Prywatność w sklepie internetowym

Prywatność w sklepie internetowym

przez Piotr

Aktualizacja

Na pewno słyszałeś o obowiązku rejestrowania danych osobowych w związku z posiadaniem sklepu internetowego. Czy w e-sklepie należy rejestrować i udostępniać osobowe bazy danych Klientów do UODO, oraz jakie inne obowiązki spadają na właścicieli e-sklepów dotyczących prywatności.

W tym artykule dowiesz się:

  • Jaka jest historia rejestracji, przetwarzania danych osobowych w sklepach internetowych?
  • Czym są zbiory danych i jak wpłynęło to na branżę e-commerce ?
  • Jak należy dbać o Prywatność w sklepie internetowym.
  • Co leży w obowiązkach właściciela sklepu internetowego w kwestiach związanych z pozyskiwaniem, przetwarzaniem, udostępnianiem i zarządzeniem danymi osobowymi.

Krótka historia ochrony danych osobowych i prywatności.

GIODO > RODO > PUODO + UODO.

Pierwsza ustawa o ochronie danych osobowych w Polsce powstała w 29.08.1997r. i trwała do roku 10 maja 2018r. Jej uchylenie wynikało z przyjęcia przez Parlament Europejski i Radę Unii Europejskiej rozporządzenia o ochronie danych osobowych w skrócie RODO.

W miejsce organu nadzorującego GIODO – Generalny Inspektor Danych Osobowych został  powołany Prezes Urzędu Ochrony Danych Osobowych (PUODO). A urząd właściwy w sprawach dotyczących ochrony danych prywatnych nazwano Urzędem Ochrony Danych Osobowych (UODO).

Co to są zbiory danych osobowych w sklepach internetowych?

Zbiory danych osobowych to wszystkie możliwe katalogi danych. W przypadku sklepów internetowych są to bazy danych, pliki cookies, oraz dane udostępnione na potrzeby produktów i usług firm trzecich jak newslettery, bramki sms, w których były zawarte informacje osobowe.

RODO bardziej sprecyzowała istotę zbiorów danych osobowych nazywając je uporządkowanymi zestawami danych, które mogą być scentralizowane, zdecentralizowane, rozproszone pod względem geograficznym czy funkcjonalnym. To co będzie odróżniać zbiory od zestawów danych to struktura, która pozwala na dowolne filtrowanie czy wyszukiwanie według kryteriów w nich zawartych.

Zbiory danych w sklepach internetowych to uporządkowane bazy danych, które posiadają informacje odnośnie użytkowników. One pozwalają im, np.: dokonać transakcji płatniczych, zapisać się do newslettera, uczestniczyć w konkursach, zarządzać i korzystać z „ciastek”, komunikować się ze sklepem zarówno poprzez telefon, formy kontaktowe, email i czat.

Czy istnieje obowiązek rejestracji danych osobowych w sklepie internetowym i przekazywaniem ich do UODO?

Do 24.05.2018r. GIODO Generalny Inspektor Danych Osobowych (dziś PUODO) – organ, który występował wyłącznie w Polsce, którego celem jest nadzór nad procesem przetwarzania i udostępniania danych osobowych, które zostały przekazane podczas interakcji ze sklepem internetowym zbierał dane prywatne od administratorów danych osobowych dedykowanych sklepom internetowym.

Od 25.05.2018r. zgodnie z ustawą z dnia 10.05. 2018r. wraz z późniejszymi zmianami całkowicie anulowano ten obowiązek. W tym dniu wszystkie rejestry GIODO utraciły moc prawną. Tak więc nie jest wymagane rejestrowane danych osobowych.

Co sklep internetowy musi zapewnić w kwestii danych osobowych?

Ochrona bezpieczeństwa zbiorów (baz danych).

W związku z nowym określeniem zbiorów, a więc możliwością wyszukiwania każdej osoby, która w nich się znajduje, istnieje ogromne ryzyko w wykorzystaniu ich do niewłaściwych celów lub co najgorsze utracie danych. 

Dlatego też zbiór danych, czyli przeważnie bazy danych, są najistotniejszym elementem w sklepach internetowych. Elementem, o który trzeba szczególnie dbać, dając im maksymalny priorytet w kwestii zapewnienia im bezpieczeństwa.

Administracja sklepów internetowych.

Aktualizacje oprogramowania: RODO wymusza na właścicielach e-sklepów i ich pracownikach, aby posiadać najnowsze oprogramowanie. Tyczy się to programów do faktur, magazynowych, systemów CMS, dodatków jak wtyczki i motywy, języków programowania, bazy danych.

Kopie zapasowe: Okresowe kopie zapasowe całego sytemu zarządzania sklepem internetowym to mus w prowadzeniu bezpiecznego biznes. Kopie te pozwalają w razie krytycznych sytuacji przywrócić stan sprzed awarii. Kopie zapasowe (backupy) zapewniają, iż posiadamy zabezpieczone wszelkie informacje, które pozyskał sklep internetowy w niezmienionej formie, w tym danych osobowych. Jest to forma ochrony zarówno samego e-biznesu, jak i ich użytkowników. 

Jeśli jesteś zainteresowany profesjonalną administracją dla Twojego sklepu – sprawdź naszą ofertę.

Wsparcie techniczne: Nie każdy właściciel jest programistą, który może poradzić sobie z kwestiami technicznymi w obrębie swojej e-działalności. Jeśli prowadzony sklep nie posiada wsparcia, a ulegnie awarii, to nie dość, że traci wiarygodność i zaufanie, to również odebrana jest mu możliwość zarządzania danymi i zabezpieczania ich. Dlatego i w tym przypadku polecamy formę wsparcia technicznego sklepom internetowym.

Polityka prywatności w sklepie internetowym.

Polityka prywatności zwaną polityką bezpieczeństwa posiada kluczowe znaczenie w sklepach internetowych regulując sposób przetwarzania, pozyskiwania, zarządzania danymi ich użytkowników.

Zawsze powinna być w widocznym, łatwo dostępnym miejscu.

Najważniejszymi sektorami w kwestii danych osobowych w sklepach internetowych są:

  • procesy sprzedaży i posprzedażowe
  • transakcje płatnicze
  • transport produktów
  • formy rejestracji
  • formy kontaktu
  • marketing internetowy
  • pliki cookies
  • skrypty do analiz: np: Google Analytics, HotJar, Adsense, Youtube.
  • Remarketing / retartetowanie.

Informacje o typach danych, jakimi zarządza sklep internetowy: Polityka prywatności powinna zawierać typy danych wykorzystywanych do obsługi sklepu internetowego. Użytkownicy powinni być poinformowani, jakich typów danych od nich się wymaga w zależności od ww sektora w celu realizacji określonego procesu. 

Przykładowe typy danych:

  • email
  • telefon
  • imię
  • nazwisko
  • pesel
  • dane adresowe

Informacje o pozyskiwaniu, przetwarzaniu i udostępnianiu danych osobowych przez sklep internetowy: Należy wskazać jak są pozyskiwane są dane, jak i w jakim celu się je przetwarza, zarządza i udostępnia. Należy wskazać wszelkie mechanizmy, które służą do zbierania danych w obrębie sklepu internetowego, do czego one służą, jak są wykorzystywane, kto ma do nich dostęp. 

Jeśli w obrębie sklepu dokonuje się transakcji płatniczych, to firmy trzecie, które pośredniczą w tym procesie, powinny być wyszczególnione.

Jeśli następuje proces re-targotwania użytkowników poza sklepem, w postaci re-marketingu, trzeba to opisać, w jaki sposób to się dokonuje i kto posiada wymagane dane do tej reklamowania się. Trzeba w tym przypadku trzeba uwzględnić firmę, którą korzysta z tych danych świadcząc sklepowi usługę.

Informacje o możliwości zarządzania danymi przez użytkownika: Musimy poinformować użytkownika o tym, jaką procedurę musi wykonać, aby mógł wypisać się ze zbiorów lub mógł edytować swoje dane, mieć w nie wgląd oraz aby mógł uzyskać informacje o danych przekazywanych innym podmiotom.

Informacje gdzie są przechowywane dane osobowe: W polityce prywatności powinny być zawarte informacje odnośnie miejsca przechowywania danych osobowych, zarówno wskazując miejsce fizyczne jak i niefizyczne, np: nazwa hostingu, lub chmura.

Polityka bezpieczeństwa musi być aktualizowana w przypadku wszelkich zmian na sklepie np: jeśli jest wprowadzana nowa funkcja w pozyskiwaniu danych lub nowa umowa w wymianie danych – to niezwłocznie trzeba zawrzeć wpis o zmianie informacji.

Obowiązek pozyskania zgody.

Każda forma pozyskująca dane osobowe powinna zawierać prośbę o wyrażenie zgody na przetwarzanie danych poprzez świadome zaznaczenie zgody. W sklepach internetowych ta procedura ma miejsce podczas rejestracji, dodania komentarza, zakupu, wpisania się do newslettera co powinno być uwzględnione podczas tworzenia sklepów internetowych.

Zgodnie z RODO i UODO w przypadku mailingu warto również dodać opcję procesu podwójnego wysyłania maili, w celu uzyskania 100% pewności , że osoba akceptująca zgodę jest właścicielem e-maila. 

Zasady przekazywania danych osobowych do innych Państw.

Przekazywanie danych osobowych dla państw UE i EOG (Europejski Obszar Gospodarczy).

Dane przekazywane w obrębie Unii Europejskiej + Norwegia, Islandia, Lichtenstein odbywają się na zasadach ogólnych. Nie wymagana jest dodatkowa procedura.

Przekazywanie danych osobowych dla państw spoza EOG.

Sposób transferu danych do innych Państw niż EOG reguluje decyzja Komisji Europejskiej o numerze 2021/914 z dnia 27.06. 2021r. Zaktualizowała ona poprzednie decyzje, które przyjęte były na podstawie dyrektywy 95/46, gdyż wymagały dostosowania do RODO.

Klauzule umowne, które były zawarte w regulacji, dotyczą form przekazywania danych między:

  • administratorami danych
  • podmiotami przetwarzającymi
  • administratorem, a podmiotowi państwa trzeciego, który te dane przetwarza i odwrotnie

Sprawdź decyzję wykonawczą Komisji UE z nr 2021/914 dotyczącą standardów w przekazywaniu / transferze danych do państw trzecich na kanwie Parlamentu Europejskiego i Rady (UE) 2016/679 oraz zalecania dotyczące ochrony danych osobowych w UE.

Szczególną uwagę należy zwrócić w kwestii ochrony i zabezpieczeń danych zawartych w decyzjach Komisji Europejskiej. Do obowiązków należy sprawdzenie czy owa komisja wydała decyzję dotyczące państw, które posiadają szereg regulacji prawnych pozwalających na bezpieczne przetwarzanie danych osobowych.Jeśli wskazane państwo spełnia warunki określone przez KE, to jest ono wyszczególnione, a wszelki transfer danych z nim nie wymaga szczególnego nadzoru. 

Oto następujące państwa, które spełniają regulacje prawne w tej materii: Andora, Argentyna, Wyspy Owcze, Kanada, Izrael, Wyspa Man, Urugwaj, Guernsey, Japonia, Nowa Zelandia, Jersey, Szwajcaria, Stany Zjednoczone.

Zabezpieczenia transferu danych z państwami trzecimi powinny być regulowane poprzez:

Polityki wewnątrzkorporacyjne: w których e-korporacje tworzą zasady i metody transferu danych, których proces jest nadzorowany przez organ nadrzędny.

Polityki ochrony danych: czyli posiadanie polityki bezpieczeństwa, polityki prywatności, o których wspomniałem wyżej.

Certyfikaty: czyli uzyskanie certyfikatu RODO przez podmiot, który przetwarza dane bezpieczeństwa, o których wspominałem wyżej.

Podsumowanie

Właściciele sklepów internetowych nie mają obowiązku rejestrowania i przekazywania danych swoich odbiorców do UODO. Każdy sklep internetowy powinien mieć wdrożone procedury odnośnie zabezpieczania, przetwarzania i udostępniania danych osobowych, które zostały pozyskane czy wykorzystywane w wyniku swojej działalności, zarówno w obszarze e-sklepu jak i poza nim. Wszystkie informacje dotyczące pozyskiwania, przetwarzania, udostępniania danych winny być spisane w dokumencie o nazwie polityka prywatności bądź polityka bezpieczeństwa. Administratorzy sklepów internetowych muszą dawać możliwość dowolnej edycji danych przez swoich użytkowników. Dla e-sklepów priorytetem powinno być utrzymywanie swojej infrastruktury w najnowszych wersjach technologicznych, która powinna być zabezpieczona kopiami zapasowymi.

+48 727 677 100