<Wpis aktualny na 2024 rok>

Jak wdrożyć RODO w sklepie internetowym?

Chyba nic nie przeraża przedsiębiorców bardziej niż wdrożenie RODO w ich firmie. I szczerze, doskonale to rozumiem. W internecie nie brakuje artykułów straszących karami za jego niewdrożenie, dodatkowo – tego nie zrobi się w godzinę czy nawet dwie, potrzeba zarezerwować na to sporo czasu. Jeśli nie lubisz być straszony/a prawem, to jesteś w dobrym miejscu! Wychodzę z założenie, że boimy się tego, czego nie znamy. Ja bardzo stronię od technik sprzedażowych bazujących na strachu, dlatego w tym artykule będę chciała dla Ciebie odczarować RODO, pokazać, że wcale nie jest straszne i jak zapanować nad nim w sklepie. No to do roboty!

Obowiązki RODO na stronie internetowej.

Dla ułatwienia zrozumienia Twoich obowiązków jako właściciela/ki sklepu, ma początek zacznę od dokonania rozróżnienia na obowiązki wewnętrzne i zewnętrzne RODO. Wewnętrzne to te, których Klient nie widzi, które są wewnątrz Twojej firmy i których opisaniem zajmę się w tym artykule. A obowiązki zewnętrzne RODO to w uproszczeniu te, z którymi Klient ma do czynienia po wejściu na stronę Twojego sklepu. Obowiązki zewnętrzne, to zatem polityka prywatności i plików cookies, klauzule informacyjne RODO przy zbieraniu danych np. podczas składania zamówienia, zakładania konta w sklepie, przesyłania newslettera czy nawet dodawania komentarzy na blogu.

Klauzule zewnętrzne RODO na stronę to temat na tyle obszerny, że nadaje się na osobny post (znajdziesz go tutaj), ale póki co chcę Ci zwrócić uwagę, że polityka prywatności i klauzule RODO to tylko dwa z dwudziestu kilku obowiązków dokumentów potrzebnych do kompleksowego wdrożenia RODO w sklepie. Jeśli potrzebujesz tylko obowiązków zewnętrznych RODO, to znajdziesz je u mnie w sklepie w ramach Pakietu MIDI. Sprawdź poniżej! Tymczasem przejdźmy do obowiązków wewnętrznych RODO

Dokumentacja RODO w sklepie internetowym – jak zacząć?

Żeby zabezpieczyć dane, to najpierw trzeba wiedzieć, z jakimi danymi ma się do czynienia, prawda? Dlatego idąc dalej tym krokiem, w pierwszej kolejności zastanawiamy się jakie dane przetwarzamy. Jakie to przykładowo mogą być dane?

• dane osobowe od osób, które się z Tobą kontaktują poprzez formularz na stronie, lub wysłanie do Ciebie maila
• dane osobowe osób składających zamówienie,
• dane osobowe osób z zapisu na newsletter,
• dane osobowe osób, które utworzyły konto,
• dane osobowe osób z obsługi social media etc.

Jak już sobie przemyślisz te kwestie, to najlepiej wprowadzić je do excela, a konkretnie rejestru przetwarzania danych osobowych. Tak nazywa się dokument, w którym porządkujesz powyższe dane. Niestety samo wypisanie danych nie wystarcza, tam jest sporo rubryk do uzupełnienia. Takich jak cel przetwarzania, kategorie osób, kategorie danych, podstawa prawna. Na Twoim miejscu pewnie już bym się chwyciła za głowę i chciała odpuścić, bo skąd mam wiedzieć jak to uzupełnić? I racja, nie mając punktu odniesienia to zwyczajnie przeraża. Ale mam dobre wieści! A właściwie to dwa rozwiązania.

1. Urząd Ochrony Danych Osobowych na swojej stronie www zamieszcza wiele informacji na temat wdrażania RODO. Udostępnia także bezpłatnie rejestr czynności przetwarzania, który przykładowo jest uzupełniony dla szkoły. Znajdziesz go tutaj.
2. Jest też drugie rozwiązanie, mojego autorstwa czyli skorzystanie z mojego pakietu kompleksowej dokumentacji RODO, gdzie rejestr czynności przetwarzania jest przykładowo uzupełniony pod sklep.

Jeśli mamy to, to teraz będzie nam łatwiej zrobić analizę ryzyka. Czym jest analiza ryzyka? O tym w kolejnym akapicie.

Wdrożenie RODO w sklepie internetowym – analiza ryzyka.

Analiza ryzyka pozwala z wyprzedzeniem wprowadzać takie środki bezpieczeństwa, które mają szansę obniżyć lub ograniczyć ryzyko wystąpienia konkretnego zdarzenia, zagrażającego bezpieczeństwu przetwarzania danych osobowych w Twojej działalności. Analizujemy tutaj czynniki, które wpływają lub mogą wpłynąć na przetwarzanie danych osobowych, w celu dobrania odpowiednich środków ochrony. No dobrze, ale co to może oznaczać w praktyce? Co może być ryzykiem? Na przykład:

• nieuprawniony dostęp do pomieszczenia, w którym przetwarzane są dane osobowe;
• ujawnienie haseł dostępu do stanowiska komputerowego, na którym przetwarzane są dane osobowe;
• nieuprawnione przeniesienie informacji zawierających dane osobowe na inny nośnik;

Ryzykiem może też być powódź, lub pożar, atak hakerski itp. Mając wypisane potencjalne ryzyka, możesz przejść do określenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia bezpieczeństwa danych. A konkretniej środków niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Celem jest stwierdzenie, że zastosowano adekwatne środki bezpieczeństwa. Poniżej daję Ci kilka przykładów z mojego pakietu RODO, które wypisałam w dokumencie środki bezpieczeństwa. Da Ci to mniej więcej pogląd o co chodzi;)

• budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych osobowych zabezpieczone są przed dostępem osób nieuprawnionych;
• zamontowany jest system alarmowy, drzwi wejściowe są na kod,
• dokumentacja papierowa po godzinach pracy jest przechowywana w zamykanych szafkach;

Wdrożenie RODO w sklepie internetowym – polityka bezpieczeństwa.

Kolejnym bardzo istotnym elementem w Twojej dokumentacji RODO jest polityka bezpieczeństwa. Ten dokument jest podstawowym dokumentem opisującym zasady i środki przetwarzania danych osobowych w Twojej firmie. Wskazujesz w nim Twoje, jako Administratora Danych Osobowych, obowiązki a także obowiązki podmiotów upoważnionych przez Ciebie do przetwarzania danych osobowych. W Polityce Bezpieczeństwa występują m.in. następujące informacje:
– Wskazanie osób odpowiedzialnych za przetwarzanie danych osobowych,
– Powierzanie przetwarzania danych osobowych,
– Ogólne zasady bezpieczeństwa,
– Zasady postępowania przy wystąpieniu naruszeń danych osobowych,
– Kontrolę przetwarzania i stanu zabezpieczeń,
– wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.

Mając zebrane i uporządkowane wszystkie powyższe dane, będzie Ci teraz łatwiej na ich podstawie stworzyć dekalog ochrony danych osobowych. Przyjmijmy roboczo, że jak sama nazwa wskazuje są to przykazania, którymi będziesz się kierować przy ochronie danych osobowych Ty jako administrator oraz wszystkie inne osoby, które będą brać udział w przetwarzaniu danych osobowych. W Twoim sklepie mogą to być pracownicy, czy podwykonawcy. Przykładowe zapisy znajdziesz poniżej:

• Wprowadź hasła do komputerów, na których są przetwarzane dane osobowe,
• Nie zezwalaj na użytkowanie komputera osobom nieupoważnionym,
• Zgłaszaj incydenty naruszenia ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, zgodnie z zasadami wynikającymi z Polityki Bezpieczeństwa.

Wdrożenie RODO w sklepie internetowym – instrukcja zarządzania systemem informatycznym.

Kolejny bardzo ważny dokument dla wdrożenia RODO w sklepie. Instrukcja ta zawiera ogólne wytyczne związane z bezpiecznym przetwarzaniem danych osobowych w wersji cyfrowej, w systemach informatycznych, oraz niezbędne wymogi zapewnienia sprzyjającego środowiska do przetwarzania danych osobowych w systemach informatycznych. Celem jest zapobieżenie wystąpienia incydentów naruszenia bezpieczeństwa ochrony danych osobowych w Twojej działalności. Jakie przykładowe zapisy powinny znaleźć się w takim dokumencie? Sprawdź poniżej.

• Dostęp do komputera (zarówno stacjonarnego, jak i laptopa) zabezpieczony jest hasłem.
• Zabronione jest zapisywanie hasła oraz udostępnianie go osobom nie mającym upoważnienia do przetwarzania danych osobowych.
• Indywidualny zakres czynności osoby upoważnionej przy przetwarzaniu danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę tych danych przed niepowołanym dostępem; nieuzasadnioną modyfikacją lub zniszczeniem, nielegalnym ujawnieniem.
• Ekrany monitorów komputerów, na których wykonywane są operacje związane z przetwarzaniem danych osobowych powinny być tak ustawione, aby uniemożliwić osobom postronnym wgląd do danych osobowych. 

Powierzenie przetwarzania danych w sklepie internetowym.

Sklep, czy w ogóle prowadzenie firmy to nigdy nie jest gra w pojedynkę. To z reguły zestaw naczyń powiązanych. Jako administrator przetwarzasz dane osobowe, ale te dane w określonych przypadkach także powierzasz innym. Kiedy? Choćby księgowej po to, żeby rozliczać faktury. Analogicznie także hostingodawcy, dostawcy mailingu, informatykowi, dostawcy oprogramowania do wystawiania faktur, dostawcy płatności elektronicznych, wirtualnej asystentce itp. Te podmioty przetwarzają dane osobowe, których Ty jesteś administratorem, ale nie swoich celów, ale dla Twoich (wirtualna asystentka nie wyśle przecież swojej oferty do Twoich subskrybentów).

Każda taka sytuacja wymaga podpisania umowy powierzenia danych osobowych. Co ważne, podpisanie nie musi odbyć się w tradycyjnym rozumieniu, często odbywa się poprzez akceptację regulaminu dostawcy usług, może się odbyć przez maila. Nie jest tu zastrzeżona forma pisemna.

Wdrożenie RODO w sklepie – obsługa żądań osób przetwarzanych.

Chciałabym Ci powiedzieć, to co marzysz usłyszeć.. Czyli że z rodo wystarczy raz wdrożyć i zapomnieć o sprawie. No niestety nie, tak to nie działa. Z kilku względów. Po pierwsze Twoje środki bezpieczeństwa mogą się zmienić (np. możesz dodać drzwi antywłamaniowe, monitoring) i będzie to wymagać aktualizacji dokumentów. Po drugie, to na przykład realizacji praw osób, których dane przetwarzasz. Twój Klient może się do Ciebie zwrócić m. in. z pytaniem o zakres przetwarzanych danych, z prośbą o usunięcie danych, aktualizację. I Ty powinnaś/powinieneś być na to przygotowany/a. Co nie oznacza, że każde żądanie zrealizujesz. Jeśli klient zgłosi się z wnioskiem o sprostowanie jego danych, musisz spełnić jego żądanie, jeśli natomiast zgłosi się i żąda usunięcia jego danych osobowych, nie możesz tego zrobić, gdyż jego dane są konieczne do realizacji umowy która została między Wami zawarta. Musisz też posiadać dane klienta ze względów podatkowo – księgowych.

Dobrze jest przygotować sobie wzory odpowiedzi na takie zapytania, żeby nie panikować, kiedy takie zapytanie się pojawi (pamiętaj, ze na odpowiedź masz 30 dni). Pamiętaj, że w oferowanym przeze mnie pakiecie kompleksowej dokumentacji RODO znajdziesz nie tylko przykładowe odpowiedzi na zapytania klienta, ale także wzór protokołu usunięcia danych. Pakiet zawiera przykładowo uzupełnioną całą dokumentację, o której mówię w tym poście). UWAGA! Możesz sprawdzić jak to wygląda w praktyce pobierając darmowy element mojego pakietu, który pokaże Ci jak wygląda mój pakiet od środka właśnie na podstawie dokumentu opisanego w tym akapicie. Pobierz poniżej!

Incydenty naruszenia danych osobowych – wdrożenie RODO w sklepie.

W przypadku dojścia do naruszenia danych osobowych jesteś zobowiązany/a poinformować osobę, której dane dotyczą o okolicznościach zdarzenia oraz o czynnościach podjętych w związku z incydentem. Co może być takim incydentem? Na przykład mail trafił nie do tej osoby, do której powinien, lub plik cv leżał na stole w pokoju, do którego dostęp miały osoby nieuprawnione. To nie muszą być osoby z zewnątrz jak np. listonosz, ale też pracownicy, którzy nie byli upoważnieni do przetwarzania tego rodzaju danych osobowych (np. osoba sprzątająca, magazynier etc). Gdy dojdzie do naruszenia, Twoim zadaniem jest poinformować osobę, której dane dotyczą o okolicznościach zdarzenia oraz o czynnościach podjętych w związku z incydentem, a także prowadzić rejestr takich naruszeń. Niektóre przypadki naruszeń mogą wymagać zgłoszenia do Prezesa UODO. Jest to bardzo obszerny temat, dlatego zachęcam do zapoznania się ze szczegółami w poradnikach przygotowanych przez Urząd Ochrony Danych Osobowych. Na przykład tutaj.

RODO w sklepie online – podsumowanie.

RODO nie należy do najprostszych tematów, z pewnością kwestie regulaminowe są dużo prostsze. Jednocześnie myślę sobie, że przedsiębiorcy w ogóle muszą być multifunkcjonalni, żeby ogarniać biznes i RODO po prostu jest kolejnym wyzwaniem, któremu trzeba podołać. Kończąc ten post, myślę, że spokojnie mogłabym o wdrożeniu RODO w sklepie pisać jeszcze przez kolejne 80 stron. Podsumowując – dokumenty, które powinny być w Twoim posiadaniu to:

• Analiza zagrożeń i ryzyka,
• Środki bezpieczeństwa,
• Dekalog ochrony danych osobowych,
• Polityka bezpieczeństwa,
• Instrukcja zarządzania systemem informatycznym,
• Procedura szkoleń,
• Dokumenty z corocznej aktualizacji RODO,
• Polityka prywatności i plików cookies,
• Klauzule informacyjne do maili, umów, kontaktów telefonicznych, uczestników konkursu, uczestników procesu rekrutacyjnego,
• Ewidencja osób upoważnionych do przetwarzania,
• Umowa powierzenia przetwarzania danych osobowych,
• Upoważnienia do przetwarzania danych osobowych,
• Wykaz powierzeń,
• Ogólne informacje w sprawie realizacji uprawnień osób przetwarzanych,
• Protokół usunięcia danych,
• Rejestr czynności przetwarzania,
• Rejestr kategorii przetwarzania,
• Rejestr naruszeń danych osobowych,
• Wzór zawiadomienia o naruszeniu,
• Zawiadomienie o czynnościach podjętych w związku z naruszeniem (wzór),
• klauzule RODO dla sklepu lub strony www.

Kiedyś wkurzałam się, że przy personalizowanym wdrożeniu RODO nie ma jak znaleźć kompromisu pomiędzy nakładem czasu pracy prawnika a ceną za takie wdrożenie. Jednocześnie rozumiałam, że przedsiębiorca na starcie nie chce wydawać kilka tys. zł na prawo, bo ja też miałabym z tym problem będąc na jego miejscu. Dlatego stworzyłam pakiet do samodzielnego wdrożenia RODO, który jest wystarczający, z przykładowym uzupełnieniem, opatrzony komentarzami i wyjaśniającymi wstępami do każdego dokumentu i to w cenie kilkukrotnie niższej niż indywidualna usługa. Wszystkie dokumenty, które wymieniłam powyżej znajdują się w tym pakiecie. Dostępny jest on samodzielnie oraz w pakietach z regulaminami do sklepu. Sprawdź poniżej!

A jeśli masz potrzebę uporządkować wiedzę, to zachęcam do pobrania checklisty RODO, dzięki której będziesz mógł/mogła odhaczać krok po kroku kolejne dokumenty, które samodzielnie udało Ci się wdrożyć. Pozostaje mi tylko życzyć Ci powodzenia!

---