Nowe, unijne Rozporządzenie o Ochronie Danych Osobowych zbliża się wielkimi krokami. Już 25 maja 2018 roku zacznie ono obowiązywać i nakładać na podmioty przetwarzające dane szereg nowych obowiązków i wymogów.
Kogo dotyczy RODO?
Sklepy internetowe na pewno muszą przygotować się na nadchodzące zmiany, gdyż RODO 2018 tak naprawdę dotyczy wszystkich podmiotów, które przetwarzają dane osobowe obywateli Unii Europejskiej w celach innych niż domowe, czy osobiste. Co więcej – od wejścia RODO nie trzeba będzie mieć nawet działalności gospodarczej, by pod nie podlegać. Wystarczy być np. blogerem, który wysyła newsletter swoim czytelnikom – RODO ma już dla niego zastosowanie.
Na co powinien przygotować się właściciel sklepu internetowego?
Właściciele sklepów internetowych bez wyjątku muszą przygotować się na nadchodzące zmiany. Warto wiedzieć, że RODO to niemała rewolucja i to nie tylko ze względu na modyfikacje, które niesie, ale także brak okresu przejściowego, dlatego wszystkie podmioty przetwarzające dane muszą być gotowe 25 maja na ich przyjście.
Na co więc przede wszystkim powinien zwrócić uwagę sprzedawca internetowy?
1. Kwestia rejestracji zbiorów danych
Wedle UODO, czyli rozporządzenia, które aktualnie jeszcze reguluje kwestie przetwarzania danych osobowych każdy zbiór danych należy zarejestrować w GIODO. Spędza to sen z powiek niejednemu przedsiębiorcy, zwłaszcza biorąc pod uwagę, że gdy przetwarzamy dane klientów w kilku celach (np. statystyk, czy marketingu), wówczas taki zbiór należy zgłaszać kilkukrotnie.
Można było od tego uciec powołując Administratora Bezpieczeństwa Informacji, czyli ABI, który ściągał z przedsiębiorcy obowiązek rejestracji zbiorów danych w GIODO. RODO całkowicie znosi ten obowiązek i od 25 maja nie trzeba będzie niczego rejestrować w GIODO.
2. ABI -> IODO
Jak wyżej wspomniane, do tej pory podmioty przetwarzające dane osobowe miały możliwość, by powołać ABI, czyli Administratora Bezpieczeństwa Informacji. RODO to zmienia, instytucja ABI przestaje istnieć i na jej miejsce pojawi się IODO, czyli Inspektor Ochrony Danych Osobowych, którego powołanie w wielu przypadkach będzie obowiązkiem.
3. Bardziej przejrzyste zgody na przetwarzanie danych osobowych
Do tej pory często mogliśmy się spotkać z bardzo enigmatycznie wyglądającymi zgodami na przetwarzanie danych, a teksty przy tzw. checkboxach, które musiał zaznaczyć klient były mało zrozumiałe. Zdarzało się też tak, że sprzedawcy lubili pod jedno okienko podpiąć zgody na kilka działań (np. marketingowe, na przesłanie danych do podmiotów trzecich itp.). RODO zakazuje takich praktyk Oprócz tego RODO wymaga, aby zgody były teraz formułowane jasnym językiem, były konkretne oraz jednoznaczne. Mają być jasnym oświadczeniem klienta.
4. Nowe zapisy w regulaminie związane z rozszerzonym obowiązkiem informacyjnym
Regulamin sklepu oraz polityka prywatności nadal będą ważnymi dokumentami i ich istota nie ulegnie zmianie. RODO wprowadza dodatkowe uprawnienia dla klientów, których dane przetwarzamy. Od 25 maja mają oni obowiązek dowiedzieć się od przedsiębiorcy, który przetwarza ich dane: przez jaki okres dane te będą przetwarzane, czy będą one przesyłane dalej do podmiotów trzecich, a jeżeli sami pozyskaliśmy je od takich podmiotów – od jakich. Klient ma także prawo usunąć dane z bazy sklepu, przeniesienia je w inne miejsce, przejrzeć historia przetwarzania swoich danych, a nawet bycia zapomnianym, czyli usunięcia całkowicie jego danych.
5. Większa swoboda w doborze narzędzi do ochrony danych osobowych
Aktualnie wszyscy przedsiębiorcy przetwarzający dane osobowe zobligowani są posiadać dokumenty takie jak: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, czy ewidencja osób upoważnionych do przetwarzania danych osobowych. RODO także to zmienia, znosząc obowiązek posiadania tych konkretnych dokumentów, ale to nie oznacza, że nie należy dokumentacji tej posiadać. RODO wprowadza obowiązek wdrożenia mechanizmów organizacyjnych oraz technicznych, które odpowiednio zabezpieczać będą dane osobowe i będą adekwatne do ryzyka naruszenia tych danych. Może to oznaczać, że tak, czy siak posiadanie tych dokumentów będzie potrzebne, by wymóg ten spełnić.
6. Rejestr czynności przetwarzania
Mimo, że jest wymagany dla przedsiębiorstw, które zatrudniają powyżej 250-ciu pracowników to nie oznacza to wcale, że nie warto prowadzić takiej ewidencji. Po pierwsze, będzie ona świadczyła o dobrych praktykach przedsiębiorstwa, co na pewno spodoba się organom nadzorczym. Po drugie mocno usystematyzuje to pracę oraz cały proces przetwarzania danych osobowych.
7. Wymóg zgłaszania wycieków
Jeżeli dojdzie do jakiegoś incydentu, który spowoduje wyciek danych lub zagrozi ich bezpieczeństwu w jakikolwiek inny sposób, wówczas należy zgłosić to do organu nadzorczego. Oprócz tego, trzeba także poinformować wszystkich klientów, których dane zostały naruszone.
8. Aktualizacje umów z zewnętrznymi firmami
Podczas współpracy z zewnętrznymi podmiotami takimi jak: firmy kurierskie, czy systemy do księgowości przekazujemy dane naszych klientów. Każda z tak zawartych umów będzie musiała zostać wzbogacona o zapis o ochronie tych danych osobowych. Wygodną zmianą jest fakt, że będą one mogły zostać zawarte w formie elektronicznej, papierowa nie jest wymagana.
Jak wyraźnie widać RODO przyniesie ze sobą szereg istotnych zmian na które trzeba przygotować siebie i swój sklep internetowy. Czasu jest coraz mniej, a widmo kar, które mają czekać na podmioty nie przestrzegających warunków nowego rozporządzenia powinny być dodatkową motywacją do jak najszybszego przygotowania się na 25 maja 2018 roku.
więcej informacji u ekspertów od RODO:
http://osobowedane.pl/kogo-dotyczy-rodo-sprawdz-czy-dotyczy-twojej-firmy/
