Już 25 maja 2018 roku zacznie obowiązywać RODO i wszystkie sklepy internetowe oraz strony WWW powinny być na to przygotowane.
Przepisy związane z RODO są na tyle nowe, że trudno tutaj pisać o jednoznacznej wypracowanej praktyce. Cały czas czekamy na kolejne decyzje i wytyczne organu nadzorczego. Termin się zbliża i trzeba wdrożyć odpowiednie zmiany we własnej firmie, ponieważ przepisy RODO nie dotyczą tylko sklepów internetowych, lecz dotyczą przetwarzania wszystkich danych osobowych w firmie.
Prowadząc sklep internetowy na oprogramowaniu sStore i platformie do prowadzenia sklepów sklepywww.pl oraz e-sklepy.pl, sugerujemy abyś wykonał kilka następujących czynności.
1. Sprawdź czy oprogramowanie sklepu jest zaktualizowane do najnowszej 4.6.1 (na dniach ukaże się również wersja 4.6.2).
2. Upewnij się, że podpisałeś z sStore umowę na powierzenie danych osobowych – dotyczy to usług sklepów internetowych, stron WWW i hostingów. Jeżeli nie podpisałeś jeszcze takiej umowy, a masz ww. usługi w naszej firmie, pobierz umowę powierzenia danych z panelu klienta i ją podpisz. Kopię podpisanej umowy wyślij e-mailem na info@sstore.pl lub poprzez formularz.
3. Zobacz czy na stronie swojego sklepu internetowego regulamin i polityka prywatności są zgodne z RODO. Część wymagań związanych z RODO pokrywa się z obowiązującymi przepisami, jednak niektóre z nich zostały rozbudowane tak aby osoba, której dane dotyczą, miała wiedzę o tym komu powierza swoje dane oraz co się z nimi później dzieje. Nowa polityka prywatności jest bardzo ważnym dokumentem w e-sklepie. RODO ustala także zasady przetwarzania danych osobowych, którymi musisz kierować się przy ich przetwarzaniu. Najważniejszy w tym zakresie jest art. 13 Rozporządzenia RODO, zgodnie z którym administrator danych podczas pozyskiwania danych osobowych obowiązany jest podać następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
g) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
h) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
i) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
j) informacje o prawie wniesienia skargi do organu nadzorczego;
k) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
l) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Administrator zobowiązany jest także do poinformowania, czy podanie danych a tym samym ich przetwarzanie jest dobrowolne, czy obowiązkowe – w tej sytuacji należy wskazać skąd wynika taki obowiązek, bo może wynikać np. z umowy lub z ustawy.
4. Sprawdź i dostosuj checkboxy umieszczone na stronie e-sklepu – przy rejestracji konta – tak aby były one zgodne z RODO. Żadne checkboxy nie mogą być domyślnie zaznaczone!
Jeżeli chcesz aby klient Twojego sklepu internetowego akceptował jakieś dodatkowe zgody (do zaznaczenia z checkboxami), to musisz wiedzieć, że jest możliwość dodania dodatkowych zgód i ustalenia czy mają to być zgody wymagane lub nie. Informacje te będą pokazywały się przy rejestracji konta w e-sklepie. Możesz je dodać lub edytować w panelu sklepu w menu Konfiguracja > Klienci > Dodatkowe pola formularzy.
Obecnie zgodę na przetwarzanie danych osobowych możesz wyłączyć (w Konfiguracja > Klienci > Dodatkowe pola formularzy edytuj “Zgodę na przetwarzanie danych” i wyłącz aktywność) a w formularzu Regulamin sklepu możesz zmienić informację na taką “Oświadczam, że znam i akceptuję postanowienia Regulaminu sklepu.“, oczywiście linku do strony z regulaminem nie usuwaj!
5. Zapis do newslettera a wymagane zgody
Po 25 maja treść zgody na przetwarzanie danych powinna być napisana prostym i zrozumiałym językiem, a jej akceptacja wyrażona w sposób oczywisty. Właściciele sklepów internetowych często umieszczają checkboxy ze zgodą na wysyłanie newslettera obok danych potrzebnych do realizacji zamówienia. Oczywiście jest to zgodne z prawem, jeżeli jej zaznaczenie nie jest obowiązkowe, by kupić coś w sklepie. Po wejściu w życiu RODO nie będzie można już zgody na zapis do newslettera umieszczać w regulaminach.
Po zaktualizowaniu sklepu do wersji 4.6.2 w miejscu Newsletter pojawi się informacja “Chcę otrzymywać informacje handlowe ze sklepu. Wyrażam zgodę na otrzymywanie na podany przeze mnie adres e-mail informacji handlowych pochodzących ze sklepu. “
Jeżeli chciałbyś zmienić te informację na inne lub dodać je już teraz, możesz to zrobić w Konfiguracja > Ustawienia regionalne > Języki. W prawym, górnym rogu znajduje się przycisk “Edytuj tłumaczenia“, kliknij go, a potem w wyszukiwarkę wpisz początek tekstu, którego szukasz. Następnie możesz go edytować i zmienić.
Umiejscowienie zgody w formularzu zapisu na stronie sklepu internetowego, powodowałoby rozproszenie uwagi użytkowników, a także nadmiar informacji w obrębie małej przestrzeni strony, co mogłoby skutecznie zniechęcać użytkowników do zapisywania się na newsletter. Informacje te można zamieścić w wiadomości potwierdzającej zapis do newslettera, a kliknięcie w link potwierdzający oznaczałoby zaakceptowanie tych informacji.
Tak więc proponujemy umieszczenie w mailu wysyłanym ze sklepu, w celu potwierdzenia zapisania się do newslettera, poniżej informacji:
“Kliknięcie w link aktywacyjny jest równoznaczne z wyrażeniem zgody na przetwarzanie danych w celach otrzymywania informacji handlowych.”
W sklepach internetowych na oprogramowaniu sStore można to zrobić wybierając z menu Wygląd i treść > Szablony e-mail > w pozycji “Newsletter – zapisanie się do newslettera”
6. Upewnij się czy w Twoim e-sklepie jest zainstalowany certyfikat SSL, który jest zalecany aby zapewnić większe bezpieczeństwo danych sklepu.
Zgodnie z “Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)”, którego pełny tekst można znaleźć na stronie https://giodo.gov.pl/pl/569/9276, (83) znajduje się informacja:
“W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. “
W sklepach internetowych i stronach WWW szyfrowanie danych jest możliwe poprzez zainstalowanie na serwerze certyfikatu SSL, dla wskazanej domeny. Bez certyfikatu SSL przeglądarki internetowe informowały by, że certyfikat nie jest zaufany i przestrzegałyby przed wchodzeniem na taką stronę. Więcej o tym możesz przeczytać na stronie.
Jeżeli nie masz jeszcze certyfikatu SSL możesz go zamówić.
7. W przypadku profilowania zautomatyzowanego czyli np. zbierania danych o wieku, płci, dacie urodzenia, użytkowników musisz zadbać aby klienci wyrazili na to zgodę, czyli musisz dodać taką zgodę również w e-sklepie, przy rejestracji konta (w Konfiguracja > Klienci > Dodatkowe pola formularzy).
8. Następnym krokiem jaki musisz wykonać to prowadzenie rejestru czynności przetwarzania danych osobowych.
Rejestr czynności przetwarzania danych osobowych powinien obejmować opis poszczególnych zespołów, operacji związanych zbiorczo z realizacją określonego celu przetwarzania. Należy prowadzić dokumentację w formie pisemnej lub elektronicznej, w której będą znajdować się informacje, o rodzaju danych i celu ich przetwarzania. Jak prowadzić taki rejestr opisuje dokładnie GIODO na swojej stronie.
RODO zmienia przepisy dotyczące przetwarzania danych osobowych nie tylko w sklepie internetowym, lecz także w Twojej firmie. Upewnij się również czy osoby zatrudnione w e-sklepie mają upoważnienia do przetwarzania danych osobowych.
Specjalnie dla naszych klientów przygotowaliśmy i udostępniliśmy najnowsze wzory dokumentów zgodne z wymogami RODO, i to całkowicie za darmo!
Obserwuj nas i bądź na bieżąco z nowościami:
Jak zainstalować nowoczesny szablon responsywny w e-sklepie? Np. taki jak w sklepie demo
Szukasz pomysłu na e-biznes? Zmień swój e-sklep, w internetowy pasaż handlowy i zarabiaj więcej!
Jak przełączyć integrację z Allegro na nowe webApi, po 25 września 2017
Promuj swój e-sklep w skutecznej i niedrogiej porównywarce cen e-Ceny.pl
Masz pytania, opinie lub sugestie, chcesz udoskonalić oprogramowanie e-sklepu, napisz do nas »