RODO a e-commerce

Nadchodzące zmiany w systemie ochrony danych osobowych wymuszają konieczność dostosowania nowych regulacji prawnych wynikających z rozwoju nowych technologii. W jaki sposób nowe prawo (RODO) wpłynie na branżę e-commerce?

Studiując w ostatnim okresie materiały medialne bardzo trudno nie natknąć się na określenia takie jak RODO, GDPR, czy też Ogólne Rozporządzenie o Ochronie Danych. Wszystkie one w praktyce odnoszą się do tej samej, nowej europejskiej (unijnej) regulacji dotyczącej ochrony danych osobowych, tj. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie to weszło w życie w dniu 17 maja 2016 r., a zacznie obowiązywać bezpośrednio w krajowych porządkach prawnych, w tym oczywiście i w Polsce, od dnia 25 maja 2018 r.

Rozporządzenie to wprowadza szereg zmian w dotychczasowym systemie ochrony danych osobowych, które wynikały z konieczności zwiększenia skuteczności takiej ochrony, konieczności dostosowania unijnych regulacji prawnych do potrzeb wynikających z ciągłego rozwoju nowych technologii oraz postępującej cyfryzacji oraz zwiększenie świadomości konsumenta w zakresie praw i stopnia wykorzystywania jego danych osobowych. Bez wątpienia nowe unijne prawo wpłynie również na warunki funkcjonowania branży e-commerce.

Po pierwsze, w miejsce obecnego Administratora Danych Osobowych pojawia się Inspektor Ochrony Danych Osobowych. Jego powołanie, poza pewnymi przypadkami, kiedy będzie to obowiązkowe, zależy od decyzji przedsiębiorcy. Ale, za naruszenie przepisów dotyczących Inspektora Ochrony Danych (zarówno np. jego niepowołania, ale też niespełnienia wymogów co do jego statusu) na firmy może zostać nałożona administracyjna kara pieniężna w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa).

Następna zmiana polega na tym, że od dnia 25 maja 2018 r. znika obowiązek rejestrowania zbiorów danych. Oznacza to, że niezależnie od tego,
czy w firmie powołano ABI (wg RODO: Inspektora Ochrony Danych Osobowych) firma nie będzie zobowiązana do zgłaszania właściwemu organowi zbiorów danych. To bardzo istotna okoliczność, gdyż dotychczas baza klientów sklepu internetowego uznawana była za zbiór danych w rozumieniu ustawy o ochronie danych osobowych, który powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Co ważne jednak – zbiór danych osobowych będą musiały zgłaszać firmy, które przetwarzają te informacje na skale masową.

Ale, zamiast zgłaszania zbioru danych właściwemu organowi firmy będą musiały we własnym zakresie prowadzić – w formie pisemnej bądź elektronicznej – tak zwany rejestr czynności przetwarzania, mówiący o tym jak i w jakim celu dane klientów są przetwarzane. Rejestr ten będzie musiał być udostępniany na każde żądanie organu nadzorczego do kontroli.

Bardzo istotną kwestią na gruncie RODO z punktu widzenia sklepów internetowych są zgody na przetwarzanie danych osobowych. Dotychczas zgody takie miały często charakter bardzo ogólnikowy, niejasny, jednym checkboxem (zamieszczonym na stronie internetowej, w formularzu zamówienia lub kontaktowym) obejmowano kilka zgód (np. dot. celów marketingowych i newslettera) lub w sposób domyślny checkboxy były zaznaczone. Na gruncie RODO takie zachowania są niedozwolone – zgody muszą być jednoznaczne i konkretne, być wyrażane świadomie i dobrowolnie (zakazuje się odgórnego zaznaczania checkboxów), mieć charakter wyraźnego działania – oświadczenia lub potwierdzenia oraz być formułowane jasnym
i czytelnym językiem (skomplikowane będą traktowane jako nieskuteczne). Przykładowo, klient będzie musiał wyrazić osobną zgodę na przetwarzanie swoich danych w celach realizacji zamówienia, a także w celach marketingowych czy udostępnienia ich firmom trzecim.

Co więcej, w myśl nowych przepisów każda umowa dot. zlecania usług podmiotom zewnętrznym w związku z którą to będą przetwarzane dane osobowe będzie musiała obejmować postanowienia dotyczące ochrony danych osobowych. Dotyczy to np. outsourcingu usług księgowych, kadrowych, IT, prawnych.

RODO reguluje również zagadnienie profilowania, które to jest szczególnie istotne dla sklepów internetowych. Zbieranie szczegółowych informacji na temat klientów jest bowiem szczególne istotne w kontekście skutecznego marketingu, dopasowania oferty do konkretnej osoby. Wg RODO profilowanie nie jest zakazane, lecz wiążą się z nim konkretne obowiązki informacyjne dla przedsiębiorcy oraz uprawnienia po stronie konsumenta. Po wejściu nowych przepisów klient musi wiedzieć, że podlega profilowaniu, musi wyrazić na to zgodę oraz musi zostać poinformowany o prawach do sprzeciwu lub niepodlegania decyzjom podjętym w wyniku profilowania.

RODO wymaga również, by administrator danych osobowych zgłaszał jednostce nadzorującej wszystkie incydenty, które spowodowały wyciek danych osobowych, bądź godziły w bezpieczeństwo ich przechowywania (w ciągu maksymalnie 72 godzin). Co więcej, gdy dane klientów wyciekną – firma będzie zobowiązana do powiadomienia wszystkich osób, których ten incydent dotyczył.

RODO znacząco podwyższa kary, które grożą na naruszenie jego postanowień. Obecnie, za nieprzestrzeganie zasad przetwarzania danych osobowych grozi ograniczenie lub pozbawienie wolności do lat 2. Podobna kara dotyczy przypadku udostępniania lub umożliwienia dostępu do danych osobom nieupoważnionym. Niezabezpieczenie danych w odpowiedni sposób to kara ograniczenia lub pozbawienia wolności do 1 roku. Na gruncie RODO kary mogą wynosić do 20 000 000 euro lub do 4% całkowitego obrotu przedsiębiorstwa za rok poprzedni.

Na koniec należy mieć na uwadze, że nowa regulacja – w przeciwieństwie do obecnie obowiązujących przepisów – nie daje gotowych rozwiązań konkretnych problemów. To przetwarzający dane osobowe będzie musiał analizować poziom ryzyka związany z działaniami na danych oraz samemu zdecydować, jakie w związku z tym ryzykiem wdroży środki ostrożności i zabezpieczenia. I będzie z tego rozliczany.

Marcin Jan Grzesiak

Radca prawny

Prawni.pro

Logistyka w e-commerce, rozwiązania omnichannel, peaki, zwroty w branży fashion. Chcesz być na bieżąco w tych i wielu innych tematach? Czytaj nasz newsletter. Piszemy o logistyce inaczej niż inni. Zapisz się tutaj

Leszek Gawinowski

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *