Sklep internetowy a RODO

Prowadzenie sklepu internetowego siłą rzeczy powoduje, ze zbiera się dane osobowe klientów, przede wszystkim po to, by realizować zamówienia. Jak wygląda ochrona danych osobowych w branży e-commerce i na co trzeba uważać?

Sklep internetowy musi spełniać zalecenia RODO

Sklep internetowy tak jak każdy inny podmiot przetwarzający dane osobowe musi:

  • wdrożyć RODO w firmie
  • regulamin, politykę prywatności, a także politykę dotycząca cookies dostosować do RODO
  • prowadzić rejestr przetwarzania danych
  • wypełniać obowiązki wobec osób, których dane dotyczą (czyli klientów).
  • przeszkolić pracowników w zakresie RODO.

Kto przetwarza dane w sklepie internetowym?

W sklepie internetowym niezwykle rzadko powołuje się Inspektora ochrony danych. Takie sklepy są zazwyczaj małym firmami i właściciel nie decyduje się na ustanowienie takie stanowiska, wiedząc ile to kosztuje. Inspektor danych osobowych jest powoływany w dużych firmach o znaczących obrotach.

W przypadku sklepu internetowego często mamy do czynienia z dwoma podmiotami
: administratorem danych oraz podmiotem przetwarzającym. Administrator odpowiedzialny jest za bezpieczne przechowywanie danych i ustala cel ich przechowywania. Celem ich przechowywania jest zazwyczaj realizacji zamówień, które klienci składają online, gdzie w specjalnym formularzu wpisują swoje dane ( imię, nazwisko, adres wysyłki, adres do korespondencji itp.). Administratorem takich danych są najczęściej właściciel lub pracownicy sklepu internetowego.

Podmiotem przetwarzającym są osoby trzecie, które zajmują się przetwarzaniem danych w imieniu administratora. W przypadku sklepu internetowego jest to często firma księgowa, która np. posiada dane o płacach poszczególnych pracowników czy firma kurierska, która posiada dane o klientach ( adres wysyłki, imię i nazwisko).

RODO a usługi księgowe

Właściciel sklepu internetowego powinien podpisać z biurem rachunkowym umowę dotyczącą przekazywania danych osobowych.

Firmy kurierskie a RODO

Sklepy internetowe na co dzień współpracują z firmami kurierskimi. W przypadku takiej współpracy nie trzeba podpisywać osobnej umowy na przetwarzanie danych osobowych. Firmy kurierskie, które działają według reguł prawa pocztowego, zobowiązane są, jako operator pocztowy, do zachowania tzw. tajemnicy pocztowej. Nie ma więc konieczności spisywania dodatkowych umów.

Pracownicy sklepu

Inaczej ma się sytuacja z pracownikami sklepu internetowego. Z nim należy podpisać umowy o powierzeniu danych osobowych.

Inne obowiązki

Jednak na tym nie kończą się obowiązki właściciela sklepu internetowego względem RODO. Musi on jeszcze zadbać o pozyskanie od swoich klientów zgód na przetwarzanie ich danych oraz zapewnić bezpieczny system informatyczny.

Pozyskanie zgód

Klient, musi wyrazić zgodę na pozyskiwanie i przetwarzanie przez sklep internetowy swoich danych osobowych. Tego typu zgoda nie może być pozyskana automatycznie. Klient musi sam zaznaczyć w formularzu rejestracyjnym na stronie sklepu, że wyraża zgodę na przetwarzanie swoich danych. Przy każdorazowo pobieranych danych do różnych celów, zgoda musi być wyrażona oddzielnie i za każdym razem musi być podany dokładny cel pozyskiwania danych osobowych.

Bezpieczeństwo danych

Właściciel sklepu internetowego ma obowiązek wykorzystywania systemów informatycznych, które spełniają wszystkie wymogi bezpieczeństwa. Zazwyczaj serwer, na jakim znajduje się sklep, należy do zewnętrznego dostawcy. Właściciel sklepu internetowego musi być pewny, że serwer spełnia wszystkie standardy. Poza tym sklep internetowy powinien korzystać z certyfikatu SSL, szyfrować odpowiednio dane, a także wykonywać regularnie ich kopię zapasową.

Podsumowanie

Jak widać sklep internetowy mimo swojej indywidualnej specyfiki, tak jak każda inna firma ma swoje obowiązki do spełnienia wobec RODO.