Kategorie
E-commerce Magento

RODO i E-commerce w 8 krokach

Krótki, nieformalny przewodnik, pozwalający zorientować się, w jaki sposób przygotować sklep internetowy oparty o Magento do RODO. Artykuł ma charakter ogólny, podaje podstawowe informacje na temat nowych wymagań w kontekście branży e-commerce.

W skrócie

Nie jesteśmy w stanie przedstawić wymagań jeszcze krócej.

1. Podstawy

  • Co to jest RODO? — RODO to skrótowiec od Rozporządzenia o Ochronie Danych Osobowych (GDPR — General Data Protection Regulation). Jest to rozporządzenie ujednolicające prawo ochrony danych osobowych w całej Unii Europejskiej.
  • Dane osobowe — Za dane osobowe uznaje się wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej.
  • Wejście w życie — 25 maja 2018.
  • Wiek — W Polsce aby przetwarzać dane osobowe osób młodszych niż 16 lat (prawdopodobnie), musisz mieć zgodę jego opiekuna.
  • Koniec z rejestracją zbiorów — Razem z wejściem RODO kończy się wymóg obowiązku rejestracji zbiorów.
  • Brak gotowców — w RODO nie ma gotowych wzorów, jakie środki ochrony danych osobowych powinny być wdrożone. Administrator danych osobowych powinien oszacować ryzyko związane z ich przetwarzaniem i zastosować środki, które to ryzyko ograniczą.
  • To nie rewolucja — RODO wiele spraw ułatwia (np. brak konieczności zgłaszania zbiorów) i porządkuje.
  • Odpowiedzialność — Ciężar udowodnienia zgodności z RODO spoczywa w całości na Administratorze Danych.
  • Podstawy do przetwarzania danych osobowych — Przetwarzać dane osobowe możesz wyłącznie w przypadku, gdy: 
     ? osoba wyraziła zgodę w określonym celu (np. newsletter, marketing, sms, profilowanie);
     ? przetwarzanie jest niezbędne do wykonania umowy (np. realizacja zamówień, fakturowanie);
     ? przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora;
     ? innych podstaw wyszczególnionych w Art 6. pkt 1 RODO (mniej istotne z punktu widzenia e-commerce).
  • Privacy by design — Celem zasady jest takie budowanie produktu, aby brać pod uwagę właściwe przetwarzanie danych osobowych od samego początku istnienia projektu (Nawet, gdy jest jeszcze w fazie MVP).
  • Privacy by default — Domyślne ustawienie prywatności powinno chronić dane osobowe w najszerszy sposób. Użytkownik powinien mieć możliwość zrezygnować z części swojej prywatności jedynie, podejmując świadome działanie, nie być poddanym decyzjom twórców systemu.
  • Dokumentacja — Powinna odpowiadać rzeczywistości. Najpierw wprowadź odpowiednie procedury, potem stwórz dokumentację.
  • Umowa powierzenia danych osobowych — Administrator Danych Osobowych (Ty) może powierzyć innemu podmiotowi (np. Hosting, Newsletter) przetwarzanie danych, w drodze umowy zawartej na piśmie.

2. Dokumentacja

W większości przypadków, o których jest artykuł, wymaganym dokumentem jest Rejestr Czynności Przetwarzania danych osobowych. Jednak aby dochować należytej staranności, warto udokumentować szerzej przetwarzanie danych, np. przez stworzenie Polityki Bezpieczeństwa, Dobrych Praktyk w zakresie przetwarzania danych osobowych, warto również przeprowadzić Ocenę skutków przetwarzania.

Rejestr czynności przetwarzania danych osobowych

Mimo kilku wyjątków, możemy założyć, że większość firm związanych z internetem musi stworzyć taki dokument. Nie jest to nic superskomplikowanego.

Zrób „audyt” wewnętrzny, przegląd procesów, w których przetwarzane są dane osobowe i na jego podstawie stwórz rejestr czynności przetwarzania danych w formacie elektronicznym jako arkusz.

Wzór dokumentacji RODO:⚠️ bit.ly/wzor-rodo (Google Drive)

Preambuła mot. 13, 82 i 89, art. 4 pkt 1 i 2, art. 30 art. 30 RODO.

3. Checkboxy ze zgodami i obowiązek informacyjny

Obowiązek informacyjny

Obowiązek informacyjny funkcjonuje bez względu na podstawę prawną przetwarzania danych osobowych. Podczas pozyskiwania danych osobowych (np. przy „checkboxach”), powinieneś spełnić Obowiązek Informacyjny, zamieszczając takie dane jak:

  • Dane ADO — pełne dane Administratora Danych Osobowych;
  • Cel — informacje na temat celu przetwarzania danych osobowych;
  • Podstawa prawna — podstawa prawna, na jakiej przetwarzane są dane: Zgoda; uzasadniony interes ADO itd. (Art 6. pkt 1 RODO);
  • Możliwość cofnięcia zgody — możliwość cofnięcia zgody w dowolnym momencie, jeśli przetwarzanie odbywa się przez wyrażenie zgody;
  • Przekazanie danych — przekazywanie danych do państwa trzeciego;
  • Okres przetwarzania — okres przetwarzania danych osobowych;
  • Prawa do sprostowania, ograniczenia, usunięcia, przeniesienia;
  • Prawa wniesienia skargi do organu nadzorczego;
  • Profilowanie — informacja o profilowaniu automatycznym.

Powyższe informacje powinny być tak zamieszczone, aby mieć pewność, że będą dobrze widoczne dla użytkownika, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Zamieszczenie takich informacji jedynie w osobnym pliku Polityki Prywatności jest niewystarczające.


Zgody na przetwarzanie danych osobowych

Jeśli chcesz przetwarzać dane osobowe klienta w szerszym zakresie niż sama realizacja zamówienia, to musisz dla każdego zakresu przetwarzania uzyskać osobną, jednoznaczną zgodę w formie oświadczenia. Zazwyczaj będzie to seria checkboxów — Dobrowolna zgoda, jasna i zwięzła dla każdego typu przetwarzania osobno. Ciężar dowodu posiadania zgody spoczywa na Tobie.

Stworzyliśmy w Ageno dedykowany moduł Magento 2, zapisujący wszystkie informacje na temat zgód Klientów. Napisz do nas, jeśli Cię to zainteresowało.

Jak zarządzać zgodami w Magento?

  • Włączanie zgód w kasie: Stores -> Settings -> Configuration -> Sales -> Checkout -> Checkout Options -> (Enable Terms and Conditions = yes)
  • Definiowanie poszczególnych zgód: Stores -> Settings -> Terms and Conditions

Przykładowe formuły zgód RODO przy formularzach:

  • Wyrażam zgodę na przetwarzanie podanych powyżej danych w celu otrzymywania newslettera (art. 6 ust. 1 lit. a RODO).
  • Wyrażam zgodę na otrzymywanie informacji handlowych w formie newslettera np. o ofertach, nowościach, aktualnościach, promocjach itp.

Poniżej należy pamiętać o obowiązku informacyjnym i zamieścić np. taką regułę:

  • Wiem, że: 
    – podanie przeze mnie danych zawartych w niniejszym formularzu jest w pełni dobrowolne; 
    – wyrażenie powyższych zgód jest dobrowolne;
    – moje dane mogą zostać udostępnione podmiotom trzecim;
    – mogę zażądać dostępu do moich danych osobowych;
    – mogę zażądać sprostowania, przeniesienia i usunięcia moich danych osobowych; 
    – mogę w każdym momencie cofnąć zgody na przetwarzanie moich danych osobowych;
    – przysługuje mi prawo do wniesienia skargi do organu nadzorczego w przypadku naruszenia prawa;
    – Administratorem moich danych osobowych będzie: Acme S.C. Warszawa, 32–200, ul. Uliczna 12, NIP: 123123123.

art. 6 ust. 1, art. 7 RODO.

Prawo do wycofania zgody

Wycofanie zgody musi być równie łatwe, jak jej wyrażenie. Należy umożliwić zarządzanie zgodami w Profilu Klienta w sklepie.

Domyślnie Magento nie umożliwia zarządzania zgodami w panelu użytkownika. Należy wdrożyć taką funkcjonalność.

Prawo do sprostowania, przeniesienia i usunięcia danych osobowych

Użytkownik musi mieć możliwość zrealizowania następujących operacji na swoich danych:

  • sprostowanie — np. zmiana adresu, modyfikacja, poprawa literówek itp.;
  • przeniesienie — możliwość pobrania danych osobowych w powszechnym formacie. Rekomendujemy format CSV;
  • usunięcie — możliwość usunięcia danych osobowych użytkownika. Prawo to obowiązuje w sytuacji, w której nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie. Na przykład, jeśli zgodnie z umową wystawiliśmy fakturę, to nie musimy usuwać z niej danych w przypadku usuwania danych użytkownika.

Jak zarządzać klientami w Magento?

  • Sprostowanie (edycja): Customers ->All Customers -> (z kolumny) Edit
  • Przeniesienie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> Export CSV
  • Usunięcie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> (Z menu akcji) Delete

Tożsamość administratora danych osobowych

Aby spełnić obowiązek informacyjny, umieść w widocznym miejscu tożsamość administratora danych osobowych. Najlepiej obok formularza, tak, aby ta informacja była jasna i łatwa do znalezienia.

Przykład:
Administratorem Twoich danych osobowych będzie Acme Corp sp. z o.o, ul. Uliczna 105, 43–300 Bielsko-Biała, e-mail: test@acmecorp.pl. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.

Przykład bardziej swobodny:
My też nie lubimy takich checkboxów, jak te powyżej, ale musimy je mieć, aby nasz sklep mógł działać zgodnie z prawem. W każdej chwili możesz wycofać zgody w swoim panelu administracyjnym, zażądać sprostowania, przeniesienia lub usunięcia danych osobowych. Zapoznaj się również z naszą polityką prywatności, w której zawarliśmy szczegółowe informacje na temat przetwarzania danych osobowych.

4. Powierzenie przetwarzania danych osobowych

RODO wprowadza w stosunku do poprzedniej ustawy znaczące ułatwienie. Umowę Powierzenia Danych osobowych można zawrzeć elektronicznie, zdalnie. Należy zweryfikować organizację, do której dane chcemy przekazywać i zaakceptować regulamin podmiotu przetwarzającego, w którym znajdą się właściwe informacje dotyczące powierzenia danych osobowych.

Za powierzone dane odpowiedzialny jest nadal Administrator Danych osobowych.

Przykłady powierzenia danych osobowych: hosting, zewnętrzna firma księgowa, firma wysyłająca newsletter, CRM online, E-mail itp.

? art. 28 RODO.

5. Co w przypadku wycieku danych?

Zgłaszanie naruszeń do organu nadzorczego

W przypadku naruszenia praw osób, których dane są przetwarzane, administrator danych jest zobowiązany w ciągu 72 godzin poinformować organ nadzorczy i osobę, której naruszenie dotyczy.

? art. 33 i 34 RODO.

Kary

RODO przewiduje nakładanie kar na przedsiębiorcę w przypadku naruszenia bezpieczeństwa danych osobowych. Kary te mają być skuteczne, proporcjonalne i odstraszające – maksymalnie 20 mln EURO i do 4% całkowitego obrotu.

? art. 83 RODO.

6. Profilowanie

Profilowanie to automatyczny proces polegający na wnioskowaniu o posiadaniu przez osobę określonych cech na podstawie danych o tej osobie i podejmowaniu na tej podstawie decyzji. (np. AdWords Remarketing, Facebook Pixel itp.)

Należy umożliwić wniesienie sprzeciwu wobec automatycznego profilowania. Oczywiście o tej możliwości należy poinformować jasno użytkownika. Może to być odpowiedni checkbox w profilu klienta.

Warto zapoznać się z art. 22 RODO.

7. Regulamin i Polityka Prywatności

Wprowadź odpowiednie modyfikacje dokumentów Regulaminu i Polityki Prywatności. W skrócie wymagane jest zamieszczenie szczegółowych zapisów związanych z obowiązkiem informacyjnym. Powinno to być przekazane jasnym, przystępnym językiem. Tutaj warto zasięgnąć porady prawnika, który przygotuje właściwe zapisy.

O zmianie w regulaminie należy poinformować użytkowników. Przykładowe e-maile z informacją o zmianach publikujemy tutaj: ⚠️https://blog.ageno.pl/przykladowe-wiadomosci-e-mail-na-potrzeby-obowiazku-informacyjnego-rodo/

8. Warto wiedzieć

Przykładowe środki ochrony danych osobowych

  • Kontrola dostępu do danych — W systemie informatycznym, w którym przetwarzane są dane, należy stosować mechanizmy kontroli dostępu, w tym silne hasła.
  • Silne Hasła — Należy stosować silne, skomplikowane hasła, zawierające małe i wielkie litery, znaki specjalne, cyfry oraz składające się z większej liczby znaków niż 16. W celu przechowywania haseł warto korzystać z managerów haseł.
  • Autoryzacja dwuetapowa — Tam, gdzie jest to możliwe, należy włączać tzw. 2FA, czyli autoryzację dwuetapową.
  • Bezpieczeństwo pomieszczeń — Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na klucz, zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
  • Kopie bezpieczeństwa — Należy regularnie wykonywać kopie zapasowe i przechowywać je w zabezpieczonych miejscach. Po ustaniu użyteczności kopia powinna zostać usunięta. Kopie powinny być szyfrowane.
  • Szyfrowanie partycji — Komputery, na których przetwarzane są dane, lub z których następuje dostęp do danych, powinny zostać zabezpieczone szyfrowaniem i silnym hasłem.
  • Połączenia szyfrowane — Połączenie z systemem informatycznym powinno być szyfrowane poprzez certyfikat SSL.
  • Monitoring — Stały monitoring procedur i systemów informatycznych (w tym logów), w których przetwarzane są dane. 
    Warto zastosować moduł Admin Actions Log od Amasty.
  • Pseudonimizacja — Pseudonimizacja danych osobowych może pomóc administratorom danych wywiązać się z obowiązku ochrony danych (np. wersje testowe oprogramowania).
  • Testowanie — Regularne wykonywanie testów bezpieczeństwa.

Ogólne zalecenia dotyczące bezpieczeństwa:
⚠️https://blog.ageno.pl/jak-zwiekszyc-bezpieczenstwo-informacji-w-firmie-5-podstawowych-zalecen/

Uważaj na naciągaczy „Obrońców Uciśnionych”

Już wkrótce mogą pojawić się nieetyczne działania „sprytnych businessmanów”, których jedynym celem jest wyszukiwanie organizacji, które nie są w 100% zgodne z wymogami RODO i wysyłanie przedsądowych wezwań do zapłaty. Aby właściwie zabezpieczyć się przed atakami takich nieuczciwych przedsiębiorców, najlepiej po prostu spełnij wymagania RODO.


Inne materiały, które mogą Cię zainteresować:


Magento — RODO. Potrzebujesz pomocy?

Jeśli nie jesteś pewien jak wdrożyć wytyczne RODO w Magento, napisz do nas – Ageno.

Współautorem artykułu jest dr Grzegorz Pacek — radca prawny w
Marek Płonka i Wspólnicy sp. k.
krpmp.pl