Co to jest RODO? Podstawowe informacje

RODO to skrót od Rozporządzenia o Ochronie Danych Osobowych (GDPR – General Data Protection Regulation). Jest to rozporządzenie ujednolicające prawo ochrony danych osobowych w całej Unii Europejskiej.

Przygotuj Magento do RODO header
  • Dane osobowe . Za dane osobowe uznaje się wszelkie informacje dotyczące możliwej do zidentyfikowania osoby fizycznej.
  • Wejście w życie – 25 maja 2018.
  • Wiek. W Polsce aby przetwarzać dane osobowe osób młodszych niż 16 lat (prawdopodobnie), musisz mieć zgodę jego opiekuna.
  • Koniec z rejestracją zbiorów. Razem z wejściem RODO kończy się wymóg obowiązku rejestracji zbiorów.
  • Brak gotowców. W RODO nie ma gotowych wzorów, jakie środki ochrony danych osobowych powinny być wdrożone. Administrator danych osobowych powinien oszacować ryzyko związane z ich przetwarzaniem i zastosować środki, które to ryzyko ograniczą.
  • To nie rewolucja. RODO wiele spraw ułatwia (np. brak konieczności zgłaszania zbiorów) i porządkuje.
  • Odpowiedzialność. Ciężar udowodnienia zgodności z RODO spoczywa w całości na Administratorze Danych.
  • Podstawy do przetwarzania danych osobowych. Przetwarzać dane osobowe możesz wyłącznie w przypadku, gdy: 
    – osoba wyraziła zgodę w określonym celu (np. newsletter, marketing, sms, profilowanie);
    – przetwarzanie jest niezbędne do wykonania umowy (np. realizacja zamówień, fakturowanie);
    – przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora;
    – innych podstaw wyszczególnionych w Art 6. pkt 1 RODO (mniej istotne z punktu widzenia e-commerce).
  • Privacy by design. Celem zasady jest takie budowanie produktu, aby brać pod uwagę właściwe przetwarzanie danych osobowych od samego początku istnienia projektu (Nawet, gdy jest jeszcze w fazie MVP).
  • Privacy by default. Domyślne ustawienie prywatności powinno chronić dane osobowe w najszerszy sposób. Użytkownik powinien mieć możliwość zrezygnować z części swojej prywatności jedynie, podejmując świadome działanie, nie być poddanym decyzjom twórców systemu.
  • Dokumentacja. Powinna odpowiadać rzeczywistości. Najpierw wprowadź odpowiednie procedury, potem stwórz dokumentację.
  • Umowa powierzenia danych osobowych. Administrator Danych Osobowych (Ty) może powierzyć innemu podmiotowi (np. Hosting, Newsletter) przetwarzanie danych, w drodze umowy zawartej na piśmie.

Dokumentacja RODO

W większości przypadków, o których mowa w artykule, wymaganym dokumentem jest Rejestr Czynności Przetwarzania danych osobowych. Jednak aby dochować należytej staranności, warto udokumentować szerzej przetwarzanie danych, np. przez stworzenie Polityki Bezpieczeństwa, Dobrych Praktyk w zakresie przetwarzania danych osobowych, warto również przeprowadzić Ocenę skutków przetwarzania.

Rejestr czynności przetwarzania danych osobowych

Mimo kilku wyjątków, możemy założyć, że większość firm związanych z internetem musi stworzyć taki dokument. Nie jest to nic superskomplikowanego.

Zrób „audyt” wewnętrzny, przegląd procesów, w których przetwarzane są dane osobowe i na jego podstawie stwórz rejestr czynności przetwarzania danych w formacie elektronicznym jako arkusz.

Wzór dokumentacji RODO:⚠️ bit.ly/wzor-rodo (Google Drive)

Preambuła mot. 13, 82 i 89, art. 4 pkt 1 i 2, art. 30 art. 30 RODO.

Checkboxy ze zgodami i obowiązek informacyjny RODO

Obowiązek informacyjny

Obowiązek informacyjny funkcjonuje bez względu na podstawę prawną przetwarzania danych osobowych. Podczas pozyskiwania danych osobowych (np. przy „checkboxach”), powinieneś spełnić Obowiązek Informacyjny, zamieszczając takie dane jak:

  • Dane ADO – pełne dane Administratora Danych Osobowych.
  • Cel – informacje na temat celu przetwarzania danych osobowych.
  • Podstawa prawna – podstawa prawna, na jakiej przetwarzane są dane: Zgoda; uzasadniony interes ADO itd. (Art 6. pkt 1 RODO).
  • Możliwość cofnięcia zgody – możliwość cofnięcia zgody w dowolnym momencie, jeśli przetwarzanie odbywa się przez wyrażenie zgody.
  • Przekazanie danych – przekazywanie danych do państwa trzeciego.
  • Okres przetwarzania –  okres przetwarzania danych osobowych.
  • Prawa do sprostowania, ograniczenia, usunięcia, przeniesienia.
  • Prawa wniesienia skargi do organu nadzorczego.
  • Profilowanie – informacja o profilowaniu automatycznym.

Powyższe informacje powinny być tak zamieszczone, aby mieć pewność, że będą dobrze widoczne dla użytkownika, w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Zamieszczenie takich informacji jedynie w osobnym pliku Polityki Prywatności jest niewystarczające.

Zgody na przetwarzanie danych osobowych

Jeśli chcesz przetwarzać dane osobowe klienta w szerszym zakresie niż sama realizacja zamówienia, to musisz dla każdego zakresu przetwarzania uzyskać osobną, jednoznaczną zgodę w formie oświadczenia. Zazwyczaj będzie to seria checkboxów — Dobrowolna zgoda, jasna i zwięzła dla każdego typu przetwarzania osobno. Ciężar dowodu posiadania zgody spoczywa na Tobie.

Stworzyliśmy w Ageno dedykowany moduł Magento 2, zapisujący wszystkie informacje na temat zgód Klientów. Napisz do nas, jeśli Cię to zainteresowało.

Jak zarządzać zgodami w Magento?

  • Włączanie zgód w kasie: Stores -> Settings -> Configuration -> Sales -> Checkout -> Checkout Options -> (Enable Terms and Conditions = yes)
  • Definiowanie poszczególnych zgód: Stores -> Settings -> Terms and Conditions

Przykładowe formuły zgód RODO przy formularzach

  • Wyrażam zgodę na przetwarzanie podanych powyżej danych w celu otrzymywania newslettera (art. 6 ust. 1 lit. a RODO).
  • Wyrażam zgodę na otrzymywanie informacji handlowych w formie newslettera np. o ofertach, nowościach, aktualnościach, promocjach itp.

Poniżej należy pamiętać o obowiązku informacyjnym i zamieścić np. taką regułę:

  • Wiem, że: 
    – podanie przeze mnie danych zawartych w niniejszym formularzu jest w pełni dobrowolne; 
    – wyrażenie powyższych zgód jest dobrowolne;
    – moje dane mogą zostać udostępnione podmiotom trzecim;
    – mogę zażądać dostępu do moich danych osobowych;
    – mogę zażądać sprostowania, przeniesienia i usunięcia moich danych osobowych; 
    – mogę w każdym momencie cofnąć zgody na przetwarzanie moich danych osobowych;
    – przysługuje mi prawo do wniesienia skargi do organu nadzorczego w przypadku naruszenia prawa;
    – Administratorem moich danych osobowych będzie: Acme S.C. Warszawa, 32–200, ul. Uliczna 12, NIP: 123123123.

art. 6 ust. 1, art. 7 RODO.

Prawo do wycofania zgody

Wycofanie zgody musi być równie łatwe, jak jej wyrażenie. Należy umożliwić zarządzanie zgodami w Profilu Klienta w sklepie.

Domyślnie Magento nie umożliwia zarządzania zgodami w panelu użytkownika. Należy wdrożyć taką funkcjonalność.

Prawo do sprostowania, przeniesienia i usunięcia danych osobowych

Użytkownik musi mieć możliwość zrealizowania następujących operacji na swoich danych:

  • sprostowanie – np. zmiana adresu, modyfikacja, poprawa literówek itp.;
  • przeniesienie – możliwość pobrania danych osobowych w powszechnym formacie. Rekomendujemy format CSV;
  • usunięcie –  możliwość usunięcia danych osobowych użytkownika. Prawo to obowiązuje w sytuacji, w której nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie. Na przykład, jeśli zgodnie z umową wystawiliśmy fakturę, to nie musimy usuwać z niej danych w przypadku usuwania danych użytkownika.

Jak zarządzać klientami w Magento?

  • Sprostowanie (edycja): Customers ->All Customers -> (z kolumny) Edit
  • Przeniesienie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> Export CSV
  • Usunięcie: Customers ->All Customers -> (zaznaczamy wybranego klienta) -> (Z menu akcji) Delete

Tożsamość administratora danych osobowych

Aby spełnić obowiązek informacyjny, umieść w widocznym miejscu tożsamość administratora danych osobowych. Najlepiej obok formularza, tak, aby ta informacja była jasna i łatwa do znalezienia.

Przykład:
Administratorem Twoich danych osobowych będzie Acme Corp sp. z o.o, ul. Uliczna 105, 43–300 Bielsko-Biała, e-mail: test@acmecorp.pl. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.

Przykład bardziej swobodny:
My też nie lubimy takich checkboxów, jak te powyżej, ale musimy je mieć, aby nasz sklep mógł działać zgodnie z prawem. W każdej chwili możesz wycofać zgody w swoim panelu administracyjnym, zażądać sprostowania, przeniesienia lub usunięcia danych osobowych. Zapoznaj się również z naszą polityką prywatności, w której zawarliśmy szczegółowe informacje na temat przetwarzania danych osobowych.

Powierzenie przetwarzania danych osobowych

RODO wprowadza w stosunku do poprzedniej ustawy znaczące ułatwienie. Umowę Powierzenia Danych osobowych można zawrzeć elektronicznie, zdalnie. Należy zweryfikować organizację, do której dane chcemy przekazywać i zaakceptować regulamin podmiotu przetwarzającego, w którym znajdą się właściwe informacje dotyczące powierzenia danych osobowych.

Za powierzone dane odpowiedzialny jest nadal Administrator Danych osobowych.

Przykłady powierzenia danych osobowych: hosting, zewnętrzna firma księgowa, firma wysyłająca newsletter, CRM online, E-mail itp.

art. 28 RODO.

Co w przypadku wycieku danych?

Zgłaszanie naruszeń do organu nadzorczego

W przypadku naruszenia praw osób, których dane są przetwarzane, administrator danych jest zobowiązany w ciągu 72 godzin poinformować organ nadzorczy i osobę, której naruszenie dotyczy.

art. 33 i 34 RODO.

Kary

RODO przewiduje nakładanie kar na przedsiębiorcę w przypadku naruszenia bezpieczeństwa danych osobowych. Kary te mają być skuteczne, proporcjonalne i odstraszające – maksymalnie 20 mln EURO i do 4% całkowitego obrotu.

art. 83 RODO.

Profilowanie

Profilowanie to automatyczny proces polegający na wnioskowaniu o posiadaniu przez osobę określonych cech na podstawie danych o tej osobie i podejmowaniu na tej podstawie decyzji. (np. AdWords Remarketing, Facebook Pixel itp.)

Należy umożliwić wniesienie sprzeciwu wobec automatycznego profilowania. Oczywiście o tej możliwości należy poinformować jasno użytkownika. Może to być odpowiedni checkbox w profilu klienta.

Warto zapoznać się z art. 22 RODO.

Regulamin i Polityka Prywatności

Wprowadź odpowiednie modyfikacje dokumentów Regulaminu i Polityki Prywatności. W skrócie wymagane jest zamieszczenie szczegółowych zapisów związanych z obowiązkiem informacyjnym. Powinno to być przekazane jasnym, przystępnym językiem. Tutaj warto zasięgnąć porady prawnika, który przygotuje właściwe zapisy.

O zmianie w regulaminie należy poinformować użytkowników. Przykładowe e-maile z informacją o zmianach publikujemy tutaj: ⚠️ Przykładowe wiadomości e-mail na potrzeby obowiązku informacyjnego RODO.

Warto wiedzieć

Przykładowe środki ochrony danych osobowych

  • Kontrola dostępu do danych. W systemie informatycznym, w którym przetwarzane są dane, należy stosować mechanizmy kontroli dostępu, w tym silne hasła.
  • Silne Hasła. Należy stosować silne, skomplikowane hasła, zawierające małe i wielkie litery, znaki specjalne, cyfry oraz składające się z większej liczby znaków niż 16. W celu przechowywania haseł warto korzystać z managerów haseł.
  • Autoryzacja dwuetapowa. Tam, gdzie jest to możliwe, należy włączać tzw. 2FA, czyli autoryzację dwuetapową.
  • Bezpieczeństwo pomieszczeń. Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na klucz, zabezpieczone przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
  • Kopie bezpieczeństwa. Należy regularnie wykonywać kopie zapasowe i przechowywać je w zabezpieczonych miejscach. Po ustaniu użyteczności kopia powinna zostać usunięta. Kopie powinny być szyfrowane.
  • Szyfrowanie partycji.  Komputery, na których przetwarzane są dane, lub z których następuje dostęp do danych, powinny zostać zabezpieczone szyfrowaniem i silnym hasłem.
  • Połączenia szyfrowane. Połączenie z systemem informatycznym powinno być szyfrowane poprzez certyfikat SSL.
  • Monitoring. Stały monitoring procedur i systemów informatycznych (w tym logów), w których przetwarzane są dane. 
    Warto zastosować moduł Admin Actions Log od Amasty.
  • Pseudonimizacja. Pseudonimizacja danych osobowych może pomóc administratorom danych wywiązać się z obowiązku ochrony danych (np. wersje testowe oprogramowania).
  • Testowanie. Regularne wykonywanie testów bezpieczeństwa.

Ogólne zalecenia dotyczące bezpieczeństwa:
⚠️ Jak zwiększyć bezpieczeństwo informacji w firmie?

Uważaj na naciągaczy „Obrońców Uciśnionych”

Już wkrótce mogą pojawić się nieetyczne działania „sprytnych businessmanów”, których jedynym celem jest wyszukiwanie organizacji, które nie są w 100% zgodne z wymogami RODO i wysyłanie przedsądowych wezwań do zapłaty. Aby właściwie zabezpieczyć się przed atakami takich nieuczciwych przedsiębiorców, najlepiej po prostu spełnij wymagania RODO.

Magento RODO. Potrzebujesz pomocy?

Jeśli nie jesteś pewien, jak wdrożyć wytyczne RODO w Magento, napisz do nas  – pomożemy!

Współautorem artykułu jest dr Grzegorz Pacek – radca prawny w
Marek Płonka i Wspólnicy sp. k. kancelaria-mp.pl

Inne materiały, które mogą Cię zainteresować: