RODO i E-commerce w 8 krokach
Krótki, nieformalny przewodnik, pozwalający zorientować się, w jaki sposób przygotować sklep internetowy oparty o Magento do RODO. Artykuł ma charakter ogólny, podaje podstawowe informacje na temat nowych wymagań w kontekście branży e-commerce.
TL;DR
Nie jesteśmy w stanie przedstawić wymagań jeszcze krócej.
1. Podstawy
- Co to jest RODO? — RODO to skrótowiec od Rozporządzenia o Ochronie Danych Osobowych (GDPR — General Data Protection Regulation). Jest to rozporządzenie, ujednolicające prawo ochrony danych osobowych w całej Unii Europejskiej.
- Dane osobowe — Za dane osobowe uznaje się wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej.
- Wejście w życie — 25 maja 2018.
- Wiek — W Polsce aby przetwarzać dane osobowe osób młodszych niż 16 lat (prawdopodobnie), musisz mieć zgodę jego opiekuna.
- Koniec z rejestracją zbiorów — Razem z wejściem RODO, kończy się wymóg obowiązku rejestracji zbiorów.
- Brak gotowców — w RODO nie ma gotowych wzorów, jakie środki ochrony danych osobowych powinny być wdrożone. Administrator danych osobowych powinien oszacować ryzyko związane z ich przetwarzaniem i zastosować środki, które to ryzyko ograniczą.
- To nie rewolucja — RODO wiele spraw ułatwia (np. brak konieczności zgłaszania zbiorów) i porządkuje.
- Odpowiedzialność — ciężar udowodnienia zgodności z RODO spoczywa w całości na Administratorze Danych.
- Podstawy do przetwarzania danych osobowych — przetwarzać dane osobowe możesz wyłącznie w przypadku gdy:
👉 osoba wyraziła zgodę w określonym celu (np. newsletter, marketing, sms, profilowanie);
👉 przetwarzanie jest niezbędne do wykonania umowy (np. realizacja zamówień, fakturowanie);
👉 przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora;
👉 innych podstaw wyszczególnionych w Art 6. pkt 1 RODO. (mniej istotne z punktu widzenia e-commerce) - Privacy by design — Celem zasady jest takie budowanie produktu, aby brać pod uwagę właściwe przetwarzanie danych osobowych od samego początku istnienia projektu (Nawet, gdy jest jeszcze w fazie MVP).
- Privacy by default — Domyślne ustawienie prywatności powinno chronić dane osobowe w najszerszy sposób. Użytkownik powinien mieć możliwość zrezygnować z części swojej prywatności jedynie, podejmując świadome działanie, nie być poddanym decyzjom twórców systemu.
- Dokumentacja — powinna odpowiadać rzeczywistości. Najpierw wdróż odpowiednie procedury, potem stwórz dokumentację;
- Umowa powierzenia danych osobowych — Administrator Danych Osobowych (Ty) może powierzyć innemu podmiotowi (np. Hosting, Newsletter) przetwarzanie danych, w drodze umowy zawartej na piśmie.
2. Dokumentacja
W większości przypadków, o których jest artykuł, wymaganym dokumentem jest Rejestr Czynności Przetwarzania danych osobowych. Jednak aby dochować należytej staranności, warto udokumentować szerzej przetwarzanie danych. np. przez stworzenie Polityki Bezpieczeństwa, Dobrych Praktyk w zakresie przetwarzania danych osobowych, warto również przeprowadzić Ocenę skutków przetwarzania.
Rejestr czynności przetwarzania danych osobowych
Mimo kilku wyjątków, możemy założyć, że większość firm związanych z internetem musi stworzyć taki dokument. Nie jest to nic super skomplikowanego.
Zrób „audyt” wewnętrzny, przegląd procesów, w których przetwarzane są dane osobowe i na jego podstawie stwórz rejestr czynności przetwarzania danych w formacie elektronicznym jako arkusz.
Wzór dokumentacji RODO:
⚠️ bit.ly/wzor-rodo (Google Drive)
📣 Preambuła mot. 13, 82 i 89, art. 4 pkt 1 i 2, art. 30 art. 30 RODO.
3. Checkboxy ze zgodami i obowiązek informacyjny
Obowiązek informacyjny
Obowiązek informacyjny funkcjonuje bez względu na podstawę prawną przetwarzania danych osobowych. Podczas pozyskiwania danych osobowych (np. przy „checkboxach”), powinieneś spełnić Obowiązek Informacyjny, zamieszczając takie dane jak:
- Dane ADO — pełne dane Administratora Danych Osobowych;
- Cel — informacje na temat celu przetwarzania danych osobowych;
- Podstawa prawna — podstawa prawna na jakiej przetwarzane są dane: Zgoda; uzasadniony interes ADO itd. (Art 6. pkt 1 RODO);
- Możliwość cofnięcia zgody — możliwość cofnięcia zgody w dowolnym momencie, jeśli przetwarzanie odbywa się przez wyrażenie zgody;
- Przekazanie danych — przekazywanie danych do państwa trzeciego;
- Okres przetwarzania — okres przetwarzania danych osobowych;
- Prawa do sprostowania, ograniczenia, usunięcia, przeniesienia;
- Prawa wniesienia skargi do organu nadzorczego;
- Profilowanie — informacja o profilowaniu automatycznym.
Powyższe informacje powinny być tak zamieszczone, aby mieć pewność, że będą dobrze widoczne, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, dla użytkownika. Zamieszczenie takich informacji jedynie w osobnym pliku Polityki Prywatności jest niewystarczające.
Zgody na przetwarzanie danych osobowych
Jeśli chcesz przetwarzać dane osobowe klienta w szerszym zakresie, niż sama realizacja zamówienia, to musisz dla każdego zakresu przetwarzania uzyskać osobną, jednoznaczną zgodę w formie oświadczenia. Zazwyczaj będzie to seria checkboxów — Dobrowolna zgoda, jasna i zwięzła dla każdego typu przetwarzania osobna. Ciężar dowodu posiadania zgody spoczywa na Tobie.
Stworzyliśmy w Ageno dedykowany moduł Magento 2, zapisujący wszystkie informacje na temat zgód Klientów. Napisz do nas, jeśli Cię to zainteresowało.
Jak zarządzać zgodami w Magento?
- Włączanie zgód w kasie: Stores -> Settings -> Configuration -> Sales -> Checkout -> Checkout Options -> (Enable Terms and Conditions = yes)
- Definiowanie poszczególnych zgód: Stores -> Settings -> Terms and Conditions
https://docs.magento.com/m2/ee/user_guide/sales/terms-and-conditions.html
Przykładowe formuły zgód RODO przy formularzach:
- Wyrażam zgodę na przetwarzanie podanych powyżej danych w celu otrzymywania newslettera (art. 6 ust. 1 lit. a RODO).
- Wyrażam zgodę na otrzymywanie informacji handlowych w formie newslettera np. o ofertach, nowościach, aktualnościach, promocjach itp.
Poniżej należy pamiętać o obowiązku informacyjnym i zamieścić np. taką regułę:
- Wiem, że:
- podanie przeze mnie danych zawartych w niniejszym formularzu jest w pełni dobrowolne;
- wyrażenie powyższych zgód jest dobrowolne;
- moje dane mogą zostać udostępnione podmiotom trzecim;
- mogę zażądać dostępu do moich danych osobowych;
- mogę zażądać, sprostowania, przeniesienia i usunięcia moich danych osobowych;
- mogę w każdym momencie cofnąć zgody na przetwarzanie moich danych osobowych;
- przysługuje mi prawo do wniesienia skargi do organu nadzorczego w przypadku naruszenia prawa;
- Administratorem moich danych osobowych będzie: Acme S.C. Warszawa, 32–200, ul. Uliczna 12, NIP: 123123123.
📣 art. 6 ust. 1, art. 7 RODO.
Prawo do wycofania zgody
Wycofanie zgody musi być równie łatwe, jak jej wyrażenie. Należy umożliwić zarządzanie zgodami w Profilu Klienta w sklepie.
Domyślnie Magento nie umożliwia zarządzania zgodami w panelu użytkownika. Należy wdrożyć taką funkcjonalność.
Prawo do sprostowania, przeniesienia i usunięcia danych osobowych
Użytkownik musi mieć możliwość zrealizowania następujących operacji na swoich danych:
- sprostowanie — np. zmiana adresu, modyfikacja, poprawa literówek itp.;
- przeniesienie — możliwość pobrania danych osobowych w powszechnym formacie. Rekomendujemy format CSV;
- usunięcie — możliwość usunięcia danych osobowych użytkownika. Prawo to obowiązuje w sytuacji, w której nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie. Na przykład, jeśli zgodnie z umową wystawiliśmy fakturę, to nie musimy usuwać z niej danych w przypadku usuwania danych użytkownika;
Jak zarządzać klientami w Magento?
- Sprostowanie (edycja): Customers ->All Customers -> (z kolumny) Edit
- Przeniesienie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> Export CSV
- Usunięcie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> (Z menu akcji) Delete
Tożsamość administratora danych osobowych
Aby spełnić obowiązek informacyjny, umieść w widocznym miejscu tożsamość administratora danych osobowych. Najlepiej obok formularza, tak aby ta informacja była jasna i łatwa do znalezienia.
Przykład:
Administratorem Twoich danych osobowych będzie Acme Corp sp. z o.o, ul. Uliczna 105, 43–300 Bielsko-Biała, e-mail: test@acmecorp.pl. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.
Przykład bardziej swobodny:
My też nie lubimy takich checkboxów, jak te powyżej, ale muszą być, aby nasz sklep mógł działać zgodnie z prawem. W każdej chwili możesz wycofać zgody w swoim panelu administracyjnym, zażądać sprostowania, przeniesienia lub usunięcia danych osobowych. Zapoznaj się również z naszą polityką prywatności, w której zawarliśmy szczegółowe informacje na temat przetwarzania danych osobowych.
4. Powierzenie przetwarzania danych osobowych
RODO wprowadza w stosunku do poprzedniej ustawy znaczące ułatwienie. Umowę Powierzenia Danych osobowych można zawrzeć elektronicznie, zdalnie. Należy zweryfikować organizację, do której dane chcemy przekazywać i zaakceptować regulamin podmiotu przetwarzającego, w którym znajdą się właściwe informacje dotyczące powierzenia danych osobowych.
Za powierzone dane odpowiedzialny jest nadal Administrator Danych osobowych.
Przykłady powierzenia danych osobowych: hosting, zewnętrzna firma księgowa, firma wysyłająca newsletter, CRM online, E-mail itp.
📣 art. 28 RODO.
5. Co w przypadku wycieku danych?
Zgłaszanie naruszeń do organu nadzorczego
W przypadku naruszenia praw osób, których dane są przetwarzane, administrator danych jest zobowiązany w ciągu 72 godzin poinformować organ nadzorczy i osobę, której naruszenie dotyczy.
📣 art. 33 i 34 RODO.
Kary
RODO przewiduje nakładanie kar na przedsiębiorcę w przypadku naruszenia bezpieczeństwa danych osobowych. Kary te mają być skuteczne, proporcjonalne i odstraszające — maksymalnie 20 mln EURO i do 4% całkowitego obrotu.
📣 art. 83 RODO.
6. Profilowanie
Profilowanie to automatyczny proces polegający na wnioskowaniu o posiadaniu przez osobę określonych cech na podstawie danych o tej osobie i podejmowaniu na tej podstawie decyzji. (np. AdWords Remarketing, Facebook Pixel itp.)
Należy umożliwić wniesienie sprzeciwu wobec automatycznego profilowania. Oczywiście o tej możliwości należy poinformować jasno użytkownika. Może to być odpowiedni checkbox w profilu klienta.
📣 Warto zapoznać się z art. 22 RODO.
7. Regulamin i Polityka Prywatności
Wprowadź odpowiednie modyfikacje dokumentów Regulaminu i Polityki Prywatności. W skrócie wymagane jest zamieszczenie szczegółowych zapisów związanych z obowiązkiem informacyjnym. Powinno to być przekazane jasnym, przystępnym językiem. Tutaj warto zasięgnąć porady prawnika, który przygotuje właściwe zapisy.
O zmianie w regulaminie należy poinformować użytkowników. Przykładowe e-maile z informacją o zmianach publikujemy tutaj: ⚠️blog.ageno.pl/przyk%C5%82adowe-wiadomo%C5%9Bci-e-mail-informuj%C4%85ce-klient%C3%B3w-o-zmianach-zwi%C4%85zanych-z-rodo-400bdceb3e8d
8. Warto wiedzieć
Przykładowe środki ochrony danych osobowych
- Kontrola dostępu do danych — W systemie informatycznym, w którym przetwarzane są dane, należy stosować mechanizmy kontroli dostępu, w tym silne hasła.
- Silne Hasła — Należy stosować silne, skomplikowane hasła, zawierające małe i wielkie litery, znaki specjalne, cyfry, oraz składających się z większej liczby znaków niż 16. W celu przechowywania haseł warto korzystać z managerów haseł.
- Autoryzacja dwuetapowa – Gdzie jest to możliwe, należy włączać tzw. 2FA czyli autoryzację dwuetapową.
- Bezpieczeństwo pomieszczeń — Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na klucz, zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
- Kopie bezpieczeństwa — Należy regularnie wykonywać kopie zapasowe i przechowywać je w zabezpieczonych miejscach. Po ustaniu użyteczności kopia powinna zostać usunięta. Kopie, powinny być szyfrowane.
- Szyfrowanie partycji — Komputery, na których przetwarzane są dane, lub z których następuje dostęp do danych, powinny zostać zabezpieczone szyfrowaniem i silnym hasłem.
- Połączenia szyfrowane — Połączenie z systemem informatycznym powinno być szyfrowane poprzez certyfikat SSL.
- Monitoring — Stały monitoring procedur i systemów informatycznych (w tym logów), w których przetwarzane są dane.
Warto zastosować moduł Admin Actions Log od Amasty. - Pseudonimizacja — Pseudonimizacja danych osobowych może pomóc administratorom danych wywiązać się z obowiązku ochrony danych (np. wersje testowe oprogramowania).
- Testowanie — Regularne wykonywanie testów bezpieczeństwa.
Ogólne zalecenia dotyczące bezpieczeństwa:
⚠️blog.ageno.pl/jak-zwi%C4%99kszy%C4%87-bezpiecze%C5%84stwo-informacji-w-firmie-10-podstawowych-zalece%C5%84-73cc432b9ca8
Uważaj na naciągaczy „Obrońców Uciśnionych”
Już wkrótce, mogą pojawić się nieetyczne działania „sprytnych businessmanów”, których jedynym celem jest wyszukiwanie organizacji, które nie są w 100% zgodne z wymogami RODO i wysyłanie przedsądowych wezwań do zapłaty. Aby właściwie zabezpieczyć się przed atakami takich nieuczciwych przedsiębiorców, najlepiej po prostu spełnij wymagania RODO.
Inne materiały, które mogą Cię zainteresować:
- https://giodo.gov.pl/pl/569/9276
- https://giodo.gov.pl/234/id_art/9276/j/pl
- https://www.gov.pl/cyfryzacja/rodo-informator
- https://prakreacja.pl/rodo-czy-naprawde-trzeba-sie-bac/
- https://marketingautomagic.pl/2018/01/zgoda-na-przetwarzanie-danych-wedlug-rodo/
- http://korolko.pl/dokumentacja-wymagana-przez-rodo/
- https://tizydorczyk.pl/index.php/artykuly/47-kategorie-przetwarzan-the-categories-of-processing
- https://businessinsider.com.pl/firmy/przepisy/rodo-od-25-maja-2018-r-wywiad-z-piotrem-kochanskim/3pz55t7
- https://cdn2.hubspot.net/hubfs/603347/1-TS_B2B/content/PL/20170801-RODO/Poradnik%20Trusted%20Shops%20Nowe%20przepisy%20o%20ochronie%20danych%20w%20e-sklepach.pdf
- https://www.politykabezpieczenstwa.pl/pl/a/profilowanie-zmiany-wprowadzane-przez-rodo-i-ich-wplyw-na-branze-e-commerce
- https://www.rzetelnyregulamin.pl/pl/a/jak-napisac-regulamin-sklepu-internetowego-najwazniejsze-elementy
- https://gdprchecklist.io/
Magento — RODO. Potrzebujesz pomocy?
Jeśli nie jesteś pewien jak wdrożyć wytyczne RODO w Magento, napisz do nas — Ageno.
Współautorem artykułu jest dr Grzegorz Pacek — radca prawny w
Marek Płonka i Wspólnicy sp. k.
krpmp.pl