Niezależnie czy zaczynasz dopiero sprzedaż w internecie, czy też już ją jakiś czas prowadzisz, warto upewnić się czy dobrze rozumiesz na czym polega całe to osławione RODO.

Aby Ci to ułatwić postanowiłem w pełni udostępnić moją interpretację przepisów RODO, które weszły w życie w maju 2018 roku. Interpretacja ta, dostosowana specjalnie do potrzeb internetowych sprzedawców, w pierwszej wersji była przygotowywana na początku wejścia przepisów w życie. Czas pokazał, że nieustannie jest ona aktualna. Nawet jeżeli zmieni się technologia, to wystarczy tylko tę nową technologię zastosować do zaprezentowanej interpretacji. Zapraszam do obejrzenia i wysłuchania nagrania oraz zapoznania się z pełną treścią.

Poniżej cały dokument, który omawiam na filmie.

Uwaga! Zastrzegam, że nie jest prawnikiem i nie biorę na siebie odpowiedzialności podanych informacji jako zgodnych ze stanem prawnym. Jest to tylko moja własna interpretacja, którą dobrze jest zweryfikować ze swoim prawnikiem.

Interpretacja przepisów Rozporządzenia o Ochronie
Danych Osobowych (RODO)
dla Sprzedawców Internetowych

Zbieranie danych osobowych

Co to są dane osobowe?

Danymi osobowymi są wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Kto to jest administrator danych osobowych?

Każdy podmiot, który przetwarza dane osobowe i który decyduje o celach i sposobach przetwarzania. Przykłady: jednoosobowy przedsiębiorca, spółka z o.o., właściciel strony internetowej.

Administrator danych osobowych odpowiada za posiadanie i zabezpieczanie danych osobowych.

Co to znaczy „przetwarzać” dane osobowe?

Do przetwarzania danych zalicza się ich:

  • zbieranie,
  • przechowywanie,
  • usuwanie,
  • opracowywanie,
  • udostępnianie.

Na jakiej zasadzie można przekazywać innym dostęp do danych osobowych?

Dostęp do danych osobowych można powierzyć każdemu podmiotowi z którym podpisze się umowę na powierzenie przetwarzania danych osobowych lub jej kwestie zawierają się w innej umowie z tym podmiotem. Powierzenie oznacza każdą z osobna z czynności zaliczanej do przetwarzania danych. W umowie powierzenia danych na zlecenie należy określić zasady przetwarzania tych danych.

Osoby fizyczne faktycznie przetwarzające dane osobowe w danej organizacji (np. pracownicy, współpracownicy, osoby niezatrudnione) powinny posiadać upoważnienia do przetwarzania tych danych.

Jaka jest różnica między administratorem, a podmiotem przetwarzającym dane osobowe?

Podmiot przetwarzający dane osobowe:

  • działa na podstawie umowy z administratorem danych;
  • nie decyduje o celach i środkach przetwarzania danych;
  • wykonuje polecenia administratora danych.

Przykłady podmiotów przetwarzających dane osobowe: biuro rachunkowe, firma hostingowa, firma zajmująca się profesjonalnie przechowywaniem danych.

Kiedy wolno zbierać dane osobowe?

Dane osobowe wolno zbierać w każdej jednej z poniższych sytuacji:

  1. Kiedy dane są niezbędne do wykonania umowy lub do czynności poprzedzających zawarcie umowy.
  2. Jeśli dane są niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
  3. W celach wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią.
  4. Na czynną zgodę osoby, której dane dotyczą.

Są to 4 podstawy przetwarzania danych osobowych.

Twoim prawnym obowiązkiem jest w razie potrzeby wskazanie odpowiedniej podstawy przetwarzania danych (np. w obowiązku informacyjnym).

Kiedy nie jest potrzebna zgoda na przetwarzanie danych osobowych?

Zgody nie trzeba zbierać w następujących sytuacjach:

  1. Kiedy dane są niezbędne do wykonania umowy lub do czynności poprzedzających zawarcie umowy (np. sprzedaży).
  2. Jeśli dane są niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. prowadzenie ksiąg rachunkowych).
  3. W celach wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią (np. skierowanie do sądu pozwu o zapłatę), z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem.
  4. Do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
  5. Do wykonania zadania realizowanego z interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
  6. W przypadku działalności prasowej (np. publikowanie informacji dziennikarskich i literackich na blogu, nie będących działalnością promocyjną produktów i usług).
  7. Jeśli dane dotyczą osoby nieprzebywającej w Unii Europejskiej.

Jeśli zachodzi jedna z powyższych sytuacji, czyli jeżeli akurat nie trzeba zbierać zgody, to zalecane jest jej NIE ZBIERANIE. Co nie znaczy, że nie należy w takiej sytuacji stosować tzw. obowiązków informacyjnych (patrz poniżej).

Kiedy nie jest potrzebna zgoda na przetwarzanie danych osobowych w celach marketingowych?

Jednym z celów wynikających z prawnie uzasadnionych interesów administratora danych jest marketing jego produktów i usług. W związku z czym nie jest wymagana zgoda na przetwarzanie danych osobowych w tym celu, za wyjątkiem:

  • przesyłania informacji handlowej za pomocą środków komunikacji elektronicznej (np. reklam za pomocą e-maili);
  • wykorzystywania telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego (np. telefony i SMSy z ofertami).

Oznacza to, że jeżeli dana osoba nie wyrazi sprzeciwu dozwolona jest bez zgody:

  • reklama wysyłana pocztą tradycyjną,
  • reklama przez bezpośredni kontakt z klientem.

Jakie dane wolno zbierać?

Zbierasz tylko te dane, które są niezbędne do osiągnięcia celu przetwarzania danych (tzw. minimalizacja danych). Jeśli chcesz zbierać dane dodatkowe, musisz wskazać dodatkowy cel i uzyskać na niego zgodę.

Co to są dane zwykłe?

Danymi osobowymi zwykłymi są wszystkie dane osobowe za wyjątkiem:

  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia,
  • dane dotyczące seksualności lub orientacji seksualnej osoby.

Powyższe wymienione zaliczane są do tzw. szczególnych kategorii danych osobowych, które wymagają specjalnego traktowania.

Jak zbierać zgodę?

Zgoda musi spełniać wszystkie poniższe kryteria:

  • zgoda musi być całkowicie dobrowolna;
  • zgoda musi być konkretna, czyli musi być wskazany cel przetwarzania podanych danych;
  • zgoda musi być jednoznaczna dla wyrażającego zgodę;
  • zgoda musi być całkowicie świadoma.

W przypadku danych zwykłych dopuszczalne są następujące rodzaje zgód na zbieranie danych osobowych:

  • Zgoda wyraźną, czyli np. wyraźnie pisemnie lub zaznaczenie odpowiedniego pola wyboru (checkbox) bądź kliknięcia w przycisk [Wyrażam zgodę].
  • Przez oświadczenie (podpisanie oświadczenia).
  • Przez wyraźne działanie potwierdzające. Np. informacja o ciasteczkach (nawet bez kliknięcia), podanie danych z obowiązkiem informacyjnym.

Zgoda nie może być domyślna.

Wszystkie aspekty zgody muszą być jasne dla podpisującego w momencie jej wyrażania.

Dane osobowe nie mogą być przetwarzane w innym celu, niż którego dotyczyła zgoda. 

Zgoda nie może być ogólna, bez podania celu.

Jak administrator danych musisz umieć wykazać, że zgoda została udzielona i w odpowiedni sposób to archiwizować.

Jak mogą wyglądać zgody w systemach informatycznych?

Oto kilka przykładów zgód za pomocą pola wyboru.

  • Oświadczam, że zapoznałem się i akceptuję treść regulaminu oraz wyrażam zgodę na przetwarzanie moich danych osobowych przez …. w celu realizacji zamawianych usług.
  • Wyrażam zgodę na przetwarzanie moich danych osobowych przez … w celach marketingowych.
  • Wyrażam zgodę na otrzymywanie na podany adres e-mail informacji handlowej wysłanej przez …. w imieniu własnym lub na zlecenie jej partnerów biznesowych. 

Czy można łączyć wszystko w jedną zgodę?

Każdy cel przetwarzania musi mieć osobne oświadczenie o wyrażeniu zgody.

Zgoda na przetwarzanie danych i udostępnianie danych musi być oddzielną zgodą.

To oznacza, że na przykład na stronie internetowej muszą być często osobne pola akceptacji (checkboksy).

Czy dotychczasowe wcześniej zbierane zgody obowiązują nadal po wdrożeniu RODO?

Tak, jeśli były podane cel przetwarzania danych osobowych oraz tożsamość administratora. Jeśli zamierzony cel lub administrator nie był podany, to te dane należy usunąć.

Jakie informacje musisz przekazać osobie, która podaje dane i ma wyrazić zgodę na ich przetwarzanie? (tzw. obowiązki informacyjne)

  1. Twoja tożsamość jako administratora danych
  2. Dane kontaktowe administratora danych.
  3. Cel przetwarzania danych.
  4. Podstawa przetwarzania danych.
  5. Jeśli dotyczy: Informacja o tym, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub osobę trzecią.
  6. Jeśli ma zastosowanie: Informacja o odbiorcach danych osobowych (czyli inne podmioty przetwarzające podane dane na zlecenie administratora). Może być w formie ogólnej nazwy.
  7. Jeśli ma zastosowanie: Informacje o zamiarze przekazania danych osobowych do państwa trzeciego.
  8. Okres czasu, przez który dane osobowe będą przechowywane (lub kryteria ustalania tego okresu). Może być opisane ogólnie np. „na czas trwania umowy oraz przedawnienia roszczeń”.
  9. Informacja o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
  10. Jeżeli przetwarzanie odbywa się na podstawie zgody: Informacja o prawie do cofnięcia zgody w dowolnych momencie.
  11. O prawie wniesienie skargi do organu nadzorczego.
  12. Czy podanie danych osobowych jest wymogiem ustawowym, umownym, czy warunkiem zawarcia umowy.
  13. Czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
  14. Jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania: Poinformować o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Obowiązki informacyjne należy wykonać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Przykład obowiązku informacyjnego

Oto przykład obowiązku informacyjnego w sytuacji wymaganej zgody.

* Zgadzam się na przetwarzanie moich danych osobowych przez firmę ………………. z siedzibą w …………………………, ul. …………………………………. (zwaną dalej administratorem danych), w celu ……………. (np. marketingowym). Odbiorcami danych mogą być podmioty zajmujące się obsługą informatyczną administratora danych. * Podanie danych jest dobrowolne. Podstawą przetwarzania danych jest moja niniejsza zgoda. * Mam prawo wycofania zgody w dowolnym momencie. Dane osobowe będą przetwarzane do ewentualnego odwołania zgody, a po takim odwołaniu, przez okres przedawnienia roszczeń przysługujących administratorowi danych i w stosunku do niego. * Mam prawo żądania od administratora dostępu do moich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo do wniesienia skargi do organu nadzorczego. * W przypadku pytań dotyczących przetwarzania danych osobowych prosimy o kontakt z ……………. .

W którym miejscu i momencie powinny pojawić się informacje o przetwarzaniu danych osobowych?

Zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Przykładowe miejsca i momenty przekazania informacji o przetwarzaniu danych osobowych (jeśli dotyczy to przetwarzania takich danych):

  • W umowach pisemnych: tuż przed podpisem, jako dodatkowy zapis, który nie jest numerowanych w ramach paragrafów czy punktów umowy.
  • W kontakcie telefonicznym: na początku rozmowy.
  • W zamówieniu na stronie internetowej: tuż przed przyciskiem [Zamawiam].

Jak zrealizować obowiązek informacyjny przy zapisach na listy mailingowe?

Obowiązek informacyjny przy zapisach na listę można zrealizować na przykład w jeden lub kilka na raz poniższych sposobów:

  1. W wiadomości potwierdzającej (double-opt-in).
  2. Przy formularzu w postaci pełnej informacji.
  3. Przy formularzu w skróconej formie w postaci wskazania linku do polityki prywatności.

Zabezpieczanie danych osobowych

W jakim stopniu zabezpieczyć dane osobowe?

Każdy podmiot przetwarzający dane powinien samodzielnie dobrać środki środki zabezpieczenia danych w oparciu o:

  • charakter, zakres, kontekst i cele przetwarzania;
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnych prawdopodobieństwie wystąpienia i wadze zagrożenia;
  • stan wiedzy technicznej;
  • koszt wdrożenia.

Co powinien zrobić każdy podmiot przetwarzający dane osobowe, aby zapewnić bezpieczeństwo danych osobowych?

Każdy podmiot przetwarzający dane powinien:

  1. Ustalić
    jakie dane osobowe,
    w jakim charakterze,
    po co,
    w jakim środowisku
    przetwarza.
  2. Określić ryzyko naruszenia praw lub wolności osób fizycznych związane z tym przetwarzaniem.
  3. Dobrać odpowiednie środki zabezpieczenia danych, uwzględniając:
    1. istniejące możliwości techniczne,
    2. własne możliwości finansowe.

Kto powinien przeprowadzić ocenę skutków dla ochrony danych osobowych?

Ocena skutków dla ochrony danych osobowych jest obowiązkowa w sytuacjach wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, szczególnie z użyciem nowych technologii i przetwarzania na dużą skalę, takich jak np. zautomatyzowane przetwarzanie, w tym profilowanie w sklepach internetowych. 

Na czym polega ocena skutków dla ochrony danych osobowych?

Elementami obowiązkowymi oceny skutków są:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania danych (w tym prawnie uzasadnionych interesów realizowanych przez administratora);
  • ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • środki planowane w celu zaradzenia ryzyku (zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i przestrzeganie RODO), z uwzględnieniem praw i prawnie uzasadnionych interesów osób, którzy dane dotyczą oraz innych osób, których sprawa dotyczy.

Jak zabezpieczyć się przed zbieraniem danych osobowych dzieci?

Jeśli nie chcesz zbierać zgód osób sprawujących władzę rodzicielską, podaj zawsze informację (np. w regulaminie), że usługa kierowana jest do osób mających pełną zdolność do czynności prawnych.

Umowa powierzenia przetwarzania danych osobowych

Co musi zawierać umowa powierzenia przetwarzania danych osobowych?

Podmiot przetwarzający dane musi zobowiązać się do:

  • przetwarzania danych wyłącznie na udokumentowane polecenie administratora;
  • zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podejmowania środków zabezpieczenia danych wymaganych przez RODO i pomaganiu administratorowi wywiązać się z tych obowiązków;
  • przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego, czyli podpowierzenie jest dopuszczalne wyłącznie za zgodą administratora danych;
  • pomagania administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;
  • usunięcia danych lub do zwrotu danych administratorowi danych po zakończeniu przetwarzania, zgodnie z decyzją administratora;
  • udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia jego obowiązków oraz do umożliwienia administratorowi przeprowadzenie audytów.

W umowie należy też określić cel i zakres przetwarzania danych, czyli co będzie z tymi danymi robione (czynności).

Jak powinna być zawarta umowa powierzenia?

Umowa powierzenia przetwarzania danych osobowych powinna być zawarta w formie pisemnej lub elektronicznej (pod warunkiem zapewnienia integralności i autentyczności).

Wdrożenie RODO krok po kroku

1. Identyfikacja procesów przetwarzania danych osobowych

W pierwszej kolejności należy przeprowadzić identyfikację istniejących w organizacji procesów przetwarzania danych i zidentyfikować te, które są przetwarzaniem danych osobowych. Każdy proces powinien zostać opisany przy użyciu jak największej ilości zmiennych. 

Można to zrobić na przykład w formie tabelki w arkuszu wymieniając dla każdego procesu:

  • cel przetwarzania,
  • podstawę prawną,
  • zakres danych,
  • jakie są obowiązki informacyjne,
  • czy jest powierzenie danych,
  • okres przechowywania danych
  • itd.

2. Weryfikacja podstawowych parametrów procesów przetwarzania danych

Dla każdego procesu należy co najmniej:

  1. Określić podstawę przetwarzania danych osobowych.
  2. Zweryfikować zakres przetwarzania danych (zgodnie z zasadą minimalizacji).
  3. Zweryfikować treść obowiązków informacyjnych towarzyszących gromadzeniu danych.
  4. Sprawdzić, czy zgody pozostają ważne zgodnie z RODO.

3. Powierzenie przetwarzania danych

Dla każdego procesu, w którym dochodzi do powierzenia przetwarzania danych, należy:

  1. zidentyfikować podmiot przetwarzający dane;
  2. sprawdzić czy ten podmiot zapewnia przestrzeganie RODO;
  3. podpisać umowę na powierzenie przetwarzania danych osobowych przez taki podmiot.

4. Wdrożenie podejścia opartego na ryzyku

Każdy proces należy ocenić pod kątem ryzyka związanego z przetwarzaniem danych osobowych oraz wdrożyć odpowiednie środki zabezpieczenia danych.

5. Przeprowadzenie procedury oceny skutków dla ochrony danych

Rekomenduje się przeprowadzenie oceny skutków dla ochrony danych, które są już w toku.

Uwaga! Z racji tego, że nie jestem prawnikiem, jako autor tego opracowania nie biorę odpowiedzialności za interpretację i za zgodność ze stanem prawnym. Proszę to zawsze jeszcze zweryfikować ze swoim prawnikiem.