Kogo dotyczy RODO 2018?
Najprostszą odpowiedzią na to pytanie Kogo dotyczy RODO jest odpowiedź, że dotyczy wszystkich, którzy na terenie Unii Europejskiej przetwarzają dane osobowe. Oczywiście chodzi o podmioty, które robią to w celach inne niż osobiste, czy domowe.
RODO 2018, a sprzedawcy internetowi
Czyli tak, Sprzedawco – RODO dotyczy także Ciebie. Nie ma tutaj znaczenia rozmiar Twojego sklepu ani wielkość bazy danych osobowych, którą posiadasz. Przetwarzasz dane – podlegasz pod RODO.
Oczywiście kłamstwem byłoby stwierdzenie, że RODO dotyczy wszystkich podmiotów tak samo, rzeczą jasną, że nieco inne przygotowania, a potem ewentualne konsekwencje będą wyciągane wobec ogromnej, międzynarodowej korporacji, a inne wobec małego sklepiku online, który zatrudnia dwie osoby.
Niemniej każdy musi być gotowym 25 maja 2018 roku, gdyż właśnie w tym dniu zapisy RODO zaczną obowiązywać na całym terenie Unii Europejskiej.
RODO – najistotniejsze zmiany
Ale które zmiany, które przyniesie RODO są najistotniejsze z perspektywy sprzedawcy internetowego? Na co zwrócić szczególną uwagę?
Po pierwsze – poszerzenie definicji danych osobowych, którą od wejścia w życie RODO każda informacja, dzięki której można będzie ustalić tożsamość danej osoby. Oznacza to, że w poczet tych danych dochodzą takie informacje jak: dane genetyczne, stan zdrowia, lokalizacja, a nawet adresy IP, czy pliki cookies.
Po drugie – likwidacja obowiązku zgłaszania zbioru danych osobowych do GIODO oraz większa swoboda, przy dokonywaniu zabezpieczeń danych osobowych. Aktualnie każdy podmiot przetwarzający dane osobowe, w tym oczywiście także sklepy internetowe były zobowiązane, by zgłaszać do GIODO zbiory danych osobowych. Wiązało się to z formalnościami, które nieraz przysparzały problemy różnym podmiotom.
RODO zmienia to diametralnie, gdyż obowiązek taki likwiduje, a dokumenty takie, jak polityka bezpieczeństwa, czy instrukcja zarządzania systemem informatycznym. W zamian powstanie tzw. rejestr czynności przetwarzania, w których udokumentowane powinny być kwestie środków, które zabezpieczać będą dane osobowe oraz ocena ryzyka, jakiemu podlegają przetwarzane danych. To wszystko będzie w gestii sprzedawcy, który ma tutaj sporą swobodę działania.
Po trzecie – zwiększenie uprawnień osób, których dane przetwarzamy. Pojawienie się nowego rozporządzenia powoduje, że już na wstępie, gdy jako podmiot pozyskujemy dane klienta jesteśmy zobowiązani, by poinformować go nie tylko o celu, dla którego go pozyskujemy, jak było do tej pory, ale także o czasie w jakim dane jego będą przetwarzane, skąd posiadamy jego dane, jeżeli uzyskane one zostały od firm trzecich i komu zamierzamy je w przyszłości przesłać.
Klient oprócz prawa do usunięcia swoich danych z naszej bazy otrzymuje dodatkowe uprawnienia jak: możliwość transferu swoich danych do innej firmy, opcja wglądu w historię przetwarzania swoich danych osobowych oraz „bycia zapomnianym” – czyli całkowitym usunięciu danych, o ile przetwarzanie ich nie jest konieczne ze względów publicznych.
Po czwarte – obowiązek wyznaczenia IODO, czyli Inspektora Ochrony Danych Osobowych. Wraz z wejściem w życie RODO znika ABI, czyli Administrator Bezpieczeństwa Informacji i lukę po nim wypełnia właśnie IODO, którego zadaniami będzie doradztwo administratorowi w kwestiach zarzadzania danymi, jak i ciągły monitoring jego poczynań.
Po piąte – dojdzie do wycieku danych lub innych naruszeń? Musisz o tym poinformować. W takim wypadku zdarzenie takie należy jak najszybciej zgłosić organom nadzorczym oraz administratorowi danych. Ponad to pojawia się obowiązek przekazania takiej informacji klientom, których fakt ten dotyczy.
Po szóste – profilujesz klientów stosując zautomatyzowane przetwarzanie ich danych? Konieczna jest ich zgoda. Ta zmiana wywołuje wiele kontrowersji, zwłaszcza wśród sprzedawców, bo może mieć spory wpływ na spadki konwersji. Od maja, by powstał profil klient bazujący na jego zachowaniu w Sieci, potrzebna jest jego zgoda.
Po siódme – zmiany w zapisach z umów z zewnętrznymi firmami. To także bardzo istotna sprawa z punktu widzenia sprzedawcy internetowego. Większość z nich korzysta z zewnętrznej firmy do spraw księgowości, hostingu, czy systemów do marketingu, czy CRM. Umowy będą musiały zostać zaktualizowane o informacje dotyczące rodzaju danych, czas trwania powierzania, czy jaki jest jego charakter. Dodatkowo potrzebna będzie dokumentacja, która uzasadniać będzie istotę przekazywania danych konkretnej firmie zewnętrznej.
Plusem tego jest fakt, że umowa będzie mogła być sporządzona tylko w wersji elektronicznej.
Po ósme – rejestr czynności przetwarzania. Jak wspomniane było już w punkcie drugim RODO wprowadzi i taką nowość. Rejestr ten jest o tyle istotny, że odciąża sprzedawcę z obowiązku zgłaszania zbioru danych do GIODO. Przede wszystkim powinny być w nim określone: rodzaje działań, jakie podejmowane będą przy przetwarzaniu danych, ryzyka zagrażające bezpieczeństwu tych danych oraz środki, które przeciwdziałać będą zagrożeniom naruszenia bezpieczeństwa danych.
Jak widać trochę zmieni się w kwestii przetwarzania danych osobowych. RODO dotyczy także sprzedawców internetowych przed którymi sporo pracy, jeżeli nie zaczęli się jeszcze przygotowywać do jego nadejścia.
Najważniejsze, by pamiętać o:
– powołaniu Inspektora Ochrony Danych Osobowych;
– zaktualizowaniu umów z firmami zewnętrznymi;
– stworzeniu rejestru czynności przetwarzaniu;
– zaktualizowani formularzy, którymi pozyskuje się dane osobowe klientów, by wymogi informacyjne były spełnione;
– dodatkowych informacjach dla klientów odnośnie usunięcia ich danych, czy przeniesienia ich do innego podmiotu;
– zgodzie, którą klient musi wyrazić, by móc go profilować;
Sprzedawco, RODO wchodzi w życie już 25 maja 2018 roku. Zrób wszystko, by być gotowym na jego przyjście.