RODO w e‑commerce
- Co właściciele e-sklepów powinni wiedzieć o RODO?
- Jakie zapisy będzie trzeba wprowadzić do regulaminów i umów?
- Jak zabrać się do wdrażania nowych przepisów w swoim e-sklepie?
Przez ostatnie 25 lat ochronę danych osobowych w UE regulowała Dyrektywa 95/46/WE. W Polsce implementacją tej Dyrektywy jest Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922, dalej: ODO). Z dniem 25 maja 2018 r. wspomniana Dyrektywa oraz polska ustawa stracą moc prawną. Na terenie całej UE zacznie obowiązywać Rozporządzenie ogólne Ochrony Danych Osobowych z dnia 6 kwietnia 2016 roku (dalej: RODO).
Od 25 maja 2018 roku, jeśli będziemy chcieli np. przygotować klauzulę zgody na działania marketingowe, to normami regulującymi tę materię nie będą już polskie przepisy. Podobnie jak wszystkich innych obywateli UE będzie nas obowiązywać RODO. Zmiany są spore, warto zatem jak najszybciej rozpocząć przygotowania do ich wdrożenia.
Przyczyny uchwalenia RODO
Nowe przepisy mają na celu:
- ujednolicenie przepisów dotyczących ochrony danych osobowych w całej UE (jedno rozporządzenie ogólnounijne zamiast dziesiątek ustaw krajowych);
- uregulowanie nowych procesów technologicznych, których nie regulują obecnie obowiązujące przepisy, np. biometryka czy profilowanie;
- podniesienie roli i autorytetu krajowych regulatorów (w Polsce obecnie Generalny Inspektor Ochrony Danych Osobowych), przez przyznanie im możliwości nakładania bardzo wysokich kar finansowych;
- bardziej szczegółowe ujęcie kwestii przetwarzania danych obywateli UE przez organizacje spoza UE;
- udoskonalenie przepisów w obszarach, które nie funkcjonują w satysfakcjonujący sposób.
Zanim się zastanowimy, jak RODO wpłynie na branżę e-commerce, warto uświadomić sobie ważną rzecz. Z perspektywy ochrony danych osobowych data 25 maja 2018 roku nie jest jedynym istotnym terminem. Bardzo ważne będą również wzory dobrych praktyk wydawane przez nowego polskiego Regulatora. Jak widać, zmiany nie ominą również GIODO – wszystko wskazuje na to, że od 25 maja 2018 roku urząd ten przestanie istnieć. Jego miejsce zajmie Prezes Urzędu Ochrony Danych Osobowych. Z całą pewnością dużą rolę odegra również Europejska Rada Ochrony Danych, która będzie koordynowała działalność krajowych regulatorów.
Ewolucja czy rewolucja?
RODO to suma doświadczeń ponad 20 lat stosowania przepisów o ochronie danych osobowych w Europie. Mimo że zmian jest dużo, nowe przepisy opierają się na tych samych podstawach (filarach) co obecnie obowiązujące. Przyjrzyjmy się zatem najważniejszym zmianom, ze szczególnym uwzględnieniem branży e-commerce.
Legalność – klauzule zgód i inne przesłanki
W branży e-commerce podstawą przetwarzania danych osobowych jest zgoda i to się nie zmieni. Nie zmieni się również sama forma wyrażania zgody. Zgoda wyrażona w postaci checkboxu nadal będzie ważna. Istotne jest, że RODO przewiduje możliwość wyrażenia zgody w sposób dorozumiany, przez podjęcie jakichś działań. W praktyce mogłoby to oznaczać np. pominięcie checkboxu i zapisanie się na newsletter przez samo kliknięcie przycisku „Zapisz się”. W tym zakresie wprowadzono więc istotne uelastycznienie przepisów.
Jeśli w stosowanych przez nas klauzulach zgód pojawia się ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, adresy publikacyjne aktów prawnych (Dzienniki Ustaw) itd., to należy je oczywiście przeredagować. Od dnia 25 maja 2018 r. właściwą podstawą prawną będzie Rozporządzenie ogólne o Ochronie Danych Osobowych.
W ramach działalności sklepu internetowego nadal będzie możliwe przetwarzanie danych osobowych klientów wyłącznie w celach sprzedażowych (realizacji umowy). W tym przypadku, podobnie jak dzisiaj, zgoda nie będzie wymagana. Oczywiście inne akty prawne wymuszające zbieranie dodatkowych zgód, np. Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2016 r., poz. 1489) czy Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2016 r., poz. 1030) zapewne pozostaną w mocy.
Obecnie funkcjonująca zasada adekwatności sprawiła, że wiele sklepów internetowych umożliwiło swoim klientom realizację zakupów jako gość, bez konieczności zakładania konta i podawania wielu danych osobowych. W RODO zasadę adekwatności zastąpiono zasadą minimalizmu. Nazwa brzmi inaczej, jednak idea jest ta sama: powinniśmy przetwarzać jedynie te dane osobowe, które są niezbędne do osiągnięcia celu – realizacji sprzedaży.
Legalność – profilowanie
W obecnie obowiązujących aktach prawnych nie ma mowy wprost o profilowaniu. Po wejściu w życie RODO, aby realizować działania marketingowe polegające na profilowaniu klientów, trzeba uzyskać ich zgodę. Chodzi oczywiście tylko o te sytuacje, kiedy profiluje się zidentyfikowane osoby. Działanie systemów takich jak np. Google Analytics bazuje na badaniu zachowań użytkowników anonimowych.
Legalność – umowy powierzenia
Większość firm działających w branży e-commerce stosuje powierzenia przetwarzania danych osobowych: od wirtualnych serwerów udostępnianych przez zewnętrznych dostawców, przez usługi księgowe, po różne skomplikowane procesy marketingowe. Dzisiaj w takich sytuacjach potrzebna jest umowa powierzenia przetwarzania danych osobowych. Po wejściu w życie RODO umowa powierzenia nadal będzie niezbędna, ale zmieni się jej zakres.
ODO wskazuje jedynie dwa obligatoryjne elementy, które powinna zawierać umowa powierzenia. RODO idzie znacznie dalej. Zgodnie z art. 28, umowa powierzenia powinna określać:
- przedmiot i czas trwania przetwarzania;
- charakter i cel przetwarzania;
- rodzaj danych osobowych;
- kategorie osób, których dane dotyczą;
- obowiązki i prawa administratora;
- obowiązki procesora.
Jest też dobra wiadomość – umowa powierzenia według RODO może zostać zawarta również w formie elektronicznej.
Świadomość
Obecnie każdy administrator danych powinien zapoznać pracowników mających do czynienia z przetwarzaniem danych osobowych z obowiązującymi przepisami (art. 36a ust 2. pkt 1 lit. c ODO). Przyczyną wycieku danych osobowych są najczęściej różnego rodzaju błędy pracowników. Mogą to być działania świadome lub nieświadome, wynikające z braku wiedzy i odpowiedniego przeszkolenia. Twórcy RODO dostrzegli jeszcze jeden obszar wymagający zwiększenia poziomu świadomości. Chodzi o etap projektowania nowych rozwiązań i procesów, których istotą będzie przetwarzanie danych osobowych. Już podczas projektowania takich procesów warto zastanowić się nad ich wpływem na ochronę danych osobowych. Takie działania już miały miejsce w większych firmach z branży e-commerce. Nie były jednak wymagane przepisami prawa. W przypadku wdrożenia nowego systemu informatycznego, służącego np. do zarządzania sprzedażą, bardziej zapobiegliwi i przewidujący administratorzy danych konsultowali wpływ systemu na ochronę danych osobowych np. z Administratorem Bezpieczeństwa Informacji. Po 25 maja 2018 roku takie wewnętrzne konsultacje staną się obowiązkową procedurą.
Zabezpieczenia – polityki bezpieczeństwa
Dokumentacja ochrony danych osobowych to obecnie jeden z podstawowych obowiązków każdego ADO (Administratora Danych Osobowych). Wynika on z ODO oraz Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). Na obowiązkowe dokumenty z dziedziny ochrony danych osobowych składają się:
- polityka bezpieczeństwa;
- instrukcja zarządzania;
- upoważnienia do przetwarzania danych osobowych;
- ewidencja upoważnień do przetwarzania danych osobowych.
RODO wspomina jedynie o prowadzeniu polityk bezpieczeństwa. Nie mówi jednak nic na temat ich kształtu, formy i treści. Rozporządzenie z 2004 roku zostanie najprawdopodobniej uchylone, scenariusze są więc dwa. W pierwszym z nich Prezes Urzędu Ochrony Danych Osobowych wyda stosowne zalecenia co do kształtu i treści polityk bezpieczeństwa. Z dużym prawdopodobieństwem będą one dość podobne do tego, co zawarto w rozporządzeniu z 2004 roku. Drugi scenariusz to sytuacja, kiedy dokumentacja ochrony danych osobowych zostanie całkowicie zderegulowana. Ich forma i treść będą indywidualną decyzją każdego ADO.
Niezależnie od ostatecznych rozstrzygnięć w tej kwestii należy działać zgodnie z obecnymi przepisami. Zmiany dotyczące polityk bezpieczeństwa nie będą zapewne zbyt obszerne. Jeśli nastąpią – będą to najprawdopodobniej zmiany idące w kierunku uproszczenia i deregulacji. Tym samym, posiadając politykę bezpieczeństwa zgodną z dzisiejszymi standardami, najprawdopodobniej spełnimy również standardy po 25 maja 2018 roku.
Zabezpieczenia – Inspektor Ochrony Danych (IOD) zamiast Administratora Bezpieczeństwa Informacji (ABI)
Po wejściu w życie RODO osobą odpowiedzialną za ochronę danych osobowych w firmie stanie się Inspektor Ochrony Danych. Obecnie wyznaczenie ABI nie jest obowiązkowe. Każdy administrator danych osobowych sam podejmuje decyzję o jego wyznaczeniu bądź niewyznaczaniu. Oczywiście niezależnie od tego, czy ABI został wyznaczony, konieczne jest spełnianie wszystkich pozostałych wymogów ustawowych. Wyznaczenie ABI daje jednak wiele korzyści. Na przykład to, że nie trzeba zgłaszać baz danych do GIODO. Przede wszystkim jednak to, że jedna konkretna osoba bierze na siebie odpowiedzialność za proces przetwarzania danych osobowych w przedsiębiorstwie.
Według RODO powołanie IOD będzie obowiązkowe:
- dla podmiotów administracji publicznej;
- jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę (np. firmy kurierskie, ochroniarskie, marketing, hosting, operacje bankowe, rekrutacja);
- jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych, np. branża windykacyjna, medyczna).
Relacja z regulatorem – zgłaszanie incydentów
Kolejną nowość stanowi, zgodnie z art. 33 RODO, obowiązek zgłaszania przez Administratora Danych naruszenia ochrony danych osobowych organowi nadzorczemu:
„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (…), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia”.
Ciekawe, jak to rozwiązanie sprawdzi się w praktyce. Podkreślam, że jeśli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, to zgłaszanie nie będzie konieczne. Niemniej jednak wycieki danych to zjawisko, którego częstotliwość niestety wciąż rośnie.
Relacja z regulatorem – kary finansowe
Obecnie w Polsce kary nakładane przez GIODO to rzadkość. Ponadto mogą one być stosowane jedynie w sytuacji, kiedy adresat decyzji GIODO nie zastosuje się do jej dyspozycji. RODO będzie dawało wszystkim organom nadzorczym w UE (w tym oczywiście również naszemu) możliwość nakładania kar finansowych. W zależności od tego, która część RODO i jakie zasady zostaną naruszone, mogą to być kary administracyjne w wysokości do 10 000 000 euro lub do 2% światowego rocznego obrotu. W przypadku naruszeń podstawowych zasad przetwarzania kara może wynieść nawet 20 000 000 euro lub do 4% światowego rocznego obrotu. Kary robią wrażenie, zwłaszcza, że będzie można je stosować „z urzędu” i bez uprzedniego wezwania do usunięcia uchybień.
Prawa osób, których dane są przetwarzane
W aktualnie obowiązującej ustawie o ochronie danych osobowych ujęto szeroki katalog praw osób, których dane są przetwarzane. To między innymi prawo do:
- zgłoszenia sprzeciwu;
- wglądu w dane oraz poprawiania danych;
- cofnięcia zgody na przetwarzanie danych;
- informacji.
W nowych przepisach katalog praw osób, których dane są przetwarzane, jest podobny. Doprecyzowano jednak tryby realizacji poszczególnych praw, wskazując terminy i sposoby korzystania z nich. Dotyczy to szczególnie prawa do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Obecnie procedura wniesienia sprzeciwu jest uregulowana na bardzo ogólnym poziomie.
Dzięki RODO Administrator danych otrzyma prawo do odmowy realizacji praw osoby, której dane dotyczą, jeśli nie uda się zweryfikować tożsamości wnioskodawcy. Egzekwowanie praw przez osoby fizyczne będzie wolne od opłat poza przypadkami „ewidentnie nieuzasadnionych” lub „nadmiernych” żądań. Całkowitym novum jest prawo do przenoszenia danych, określone w art. 20 RODO:
„1. Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe”.
Realizacji praw osób, których dane są przetwarzane, służyć mają również bardzo wysokie kary finansowe dla organizacji lekceważących nowe przepisy (o czym wspomniano wyżej). Z perspektywy branży e-commerce szczególnie istotne będzie zapewnienie mechanizmów umożliwiających szybką i skuteczną realizację tych praw. Jeśli okaże się, że np. klienci masowo chcą korzystać z prawa do przenoszenia danych, warto będzie zmodyfikować systemy informatyczne w taki sposób, aby prawo to było realizowane automatycznie.
Podsumowanie
Zmian jest bardzo dużo. W artykule wskazano te, które w opinii autora będą szczególnie istotne z perspektywy branży e-commerce. Dobra wiadomość jest taka, że RODO opiera się na tych samych filarach co obecnie obowiązujące przepisy. Wdrożenie RODO najlepiej podzielić na etapy i zacząć już teraz. Warto przeanalizować przepisy RODO filar po filarze, a następnie sukcesywnie zmieniać procedury, klauzule, dokumentację etc. W ten sposób na dzień 25 maja 2018 roku będziemy już w pełni gotowi i świadomi wpływu RODO na procesy przetwarzania danych w firmie.