10 zmian w GIODO dla sklepów internetowych

Sklepy internetowe będą musiały przygotować się na nadchodzące zmiany w GIODO, wynikające z nowych przepisów dotyczących przetwarzania i ochrony danych osobowych. Czym jest RODO i co za sobą niesie nowe rozporządzenie?

 

zmiany w giodo, giodo, uodo, rodo, urząd ochrony danych osobowych

27 kwietnia 2016 roku Parlament Europejski i Rada UE wydał rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/45/WE (Ogólne rozporządzenie o ochronie danych osobowych), w skrócie RODO.

tpay szybkie płatności

Czy GIODO przestanie istnieć?

Podstawowym aktem prawnym, który obecnie reguluje ochronę danych osobowych w naszym kraju jest UODO, czyli Ustawa o Ochronie Danych Osobowych. Taki stan rzeczy będzie miał miejsce tylko do 25 maja 2018 roku, czyli do momentu wejścia w życie RODO. Na mocy nowej ustawy GIODO przestaje istnieć, a na jego miejscu pojawi się UODO, czyli Urząd Ochrony Danych Osobowych.

Rewolucja, czyli RODO bez okresu przejściowego

Zazwyczaj przy wchodzeniu w życie nowych przepisów, szczególnie tych wymagających znacznych zmian w sektorze przedsiębiorstw, mamy do czynienia z okresem przejściowym. RODO wejdzie bez okresu na doszlifowywanie zmian, a zatem już z dniem 25 maja 2018 roku, wszystkie podmioty będące Administratorem Danych Osobowych muszą być przygotowane pod nowe rozporządzenie.

Czym są dane osobowe?

Zgodnie  z Ustawą o Ochronie Danych Osobowych, są to wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Do identyfikacji  dochodzi, gdy na podstawie danych możemy określić tożsamość człowieka bezpośrednio lub pośrednio. Bezpośrednie określenie tożsamości opiera się na numerze identyfikacyjnym, pośrednie – na czynnikach, które mogą określić jej cechy fizyczne, umysłowe, fizjologiczne, ekonomiczne, społeczne lub kulturowe. W dzisiejszym świecie jesteśmy w stanie ustalić praktycznie każdą informację, a dane z pozoru niedostępne, możemy uzyskać chociażby za pomocą skomplikowanych technologii lub metod kojarzenia cech.  

Ustawa podkreśla jednak, że o identyfikacji tożsamości nie mówimy w przypadku konieczności zastosowania dodatkowych działań, poniesienia nadmiernych kosztów ani poświęcenia dużej ilości czasu.

Kim jest Administrator Danych Osobowych?

zmiany w giodo, dane osobowe, bezpieczeństwo, klucz

Każdy podmiot, który przetwarza dane osobowe, czyli wykorzystuje je w konkretnym celu.

Co ważne, o przetwarzaniu danych mówimy nawet w przypadku ich przechowywania, czyli archiwizowania, wykorzystywania w celu wystawienia faktury, a także podczas wpisywania ich do wewnętrznych rejestrów. Warto pamiętać, iż zbieranie adresów e-mail do wysyłki newslettera to również przetwarzanie danych osobowych.

10 zmian w GIODO dla sklepów internetowych

1. Zbiory danych

Rejestracja zbioru danych w GIODO to temat spędzający sen z powiek niejednemu właścicielowi sklepu internetowego. Do teraz, w myśl UODO:

Baza klientów sklepu internetowego stanowi zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.”

Dodatkowo, w Ustawie czytamy również, że jeśli dane osobowe klientów e-sklepu są przetwarzane w różnych celach, np. w celu realizacji zamówień, statystyk, czy marketingu, a nie mamy obowiązku zgłoszenia jednego, a kilku zbiorów danych. Obowiązująca Ustawa przewiduje odstępstwo od rejestracji bazy w przypadku powołania przez podmiot osoby, będącej Administratorem Bezpieczeństwa Informacji. Co ważne – jeśli ABI jest powołany, ale przetwarzamy dane osobowe wrażliwe – nie jesteśmy zwolnieni z obowiązku rejestrowania bazy danych w GIODO.

Po 25 maja 2018 roku znika obowiązek rejestrowania zbiorów danych.

2. Checkbox, czyli zgoda klienta

Kolejną zmianą istotną z punktu widzenia sklepów internetowych są zgodny na przetwarzanie danych osobowych, wyrażane najczęściej na koniec procesu zakupowego produktu lub usługi.

Do tej pory zgody te często były pisane w sposób niejasny, nierzadko jako zbitek wielu zgód w jednym punkcie, lub po prostu posiadały odgórnie zaznaczony checkbox. Na pewno każdy z Was podczas zakupów internetowych spotkał się kiedyś z punktem, w którym wyszczególniona była zarówno zgoda na przetwarzanie danych osobowych w celach fakturowania, ale też dla celów marketingowych lub zgoda na udostępnianie danych podmiotom trzecim. Jeden checkbox – jedna zgodna i tracimy kontrolę nad swoimi danymi – RODO tego zabrania.

3. Nowe zasady formułowania zgody na przetwarzanie danych osobowych

W myśl nowych przepisów, zgodny muszą:

  • być jednoznaczne i konkretne
  • być wyrażane świadomie i dobrowolnie (zakazuje się odgórnego zaznaczania checkboxów)
  • mieć charakter wyraźnego działania – oświadczenia lub potwierdzenia
  • być formułowane jasnym i czytelnym językiem (zawiłe będą traktowane jako nieskuteczne)

4. Konieczność wprowadzenia nowych zapisów do regulaminów

Nowe przepisy mają na celu zwiększenie świadomości konsumenta w zakresie praw i stopnia wykorzystywania jego danych osobowych. Według nowych zasad konsument musi być poinformowany o celu i sposobie przetwarzania danych osobowych. Kupujący musi być również zapewniony, że dane nie zostaną wydane podmiotom trzecim, a także, że ma prawo do żądania od administratora danych osobowych zaprzestania ich przetwarzania. Regulaminy muszą również zawierać informacje o możliwości wniesienia skargi przez konsumenta do organu nadzorczego

5. Inspektor Ochrony Danych Osobowych zamiast ABI

Następną zmianą na karcie rewolucji będzie zastąpienie stanowiska Administratora Bezpieczeństwem Informacji – Inspektorem Ochrony Danych Osobowych.

6. Rejestr czynności przetwarzania

Każdy podmiot będzie zobowiązany do prowadzenia rejestru wewnętrznego czynności przetwarzania danych, z oceną skutków przetwarzania dla ochrony danych osobowych. Na tę chwilę niewiele jeszcze wiadomo o wyglądzie takiego rejestru oraz sposobie oceny skutków. Zapewne zostanie to w najbliższym czasie uściślone odpowiednimi zapisami.

7. Nowy zapis w umowie

Do tej pory w umowach między firmami, dla przykładu, zawieranych przy zlecaniu usług podmiotom zewnętrznym, mógł znajdować się zapis dotyczący zachowania poufności. W myśl nowych zasad, każda umowa będzie musiała zostać wzbogacona o zapis dotyczący ochrony danych osobowych. Outsourcing usług dotyczy najczęściej kwestii finansowych (księgowości), kadrowych, IT, prawnych, a także usług archiwizacji i niszczenia dokumentacji. Nowa ustawa wymusi zatem na firmach, aby rozważnie wchodziły we współpracę z innymi podmiotami, wybierając tylko tych partnerów, którzy spełniają wymagania wynikające z RODO.

8. Profilowanie klienta już tylko za jego jednoznaczną zgodą

Myślę, że każdy właściciel sklepu internetowego wie, że profilowanie klienta jest kluczem w budowaniu sieci odbiorców naszych usług. Chcemy, aby nasza oferta dopasowywała się do wymagań klientów, nierzadko zaspokajała nawet jego niewypowiedziane potrzeby. Profilowanie jest to zatem nic innego niż przetwarzanie danych osobowych w skutek grupowania ich pod kątem demograficznym lub behawioralnym. Po wejściu nowych przepisów, nasz klient musi wiedzieć, że podlega profilowaniu i musi wyrazić na to zgodę.

9. Nowa odpowiedzialność i wysokie kary

zmiany w giodo, kary, pieniądze, uodo, rodo, ue

Obecnie, każdy podmiot przetwarzający dane osobowe, zgodnie z Ustawą jest zobowiązany do przestrzegania jej zasad. Za nieprzestrzeganie grozi ograniczenie lub pozbawienie wolności do lat 2. Podobną karę możemy dostać za udostępnianie lub umożliwienie dostępu do danych osobom nieupoważnionym . Niezabezpieczenie danych w odpowiedni sposób to kara ograniczenia lub pozbawienia wolności do 1 roku.

Nowe rozporządzenie ujednolica i podwyższa system kar za naruszanie przepisów o ochronie danych osobowych. Kary mogą wynosić do 20 000 000 euro lub do 4% całkowitego obrotu przedsiębiorstwa za rok poprzedni.

10. Konieczność zgłoszenia wycieku danych

Po wejściu RODO, Administrator Danych Osobowych jest również zobowiązany do zgłoszenia jednostce nadzorującej wszystkich incydentów które spowodowały wyciek danych osobowych, bądź godziły w bezpieczeństwo ich przechowywania. Co więcej, gdy dane klientów wyciekną – podmiot będzie zobowiązany do powiadomienia wszystkich osób, których ten incydent dotyczył.

Jak widać wiele się zmieni, zatem warto już dziś zapoznać się z nowymi zasadami ochrony danych osobowych, aby zdążyć w prawidłowy sposób przystosować platformę sprzedażową przed 25 maja 2018 roku. Warto pamiętać również o tym, iż sklepy internetowe obsługiwane są przez firmy hostingowe, dlatego już przy wyborze dostawcy hostingu należy kierować się bezpieczeństwem swoich danych.

*Więcej aktualnych szczegółów na temat wdrożenia RODO w sklepie internetowym znajdziecie tu.

**Wszystkie ustawy i rozporządzenia, o których mowa powyżej, znajdują się na oficjalnej stronie Generalnego Inspektora Ochrony Danych Osobowych. 

Darmowy kurs WooCommerce
Artykuł odpowiedział na twoje pytanie? Udostępnij go dalej:
Obrazek domyślny
Aneta Rutkowska
Lubi gdy wszystko działa, a najlepiej jeżeli działa szybko. W szczególności strony internetowe. Pomaga użytkownikom WordPressa zrozumieć go lepiej. Gdyby fizycy mieli taką umiejętność wyjaśniania skomplikowanych rzeczy, wszyscy rozumielibyśmy fizykę kwantową. Na co dzień koordynuje różne procesy w najlepszej firmie hostingowej w Polsce – LH.pl.
Raport rynku WordPress