RODO to jak dotąd najbardziej kompleksowe rozporządzenie dotyczące ochrony danych i prywatności. Ustanawia ono precyzyjne zasady gromadzenia, przekazywania, przetwarzania i przechowywania danych osobowych. Rozporządzenie przyznaje również obywatelom UE pewne prawa i ochronę w odniesieniu do ich danych osobowych.
Na temat tego czym jest RODO pisaliśmy już sporo w naszym poprzednim artykule o karach finansowych RODO.
Dlaczego RODO jest ważne dla sklepów e-commerce?
Sklepy e-commerce przetwarzają dane osobowe. Gromadzą, przechowują lub w inny sposób wykorzystują informacje, które mogą potencjalnie identyfikować osobę fizyczną. Oznacza to, że muszą przestrzegać RODO.
W rzeczywistości sklepy e-commerce są głównym celem RODO. Przetwarzają one sporo danych osobowych. Na przykład:
- – Imiona i nazwiska, adresy e-mail, adresy wysyłki i inne informacje, które mogą być wykorzystane do bezpośredniej identyfikacji osób.
- – Dane kart płatniczych, a w niektórych przypadkach dane wrażliwe lub ujawniające informacje, które muszą być przetwarzane w bezpieczny sposób.
- – Informacje techniczne, takie jak adresy IP i pliki cookie, które mogą być wykorzystywane do pośredniej identyfikacji osób fizycznych.
Wszystkie te rzeczy liczą się jako dane osobowe zgodnie ze ścisłą interpretacją tego terminu przez UE. W związku z tym RODO ma zastosowanie do każdego aspektu ich obsługi.
Pomożemy Ci przeprowadzić audyt i ocenę działań związanych z ochroną danymi osobowymi.
Co powinna zawierać polityka prywatności w e-commerce?
Przyjrzyjmy się, co musi zawierać polityka prywatności zgodna z RODO. Skoncentrujemy się w szczególności na tych częściach, które są istotne dla sklepów e-commerce.
Dane kontaktowe
RODO wymaga ujawnienia tożsamości i danych kontaktowych administratora danych.
“Administrator” oznacza Twój sklep internetowy, który w żargonie UE jest “administratorem danych”. Administrator danych to podmiot, który “określa cele i sposoby przetwarzania danych osobowych”.
Przykładowo: sklep internetowy może rejestrować czyjś adres za pośrednictwem formularza internetowego w celu wysłania mu produktu.
“Dane osobowe” to adres danej osoby.
“Środkiem” przetwarzania danych osobowych jest ich rejestracja za pośrednictwem formularza internetowego.
“Celem” przetwarzania danych osobowych jest wysłanie produktu.
Firma ustaliła, w jaki sposób i dlaczego przetwarzać dane osobowe. Jest ona administratorem danych.
Należy również podać dane swojego przedstawiciela w UE i inspektora ochrony danych (DPO).
Nie masz DPO? – możemy Ci pomóc, napisz do nas!
Podanie nazwy firmy i danych kontaktowych brzmi dość prosto. Ale nadal możliwe jest popełnienie błędu. RODO wymaga używania “jasnego i prostego języka”. Język prawniczy jest niedozwolony.
Kategorie danych osobowych
Należy ujawnić, jakie rodzaje danych osobowych są przetwarzane. Na przykład:
- 1. Imię i nazwisko
- 2. Adres e-mail
- 3. Adres wysyłki
- 4. Adres rozliczeniowy
- 5. Dane karty płatniczej
- 6. Adres IP (za pośrednictwem dzienników serwera)
Należy pamiętać, że niektóre pliki cookie liczą się jako dane osobowe. Jeśli korzystasz z usługi, która zapewnia ukierunkowane pliki cookie do angażowania się w ukierunkowane reklamy Twoich produktów na innych stronach internetowych, prawdopodobnie wyraziłeś zgodę na ujawnienie tego w swojej Polityce prywatności, gdy zgodziłeś się na Warunki platformy reklamowej.
Cele i podstawy prawne
Przetwarzanie danych zgodnie z RODO może mieć miejsce wyłącznie z ważnego powodu. Dobrą wiadomością dla sklepów e-commerce jest to, że sprzedawanie ludziom rzeczy liczy się jako dobry powód do przetwarzania ich danych osobowych. Cóż, jest to nieco bardziej skomplikowane.
Sześć zgodnych z prawem podstaw RODO ma zastosowanie do każdej zgodnej z prawem czynności przetwarzania danych.
Są to:
- 1. Zgoda
- 2. Umowa
- 3. Obowiązek prawny
- 4. Konieczność ochrony żywotnych interesów
- 5. Konieczne ze względu na interes publiczny lub wykonywanie władzy publicznej
- 6. Uzasadnione interesy
Podstawy prawne najczęściej wymieniane przez sklepy internetowe to:
Umowa: gdy przetwarzanie danych osobowych jest wymagane w celu wypełnienia zobowiązań umownych. Gdy klient dokona zakupu, umowa z nim wymaga przesłania danych karty płatniczej do podmiotu przetwarzającego płatności, przesłania adresu wysyłki do przewoźnika pocztowego itp.
Zgoda: w przypadku świadczenia nieistotnych usług, którym klient może łatwo odmówić. Jeśli chcesz, aby klient zapisał się do Twojego cotygodniowego newslettera marketingowego lub zezwolił Ci na używanie targetujących plików cookie, musisz poprosić go o zgodę.
Uzasadnione interesy: w przypadku przetwarzania danych o niskim ryzyku, które przynosi korzyści firmie i ma minimalny wpływ na klienta lub wiąże się z minimalnym ryzykiem dla klienta. Możesz być w stanie uzasadnić przechowywanie zaszyfrowanej listy adresów IP osób, które odwiedziły Twoją witrynę, w celu zachowania bezpieczeństwa.
Odbiorcy danych osobowych
Sklep internetowy prawie na pewno będzie udostępniać dane osobowe stronom trzecim.
- 1. Podmioty przetwarzające płatności, takie jak PayPal lub Shopify.
- 2. Sprzedawcy e-maili, tacy jak MailChimp lub SendGrid.
- 3. Przewoźnicy pocztowi, tacy jak UPS lub FedEx.
- 4. Usługi reklamowe, takie jak Google lub AdRoll.
Niektóre polityki prywatności wydają się sugerować, że “ujawnienie” danych osobowych jest równoznaczne z ich “sprzedażą”.
Przekazywanie danych do krajów trzecich
Dobrą wiadomością dla firm spoza UE jest to, że RODO zezwala na przekazywanie danych osobowych poza UE. Podlega to jednak dość rygorystycznym zabezpieczeniom. Będzie to istotne, jeśli jesteś
- – firmą spoza UE posiadającą klientów z UE
- – firmą z UE współpracującą z firmami zewnętrznymi spoza UE.
Ogólnie rzecz biorąc, UE zezwala na międzynarodowe przekazywanie danych, o ile
- – Kraj odbierający dane znajduje się na “odpowiedniej” liście Komisji UE. Należy zauważyć, że Stany Zjednoczone znajdują się na tej liście, ale tylko wtedy, gdy odbiorca jest częścią programu Privacy Shield.
- – Nadawca i odbiorca zawarli umowę zawierającą pewne prawnie wiążące standardowe klauzule.
- – Transfer odbywa się w ramach międzynarodowej firmy, która przyjęła pewne wiążące zasady korporacyjne.
W ostateczności i tylko pod pewnymi warunkami, gdy dana osoba wyraziła na to zgodę.
Okresy przechowywania
Twoja Polityka Prywatności powinna ujawniać, jak długo będziesz przechowywać wszelkie gromadzone lub otrzymywane dane osobowe. RODO nie zezwala na wieczne przechowywanie danych osobowych na serwerach lub w szafkach na dokumenty.
“Ograniczenie przechowywania” jest ważną zasadą.
Sklepy e-commerce będą zazwyczaj musiały przechowywać imiona i nazwiska, dane konta i adresy wysyłki. Należy jednak również wziąć pod uwagę informacje techniczne, takie jak pliki cookie, a także adresy IP i ewentualnie inne dane dziennika.
Możesz nie być odpowiedzialny za przechowywanie lub usuwanie danych kart płatniczych, jeśli korzystasz z zewnętrznego procesora płatności.
Nie musisz określać czasu przechowywania danych w miesiącach lub latach. Czasami okres ten jest określany w inny sposób.
Prawa do danych osobowych
Mieszkańcy UE mają pewne prawa do swoich danych osobowych. Administratorzy danych (tacy jak sklepy internetowe) muszą ułatwiać korzystanie z tych praw.
- 1. Prawo do informacji.
- 2. Prawo dostępu do danych.
- 3. Prawo do sprostowania danych.
- 4. Prawo do usunięcia danych.
- 5. Prawo do ograniczenia przetwarzania.
- 6. Prawo do przenoszenia danych.
- 7. Prawo do sprzeciwu.
- 8. Prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem.
W swojej Polityce prywatności musisz poinformować użytkowników, w jaki sposób mogą skorzystać z tych praw.
Musisz także wiedzieć, jak reagować, gdy użytkownicy korzystają ze swoich praw. Na przykład, w przypadku prawa dostępu do danych, należy obsługiwać wnioski o dostęp do prywatności w bardzo konkretny sposób.
Niektóre organizacje udostępniają formularz internetowy do składania takich wniosków, ale podanie adresu e-mail jest wystarczające.
Podsumowanie polityki prywatności RODO dla sklepów e-commerce
Dla sklepów e-commerce prawidłowa polityka prywatności ma kluczowe znaczenie. Konsumenci coraz częściej jej oczekują, a prawo jednoznacznie tego wymaga.
Polityka prywatności musi zawierać przynajmniej następujące elementy:
- 1. dane kontaktowe firmy oraz dane kontaktowe przedstawiciela UE i inspektora ochrony danych, jeśli został on wyznaczony.
- 2. Kategorie przetwarzanych danych osobowych.
- 3. Jak i dlaczego przetwarzasz dane osobowe.
- 4. Podstawa prawna dla każdej czynności przetwarzania.
- 5. Kategorie firm, którym udostępniane są dane osobowe.
- 6. Szczegóły dotyczące wszelkich transferów danych poza UE.
- 7. Jak długo należy przechowywać dane osobowe.
- 8. W jaki sposób można ułatwić użytkownikom korzystanie z ich praw do danych?
- 9. W jaki sposób użytkownicy mogą złożyć skargę dotyczącą praktyk w zakresie ochrony danych.
Należy również pamiętać o stosowaniu zasad RODO w swoich praktykach ochrony danych przez cały czas.
Przeczytaj także: Dyrektywa Omnibus – pierwsze oskarżenia od UOKiK
