, wśród polskich przedsiębiorców aż 24% nie wie od kiedy będzie obowiązywało nowe rozporządzenie, a tylko ok. 30% przedsiębiorców rozpoczęło już prace nad przygotowaniem firmy do wdrożenia nowych przepisów. 72% z 507 przepytanych przedsiębiorców przyznało, że nie sprawdziło i nie wie w jakim zakresie RODO będzie ich obowiązywać, a także jak się do niego przygotować.

W kwietniu ubiegłego roku pisałam na blogu o pierwszych doniesieniach na temat RODO i krokach niezbędnych do wdrożenia. Przyszedł zatem czas na opisanie konkretnych działań, które będą obowiązywały właścicieli sklepów internetowych i bez których, w przypadku kontroli, firma będzie narażona na dotkliwą karę.

Inwentaryzacja danych o naszej działalności – jakiego rodzaju dane przetwarzamy i jak je pozyskaliśmy?

Na samym początku należy sobie odpowiedzieć na bardzo ważne pytanie: Jakiego rodzaju dane są przetwarzane w naszym sklepie internetowym?

Jeśli zatrudniamy pracowników, z pewnością będą to dane wchodzące w skład zbioru wszystkich umów niezbędnych do działań wynikających z zatrudnienia. Jako firma na pewno współpracujemy z kontrahentami takimi jak hurtownie, firma kurierska, zewnętrzna księgowość, być może dostawca opakowań, czy też inny usługodawca. Kontrahenci to kolejny zbiór danych, który przetwarzamy do realizacji dziań w sklepie. Odrębnym zbiorem są nasi klienci, którzy kupując produkty zostawiają informacje o sobie w formularzach zakupowych i kontaktowych. Jeszcze inną grupą będą osoby, które składają reklamacje w sklepie i wypełniają przystosowane do tego formularze. Jeśli prócz tradycyjnej sprzedaży prowadzimy także newsletter, mamy osobną listę osób, które są jego odbiorcami- kolejny zbiór danych. Idąc tym tokiem myślenia musimy przeanalizować to, w jakich okolicznościach klient pozostawia ślad po sobie w naszym systemie.

Gdy wiemy już jakiego rodzaju dane są przetwarzane, możemy przejść do kolejnego pytania: Skąd mamy te dane, w jaki sposób je pozyskaliśmy?

W dużej mierze to może być pozyskanie bezpośrednio od osoby, która dokonuje u nas zakupu lub zwrotu, reklamacji. Możemy także posiadać dane od strony trzeciej, np. gdy zdecydujemy się na kupno bazy danych klientów, do których będziemy kierować konkretne reklamy, czy promocje.

W jakim celu przetwarzamy dane osobowe i kto ma do nich dostęp?

Znając odpowiedź na dwa podstawowe pytania, warto zastanowić się nad celem przetwarzania danych: W jakim celu gromadzimy dane?

To bardzo łatwe pytanie, na które większość z Was odpowie zapewne: w celach realizacji zamówienia, celach marketingowych lub w celu wykonania pracy (mowa tu o danych osobowych dotyczących pracowników). Na tym etapie możemy zdać sobie sprawę, że są jakieś zbiory danych, które przechowujemy, ale nie przetwarzamy i nie wykorzystujemy w żadnym celu. Zbiory te są zatem zbędne i możemy się ich pozbyć.

Kwestie prawne to kolejny punkt na checkliście działań związanych z inwentaryzacją. Musimy wiedzieć, że skoro w przypadku zatrudnienia pracownika musimy z nim podpisać umowę, tak również gdy mamy klienta kupującego u nas produkt lub usługę, musimy poprosić go o wyrażenie zgody na przetwarzanie danych.

Kto ma dostęp do danych osobowych?

Po przeprowadzeniu inwentaryzacji zbiorów danych należy zastanowić się nad tym, kto ma dostęp do przetwarzanych i gromadzonych danych osobowych w firmie. Takie rozważania mają na celu wyeliminowanie dostępu dla osób, które tych danych do wykonania swojej pracy nie potrzebują. To działanie potrafi zminimalizować ryzyko wycieku informacji poufnych, a także jest dodatkowym atutem w przypadku kontroli w naszym przedsiębiorstwie. W tym punkcie należy odpowiedzieć sobie na pytania: Czy osoba, która przetwarza dane wie, w jakim celu to robi? Czy dany pracownik został o tym poinformowany?

W oparciu o RODO nie musimy już wypisywać osobnego upoważnienia dla pracownika, ale jako administratorzy danych musimy dochować staranności w ochronie informacji.

Zakres naszych działań powinien także objąć podmioty, z którymi współpracujemy. Mowa tu o firmie hostingowej, która na swoich serwerach przechowuje bazę naszego sklepu, księgowości, firmie kurierskiej. Z każdym podmiotem powinniśmy zawrzeć umowę o przetwarzaniu danych osobowych.

Lokalizacja danych

Po ustaleniu informacji na temat osób i podmiotów, które mają dostęp do danych, czas na ustalenie lokalizacji, w których te dane są przechowywane. Tu wiele rzeczy się powtórzy: siedziba firmy hostingowej/serwerownia, siedziba firmy księgowej, siedziba firmy kurierskiej, ale także: zamykana szafa, zaszyfrowana szuflada i wszelkie inne lokalizacje, w których np. gromadzimy dokumenty.

RODO dla sklepów internetowych, serwerownia, bezpieczeństwo danych

RODO, podobnie jak w przypadku upoważnień, nie narzuca nam narzędzi, jakimi mamy dochować staranności w ochronie danych, ale analogicznie w tym przypadku warto posiadać dowody, które pozwolą wykazać, że tę staranność zachowaliśmy.

Narzędzia, które służą nam do przetwarzania i przechowywania danych osobowych

Gdy znamy już lokalizację danych, czas zastanowić się nad systemami, które na co dzień pozwalają nam z tych danych korzystać: CRM, panel zarządzania bazą danych, panel firmy kurierskiej, księgowej, czy też oprogramowanie własnego komputera, serwera, programu pocztowego i sklepu internetowego.

Przepływ danych

Należy ustalić również schemat przepływu danych osobowych w firmie. Powinniśmy wiedzieć, jakiego rodzaju dane przekazujemy wewnętrznie w firmie, a które informacje przekazywane są na zewnątrz, między przedsiębiorcami.  Odpowiedzmy sobie na pytania: W jakiej formie przekazujemy dane? Jak często to robimy?

Ocena ryzyka przetwarzania

Być może punkt ten brzmi dość niejasno i budzi przerażenie wśród czytelników, ale tak naprawdę nie jest to nic trudnego. Myślę, że z pojęciem ryzyka nie trzeba nikogo zaznajamiać. Ocena ryzyka w tym przypadku dotyczy częstotliwości oraz skutków ewentualnych “wpadek”, niezgodności z procedurami, a także błędów pracowników.

Ocenę ryzyka musimy rozpocząć od listy możliwych zagrożeń w naszym sklepie internetowym. Do takich zagrożeń może należeć np. nieaktualne oprogramowanie antywirusowe, oprogramowanie na komputerze, a także silnik sklepu internetowego na serwerze. Włamanie na serwer, do siedziby firmy, do komputera, atak phishingowy, błąd pracownika, zbiorowy mailing z odkrytymi adresami innych odbiorców. Skutki oraz prawdopodobieństwo oceniamy w skali od 1 do 3. W tej skali należy umieścić każde wypisane zagrożenie i tak np. częstotliwość nieudanego mailingu możemy oszacować na 2, a skutki na 1. W przypadku włamania do bazy danych na serwerze częstotliwość oszacujemy na 1, skutki na 3. Każde zagrożenie należy odnieść do realności wystąpienia, a także zastanowić się, czy miało miejsce w przeszłości.

Formalności RODO

Po wejściu RODO nie mamy już obowiązku zgłaszania zbioru danych, nie musimy pisać polityki bezpieczeństwa, ani instrukcji zarządzania systemem informatycznym. Nie musimy, lecz możemy. Polityka bezpieczeństwa może nadać kształt działaniom, które podejmujemy jako firma. Dobrze sprawdza się w dużych organizacjach. W systemach ISO, dla przykładu, stanowi często trzon, dokument, który dostaje do ręki zatrudniany pracownik. Czy dla sklepu, który prowadzimy z sami jest niezbędna? RODO nie odpowiada na to pytanie, podobnie jak w przypadku narzędzi przetwarzania, daje nam dowolność.

Dokumenty, o które zadbać bezwzględnie musimy to:

-umowy powierzenia danych osobowych – podpisujemy je z podmiotami, np. firmą hostingową

-upoważnienia do przetwarzania danych osobowych – zgody, które wyrażają klienci podczas zakupu towarów i usług

Dokumentacja, jak w każdym systemie zarządzania, jest niezbędna i stanowi podstawowy dowód w przypadku wycieku danych, który może spowodować wizytę organu kontrolującego. Da nam na jasną odpowiedź na podstawowe pytanie: jakiego rodzaju dane osobowe przetwarzasz i w jakim celu to robisz?

Regulaminy, które powinniśmy mieć na stronie:

-polityka prywatności i cookies 

-regulamin rejestracji w panelu sklepu

-regulamin sklepu

-regulamin konkursów, promocji lub programu lojalnościowego

RODO dla sklepów internetowych – jak pomóc sobie we wdrożeniu i utrzymaniu?

Jeśli nie czujecie się na siłach, by samodzielnie wdrożyć RODO w swoim sklepie, skorzystajcie z pomocy specjalistów. Na rynku znajdziecie wiele firm, które oferują współpracę w tej kwestii. Być może jest to kosztowne rozwiązanie, lecz z pewnością dające największą pewność poprawności formalnej dokumentów, zgodności z wymaganiami. Korzystając z rad profesjonalistów zmniejszymy także ryzyko kontroli i wycieku danych.

W przypadku, gdy nie dysponujemy środkami finansowymi, które moglibyśmy na ten cel przeznaczyć, skorzystajmy z bezpłatnych źródeł informacji tworzonych przez specjalistów w tej dziedzinie. Z pewnością najbardziej wiarygodnym źródłem jest oficjalna strona Głównego Inspektora Ochrony Danych Osobowych w naszym kraju: giodo.gov.pl. Odwiedzając tę witrynę możemy nie tylko zdobyć aktualne informacje o RODO, ale również zobaczyć mobilizujący zegar odliczający do 25 maja 2018 roku.

Niezbędnymi działaniami, które należy podjąć po wdrożeniu RODO są okresowe szkolenia pracowników, a także powracające oceny ryzyka. Zakładając, że nasz sklep zmienia formę, zakres lub oprogramowanie, musimy pamiętać, że zagrożenia, które pierwotnie ustaliliśmy, mogą być już nieaktualne.

Na koniec nie pozostaje mi nic innego, niż życzyć Wam powodzenia w pracy nad wdrożeniem RODO. Czasu zostało niewiele, lecz wdrożenie RODO to nie tylko kary, ale przede wszystkim działania na rzecz bezpieczeństwa Waszych klientów.

*Wszystkie ustawy i rozporządzenia, o których mowa powyżej, znajdują się na oficjalnej stronie Generalnego Inspektora Ochrony Danych Osobowych.

Tags:, , ,

Account Manager w LH.pl. Na co dzień wspiera klientów w rozwiązywaniu domenowych zagadek, a także doradza w wyborze korzystnych rozwiązań hostingowych. Stawia swoje pierwsze kroki w świecie WordPressa pracując nad własnym miejscem w Internecie.

  • Andy

    Pani Anetko Super Pani ujęła temat. Bez ściemniania i naciągania – same konkrety. Niestety na wielu stronach same straszaki. I tylko w danej firmie to zrobisz bo inne to fe. Można jednak inaczej i równie dobrze a kto wie czy nie lepiej bo system dostosowany do możliwości jednostki i adekwatnych zagrożeń.

    • Aneta

      Dziękuję za miłe słowa!

  • Amanda Sadkowicz

    Ja jednak wolę ogarnąć samodzielnie temat. Dzięki za ten wartościowy tekst! 🙂

    _______________________________________
    https://focustelecom.pl/blog/rodo-w-polsce/

    • Aneta

      dobra decyzja, trzymam kciuki 🙂

  • Aga

    Faktycznie bardzo pomocny artykuł wyjaśniający jak podejść do tematu krok po kroku.

    Gdzieś przeczytałam, że jeśli prowadzę sklep, w którym nie ma rejestracji i dane osobowe zbieram wyłącznie do wysyłki i ewentualnego wystawienia faktury i pomimo że przekazuję dane kurierowi to nie potrzebuję tego rozbudowanego systemu uzyskiwania zgód? Wystarczy, ze klient odhaczy po staremu checkbox, że się zapoznaje z regulaminem? Czyli w przypadku bez rejestracji klient sklepu nie zauważy zmian w procesie zakupowym? Czy dobrze to zrozumiałam?

    Natomiast oczywiście muszę uaktualnić regulamin, mieć umowy z firmami zewnętrznymi i pozostałe dokumenty wymagane przez RODO dokładnie tak samo gdybym klienta o tą zgodę prosiła.
    Pozdrawiam,

Facebook - LH.pl

Page plugin Facebook nie działa poprawnie. Proszę włączyć śledzenie w ustawieniach przeglądarki.