RODO dla przedsiębiorców w pytaniach i odpowiedziach – część 2

Avatar

Zapraszamy Cię do lektury kolejnego wpisu z cyklu RODO dla przedsiębiorców. Wykorzystując nasze doświadczenie w doradzaniu przedsiębiorcom chcemy udzielić Ci kilku praktycznych wskazówek jak krok po kroku poruszać się w regulacjach rozporządzenia, w jaki sposób  tworzyć przejrzystą
i kompletną dokumentację oraz jakie standardy ochrony zapewniać swoim klientom. W dzisiejszym wpisie skoncentrujemy się na kwestiach z pogranicza ochrony danych osobowych i e- commerce. Jeśli więc prowadzisz sklep internetowy lub dopiero planujesz ruszyć ze sprzedażą on-line- ten wpis jest właśnie dla Ciebie!

  1. RODO w sieci. Nie daj się złapać.

Podczas gdy firmy masowo przenoszą swoją działalność do internetu, a konsumenci coraz chętniej korzystają z bezpiecznych zakupów on-line musisz uświadomić sobie jak wiele operacji na danych  osobowych przeprowadzasz jako administrator danych przy transakcjach na odległość. (dowiedz się czy jesteś administratorem danych osobowych z naszego poprzedniego wpisu →  RODO dla przedsiębiorców w pytaniach i odpowiedziach.
 
Rodo dla firm krok po kroku co zrobić
 

  1. Twoje obowiązki.

RODO nakłada na administratora danych osobowych (ADO) mnóstwo wymogów począwszy od obowiązków względem, osób których dane przetwarza, po czynności, które musi wykonać wobec organu nadzorczego. Z punktu widzenia działalności w internecie te pierwsze wydają się niezwykle istotne. Warto wspomnieć tylko, że obowiązki wobec organu nadzorczego polegają głównie na zgłaszaniu naruszeń ochrony danych osobowych, co nie ulega wątpliwości – również w branży e-commerce – zdarza się. Na wszelki wypadek przygotuj więc procedurę ewidencjonowania naruszeń
i miej pod ręką wzór raportu z naruszeń danych osobowych. Wychodzimy z założenia, że lepiej jest zapobiegać naruszeniom przez świadome i staranne przetwarzanie danych niż brać odpowiedzialność za niekontrolowany ich wyciek lub utratę. Jeśli jednak taki incydent zdarzy się w Twojej firmie w ciągu 72 godzin musisz podjąć decyzję czy zgłaszasz naruszenie do Prezesa UODO, czy nie. Formularze do  zgłoszeń znajdziesz na stronie UODO pod linkiem: https://uodo.gov.pl/pl/134/233.
 
Art. 24 i następne RODO, stanowią, że jako administrator jesteś zobowiązany:

  • wdrażać odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z przepisami RODO
  • wykazać, że proces przetwarzania danych osobowych jest
    zgodny z przepisami RODO (najczęściej za pomocą kodeksów postępowania i mechanizmów certyfikacji)
  • wdrażać odpowiednie polityki ochrony danych;
  • chronić dane w tzw. „fazie projektowania” (wstępnej) przetwarzając je tylko w zakresie niezbędnym dla konkretnego celu przetwarzania;
  • prowadzić dokumentację opisującą sposób, cele i środki przetwarzania danych;
  • zapewnić kontrolę nad tym, jakie dane osobowe, kiedy, komu i w jakim celu powierzasz;
  • zapewnić, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające odpowiednie upoważnienie i że przetwarzają dane wyłącznie na Twoje polecenie;
  • szkolić osoby, które mają dostęp do danych i uświadamiać je zakresie bezpieczeństwa danych;
  • prowadzić rejestr osób upoważnionych do przetwarzania danych osobowych;
  • poinformować osoby, których dane dotyczą o prawach które im przysługują, o adresie swojej siedziby, celu zbierania i przetwarzania danych i o dalszych podmiotach, którym powierzasz ich dane (tzw. obowiązek informacyjny);
  • współpracować z organem nadzorczym (w zakresie wcześniej wspomnianych naruszeń bezpieczeństwa danych)
  • zawiadomić podmioty, których dane osobowe zostały naruszone: bez zbędnej zwłoki, jasnym i prostym językiem, opisując charakter naruszenia i środki przez Ciebie poczynione;
  • przeprowadzić analizy ryzyka oraz w razie konieczności opracować oceny skutków naruszeń;

 

  1. Wymagane dokumenty

Wiesz już, że ciąży na Tobie bardzo wiele obowiązków i zapewne zastanawiasz się jak zapewnić
w swoim sklepie internetowym bezpieczne przetwarzanie danych osobowych? Wskazówek dostarcza już sama treść rozporządzenia, gdyż przykładowy wykaz środków ujęty został w art. 32 RODO i zalicza się do nich:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
    i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Analiza ryzyka
Aby ustalić, czy stopień bezpieczeństwa przetwarzania danych jest odpowiedni, radzimy Ci przeprowadzić analizę ryzyka. Zastanów się w jaki sposób przetwarzane przez Ciebie dane mogą zostać narażone na dostęp nieuprawnionych osób i stwórz prostą tabelę, w której opiszesz na czym polega każdy z możliwych incydentów i ile trwać może niechciana ekspozycja danych.
 
Rejestr przetwarzania
Ogromne znaczenie dla ochrony danych osobowych ma również tzw. rejestr przetwarzania.  Po pierwsze uświadom sobie w jakich sytuacjach przetwarzasz dane osobowe swoich klientów bądź użytkowników, następnie sprecyzuj jakie dane osobowe przetwarzasz w ramach tych operacji (o tym jakie czynności obejmuje przetwarzanie i co rozumieć pod pojęciem „dane osobowe” przeczytasz w naszym poprzednim wpisie o RODO dla firm.
W Twoim rejestrze zgodnie z art. 30 RODO muszą znaleźć się następujące informacje:

  1. imię i nazwisko oraz dane kontaktowe administratora (jeśli prowadzisz np. jednoosobową działalność gospodarczą podaj swoje dane, jeśli działasz w formie spółki pamiętaj, że to ona jest administratorem danych osobowych);
  2. cele przetwarzania danych (np. zakładanie konta przez klienta, podawanie e-maila do newslettera, realizowanie i wysyłka zamówień, wystawianie faktur, informowanie klientów o konkursach czy promocjach);
  3. kategorie osób, których dane są przetwarzane oraz kategorie danych (np. klienci posiadający konto w Twoim sklepie: imię, nazwisko, e-mail, realizowanie i wysyłka zamówień: imię, nazwisko, e-mail, adres zamieszkania, numer telefonu);
  4. kategorie odbiorców, którym dane zostaną ujawnione (tutaj najczęściej będzie brak, bo przecież nie masz zamiaru ujawniać nikomu danych);
  5. informacje o ewentualnym przekazywaniu danych do państwa trzeciego i podanie jego nazwy;
  6. jeżeli jest to możliwe, planowany termin usunięcia danych osobowych (np. usuniecie danych klienta, który dokonał zakupu bez zakładania konta, rezygnacja z otrzymywania newslettera)
  7. jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (np. dostęp do komputera i danych zabezpieczony hasłem, określenie sposobu weryfikacji, certyfikat SSL dla domeny, ochrona antywirusowa na komputerze).

Zwolnione z obowiązku prowadzenia rejestru mogą być podmioty, które przetwarzają dane w sposób sporadyczny, sklepy internetowe jednak nie mogą być zaliczone do takich podmiotów.
 
Umowa powierzenia
Przepisy RODO szczególną uwagę przywiązują do podmiotów, które w imieniu administratora przetwarzają dane osobowe. Przykładem podmiotu przetwarzającego będzie np. firma kurierska, która dostarcza Twoje towary do klientów lub firma księgująca przelewy. Pamiętaj, że podmiot przetwarzający działa w Twoim imieniu na podstawie umowy. RODO dopuszcza zawarcie umowy również w formie elektronicznej. Umowa musi określać przedmiot i czas trwania przetwarzania, jego charakter i cel. Aby kontrolować przepływ danych między Tobą, a Twoimi kontrahentami stwórz wykaz wszystkich podmiotów, którym powierzasz przetwarzanie danych wraz z opisem celu, dla którego do tego przetwarzania dochodzi, charakteru powierzenia i czasu. Zwróć uwagę czy podmioty, którym powierzasz dane, zapewniają stosowanie odpowiednich środków ochrony danych osobowych. Bez względu na wszystko  jesteś odpowiedzialny za dane, które powierzasz swoim kontrahentom.
 
Polityka prywatności
Na koniec kilka słów o polityce prywatności.  Polityka prywatności to dokument, który powinien znaleźć się na stronie internetowej każdego podmiotu, który przetwarza dane osobowe. Za pomocą polityki prywatności dopełniasz obowiązku informacyjnego, który nakłada na Ciebie treść RODO. Dokument powinien więc zawierać wszystkie informacje o sposobie zbierania i przetwarzania danych osobowych za pośrednictwem Twojej strony internetowej. Rozważ umieszczenie polityki prywatności w widocznym i łatwo dostępnym dla użytkownika miejscu  np. w postaci linku w stopce.  Ponadto, polityka prywatności to miejsce na poinformowanie Twoich użytkowników, że zbierasz  pliki cookies czyli tzw. „ciasteczka” – pamiętaj, że na administratorze bezwzględnie spoczywa wymóg uzyskania zgody użytkownika w tym zakreise. Jeśli używasz Google Analytics, Pixela Facebooka, różnego rodzaju wtyczek w tym społecznościowych czy narzędzi do powiadomień „push” informacja o tym również powinna znaleźć się w treści polityki prywatności.
 
Bezpieczne przetwarzanie danych osobowych osiągniesz wyłącznie dzięki starannej procedurze wdrożenia RODO i systematycznej, przejrzystej dokumentacji. Jeśli potrzebujesz pomocy w stworzeniu formularzy i wzorów, dostosowanych do prowadzonej przez Ciebie działalności skontaktuj się z nami!
Zapraszamy do śledzenia kolejnego wpisu, w którym poruszymy między innymi kwestie monitoringu w miejscu pracy, klauzul rekrutacyjnych, wykorzystywaniu wizerunku pracownika, upoważnieniach do przetwarzania danych i inne, na które warto zwrócić uwagę stosując RODO w zatrudnieniu.