Co należy zrobić, aby prowadzona działalność była zgodna z RODO? To proste – postępuj zgodnie z art. 5 RODO. To tylko i aż tyle. Dane osobowe należy przetwarzać zgodnie z prawem. Przede wszystkim: rzetelnie, przejrzyście, prawidłowo, z zachowaniem ograniczenia celu, minimalizacji danych, ograniczenia przechowywania, integralności, poufności, a każdy administrator musi być w stanie wykazać, czy przestrzega tych zasad. Choć wydaje się to skomplikowane, wcale nie musi takie być. Oto kilka wskazówek, które pomogą Ci przestrzegać art. 5 RODO, jeśli prowadzisz sklep internetowy.

Jeśli zakładasz sklep internetowy, musisz pamiętać o wielu aspektach związanych z ochroną danych osobowych. Z niektórymi z nich, jak obowiązek informacyjny, obowiązek powołania inspektora ochrony danych (IOD), obowiązek prowadzenia rejestru, bezpieczeństwo oraz „cookies” zetkniesz się już na starcie działalności.

Obowiązek informacyjny

Gdy prowadzisz sklep internetowy i jesteś administratorem danych osobowych, musisz podać klientowi, który pozostawia na stronie swoje dane kilka informacji. Najlepiej zrób to według tej listy. Podaj zatem:

• swoją tożsamość i dane kontaktowe, a także dane kontaktowe IOD (jeśli jest),
• cele przetwarzania danych osobowych i podstawę prawną przetwarzania odrębną dla każdego celu,
• kategorie danych osobowych, oraz informacje o odbiorcach tych danych osobowych lub o kategoriach odbiorców (jeśli są),
• informacje o zamiarze przekazania danych osobowych odbiorcy do państwa trzeciego lub organizacji międzynarodowej oraz informacje dotyczące ochrony i zabezpieczenia, jeżeli takie przekazanie planujesz,
• informację na temat okresu, przez który będziesz przechowywać dane osobowe , a gdy nie jest to możliwe, kryteria ustalania tego okresu,
• jeśli przetwarzanie danych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub osoby trzecie – wskaż te interesy,
• informacje o prawie do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do przenoszenia danych i prawie do wniesienia sprzeciwu wobec przetwarzania,
• informacje dotyczące prawa do cofnięcia zgody na przetwarzanie w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania oraz prawa wniesienia skargi do organu nadzorczego,
• źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
• informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz o zasadach podejmowania tych decyzji, ich znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Powszechną praktyką jest zamieszczanie na stronie sklepu internetowego wszystkich wymaganych informacji dotyczących danych osobowych w jednym dokumencie zwanym polityką prywatności. Warto zadbać o to, aby politykę można było szybko i łatwo znaleźć na stronie internetowej.

Inspektor Ochrony Danych (IOD)

Nie każdy, kto przetwarza dane osobowe, musi powołać IOD. Należy to zrobić, jeśli główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Rejestr

Każdy administrator, który prowadzi sklep internetowy musi też prowadzić rejestr czynności przetwarzania danych osobowych, czyli spis na tych danych. W rejestrze tym zamieszcza się takie informacje:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz IOD, jeśli jest,
• określone cele przetwarzania,
• opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
• kategorie odbiorców, którym ujawnisz dane osobowe, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
• informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwy tego państwa lub organizacji. W określonych sytuacjach informacje dotyczące dokumentacji zabezpieczeń,
• jeśli to możliwe, planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Jeśli jesteś administratorem danych, nie musisz publikować rejestru na swojej stronie.

Bezpieczeństwo

Do obowiązków administratora należy właściwe zabezpieczenie przetwarzanych przez niego danych przed dostępem osób trzecich np. kradzieżą danych. Warto zadbać o środki bezpieczeństwa, odpowiednie zabezpieczenia systemowe, tak by dostęp do danych miały tylko powołane do tego osoby.

Cookies

Zgoda na instalowanie i udostępnianie plików „cookies” musi być czynna. Może np. polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej. Należy wziąć pod uwagę, że okienka, gdzie domyślnie zaznacza się zgodę, nie spełniają wymogu udzielenia zgody w sposób czynny. Zgoda udzielona w ten sposób jest nieważna. Warto zadbać, aby informacja dotycząca cookies była łatwa i zrozumiała, aby usprawnić proces.