RODO - Rozporządzenie o Ochronie Danych Osobowych dla sklepów internetowych

25 maja 2018 r. zaczęło obowiązywać RODO, czyli unijne Rozporządzenie o Ochronie Danych Osobowych, które wprowadza nowe wymogi dotyczące przetwarzania i gromadzenia danych. Unijne rozporządzenia są prawem bezpośrednio obowiązującym we wszystkich państwach Unii Europejskiej i nie wymagają wdrożenia do krajowych przepisów państw członkowskich.

W IAI priorytetem od zawsze jest szeroko rozumiane bezpieczeństwo Klientów korzystających z naszych usług

Do zabezpieczeń stosowanych przez IAI należy między innymi szyfrowanie połączeń SSL, automatyczne aktualizacje systemu, monitoring serwerów, polityka prywatności. Co więcej każdy klient może nabyć w łatwy sposób swój certyfikat SSL z poziomu panelu administracyjnego.

IAI działa w modelu SaaS, jesteśmy dostawcą oprogramowania w chmurze i pełnimy funkcję osoby przetwarzającej dane w imieniu użytkowników (sklepów internetowych Naszych klientów), którzy są administratorami tych danych. To znacząca różnica między modelem SaaS, a modelem licencyjnym, gdzie dostawca sporadycznie ma jakikolwiek kontakt z danymi osobowymi. Dzieje się to najczęściej w wyniku konieczności przeprowadzenia interwencji serwisowej. Umowa w przedmiocie powierzenia danych osobowych do przetwarzania w modelu licencyjnym jest zawierana właśnie dlatego aby w awaryjnych sytuacjach administrator miał uprawniony dostęp, stanowiąc swego rodzaju dodatek do innych postanowień umownych zawieranych pomiędzy stronami. Inaczej sytuacja przedstawia się w modelu SaaS, gdzie umowa o powierzenie danych osobowych w celu przetwarzania jest nieodzownym elementem o korzystanie z oprogramowania w chmurze. W IAI mamy specjalne formularze umów i przy okazji przypominamy klientom, aby Ci, którzy jeszcze nie dostarczyli nam umowy na formularzu papierowym, zrobili to możliwie szybko. To tylko formalność, a może zapewnić spokojny czas.

Jesteśmy dostawcą oprogramowania SaaS, i w związku z kontaktem z tak poufnymi i wrażliwymi danymi są nałożone na Nas liczne obowiązki i warunki, które musimy spełnić aby przetwarzanie odbywało się zgodnie z przepisami. Wejście w życie RODO jeszcze bardziej zaostrza te regulacje, ale jesteśmy na to przygotowani. Będąc od wielu lat, dostawcą oprogramowania w modelu SaaS, jesteśmy świadomi tego, że nasza odpowiedzialność za naruszenie zasad przetwarzania danych osobowych umieszczonych przez użytkowników plasuję się na dużo wyższym poziomie, niż dostawców oprogramowania w modelu licencyjnym. Od kluczowego 25 maja 2018 r. odpowiedzialność IAI staje się odpowiedzialnością bezpośrednią w stosunku do osób, których dane są przetwarzane w systemie dostawcy oprogramowania w modelu SaaS. Co jest lepsze dla Naszych klientów niż dla klientów korzystających z własnego oprogramowania, ponieważ oni o wszystkie detale i poziomy zabezpieczeń muszą zadbać sami.

Poza tym RODO zapewnia jeszcze większe bezpieczeństwo podmiotom korzystającym z modelu SaaS, wprowadzając swoją treścią zasadniczą zmianę w sposobie odpowiedzialności administratora danych za zabezpieczenia związane z danymi osobowymi. Dotychczasowe przepisy stanowiły, że dostawca oprogramowania musi zapewnić ochronę taką, jaka jest opisana w przepisach wykonawczych do ustawy o ochronie danych osobowych. Do tej pory, najczęściej wystarczało spełnić wymagania formalne, które zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Jednak te zapisy wyraźnie się zestarzały i nie oddawały tego co się dzieje we współczesnym świecie.

Wejście w życie RODO, zmieniło obowiązujący model odpowiedzialności za zabezpieczenie przetwarzanych danych, polegający na obowiązku zapewnienia adekwatnej ochrony do charakteru jaki posiadają przetwarzane dane. Przykładem, jakim w tym miejscu można się posłużyć jest długość hasła i to, jak często należy je zmieniać – RODO nie narzuca w tym względzie żadnych rozwiązań w przeciwieństwie do obecnie obowiązujących przepisów. Po wprowadzeniu przepisów RODO, środki techniczne i organizacyjne będą musiały być dobierane w sposób samodzielny. Przy doborze takich środków trzeba będzie mieć na względzie wiele czynników, do których to zaliczamy między innymi stan wiedzy technicznej, koszty związane z wdrażaniem, ocena prawdopodobieństwa wystąpienia zagrożenia, waga jaką może mieć dane zagrożenie i specyfika danych, które są przetwarzane.

W IAI mamy tysiące klientów i przez te kilkanaście lat obecności na rynku e-commerce, robimy wszystko aby nasze systemy i procedury wewnętrzne były na najwyższym poziomie bezpieczeństwa. Ponownie pod tym względem Nasi klienci są w dużo lepszej sytuacji niż Ci, którzy korzystają z własnych licencji i własnego softu – oni te wszystkie rzeczy muszą wypracować, Nasi klienci mogą się po prostu oprzeć o nasze doświadczenie i wiedzę. Dzięki takiemu podejściu, jako dostawca usług SaaS jesteśmy w stanie dla Naszych klientów, spełnić jedno z podstawowych założeń RODO – zasadę privacy by design. Oznacza to, że dzięki naszemu wieloletniemu podejściu, nasz system jest dostosowany również w zakresie podejścia do przetwarzania danych w naszych systemach, w bardzo specyficznym sektorze rynku jakim są sklepy internetowe.

Co każda firma wdrażająca RODO w swoim sklepie internetowym powinna wiedzieć? W jaki sposób przygotować się na wdrożenie RODO, aby nie być zaskoczonym i nie narazić się na sztucznie zawyżone koszty?

Warto uważać na pułapki zastawione przez samozwańczych specjalistów i dokładnie rozumieć co i jak trzeba przygotować samodzielnie, aby zrozumieć idee RODO i stosować je w codziennej praktyce. To co faktycznie pozostaje do przepracowania po stronie sklepu internetowego, to przede wszystkim:

  1. Określenie sposobu wdrożenia RODO – czy sklep robi to samodzielnie przez wyznaczenie pracownika albo zespołu odpowiedzialnego za wdrożenie, czy lepiej posłużyć się wyspecjalizowaną firmą zewnętrzną? Nie ma na to pytanie jasnej odpowiedzi. Faktem jest, że mało która mała i średnia firma ma wewnętrzne kompetencje do wdrożenia RODO na tyle duże, aby ze swoich, i tak zapewne zapracowanych osób, wybrać te, które pewnie przeprowadzą firmę przez niuanse nowej dokumentacji i nowych zasad. Dlatego, warto rozważyć zlecenie wdrożenia przepisów RODO firmie doradczej, ale warto bardzo dokładnie przejrzeć oferty tych firm, mieć własne, krytyczne zdanie i nie ulegać presji ceny.
  2. Kolejnym etapem wdrożenia powinno być stworzenie harmonogramu prac. Można w nim wskazać zakres prac i terminy wykonania poszczególnych etapów wdrażania przepisów rozporządzenia. Harmonogram taki pozwoli ustalić, które z zadań, będzie najbardziej czasochłonne i kosztowne, jak również pozwoli kontrolować czy podjęte działania przebiegają terminowo i ze wszystkimi pracami zdążymy w wyznaczonym terminie (25 maja 2018 zaczęło obowiązywać RODO). Plan pracy pomoże także w ustaleniu od których prac zacząć i z którymi zadaniami przedsiębiorstwo może mieć największe trudności.
  3. Przy tworzeniu procedur i dokumentacji pod kątem RODO niezbędny będzie przegląd przetwarzanych danych i procesów przetwarzania wewnątrz firmy pod kątem:
    1. wyodrębnienia zbiorów danych własnych i powierzonych do przetwarzania,
    2. podstaw przetwarzania danych,
    3. ustalenia celów przetwarzania - czy są konkretne, wyraźne i prawnie uzasadnione,
    4. minimalizacji danych(czy wszystkie przetwarzane dane są niezbędne do osiągnięcia celów przetwarzania), tu docieramy do dwóch założeń w RODO, czyli privacy by design oraz privacy by default, mówiących o tym, że dane muszą być przetwarzane tylko w niezbędnym zakresie oraz cały proces projektowania i wytwarzania oprogramowania ma służyć zabezpieczeniu danych. Dla firm korzystających z rozwiązań SaaS takich jak IAI, to olbrzymia przewaga, bo nie muszą się o to martwić. Sklepy korzystające z własnego softu przy każdej zmianie czy dodaniu nowej funkcji będą musiały dokumentować, że działają według tych zasad. Warto jednak sprawdzić, czy w innych programach – przykładowo CRM czy ERP nie przechowujemy i nie przetwarzamy zbędnych danych, co by było sprzeczne z zasadą privacy by default.
    5. sprawdzenia czy dane są prawidłowe i aktualne - jeśli nie, należy je usunąć lub zaktualizować. W tym temacie na pewno pomoże doświadczenie prawnika specjalizującego się w ochronie danych osobowych.
    6. Czy nadal trwa cel, dla którego dane zostały zebrane, a jeśli nie, to należy te dane usunąć. Jednak w przypadku danych potrzebnych do przeprowadzenia transakcji i następnie wykorzystywanych do dokumentacji skarbowej, ten punkt ma małe znaczenie. Być może trzeba będzie lekko zmodyfikować treść klauzul zgody na wysyłanie newsletterów lub innych komunikatów wysyłanych elektronicznie do klienta, zamieszczając informacje o samym fakcie przetwarzania danych, celu przetwarzania oraz danych administratora, a także o przysługujących odbiorcom prawach.
    7. Czy dane są odpowiednio zabezpieczone przed utratą, zniszczeniem, uszkodzeniem – przegląd systemów IT, w szczególności pod kątem poufności, integralności dostępności i odporności systemów, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. O ile w przypadku danych trzymanych w systemach IdoSell Shop, sklep internetowy ma ten problem z głowy, ponieważ spada to na IAI, to jednak w samym biurze czy magazynie przechowuje się różne dane. Warto poświęcić chwilę czasu i sprawdzić te dane, choćby tylko dla własnego bezpieczeństwa i spokoju.
    8. Aktualizacji regulaminów świadczenia usług, klauzul informacyjnych, klauzul udzielanych zgód i form udzielania zgody, tu zapisy będą raczej standardowe i nie będzie to wymagało większego wysiłku niż dodanie zapisów do standardowego „check-boxu” na wyrażanie zgody na przetwarzanie danych osobowych, regulaminu sklepu lub polityki prywatności.
    9. Zrealizowania obowiązku informacyjnego, w tym poinformowania o profilowaniu, o ile oczywiście taka potrzeba będzie zachodziła w ramach działań prowadzonych przez sklep internetowy.
    10. Weryfikacji udzielenia zgody przez rodzica/opiekuna dziecka poniżej 13 r.ż., ponownie jeżeli rzeczywiście będzie zachodziło podejrzenie, że zakupów dokonuje dziecko poniżej tego wieku.
  4. Przeprowadzenie oceny skutków ryzyka, nie jest to obowiązkowe dla wszystkich przedsiębiorców, ale wydaje się konieczne dla sklepów internetowych.
  5. Istotna zmiana jaką wprowadza RODO to obowiązek posiadania dokumentu, w którym zamieszczone są cele, dla jakich dane osobowe są przetwarzane oraz kontakt do osoby lub osób, które są administratorami tych danych. Nie musi to być jednak dokument papierowy, może to być zwykły dokument tekstowy czy arkusz kalkulacyjny. Należy wprowadzić (zarządzeniem lub uchwałą) spisane dokumenty takie jak: politykę ochrony danych lub zmodyfikować politykę bezpieczeństwa jeżeli jest już wprowadzona, rejestr czynności/kategorii przetwarzania, ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa i oceny skutków ryzyka. Jak widać, choć nie są to skomplikowane formuły, to jest ich kilka i choćby z tego powodu warto pomyśleć o zleceniu ich kancelarii.
  6. Kolejnym krokiem jest wydanie upoważnień pracownikom do przetwarzania danych oraz przetwarzania na polecenie.
  7. Oczywiście na koniec należy przeszkolić wszystkich pracowników(bez względu na formę umowy) z zasad ochrony danych. Warto odebrać poświadczenie, że takie informacje uzyskali i będą się do nich stosować. Należy też tego restrykcyjnie wymagać, szczególnie w pierwszych tygodniach po wprowadzeniu RODO, aby te informacje weszły w nawyk. Pamiętajmy też o tym, że każdy ma obowiązek zgłaszania naruszeń. Nie obrażajmy się na pracowników, czy podwykonawców jeżeli takie naruszenie nam zgłoszą. Po jego zaraportowaniu prawdopodobnie nic złego się nie stanie, gorzej jakby zostało ono przemilczane. Na samo dokonanie zgłoszenia będziemy mieli 72 godziny.
  8. Zawarcie umów o powierzeniu przetwarzania, ale w przypadku IAI tę kwestię rozwiąże standardowa umowa i zapisy w Regulaminie. Ostatnim krokiem jest wyznaczenie wśród załogi Inspektora Ochrony Danych Osobowych, który będzie czuwał nad pilnowaniem Zasad RODO, szczególnie opisanych w punkcie 7.

Te wszystkie informacje dają światło na ilość pracy jaką należy wykonać przy okazji tworzenia dokumentacji RODO. Dzięki temu, jako potencjalni klienci kancelarii, każdy sklep może realnie ocenić zakres proponowanych prac i ich wycenę. Na pewno nie warto oszczędzać na tych pracach, ale również nie ma sensu przepłacać.

W związku z licznymi wymogami, które należy spełnić i przepisami, które należy stosować oraz, co ważne, pewną ich uznaniowością, firma z wieloletnim doświadczeniem i obyciem z tym konkretnym modelem oprogramowania jest idealnym podmiotem, któremu można powierzyć przetwarzanie swoich danych. IAI jest profesjonalnie przygotowana do spełnienia wymogów jakie niesie za sobą RODO, jest w stanie zapewnić najwyższy poziom bezpieczeństwa, adekwatny do odpowiednich okoliczności. Jest to możliwe dzięki istniejącemu zapleczu technicznemu firmy jak i wykwalifikowanej kadrze. Środki, którymi m.in. IAI będzie się w tym celu posługiwać to szyfrowanie danych i ich ciągłe monitorowanie.

Rafał Malujda
- radca prawny / rzecznik patentowy
malujda.pl

Strona ta będzie uaktualniana wraz z pojawianiem się nowych okoliczności dotyczących przetwarzania danych.