PolskiAngielski
Schowek 0
Twój schowek jest pusty
Koszyk 0
Twój koszyk jest pusty ...
Strona główna » RODO

RODO

regulamin sklepu internetowego

Najważniejsze informacje dotyczące Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO)
Słowem wstępu
25 maja 2018 r. zaczęło obowiązywać rozporządzenie europejskie w sprawie ochrony danych osobowych (RODO). Nowe przepisy wprowadzane przez Unię Europejską najczęściej nie spotykają się z sympatią przedsiębiorców. To w końcu właściciele małych i średnich firm najbardziej odczuwają na swojej skórze zmiany w prawie, które wymuszają wprowadzenie nowych procedur czy dokumentów.
W przypadku przepisów ochrony danych osobowych taka zmiana jest jednak konieczna. Poprzednia ustawa o ochronie danych osobowych została ogłoszona w roku 1997, a dyrektywa na podstawie której powstała – w roku 1995. Mimo wprowadzanych do niej zmian nie da się ukryć, że podstawowe postanowienia dotyczące ochrony danych z roku 1997 nijak mają się do obecnej sytuacji gospodarczej, stosowanej technologii, czy chociażby metod komunikacji. W świecie cyfrowym główną wartość stanowią dane, w szczególności – te dotyczące osób. Niezbędna jest więc nowelizacja przepisów, która wymusi konieczność należytego zabezpieczenia danych.
Poniżej opisujemy najważniejsze założenia RODO. Samo rozporządzenie wielokrotnie kładzie nacisk na edukację i ciągłe podnoszenie kwalifikacji w kwestii zabezpieczenia danych, dlatego ważne jest, aby nie traktować otrzymanych dokumentów jako niezmienne. Ochrona danych jest procesem ciągłym, a dokumenty ją opisujące powinny być na bieżąco aktualizowane, tak aby jak najlepiej odpowiadały rzeczywistości.
Warto również zaglądać na stronę Urzędu Ochrony Danych Osobowych (poprzednio: GIODO) (www.uodo.gov.pl), gdzie regularnie publikowane są poradniki i objaśnienia dotyczące dość skomplikowanych przepisów ochrony danych. Oczywiście jeśli pojawiłaby się nowe wytyczne wymagające wprowadzenia zmian w otrzymanej dokumentacji będziemy o tym informować.
Zapraszamy do lektury,
Prokonsumencki.pl & OsoboweDane.pl
Główne założenia RODO
1. Ujednolicenie przepisów ochrony danych osobowych w Unii Europejskiej
Ze względu na transgraniczny charakter wielu czynności, w ramach których przetwarzamy dane osobowe (np. korzystając z usług firm z innych krajów wspólnoty) konieczne stało się ujednolicenie przepisów ochrony danych tak, aby osoba dokonująca np. zakupu w sklepie internetowym z innego kraju była pewna, że przysługują jej takie same prawa, jak w jej ojczyźnie. Różnice w przepisach mogą się co prawda pojawić (RODO dopuszcza możliwość uszczegółowienia niektórych przepisów przez ustawy krajowe), jednak samo ich sedno pozostaje wszędzie takie samo i obowiązuje na terenie całej Unii Europejskiej (EOG).
2. Podejście oparte na ryzyku
RODO wymaga tego, aby Administrator Danych samodzielnie zastanowił się, jakie zagrożenia występują w jego konkretnej sytuacji i jak powinien się przed nimi chronić. Służy temu analiza ryzyka, która stanowi jeden dokumentów, jakie zostaną dla Państwa przygotowane.
3. Zasada rozliczalności
Rozliczalność jest jedną z zasad przetwarzania danych osobowych, która wymusza możliwość potwierdzenia, że dane zabezpieczenie / działania faktycznie zostało zastosowane lub miało miejsce. Mówiąc inaczej – musimy być w stanie „rozliczyć” się przed urzędem z zadań, jakie nałożyło na nas RODO. Zachowanie zasady rozliczalności jest jednym z powodów posiadania dokumentacji opisującej sposoby przetwarzania danych osobowych., ale powinno dotyczyć również np. możliwości wykazania, że osoba która przekazała nam swoje dane została poinformowana o przysługujących jej prawach.
4. Zasady przetwarzania danych osobowych
Aby przetwarzać dane osobowe zgodnie z RODO należy stosować się do następujących zasad:
 Przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.
Oznacza to, że zawsze musimy mieć cel przetwarzania danych oparty o przesłankę legalizującą – np. realizację umowy w sklepie internetowym, zgodę osoby, której dane dotyczą czy inny prawnie usprawiedliwiony cel Administratora (np. prowadzenie księgowości czy marketing usług własnych). Przejrzystość wobec osoby, której dane dotyczą oznacza z kolei, że każda osoba fizyczna ma prawo o informacji czy jej dane są przetwarzane, a jeśli tak – czy są one odpowiednio zabezpieczone, w jakim celu są przetwarzane czy komu dane są udostępniane.
Co ważne – informowanie o powyższych kwestia należy do obowiązków Administratora Danych Osobowych. Jeśli więc nasz klient prześle wniosek o takie informacje – mamy obowiązek mu ich udzielić.
 Zbierać dane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie
przetwarzać ich dalej w sposób niezgodny z tymi celami.
Zbierając dane osobowe w celu realizacji zamówienia nie możemy wykorzystać ich bez zgody osoby, której dotyczą np. do wysyłki newslettera. Należy pamiętać o tej zasadzie również przy budowaniu np. listy potencjalnych klientów czy kontaktów – zawsze musimy posługiwać się kryterium określonego celu.
 Minimalizacja danych
Jest to niezmiernie ważna zasada RODO – zbieramy tylko i wyłącznie te dane, które są nam niezbędne do osiągnięcia założonego celu. Często spotykamy się z pokusą, aby zebrać dane „na zapas”. Przykładowo właściciel wypożyczalni samochodów wymaga ksera dowodu osobistego. Jego celem jest realizacja umowy na wypożyczenie pojazdu i zabezpieczenie interesów np. w przypadku kradzieży auta. Są to uzasadnione cele i może zbierać dane osobowe dla ich wykonania, jednak wszystkie informacje zawarte w dowodzie osobistym nie będą mu potrzebne (jak np. seria i numer dowodu), nie powinien więc zapisywać wszystkich tych danych, a tym bardziej kopiować całego dokumentu.
 Prawidłowość przetwarzanych danych osobowych
Zadaniem ADO (czyli Administratora Danych Osobowych) jest podejmowanie wszelkich rozsądnych działań aby dane osobowe, które przetwarza były prawidłowe. Jeśli więc otrzyma informację, że np. adres zamieszkania czy dostawy uległ zmianie, należy dane zaktualizować.
 Przetwarzać dane osobowe tylko przez okres niezbędny do osiągnięcia celu
(ograniczenie przechowywania).
Każda kopia danych, czy osobna baza to potencjalne źródło wycieku danych osobowych. Dlatego nie powinniśmy przechowywać danych dłużej, niż jest to konieczne do osiągnięcia przewidzianego celu. Nie oznacza to, że np. po realizacji zamówienia w sklepie internetowym powinniśmy bezwzględnie usunąć wszelkie dane. W końcu ADO może być zmuszony do ich przechowywania na podstawie odrębnych przepisów (np. w celu realizacji rękojmi za towar – przez 2 lata, lub w celach podatkowych). W takiej sytuacji musimy jednak brać pod uwagę, że każda z takich czynności (odpowiedzialność za rękojmię czy prowadzenie księgowości) stanowi odrębny cel przetwarzania i należy stosować w związku z tym wszystkie opisane zasady.
 Odpowiednio zabezpieczyć dane osobowe, tak by uniemożliwić ich utratę, zniszczenie, nieuprawnioną zmianę czy uzyskanie dostępu do danych przez osobę nieuprawnioną.
RODO kładzie nacisk na to, aby ADO sam zdecydował jakie zabezpieczenia należy zastosować. To w końcu Administrator danych wie najlepiej, jaka jest charakterystyka jego biznesu i co może danym zagrażać. Co ważne, chronimy dane nie tylko przed ich wyciekiem, utratą czy nieuprawnionym dostępem, ale również przed ich nieuprawnioną modyfikacją.
5. Prawa osób, których dane dotyczą.
Każda osoba, której dane osobowe przetwarzamy ma prawo do:
 Uzyskania potwierdzenia czy przetwarzane są jej dane osobowe;
 Poznania celu przetwarzania tych danych;
 Informacji, jakie dane osobowe jej dotyczące są przetwarzane;
 Komu dane zostają ujawnione (np. firmom kurierskim, firmom księgowym);
 Jeśli możliwe jest określenie – jak długo dane będą przechowywane;
 Informacji, że przysługuje jej prawo do sprostowania, usunięcia lub ograniczenia przetwarzania oraz wniesienia sprzeciwu wobec przetwarzania, jak również tego, że może złożyć skargę przed Urzędem Ochrony Danych Osobowych;
 Jeśli dane nie pochodzą od osoby, której dotyczą (dobrym przykładem jest tutaj
np. poczta kwiatowa, czyli dostarczenie kwiatów wskazanej osobie na prośbę
innej), skąd dane zostały pozyskane.
 Czy dane osobowe są przekazywane poza Unię Europejską (np. do USA).
 Każda osoba ma również prawo uzyskać kopię swoich danych osobowych – jeśli są one przetwarzane w formie papierowej ADO może pobrać za to opłatę (w rozsądnej wysokości, odpowiadającej kosztom administracyjnym – np. wydruku i przesyłki pocztowej). Z kolei jeśli taką prośbę otrzymamy w formie cyfrowej (np. poprzez e-mail) możemy odpowiedzieć w taki sam sposób.
Oprócz powyższych, RODO wprowadza również prawa osób do:
 Sprostowania danych (jak również do ich uzupełnienia) czyli mówiąc najprościej – do poprawienia danych jej dotyczących, jeśli są błędne.
 Usunięcia danych (prawo do zapomnienia). Jest to prawo, które pozwala osobie zażądać usunięcia jej danych, o ile:
- ADO nie ma już celu w ich przetwarzaniu (warto zaznaczyć, że w takiej sytuacji i tak powinien dane usunąć),
- cofnęła ona zgodę na przetwarzane jej danych (o ile oczywiście taka zgoda była wydana),
- na konieczność usunięcia danych wskazują przepisy prawa.
Warto pamiętać o tym, że nie możemy usunąć danych, do których przetwarzania obliguje nas prawo (np. wspomniane wcześniej kwestie podatkowe, czy np. dane pracownicze).
 Ograniczenia przetwarzania.
Prawo to pozwala osobie, której dane dotyczą ograniczyć działania, jakie prowadzimy na danych, jeśli uzna ona np. że dane są niepoprawne (np. przy wysyłce prenumeraty czasopisma na nieaktualny adres). Co ważne, jeśli przetwarzalibyśmy dane osobowe nielegalnie, taka osoba może wnieść o ograniczenie ich przetwarzania – nie możemy wtedy usunąć takich danych, ze względu na roszczenia, jakie może mieć taka osoba (usuwając dane zniszczylibyśmy dowód na to, że przetwarzaliśmy je nielegalnie).
 Powiadomienia o sprostowaniu, usunięciu czy ograniczenia przetwarzania. Jeśli zaistniała sytuacja, że osoba której dane dotyczą wniosła np. o usuniecie jej danych – ADO ma obowiązek poinformować ją o tym, kiedy tak się stanie (podobnie przy sprostowaniu czy ograniczeniu przetwarzania).
 Przenoszenia danych – jest to prawo, które raczej nie będzie stosowane w przypadku sklepów internetowych i dotyczy np. przeniesienia danych z jednego medium społecznościowego do innego. Takie przenoszenie może odbyć się tylko wtedy, jeśli jest to możliwe technicznie.
 Niepodleganiu decyzji w oparciu o zautomatyzowane procesy
RODO jasno określa, że nie można profilować osoby bez jej zgody i wiedzy. Chodzi tutaj o decyzje, które podejmują komputery (np. ocena zdolności kredytowej), a które mają bezpośredni skutek prawny lub finansowy.
6. Informowanie o incydentach i naruszeniach
RODO zobowiązuje Administratora Danych Osobowych do prowadzenia rejestru incydentów naruszenia ochrony danych osobowych. Incydent to każde zdarzenie, które może prowadzić do naruszenia danych osobowych (np. pozostawienie danych osobowych bez nadzoru - lista klientów w formie papierowej leżąca na ladzie sklepowej). Incydent sam w sobie nie jest jeszcze naruszeniem – tym byłoby np. zabranie wspomnianej listy przez osobę nieuprawnioną, jednak musimy analizować incydenty, aby im zapobiegać i uchronić się przed naruszeniami.
Co ważne – jeśli dojdzie już do naruszenia ochrony danych osobowych, które mogłoby spowodować zagrożenie dla praw i wolności osób, których dane dotyczą (np. upublicznienie jej danych) należy poinformować o takim naruszeniu osobę, której dane dotyczą oraz w ciągu 72 godzin (realizacja tego terminu została określona jako „w miarę możliwości”) Urząd Ochrony Danych Osobowych (procedura zgłaszania naruszeń zostanie zawarta w tworzonej dokumentacji).
W takim zgłoszeniu należy opisać charakter naruszenia, przybliżoną liczbę osób (tylko w przypadku zgłoszenia do urzędu), którego dotyczy, możliwe konsekwencje i środki podjęte w celu zaradzenia lub zminimalizowania skutków naruszenia.
Nie musimy jednak informować o naruszeniu wtedy, gdy nie powoduje ono negatywnych skutków dla praw i wolności osób, których dane dotyczą (np. zgubienie zaszyfrowanego laptopa).
7. Prowadzenie rejestru czynności przetwarzania danych osobowych
Aby zapewnić pełną kontrolę nad przetwarzanymi danymi osobowymi oraz czynnościami, jakie są na nich wykonywane, RODO nakłada na Administratora danych osobowych obowiązek prowadzenia rejestru czynności przetwarzania. Mimo że przepisy dopuszczają kilka wyjątków zwalniających z tego nakazu (między innymi dla firm zatrudniających mniej niż 250 pracowników), w przypadku przetwarzania danych w sklepie internetowym praktycznie zawsze taki rejestr należy prowadzić (ze względu na możliwości naruszenia praw lub wolności osób, których dane dotyczą oraz niesporadyczny charakter przetwarzania danych). Rejestr prowadzony może być w dowolnym formacie, ważne jednak, aby możliwe było jego uaktualnianie. Z tego powody przygotowaliśmy taki rejestr w formie tabeli excel.
8. Konieczność uzupełnienia informacji w przypadku przetwarzania danych w oparciu o zgodę
Jeśli dana osoba wyraziła zgodę na przetwarzanie danych osobowych – np. w celu otrzymywania newslettera sama zgoda pozostaje wiążąca. Zgodnie z opinią UODO należy jednak poinformować taką osobę o dodatkowych kwestiach, jakich wymaga RODO (wzór obowiązku informacyjnego stanowi załącznik nr 5 Polityki bezpieczeństwa)
Przejdź do strony głównej
Korzystanie z tej witryny oznacza wyrażenie zgody na wykorzystanie plików cookies. Więcej informacji możesz znaleźć w naszej Polityce Cookies.
Nie pokazuj więcej tego komunikatu