Open in app

Sign in

Write

Sign in

RODO i E-commerce w 8 krokach

Krótki, nieformalny przewodnik, pozwalający zorientować się, w jaki sposób przygotować sklep internetowy oparty o Magento do RODO. Artykuł ma charakter ogólny, podaje podstawowe informacje na temat nowych wymagań w kontekście branży e-commerce.

Maksymilian Sleziak
Ageno Blog

--

TL;DR

Nie jesteśmy w stanie przedstawić wymagań jeszcze krócej.

1. Podstawy

  • Co to jest RODO? — RODO to skrótowiec od Rozporządzenia o Ochronie Danych Osobowych (GDPR — General Data Protection Regulation). Jest to rozporządzenie, ujednolicające prawo ochrony danych osobowych w całej Unii Europejskiej.
  • Dane osobowe — Za dane osobowe uznaje się wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej.
  • Wejście w życie — 25 maja 2018.
  • Wiek — W Polsce aby przetwarzać dane osobowe osób młodszych niż 16 lat (prawdopodobnie), musisz mieć zgodę jego opiekuna.
  • Koniec z rejestracją zbiorów — Razem z wejściem RODO, kończy się wymóg obowiązku rejestracji zbiorów.
  • Brak gotowców — w RODO nie ma gotowych wzorów, jakie środki ochrony danych osobowych powinny być wdrożone. Administrator danych osobowych powinien oszacować ryzyko związane z ich przetwarzaniem i zastosować środki, które to ryzyko ograniczą.
  • To nie rewolucja — RODO wiele spraw ułatwia (np. brak konieczności zgłaszania zbiorów) i porządkuje.
  • Odpowiedzialność — ciężar udowodnienia zgodności z RODO spoczywa w całości na Administratorze Danych.
  • Podstawy do przetwarzania danych osobowych — przetwarzać dane osobowe możesz wyłącznie w przypadku gdy:
    👉 osoba wyraziła zgodę w określonym celu (np. newsletter, marketing, sms, profilowanie);
    👉 przetwarzanie jest niezbędne do wykonania umowy (np. realizacja zamówień, fakturowanie);
    👉 przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora;
    👉 innych podstaw wyszczególnionych w Art 6. pkt 1 RODO. (mniej istotne z punktu widzenia e-commerce)
  • Privacy by design — Celem zasady jest takie budowanie produktu, aby brać pod uwagę właściwe przetwarzanie danych osobowych od samego początku istnienia projektu (Nawet, gdy jest jeszcze w fazie MVP).
  • Privacy by default — Domyślne ustawienie prywatności powinno chronić dane osobowe w najszerszy sposób. Użytkownik powinien mieć możliwość zrezygnować z części swojej prywatności jedynie, podejmując świadome działanie, nie być poddanym decyzjom twórców systemu.
  • Dokumentacja — powinna odpowiadać rzeczywistości. Najpierw wdróż odpowiednie procedury, potem stwórz dokumentację;
  • Umowa powierzenia danych osobowych — Administrator Danych Osobowych (Ty) może powierzyć innemu podmiotowi (np. Hosting, Newsletter) przetwarzanie danych, w drodze umowy zawartej na piśmie.

2. Dokumentacja

W większości przypadków, o których jest artykuł, wymaganym dokumentem jest Rejestr Czynności Przetwarzania danych osobowych. Jednak aby dochować należytej staranności, warto udokumentować szerzej przetwarzanie danych. np. przez stworzenie Polityki Bezpieczeństwa, Dobrych Praktyk w zakresie przetwarzania danych osobowych, warto również przeprowadzić Ocenę skutków przetwarzania.

Rejestr czynności przetwarzania danych osobowych

Mimo kilku wyjątków, możemy założyć, że większość firm związanych z internetem musi stworzyć taki dokument. Nie jest to nic super skomplikowanego.

Zrób „audyt” wewnętrzny, przegląd procesów, w których przetwarzane są dane osobowe i na jego podstawie stwórz rejestr czynności przetwarzania danych w formacie elektronicznym jako arkusz.

Wzór dokumentacji RODO:
⚠️ bit.ly/wzor-rodo (Google Drive)

📣 Preambuła mot. 13, 82 i 89, art. 4 pkt 1 i 2, art. 30 art. 30 RODO.

3. Checkboxy ze zgodami i obowiązek informacyjny

Obowiązek informacyjny

Obowiązek informacyjny funkcjonuje bez względu na podstawę prawną przetwarzania danych osobowych. Podczas pozyskiwania danych osobowych (np. przy „checkboxach”), powinieneś spełnić Obowiązek Informacyjny, zamieszczając takie dane jak:

  • Dane ADO — pełne dane Administratora Danych Osobowych;
  • Cel — informacje na temat celu przetwarzania danych osobowych;
  • Podstawa prawna — podstawa prawna na jakiej przetwarzane są dane: Zgoda; uzasadniony interes ADO itd. (Art 6. pkt 1 RODO);
  • Możliwość cofnięcia zgody — możliwość cofnięcia zgody w dowolnym momencie, jeśli przetwarzanie odbywa się przez wyrażenie zgody;
  • Przekazanie danych — przekazywanie danych do państwa trzeciego;
  • Okres przetwarzania — okres przetwarzania danych osobowych;
  • Prawa do sprostowania, ograniczenia, usunięcia, przeniesienia;
  • Prawa wniesienia skargi do organu nadzorczego;
  • Profilowanie — informacja o profilowaniu automatycznym.

Powyższe informacje powinny być tak zamieszczone, aby mieć pewność, że będą dobrze widoczne, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, dla użytkownika. Zamieszczenie takich informacji jedynie w osobnym pliku Polityki Prywatności jest niewystarczające.

Zgody na przetwarzanie danych osobowych

Jeśli chcesz przetwarzać dane osobowe klienta w szerszym zakresie, niż sama realizacja zamówienia, to musisz dla każdego zakresu przetwarzania uzyskać osobną, jednoznaczną zgodę w formie oświadczenia. Zazwyczaj będzie to seria checkboxów — Dobrowolna zgoda, jasna i zwięzła dla każdego typu przetwarzania osobna. Ciężar dowodu posiadania zgody spoczywa na Tobie.

Stworzyliśmy w Ageno dedykowany moduł Magento 2, zapisujący wszystkie informacje na temat zgód Klientów. Napisz do nas, jeśli Cię to zainteresowało.

Jak zarządzać zgodami w Magento?

  • Włączanie zgód w kasie: Stores -> Settings -> Configuration -> Sales -> Checkout -> Checkout Options -> (Enable Terms and Conditions = yes)
  • Definiowanie poszczególnych zgód: Stores -> Settings -> Terms and Conditions

https://docs.magento.com/m2/ee/user_guide/sales/terms-and-conditions.html

Przykładowe formuły zgód RODO przy formularzach:

  • Wyrażam zgodę na przetwarzanie podanych powyżej danych w celu otrzymywania newslettera (art. 6 ust. 1 lit. a RODO).
  • Wyrażam zgodę na otrzymywanie informacji handlowych w formie newslettera np. o ofertach, nowościach, aktualnościach, promocjach itp.

Poniżej należy pamiętać o obowiązku informacyjnym i zamieścić np. taką regułę:

  • Wiem, że:
    - podanie przeze mnie danych zawartych w niniejszym formularzu jest w pełni dobrowolne;
    - wyrażenie powyższych zgód jest dobrowolne;
    - moje dane mogą zostać udostępnione podmiotom trzecim;
    - mogę zażądać dostępu do moich danych osobowych;
    - mogę zażądać, sprostowania, przeniesienia i usunięcia moich danych osobowych;
    - mogę w każdym momencie cofnąć zgody na przetwarzanie moich danych osobowych;
    - przysługuje mi prawo do wniesienia skargi do organu nadzorczego w przypadku naruszenia prawa;
    - Administratorem moich danych osobowych będzie: Acme S.C. Warszawa, 32–200, ul. Uliczna 12, NIP: 123123123.

📣 art. 6 ust. 1, art. 7 RODO.

Prawo do wycofania zgody

Wycofanie zgody musi być równie łatwe, jak jej wyrażenie. Należy umożliwić zarządzanie zgodami w Profilu Klienta w sklepie.

Domyślnie Magento nie umożliwia zarządzania zgodami w panelu użytkownika. Należy wdrożyć taką funkcjonalność.

Prawo do sprostowania, przeniesienia i usunięcia danych osobowych

Użytkownik musi mieć możliwość zrealizowania następujących operacji na swoich danych:

  • sprostowanie — np. zmiana adresu, modyfikacja, poprawa literówek itp.;
  • przeniesienie — możliwość pobrania danych osobowych w powszechnym formacie. Rekomendujemy format CSV;
  • usunięcie — możliwość usunięcia danych osobowych użytkownika. Prawo to obowiązuje w sytuacji, w której nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie. Na przykład, jeśli zgodnie z umową wystawiliśmy fakturę, to nie musimy usuwać z niej danych w przypadku usuwania danych użytkownika;

Jak zarządzać klientami w Magento?

  • Sprostowanie (edycja): Customers ->All Customers -> (z kolumny) Edit
  • Przeniesienie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> Export CSV
  • Usunięcie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> (Z menu akcji) Delete

Tożsamość administratora danych osobowych

Aby spełnić obowiązek informacyjny, umieść w widocznym miejscu tożsamość administratora danych osobowych. Najlepiej obok formularza, tak aby ta informacja była jasna i łatwa do znalezienia.

Przykład:
Administratorem Twoich danych osobowych będzie Acme Corp sp. z o.o, ul. Uliczna 105, 43–300 Bielsko-Biała, e-mail: test@acmecorp.pl. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.

Przykład bardziej swobodny:
My też nie lubimy takich checkboxów, jak te powyżej, ale muszą być, aby nasz sklep mógł działać zgodnie z prawem. W każdej chwili możesz wycofać zgody w swoim panelu administracyjnym, zażądać sprostowania, przeniesienia lub usunięcia danych osobowych. Zapoznaj się również z naszą polityką prywatności, w której zawarliśmy szczegółowe informacje na temat przetwarzania danych osobowych.

4. Powierzenie przetwarzania danych osobowych

RODO wprowadza w stosunku do poprzedniej ustawy znaczące ułatwienie. Umowę Powierzenia Danych osobowych można zawrzeć elektronicznie, zdalnie. Należy zweryfikować organizację, do której dane chcemy przekazywać i zaakceptować regulamin podmiotu przetwarzającego, w którym znajdą się właściwe informacje dotyczące powierzenia danych osobowych.

Za powierzone dane odpowiedzialny jest nadal Administrator Danych osobowych.

Przykłady powierzenia danych osobowych: hosting, zewnętrzna firma księgowa, firma wysyłająca newsletter, CRM online, E-mail itp.

📣 art. 28 RODO.

5. Co w przypadku wycieku danych?

Zgłaszanie naruszeń do organu nadzorczego

W przypadku naruszenia praw osób, których dane są przetwarzane, administrator danych jest zobowiązany w ciągu 72 godzin poinformować organ nadzorczy i osobę, której naruszenie dotyczy.

📣 art. 33 i 34 RODO.

Kary

RODO przewiduje nakładanie kar na przedsiębiorcę w przypadku naruszenia bezpieczeństwa danych osobowych. Kary te mają być skuteczne, proporcjonalne i odstraszające — maksymalnie 20 mln EURO i do 4% całkowitego obrotu.

📣 art. 83 RODO.

6. Profilowanie

Profilowanie to automatyczny proces polegający na wnioskowaniu o posiadaniu przez osobę określonych cech na podstawie danych o tej osobie i podejmowaniu na tej podstawie decyzji. (np. AdWords Remarketing, Facebook Pixel itp.)

Należy umożliwić wniesienie sprzeciwu wobec automatycznego profilowania. Oczywiście o tej możliwości należy poinformować jasno użytkownika. Może to być odpowiedni checkbox w profilu klienta.

📣 Warto zapoznać się z art. 22 RODO.

7. Regulamin i Polityka Prywatności

Wprowadź odpowiednie modyfikacje dokumentów Regulaminu i Polityki Prywatności. W skrócie wymagane jest zamieszczenie szczegółowych zapisów związanych z obowiązkiem informacyjnym. Powinno to być przekazane jasnym, przystępnym językiem. Tutaj warto zasięgnąć porady prawnika, który przygotuje właściwe zapisy.

O zmianie w regulaminie należy poinformować użytkowników. Przykładowe e-maile z informacją o zmianach publikujemy tutaj: ⚠️blog.ageno.pl/przyk%C5%82adowe-wiadomo%C5%9Bci-e-mail-informuj%C4%85ce-klient%C3%B3w-o-zmianach-zwi%C4%85zanych-z-rodo-400bdceb3e8d

8. Warto wiedzieć

Przykładowe środki ochrony danych osobowych

  • Kontrola dostępu do danych — W systemie informatycznym, w którym przetwarzane są dane, należy stosować mechanizmy kontroli dostępu, w tym silne hasła.
  • Silne Hasła — Należy stosować silne, skomplikowane hasła, zawierające małe i wielkie litery, znaki specjalne, cyfry, oraz składających się z większej liczby znaków niż 16. W celu przechowywania haseł warto korzystać z managerów haseł.
  • Autoryzacja dwuetapowa – Gdzie jest to możliwe, należy włączać tzw. 2FA czyli autoryzację dwuetapową.
  • Bezpieczeństwo pomieszczeń — Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na klucz, zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
  • Kopie bezpieczeństwa — Należy regularnie wykonywać kopie zapasowe i przechowywać je w zabezpieczonych miejscach. Po ustaniu użyteczności kopia powinna zostać usunięta. Kopie, powinny być szyfrowane.
  • Szyfrowanie partycji — Komputery, na których przetwarzane są dane, lub z których następuje dostęp do danych, powinny zostać zabezpieczone szyfrowaniem i silnym hasłem.
  • Połączenia szyfrowane — Połączenie z systemem informatycznym powinno być szyfrowane poprzez certyfikat SSL.
  • Monitoring — Stały monitoring procedur i systemów informatycznych (w tym logów), w których przetwarzane są dane.
    Warto zastosować moduł Admin Actions Log od Amasty.
  • Pseudonimizacja — Pseudonimizacja danych osobowych może pomóc administratorom danych wywiązać się z obowiązku ochrony danych (np. wersje testowe oprogramowania).
  • Testowanie — Regularne wykonywanie testów bezpieczeństwa.

Ogólne zalecenia dotyczące bezpieczeństwa:
⚠️blog.ageno.pl/jak-zwi%C4%99kszy%C4%87-bezpiecze%C5%84stwo-informacji-w-firmie-10-podstawowych-zalece%C5%84-73cc432b9ca8

Uważaj na naciągaczy „Obrońców Uciśnionych”

Już wkrótce, mogą pojawić się nieetyczne działania „sprytnych businessmanów”, których jedynym celem jest wyszukiwanie organizacji, które nie są w 100% zgodne z wymogami RODO i wysyłanie przedsądowych wezwań do zapłaty. Aby właściwie zabezpieczyć się przed atakami takich nieuczciwych przedsiębiorców, najlepiej po prostu spełnij wymagania RODO.

Inne materiały, które mogą Cię zainteresować:

Magento — RODO. Potrzebujesz pomocy?

Jeśli nie jesteś pewien jak wdrożyć wytyczne RODO w Magento, napisz do nas — Ageno.

Współautorem artykułu jest dr Grzegorz Pacek — radca prawny w
Marek Płonka i Wspólnicy sp. k.
krpmp.pl

--

--

Maksymilian Sleziak
Ageno Blog

Written by Maksymilian Sleziak

81 Followers
Editor for

🔥Co-Founder at Ageno.pl - E-commerce, Magento development.