RODO – polski skrót od Rozporządzenie Ogólne o Ochronie Praw Osobowych (z angielskiego GDPR – General Data Protection Regulation).
Nadciągające wielkimi krokami unijne rozporządzenie RODO wymusza na przedsiębiorcach z sektora e-commerce gruntowne przemodelowanie swojej polityki prywatności. Już od 25 maja roku 2018 (czyli od dnia w którym obowiązywać zacznie rzeczona dyrektywa) właściciele firm gromadzących dane osobowe klientów pod groźbą dotkliwej kary finansowej obarczeni zostaną nowymi obowiązkami.
Zmiany i regulacje niesione przez RODO oraz zalecany sposób działania
1. GIODO przestaje istnieć
Informacje ogólne
Koniec z przesyłaniem danych do urzędu Generalnego Inspektora Ochrony Danych Osobowych. Wprowadzenie RODO znosi dotychczasowy obowiązek zgłaszania zbioru informacji w GIODO i nakazuje przedsiębiorcom indywidualne prowadzenie tak zwanego rejestru czynności przetwarzania. Z powinności tej zwolnieni będą administratorzy danych zatrudniający mniej niż 250 pracowników, jeśli zbieranie przez nich informacji będzie miało charakter sporadyczny oraz nie będą gromadzić:
- danych wrażliwych (związanych na przykład z wyznaniem czy rasą)
- danych godzących w wolności i prawa zainteresowanych osób
- danych związanych z wyrokami skazującymi i naruszeniami praw
Co zrobić?
Rejestr czynności przetwarzania winien zawierać następujące ustępy:
imię, nazwisko i dane kontaktowe administratora oraz ewentualnych współadministratorów, przedstawiciela administratora i inspektora ochrony danych
cel przetwarzania danych
opis kategorii danych osobowych jak również opis kategorii osób, których te dane przedstawiają (kategorie danych dzieli się na zwykłe i wrażliwe, przykładem kategorii osób mogą zaś być na przykład darczyńcy)
kategorie odbiorców, którym dane są udostępnione jak i tych, którym dane zostaną ujawnione (tyczy się to również odbiorców z krajów spoza Unii Europejskiej oraz z organizacji międzynarodowych)
przekazanie danych osobowych do organizacji międzynarodowej i/lub kraju nie będącego członkiem UE
planowane terminy usunięcia konkretnych danych
sposób zapewnienia odpowiedniego poziomu bezpieczeństwa (zdefiniowany w art. 32 ust. 1 RODO)
Dopuszcza się dwie formy prowadzenia rejestru – wirtualną i na papierze.
2. Zgoda na profilowanie
Informacje ogólne
Profilowanie, czyli powszechna praktyka segregowania kontrahentów według płci, wieku, miejsca zamieszkania i tym podobne; dotychczas odbywało się ono przeważnie bez wiedzy podmiotu tej czynności. Od 25 maja wejdzie natomiast w życie obowiązek informowania klienta o przeprowadzonym profilowaniu – będzie można wyrazić na nie zgodę lub odmówić, w wyniku czego firma nie będzie oczywiście mogła wykonać rzeczonej operacji.
Co zrobić?
Zaleca się zawrzeć wzmiankę o profilowaniu w polityce prywatności firmy. Można również poinformować konsumenta poprzez formularz w formie pop-upu na stronie domowej sklepu lub (po dokonaniu pierwszego zakupu) przez wysłanie do niego maila. Przykładowo w ostatnim przypadku godzi się oznajmić klientowi, że na podstawie danego zakupu spróbuje sie określić jego preferencje i w przyszłości zaproponować produkty, które mogą go zainteresować.
3. Osobne zgody na przetwarzanie danych osobowych
Informacje ogólne
Dotychczas użytkownik podczas korzystania ze sklepu internetowego natrafiał na ujednoliconą (częstokroć też niejasno sformułowaną) prośbę o zgodę na przetwarzanie danych osobowych. Jednorazowe zaakceptowanie tej prośby skutkowało więc nie tylko zezwoleniem na magazynowanie swoich danych w celach fakturowania, ale również na przykład na ich udostępnianie osobom trzecim, co mogło pociągnąć za sobą znaczny wzrost niechcianego spamu na poczcie. RODO wprowadza podział w tej materii – osobne zgody na przetwarzanie danych osobowych jako narzędzie do realizacji zamówienia, osobne zgody na gromadzenie danych w celach marketingowych.
Co zrobić?
Należy stworzyć dwa odpowiednie formularze, przy czym ważnym jest, by komponujący je położyli nacisk na przejrzystość i jasność treści – winny być one napisane językiem prostym, zwięzłym i zrozumiałym. Akceptowanie zgód musi być dobrowolne, co wyklucza stosowanie automatycznego odznaczenia checkboxów.
4. Prawa klientów i zmiany w regulaminach
Informacje ogólne
Wprowadzone zostanie tak zwane prawo do bycia zapomnianym, dzięki czemu dane osób, które domagać się będą ich usunięcia, muszą zostać bezzwłocznie wykasowane z bazy administratora sklepu. Dodatkowo klienci udostępniający swoje dane będą mieli możliwość wniesienia sprzeciwu wobec ich przetwarzania w celach marketingu bezpośredniego (uderzy to głównie w firmy działające w oparciu o analizę zebranych informacji) a także możność zażyczenia sobie, by te dane przeniesiono do innej firmy.
Co zrobić?
Jednym z nadrzędnych celów dyrektywy RODO jest uświadomienie klientów o sposobie i celach gromadzenia ich danych. Koniecznym jest więc umieszczenie stosownych informacji w polityce prywatności firmy. Regulaminy należy także uzupełnić o zapis mówiący o możliwości zgłoszenia wszelakich skarg do odpowiednich organów, a także odpowiednio zaktualizować w oparciu o wyszczególnione wyżej prawa klienta.
5. Bezpieczeństwo
Informacje ogólne
Wprowadzenie RODO przyniesie również istotne zmiany w kwestiach bezpieczeństwa oraz nowe obowiązki dla administratora danych.
Co zrobić?
W sytuacji wycieku danych należy natychmiastowo powiadomić konkretne osoby o przypadku naruszeniu ich prywatności. Prócz tego każda wykryta nieprawidłowość, która może być zalążkiem naruszenia praw osób objętych ochroną danych musi zostać zgłoszona do odpowiedniego organu nadzoru w przeciągu 72 godzin. Na barkach osób przetwarzających dane spocznie też ocena ryzyka ich wycieku oraz określenie działań mających temu zapobiec.
Śpiesz się, przedsiębiorco
Zostało już mało czasu do restrukturyzacji swoich regulaminów i zaadaptowania się do zmian wynikających z RODO. W wypadku niezastosowania się przedsiębiorcom grożą restrykcyjne kary finansowe sięgające nawet 20 milionów Euro. Wypada takoż bez zwłoki rozpocząć uświadamianie i szkolenie pracowników oraz skonfrontować obecną politykę prywatności firmy z nowymi wymogami.