O RODO słyszeliśmy wszyscy. Czy tego chcieliśmy, czy nie, nasze skrzynki zostały zasypane informacjami i prośbami różnych firm o wyrażenie zgody na przetwarzanie danych osobowych. Odnoszę jednak niepokojące wrażenie, że informacje na temat nowych przepisów docierały do nas na zasadzie głuchego telefonu. Coś wprawdzie obiło się nam o uszy, ale niektórzy nadal nie mają pewności, czy na pewno przetwarzają dane, kiedy muszą uzyskać na to zgodę i jak powinni właściwie je zabezpieczać.
Z tego artykułu dowiesz się:
- jakie obowiązki na administratorów danych nakłada RODO,
- czym RODO różni się od przepisów obowiązujących w Polsce dotychczas,
- w jakich sytuacjach można przetwarzać dane bez zgody klienta, a kiedy należy ją uzyskać,
- o czym administrator danych musi powiadomić klienta.
Jak zabezpieczyć dane klientów e-sklepu? Natłok artykułów o RODO wątpliwej jakości i ogromna liczba samozwańczych specjalistów (którzy – jak serialowy tata Marcina – znają odpowiedzi na wszystkie pytania) nie pomagają w znalezieniu odpowiedzi, raczej przyprawiają o zawrót głowy. Strach ma wielkie oczy, a firmy straszy się milionowymi karami za naruszenie prawa do prywatności.
Wielkie kwoty, których większość e-sklepów nigdy nie widziała, muszą pobudzać wyobraźnię i mobilizować do poznania tematu. W ten sposób temat RODO staje się samonapędzającym się mechanizmem, który z jednej strony zastrasza prowadzących e-sklepy, a z drugiej – nie daje im jasnych i konkretnych odpowiedzi. Tylko czy jasne i konkretne odpowiedzi są na pewno tym, czego pragnie rynek?
Słuchaj „Marketer+” Podcast
Jeszcze dwa lata temu prawie nikt nie zawracał sobie głowy ochroną danych osobowych, choć dzisiejsze zasady ich przetwarzania nie różnią się w gruncie rzeczy niczym od tych obowiązujących u nas od przeszło 20 lat. Teraz połowa kancelarii prawnych „specjalizuje się” w tym obszarze i nikt już chyba nie ma wątpliwości, że wzięło się to z ogromnego popytu na usługi prawne dotyczące RODO.
Kłopot w tym, że strach nie jest dobrym doradcą, a wielu za święty spokój zapłaciło pewnie słono. Czy było to niezbędne? Tego nie wiem. Warto jednak – przy okazji zastanawiania się nad sposobem zabezpieczania danych klientów e-commerce – przyjrzeć się tematowi z perspektywy własnego biznesu. Bo rozwiązania proponowane na prawo i lewo to często przerost formy nad treścią.
RODO – czy na pewno rewolucja?
RODO jest rozporządzeniem unijnym, mającym na celu ujednolicenie regulacji prawnych dotyczących ochrony danych osobowych na terenie całej Unii Europejskiej. Jako rozporządzenie, czyli akt stosowany bezpośrednio w każdym państwie Unii, zastąpiło już przeszło 20-letnią dyrektywę, tzn. akt, który musiał zostać wdrożony do porządku prawnego każdego z państw za pomocą ustaw krajowych.
Tak zresztą stało się również w Polsce. Pewnie niektórzy pamiętają jeszcze budki telefoniczne, w których można było znaleźć książkę telefoniczną całego województwa, nierzadko z adresami abonentów. Kres tym czasom położyła Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Wbrew powszechnej opinii zasady, które wprowadza RODO, wcale nie są rewolucyjne. Unia nie wymyśla koła na nowo, nadaje jedynie wyższą rangę dotychczasowym przepisom. Zmiany dotyczą w gruncie rzeczy dodatkowych obowiązków administratorów i obejmują środki wymuszające stosowanie odpowiednich zabezpieczeń.
Byliśmy tego świadkami, kiedy 25 maja nasze skrzynki e-mailowe zalała fala wiadomości od różnych podmiotów. Pieniężne sankcje administracyjne przewidziane w RODO są wtórne. Wcale nie chodzi o to, żeby dotkliwie karać, ale o to, by zapewnić osobom fizycznym ochronę ich prawa do prywatności.
Jeżeli zatem poważnie potraktuje się wymóg zapewnienia bezpieczeństwa danych, zmieniona rzeczywistość prawna nie będzie enigmatyczna. W końcu nie taki diabeł straszny, jak go malują. Wystarczy w sposób świadomy zacząć zarządzać ryzykiem związanym z wykorzystywaniem danych osób fizycznych. I to cały problem RODO.
Tabela
Porównanie zapisów RODO z zapisami Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Zgody, zgody, wszędzie te zgody
Zgoda osoby na przetwarzanie jej danych osobowych jest jedną z przesłanek legalizujących przetwarzanie, to znaczy jedną z okoliczności, które powodują, że dane osobowe mogą być wykorzystywane. Ale nie jest to jedyna okoliczność i wcale nie najczęściej spotykana.
Pamiętaj
Dane osobowe można przetwarzać także wtedy, kiedy jest to niezbędne do wykonania umowy łączącej daną osobę z administratorem. I to właśnie zawarta umowa kupna, a nie zgoda osoby, jest podstawą przetwarzania danych w sklepie internetowym. Dlatego co do zasady, gdy prowadzisz e-sklep, nie musisz uzyskiwać od klientów zgód na przetwarzanie ich danych.
A co z marketingiem bezpośrednim? Diabeł tkwi w szczegółach. Wykorzystywanie danych w celach marketingowych jest na gruncie RODO uznawane za prawnie uzasadniony interes administratora.
Dopuszczalność przetwarzania danych na gruncie RODO nie oznacza jednak, że właścicieli e-sklepów nie dotyczą inne ograniczenia przewidziane w polskim prawie. RODO nie wyłącza zastosowania ani przepisów prawa telekomunikacyjnego, ani ustawy o świadczeniu usług drogą elektroniczną.
Choć RODO nie wymaga zgody na marketing bezpośredni (motyw 47), to już art. 172 ust. 1 prawa telekomunikacyjnego wymaga zgody na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących do celów marketingu bezpośredniego.
Tak samo ustawa o świadczeniu usług drogą elektroniczną w art. 10 ust. 1 wymaga uzyskania zgody na przesyłanie niezamówionej informacji handlowej (czyli propozycji tego, że możemy coś konkretnej osobie sprzedać), skierowanej do oznaczonego odbiorcy będącego osobą fizyczną, za pomocą środków komunikacji elektronicznej, przede wszystkim poczty elektronicznej.
Można zatem wysyłać informacje marketingowe i oferty handlowe pocztą tradycyjną, ale wysyłka e-mailowa będzie wymagała uprzedniej zgody (na marketing i otrzymywanie ofert handlowych).
Prawo do prywatności, jak każde prawo, nie jest prawem absolutnym. Trzeba jednak pamiętać o tym, aby umożliwić klientom swobodne zrezygnowanie z e-mailingu. Dzisiejsze narzędzia służące do rozsyłania treści marketingowych (np. FreshMail lub GetResponse) mają takie funkcje. Jeśli korzystasz z nich rozważnie, możesz spać spokojnie.
O czym należy informować osoby, których dane dotyczą
Zabezpieczenie danych to jedno. Zapewnienie transparentności wykorzystywania danych to drugie. Ponieważ wiedza o tym, że ktoś może wykorzystywać nasze dane, jest pierwszym krokiem do zagwarantowania nam poufności, RODO w sposób szczegółowy reguluje to, jakie informacje administrator danych ma obowiązek przekazać osobie, której dane przetwarza.
Każdy administrator musi umożliwić użytkownikom zapoznanie się z powyższymi informacjami. Dobrą praktyką jest ich publikowanie na stronie e-sklepu lub umieszczanie linka do nich pod formularzem, w którym klienci wpisują swoje dane na potrzeby realizacji zamówienia. Informacje te można również zawrzeć w samym regulaminie czy w polityce prywatności na stronie sklepu. Byle tylko każdy zainteresowany miał możliwość łatwego dotarcia do nich.
Czy e-sklepy zawsze przetwarzają dane?
Część sklepów internetowych oferuje swoim klientom zakupy bez konieczności podawania danych. Usługa click & collect polega na złożeniu zamówienia przez internet i odbiorze towaru w sklepie. Tak działają np. niektóre księgarnie.
Pamiętaj
Podanie samego adresu e-mail czy numeru telefonu nie zawsze będzie oznaczało przetwarzanie danych osobowych, bo informacje te mogą być dla właściciela sklepu zupełnie anonimowe (tak jak np. adres e-mail: kwiatuszek1234@gmail.com).
A to oznacza, że RODO w ogóle mogłoby nie mieć tu zastosowania, bo ono dotyczy tylko danych osób identyfikowalnych dla administratora. Informacje anonimowe nie podlegają ochronie.
Jeśli jednak nie chcesz się za każdym razem zastanawiać, czy konkretny adres e-mail stanowi dane osobowe, czy nie (a tutaj zdania są podzielone), bezpieczniej będzie przyjąć, że zawsze masz do czynienia z danymi, i zabezpieczać je, a także przekazywać klientowi informację dotyczącą przetwarzania, wymaganą na gruncie RODO. Przekazanie informacji nic nie kosztuje, a buduje wiarygodność sklepu i poczucie bezpieczeństwa klientów.
Kto może mieć dostęp do danych?
Na administratorze spoczywa wiele obowiązków, mających na celu zapewnienie bezpieczeństwa danych osobowych. Jednym z nich jest zapewnienie poufności przetwarzania danych. Właściciel e-sklepu jako administrator powinien poczynić starania, aby dostęp do danych miała ograniczona grupa osób.
Każda osoba przetwarzająca dane w imieniu administratora (np. pracownik działu wysyłki) powinna uzyskać imienne upoważnienie. Nie może to być upoważnienie ogólne, ale skonkretyzowane, wskazujące, jakie dane i w jakim celu mają być przetwarzane (np. w celu realizacji wysyłki, w celu obsługi reklamacji).
Pamiętaj
Przetwarzanie danych przez osobę, która takiego upoważnienia nie posiada, stanowi naruszenie prawa, za co odpowiedzialność ponosi nie tylko administrator, lecz także osoba przetwarzająca.
Czy wdrożenie polityki bezpieczeństwa wystarczy, by spełnić wymagania RODO?
Ponieważ RODO dotyczy wszystkich właścicieli e-sklepów – bez względu na to, czy przetwarzają oni dane tysięcy klientów, czy wyłącznie kilku – nie narzuca konkretnych rozwiązań ochronnych, tak jak chociażby „stara” ustawa o ochronie danych osobowych.
Pamiętaj
Dzisiaj prawo wymaga, by właściciel e-sklepu samodzielnie ocenił ryzyko związane z przetwarzaniem przez niego danych i zastosował takie rozwiązania techniczne oraz organizacyjne, które będą odpowiadały wykrytemu ryzyku.
Sama dokumentacja (np. wdrożenie polityki bezpieczeństwa lub prywatności) nie spowoduje, że zabezpieczenia będą skuteczne. Ale bez jakiejkolwiek dokumentacji w razie kłopotów administrator będzie miał ograniczone możliwości udowodnienia, że podjął jakiekolwiek działania w celu ochrony poufności danych swoich klientów. A na pewno nie wpłynie to korzystnie na wizerunek firmy.
W związku z gorączką RODO świadomość klientów na temat tego, że „coś się stało” w sferze ochrony danych, jest bardzo wysoka. Nie można dzisiaj pozwolić sobie na to, żeby stracić wiarygodność bezpiecznego partnera przez rezygnację z zastosowania u siebie tych rozwiązań, które wykorzystuje konkurencja.