Prywatność w sklepie internetowym

Polityka prywatności w sklepie internetowym.

przez Piotr

Aktualizacja

Na pewno słyszałeś o obowiązku rejestrowania danych osobowych w związku z posiadaniem sklepu internetowego. Czy w e-sklepie należy rejestrować i udostępniać osobowe bazy danych Klientów do UODO? Jakie inne obowiązki spadają na właścicieli e-sklepów dotyczących polityki prywatności?

Krótka historia ochrony danych osobowych — polityka prywatności.

Pierwsza ustawa o ochronie danych osobowych w Polsce powstała w 29.08.1997 r. i trwała do roku 10 maja 2018 r. Jej uchylenie wynikało z przyjęcia przez Parlament Europejski i Radę Unii Europejskiej rozporządzenia o ochronie danych osobowych w skrócie RODO.

W miejsce organu nadzorującego GIODO – Generalny Inspektor Danych Osobowych został  powołany Prezes Urzędu Ochrony Danych Osobowych (PUODO). A urząd właściwy w sprawach dotyczących ochrony danych prywatnych nazwano Urzędem Ochrony Danych Osobowych (UODO).

Co to są zbiory danych osobowych w sklepach internetowych?

Zbiory danych osobowych to wszystkie możliwe katalogi danych. W przypadku sklepów internetowych są to bazy danych, pliki cookies, oraz dane udostępnione na potrzeby produktów i usług firm trzecich jak newslettery, bramki sms, w których były zawarte informacje osobowe.

RODO bardziej sprecyzowała istotę zbiorów danych osobowych, nazywając je uporządkowanymi zestawami danych. Mogą one być scentralizowane, zdecentralizowane, rozproszone pod względem geograficznym czy funkcjonalnym. To, co będzie odróżniać zbiory od zestawów danych to struktura, która pozwala na dowolne filtrowanie czy wyszukiwanie według kryteriów w nich zawartych.

Zbiory danych w sklepach internetowych to uporządkowane bazy danych, które zawierają informacje o użytkownikach. To one pozwalają, np.: dokonać transakcji płatniczych i komunikować się ze sklepem zarówno poprzez telefon, formy kontaktowe, email i czat.

Polityka prywatności sklepu internetowego.

Czy istnieje obowiązek rejestracji danych na stronie internetowej i przekazywania ich do UODO?

Do 24.05.2018 r. GIODO Generalny Inspektor Danych Osobowych (dziś PUODO) – organ, który występował wyłącznie w Polsce. Jego celem jest nadzór nad procesem przetwarzania i udostępniania danych osobowych, które zostały przekazane podczas interakcji ze sklepem internetowym. Zbierał dane prywatne od administratorów danych osobowych dedykowanych sklepom internetowym.

Od 25.05.2018 r. zgodnie z ustawą z dnia 10.05.2018 r. wraz z późniejszymi zmianami całkowicie anulowano ten obowiązek. W tym dniu wszystkie rejestry GIODO utraciły moc prawną. Tak więc nie jest wymagane rejestrowane danych osobowych.

Polityka prywatność a ochrona bezpieczeństwa zbiorów.

W związku z nowym określeniem zbiorów, a więc możliwością wyszukiwania każdej osoby, która w nich się znajduje, istnieje ogromne ryzyko w wykorzystaniu ich do niewłaściwych celów lub co najgorsze utracie danych. 

Dlatego też zbiór danych, czyli przeważnie bazy danych, są najistotniejszym elementem w sklepach internetowych. Elementem, o który trzeba szczególnie dbać, dając im maksymalny priorytet w kwestii zapewnienia im bezpieczeństwa.

Zarządzanie sklepem internetowym.

Aktualizacje oprogramowania: RODO wymusza na właścicielach e-sklepów i ich pracownikach, aby posiadać najnowsze oprogramowanie. Tyczy się to programów do faktur, magazynowych, systemów CMS, dodatków jak wtyczki i motywy, języków programowania, bazy danych.

Kopie zapasowe: Okresowe kopie zapasowe całego systemu zarządzania sklepem internetowym to mus w prowadzeniu bezpiecznego biznes. Kopie te pozwalają w razie krytycznych sytuacji przywrócić stan sprzed awarii. Kopie zapasowe (backupy) zapewniają, iż posiadamy zabezpieczone wszelkie informacje, które pozyskał sklep internetowy w niezmienionej formie, w tym danych osobowych. Jest to forma ochrony zarówno samego e-biznesu, jak i ich użytkowników. 

Jeśli jesteś zainteresowany profesjonalną administracją dla Twojego sklepu – sprawdź naszą ofertę.

Wsparcie techniczne: Nie każdy właściciel jest programistą, który może poradzić sobie z kwestiami technicznymi w obrębie swojego sklepu. Jeśli prowadzony sklep nie posiada wsparcia, a ulegnie awarii, to nie dość, że traci wiarygodność i zaufanie, to również odebrana jest mu możliwość zarządzania danymi i zabezpieczania ich. Dlatego i w tym przypadku polecamy formę wsparcia technicznego sklepom internetowym.

Przetwarzanie danych.

Polityka prywatności zwaną polityką bezpieczeństwa ma kluczowe znaczenie w sklepach internetowych. Reguluje sposób przetwarzania, pozyskiwania, zarządzania danymi ich użytkowników.

Zawsze powinna być w widocznym, łatwo dostępnym miejscu.

Najważniejszymi sektorami w kwestii danych osobowych w sklepach internetowych są:

  • Procesy sprzedaży i posprzedażowe.
  • Transakcje płatnicze.
  • Transport produktów.
  • Formy rejestracji.
  • Formy kontaktu.
  • Marketing internetowy.
  • Pliki cookies.
  • Skrypty do analiz, np.: Google Analytics, HotJar, AdSense, YouTube.
  • Re-marketing.

Informacje o typach danych, jakimi zarządza sklep internetowy: Polityka prywatności powinna zawierać typy danych wykorzystywanych do obsługi sklepu internetowego. Użytkownicy powinni być poinformowani, jakich typów danych od nich się wymaga w zależności od ww sektora w celu realizacji określonego procesu. 

Przykładowe typy danych:

  • email
  • telefon
  • imię
  • nazwisko
  • pesel
  • dane adresowe

Informacje o pozyskiwaniu, przetwarzaniu i udostępnianiu danych osobowych przez sklep internetowy: Wskaż, jak pozyskujesz dane, w jakim celu się je przetwarzasz, zarządzasz i udostępniasz.  Określ wszelkie mechanizmy, które służą do zbierania danych, do czego one służą, jak są wykorzystywane, kto ma do nich dostęp. 

Jeśli w obrębie sklepu dokonuje się transakcji płatniczych, to firmy trzecie, które pośredniczą w tym procesie, powinny być wyszczególnione.

Jeśli następuje proces re-marketingu użytkowników poza sklepem, w postaci re-marketingu, trzeba to opisać, w jaki sposób to się dokonuje i kto posiada wymagane dane do tej reklamowania się. Trzeba w tym przypadku uwzględnić firmę, którą korzysta z tych danych, świadcząc sklepowi usługę.

Informacje o możliwości zarządzania danymi przez użytkownika: Musimy poinformować użytkownika o tym, jaką procedurę musi wykonać, aby mógł wypisać się ze zbiorów lub mógł edytować swoje dane, mieć w nie wgląd oraz aby mógł uzyskać informacje o danych przekazywanych innym podmiotom.

Informacje gdzie są przechowywane dane osobowe: W polityce prywatności powinny być zawarte informacje o miejscu przechowywania danych osobowych, zarówno wskazując miejsce fizyczne, jak i niefizyczne, np.: nazwa hostingu, lub chmura.

Polityka bezpieczeństwa musi być aktualizowana w przypadku wszelkich zmian na sklepie np: jeśli jest wprowadzana nowa funkcja w pozyskiwaniu danych lub nowa umowa w wymianie danych – to niezwłocznie trzeba zawrzeć wpis o zmianie informacji.

Obowiązek pozyskania zgody.

Każda forma pozyskująca dane osobowe powinna zawierać prośbę o wyrażenie zgody na przetwarzanie danych poprzez świadome zaznaczenie zgody. W sklepach internetowych ta procedura ma miejsce podczas rejestracji, dodania komentarza, zakupu, wpisania się do newslettera co powinno być uwzględnione podczas tworzenia sklepów internetowych.

Zgodnie z RODO i UODO w przypadku mailingu warto również dodać opcję procesu podwójnego wysyłania maili, w celu uzyskania 100% pewności, że osoba akceptująca zgodę jest właścicielem e-maila. 

Zasady przekazywania danych osobowych do innych Państw.

Przekazywanie danych osobowych dla państw UE i EOG (Europejski Obszar Gospodarczy).

Dane przekazywane w obrębie Unii Europejskiej + Norwegia, Islandia, Liechtenstein odbywają się na zasadach ogólnych. Nie wymagana jest dodatkowa procedura ani wzmianka w polityce prywatności.

Przekazywanie danych osobowych dla państw spoza EOG.

Sposób transferu danych do innych Państw niż EOG reguluje decyzja Komisji Europejskiej o numerze 2021/914 z dnia 27.06. 2021 r. Zaktualizowała ona poprzednie decyzje, które przyjęte były na podstawie dyrektywy 95/46, gdyż wymagały dostosowania do RODO.

Klauzule umowne, które były zawarte w regulacji, dotyczą form przekazywania danych między:

  • administratorami danych
  • podmiotami przetwarzającymi
  • administratorem, a podmiotowi państwa trzeciego, który te dane przetwarza i odwrotnie

Sprawdź decyzję wykonawczą Komisji UE z nr 2021/914 dotyczącą standardów w przekazywaniu / transferze danych do państw trzecich na kanwie Parlamentu Europejskiego i Rady (UE) 2016/679 oraz zalecania dotyczące ochrony danych osobowych w UE.

Szczególną uwagę należy zwrócić w kwestii ochrony i zabezpieczeń danych zawartych w decyzjach Komisji Europejskiej. Do obowiązków należy sprawdzenie, czy owa komisja wydała decyzję dotyczące państw, które posiadają szereg regulacji prawnych pozwalających na bezpieczne przetwarzanie danych osobowych. Jeśli wskazane państwo spełnia warunki określone przez KE, to jest ono wyszczególnione, a wszelki transfer danych z nim nie wymaga szczególnego nadzoru. 

Oto następujące państwa, które spełniają regulacje prawne w tej materii: Andora, Argentyna, Wyspy Owcze, Kanada, Izrael, Wyspa Man, Urugwaj, Guernsey, Japonia, Nowa Zelandia, Jersey, Szwajcaria, Stany Zjednoczone.

Zabezpieczenia transferu danych z państwami trzecimi powinny być regulowane poprzez:

Polityki wewnątrzkorporacyjne: w których firmy tworzą zasady i metody transferu danych, których proces jest nadzorowany przez organ nadrzędny.

Polityki ochrony danych: czyli posiadanie polityki bezpieczeństwa, polityki prywatności, o których wspomniałem wyżej.

Certyfikaty: czyli uzyskanie certyfikatu RODO przez podmiot, który przetwarza dane bezpieczeństwa, o których wspominałem wyżej.

Polityka prywatności — podsumowanie.

Właściciele sklepów internetowych nie mają obowiązku rejestrowania i przekazywania danych swoich odbiorców do UODO. Każdy sklep internetowy powinien mieć wdrożone procedury dotyczące zabezpieczania, przetwarzania i udostępniania danych osobowych. Wszystkie informacje dotyczące pozyskiwania, przetwarzania, udostępniania danych winny być spisane w dokumencie o nazwie polityka prywatności bądź polityka bezpieczeństwa. Administratorzy sklepów internetowych muszą udostępniać możliwość dowolnej edycji danych przez swoich użytkowników. Dla e-sklepów priorytetem powinno być utrzymywanie swojej infrastruktury w najnowszych wersjach technologicznych, która powinna być zabezpieczona kopią zapasową.

+48 727 677 100