W tym odcinku porozmawiamy o gorącym obecnie temacie RODO. Skupimy się na tym, jak RODO wpłynie na e-commerce i porozmawiamy przede wszystkim o tym, jak sprzedając przez Internet należy przygotować się na dzień 25 maja 2018 r., czyli dzień rozpoczęcia obowiązywania RODO. Będziemy rozmawiać o koniecznych do wdrożeniach dokumentach, checkboxach i innych rzeczach, które dla branży e-commerce są aktualnie największym priorytetem. W odcinku gościnnie wystąpi Paweł Głąb, który opowiem nam o wszystkich powyższych kwestiach w oparciu o doświadczenie poparte licznymi wdrożeniami, które nadzoruje.

Dzień dobry, witam Was bardzo serdecznie.

Ja nazywam się Piotr Kantorowski a to kolejny odcinek podcastu “Prawo dla biznesu”.

Dzisiaj będzie odcinek w zupełnie innej niż dotychczas konwencji bo będzie miał on formę wywiadu, przy czym będzie to wywiad trochę specyficzny ponieważ porozmawiamy z Pawłem Głąb który jest wspólnikiem kancelarii prawnej Kantorowski i wspólnicy, i specjalizuje się w e-commerce a ostatnimi czasy w szczególności specjalizuje się w gorącym obecnie temacie czyli w  RODO.

Jest już w zasadzie połowa maja 2018 roku więc pewnie wszyscy przedsiębiorcy wiedzą o tym, że RODO zbliża się ogromnymi krokami, natomiast my chcieliśmy dzisiaj, w tym odcinku podcastu “Prawo dla biznesu” przybliżyć Wam z czym RODO będzie się wiązało dla rynku e-commerce.

RODO – jakie zmiany dla e-commerce

– Tu pierwsze pytanie do Pawła, czy wejście w życie RODO będzie rewolucją dla rynku e-commerce czy też należy je oceniać jako pozytywną dla tego rynku zmianę.

– Dzień dobry. Wejście w życie RODO to na pewno duża zmiana dla nie tylko w zasadzie sektora e-commerce ale każdego podmiotu który przetwarza dane osobowe, ale nie określiłbym go raczej mianem rewolucji, a ewolucji czyli pewnego dostosowania przepisów dotyczących ochrony danych osobowych do realiów rynku, jak i ujednolicenie tych przepisów w całej Unii Europejskiej.

Tutaj warto podkreślić, że RODO tak naprawdę weszło w życie już praktycznie 2 lata temu , a 25 maja 2018 roku jest to dzień kiedy RODO rozpocznie być stosowane. Różnica polega na tym, że ten dwuletni okres to był czas kiedy firmy powinny przygotować swoje procesy przetwarzania do nowych przepisów i na 25 maja obecnego roku powinny już być w pełni przygotowane na nowe regulacje unijne.

E-commerce jak wygląda przygotowanie do RODO

– Dobrze Paweł, ale jeżeli mówimy, że przez te 2 lata przedsiębiorcy mieli się przygotować i dostosować swoje procesy przetwarzania do przepisów RODO, to jak konkretnie to przygotowanie powinno wyglądać właśnie w sektorze e-commerce?

– Jeżeli chodzi konkretnie o sklepy internetowe to myślę, że tutaj można wyróżnić kilka takich podstawowych obszarów. Pierwszy, to są klauzule zgody w formularzu czy to zamówienia, czy rejestracji czyli tak zwane checkboxy. Kolejny obszar to jest polityka prywatności sklepu internetowego, następnym obszarem na który należy  zwrócić uwagę to jest to dokumentacja wewnętrzna dotycząca przetwarzania danych osobowych w firmie. Taki ostatni element to myślę powierzenie przetwarzania danych osobowych, czyli przede wszystkim weryfikacja z kim taka umowa powinna być zawarta i jaka powinna być jej treść, ponieważ w tym zakresie RODO wprowadza pewne zmiany dodając kilka obligatoryjnych postanowień umowy powierzenia przetwarzania danych osobowych.

– Dobra. Dla nas, prawników brzmi to dość zrozumiale, natomiast jakbyśmy to sprowadzili do konkretnych czynności które powinien podjąć przedsiębiorca rynku e-commerce żeby być na 25 maja 2018 gotowym , to od czego powinien zacząć i jakie zmiany powinien dokonać u siebie w sklepie internetowym?

RODO w sklepie internetowym. Od czego zacząć

– To przechodząc do pierwszego z obszarów który wymieniłem, czyli treść checkboxów, to tutaj myślę, że warto podkreślić przede wszystkim to, że wbrew pozorom RODO w tym zakresie nie wprowadza jakichś daleko idących zmian, ponieważ podstawy legalnego przetwarzania danych osobowych w RODO są uregulowane w zasadzie analogicznie jak to wyglądało w dotychczas obowiązującej ustawie o ochronie danych osobowych, czyli przede wszystkim trzeba podkreślić, że zgoda nie jest jedyną przesłanką legalnego przetwarzania danych osobowych. Dodatkowo możemy przetwarzać dane osobowe wtedy gdy nie mamy zgody, ale na przykład jest to potrzebne do wykonania umowy czy też wiąże się z realizacją obowiązków które spoczywają na administratorze, dotyczących przechowywania dokumentacji na przykład wynikających z ustawy o rachunkowości. Już przekładając to na konkretne rozwiązania w sklepie to przede wszystkim powinniśmy zweryfikować to czy wszystkie zgody które pobieramy w sklepie, od naszych klientów faktycznie są nam potrzebne, a po drugie czy w sytuacjach w których tą zgodę pobieramy czy rzeczywiście jest ona wymagana przez przepisy. Już przechodząc na przykłady, to wbrew pozorom wcale nie potrzebujemy zgody klienta na przetwarzanie jego danych osobowych w celu realizacji zamówienia. Często natomiast taka zgoda jest pobierana w sklepach internetowych, jest to raczej stosowana powszechnie praktyka, chociaż nie do końca prawidłowa, co wynika z tego o czym wspomniałem wcześniej, że podstawą legalnego przetwarzania danych osobowych jest wówczas wykonanie umowy. Czyli realizacja złożonego zamówienia w sklepie internetowym. Wcale nie musimy mieć zgody klienta, żeby przetwarzać jego dane osobowe w tym celu. Podobnie jest w przypadku prowadzenia konta klienta w sklepie internetowym. Tutaj też w formularzu rejestracji nie musimy powielać zgody na przetwarzanie danych osobowych w celu prowadzenia konta klienta, ponieważ to prowadzenie konta jest usługą elektroniczną świadczoną przez nas klientowi i także w tym przypadku ma zastosowanie ta przesłanka dotycząca wykonania umowy . Kolejną często spotykaną zgodą która jest pobierana w przypadku składania zamówienia w sklepie internetowym jest zgoda na przetwarzanie danych osobowych w celach marketingowych. I tutaj też trzeba podkreślić, że wcale nie musimy pozyskiwać tej zgody na wykorzystywanie danych osobowych w tym właśnie celu. Tyle, ze trzeba podkreślić, że dotyczy to wyłącznie sytuacji gdy jest to marketing naszych usług i produktów , a nie usług i produktów podmiotów które z nami współpracują. Co za tym idzie, istotną informacją jest to, że RODO tak naprawdę nie wprowadza wielkich zmian w zakresie treści checkboxów, przy czym myślę, że wejście w życie nowych przepisów to dobry moment żeby właśnie zweryfikować ich treść i nie pozyskiwać zgód nadmiernych albo w sytuacjach gdy nie są one nam wcale potrzebne.

RODO w e-commerce – jakie zgody należy uzyskać

– Dobra, no to wiemy jakich zgód nie musimy uzyskiwać, albo przynajmniej w jakich sytuacjach na dane kwestie tych zgód nie musimy uzyskiwać a jakie zgody będą konieczne. I czy są tu jakieś zmiany do obecnie obowiązującej ustawy o ochronie danych osobowych?

– Tak naprawdę nie ma tutaj wielkich zmian, co wynika z tego, że zgody które w rzeczywistości powinniśmy pozyskać nie są zgodami wynikającymi z przepisów o ochronie danych osobowych, co wynika z tego, że jak wspomniałem wcześniej.Możemy dane klienta przetwarzać, czy to w celu realizacji zamówienia, jako wykonanie umowy czy też w celach marketingowych, ale tak naprawdę to przetwarzanie musiałoby się ograniczać tylko do przechowywania tych danych. Jeżeli chcielibyśmy wykorzystać w jakikolwiek sposób te dane, czy to do prowadzenia marketingu, czy w postaci mailingu czy w jakikolwiek innej formie to musimy pozyskać zgody tak naprawdę wynikające z przepisów wcale nie dotyczących ochrony danych osobowych. Po pierwsze trzeba tu wymienić ustawę o świadczeniu usług drogą elektroniczną i zgodę na przesyłanie informacji handlowej, ponieważ zgodnie z przepisami tej ustawy zakazane jest przesyłanie niezamówionej informacji handlowej więc w każdym przypadku gdy chcemy klientowi wysłać informację handlową czyli informację tak naprawdę dotyczącą czy to oferty firmy, czy profilu jej działalności to musimy mieć wyraźną zgodę klienta na to. Dodatkowo, jeżeli chcemy do wysyłki tej informacji handlowej wykorzystać czy to maila, czy telefon to w każdym przypadku musimy mieć również tak zwaną zgodę telekomunikacyjną, wynikająca z ustawy prawo telekomunikacyjne która nakłada obowiązek pozyskania zgody na wykorzystanie w celach marketingowych, urządzeń końcowych, czyli takich jak : komputer, telefon, tablet.

– Czyli w zasadzie wynika z tego, że RODO nie stwarza nam jakiejś nowej podstawy do przetwarzania danych osobowych w  celach marketingowych ale i tak checkboxy nam nie znikną w tym zakresie, ponieważ wymuszają je inne regulacje?

– Dokładnie tak. Jak wspomniałem wcześniej, RODO w tym zakresie nie wprowadza dalece idących zmian, ale to jest dobry moment, aby przeanalizować treść checkboxów i po pierwsze: pozyskać zgody które faktycznie są nam potrzebne, a po drugie: zwrócić uwagę na te niekoniecznie wynikające z przepisów dotyczących danych osobowych.

RODO a pozyskane wcześniej zgody

– No właśnie, jeśli mieliśmy już pozyskane zgody, zgodnie z obecnie jeszcze obowiązująca ustawą o ochronie danych osobowych to czy te zgody musimy zebrać od nowa? Czy musimy je jakoś zaktualizować? Jak wygląda ten zakres przygotowań do 25 maja 2018 roku?

– Tak naprawdę kwestia ta jeszcze nie do końca jest rozstrzygnięta, przy czym generalnie przyjmuje się, że możemy wykorzystywać te zgody pozyskane przed wejściem w życie RODO, jeżeli zostały one pozyskane zgodnie z tymi nowymi przepisami.Tymczasem, aby pozyskać zgodę, zgodnie z nowymi przepisami  powinniśmy przekazać klientowi zakres informacji wynikający już z RODO. Ciężko natomiast wyobrazić sobie sytuację, żeby te informacje wynikające z RODO były przekazane już wcześniej. Co za tym idzie, wydaje się, że takim koniecznym działaniem może być przekazanie tych nowych informacji które wymagane są przez RODO dotychczas pozyskanym leadom.

Informacje wymagane przez RODO. Polityka prywatności

– I jakie będą to informacje?

– To tutaj myślę, że płynnie możemy przejść do kolejnego obszaru dostosowania sklepu do RODO czyli polityki prywatności, ponieważ w formie polityki prywatności najczęściej ten obowiązek informacyjny jest realizowany. Tutaj tez warto podkreślić , że polityka prywatności tak naprawdę nie jest dokumentem wymaganym przez żadne przepisy, ale przyjęło się , że właśnie poprzez politykę prywatności administratorzy realizują obowiązek informacyjny który na nich spoczywa zgodnie z przepisami i tak naprawdę ten obowiązek informacyjny to też nie jest żadna nowość, ponieważ on już dotychczas wynikał z ustawy o ochronie danych osobowych a jedynie RODO poszerza zakres informacji który należy  przekazać klientowi. Te nowe informacje to chociażby okres przez który dane będą przechowywane, czy też podstawa prawna przetwarzania danych osobowych. Te wszystkie informacje powinny zostać wprost wskazane w polityce prywatności, która powinna być o nie uzupełniona, bo nie będzie już wystarczające tak jak dotychczas to wyglądało, że w zasadzie jedyną informacją w tej polityce prywatności były te dotyczące administratora.Teraz musimy już wyraźnie wskazać w jakich celach przetwarzamy dane osobowe, na jakich podstawach, przez jaki czas a także poinformować klienta o wszystkich jego uprawnieniach, których RODO wprowadza kilka, jak  chociażby prawo do przenoszenia danych czy prawo do bycia zapomnianym. Tego dotychczas nie było więc ta informacja powinna być obecnie przekazywana klientom.

Prawo do bycia zapomnianym w ecommerce

– Właśnie, jak jesteśmy przy prawie do bycia zapomnianym, to jak wygląda to w przypadku e-commerce? Czy każdy nasz kontrahent, konsument może skorzystać z takiego prawa po dokonaniu zakupu u nas? Czy będziemy zobowiązani do usunięcia jego danych w każdym przypadku, czy też kwestia ta może wygląda w jakiś specyficzny sposób?

– Generalnie z takim żądaniem, może rzecz jasna wystąpić każdy klient przy czym nie zawsze my to żądanie będziemy mogli zrealizować.RODO tutaj wprowadza kilka wyjątków i przykładowo takie żądanie do usunięcia danych nie może zostać zrealizowane wtedy gdy jakieś inne przepisy nakładają na administratora obowiązek przechowywania tych danych. W przypadku chociażby danych dotyczących realizacji zamówień takimi przepisami będzie ustawa o rachunkowości która zobowiązuje nas do przechowywania tej dokumentacji dotyczącej transakcji przez okres co najmniej 5 lat. Podobnie będzie w przypadku danych pracowników, tutaj też poszczególne przepisy wprowadzają konkretne terminy przez jaki czas te dane pracowników powinny być przechowywane, zatem także w tym przypadku żądanie usunięcia danych nie będzie mogło zostać zrealizowane. Nie oznacza to jednak, że możemy takie żądanie zignorować, co wynika z tego, że tutaj też jest nowość wprowadzona przez RODO, że na każde żądanie dotyczące danych danej osoby, jako administrator mamy obowiązek odpowiedzieć w ciągu miesiąca. Więc nawet jeśli nie możemy zrealizować tego uprawnienia do bycia zapomnianym czy jakiegokolwiek innego, to zawsze powinniśmy pamiętać o tym, że mimo wszystko mamy obowiązek udzielić informacji osobie która występuje z takim żądaniem.

RODO w e-commerce –  dokumenty obowiązkowe

– Powiedziałeś Paweł, że polityka prywatności nie jest dokumentem obligatoryjnym w świetle zmian dotyczących wejścia w życie RODO. Powiedz może w takim razie jakie dokumenty przedsiębiorca z rynku e-commerce powinien obligatoryjnie posiadać prowadząc sklep internetowy.

– Tutaj, akurat w tym obszarze RODO wprowadza duże zmiany co wynika głównie z tego, że całkowicie zostaje zmienione podejście do obowiązków administratora, w zakresie prowadzenia dokumentacji. Dotychczas bowiem wyglądało to w ten sposób, że ustawa o ochronie danych osobowych a konkretnie rozporządzenie do niej wydane określało dokładniej jakie dokumenty powinien posiadać każdy administrator i co te dokumenty powinny zawierać. Teraz natomiast po wejściu w życie RODO, nie będzie już obowiązku prowadzenia jakichś konkretnych dokumentów. Nie oznacza to jednak, że administratorzy nie mają obowiązku prowadzenia żadnej dokumentacji przetwarzania danych osobowych. Wprost przeciwnie. RODO w kilku miejscach podkreśla, że wdrożenie wewnętrznych polityk to właśnie jeden ze środków wykazania, że administrator przetwarza dane osobowe zgodnie z prawem. Różnica polega natomiast na tym, że nowe przepisy nie określają jakie to powinny konkretnie być dokumenty i co powinny zawierać. To wymaga więc bardzo indywidualnego podejścia w każdym przypadku i zweryfikowania w jakich celach i w jakim zakresie dana firma przetwarza dane osobowe i na tej podstawie opracowanie dostosowanej do tych procesów dokumentacji.

RODO- jakie dokumenty najczęściej mają zastosowanie

– A czy możesz powiedzieć, biorąc pod uwagę wdrożenia które prowadzisz, jakie dokumenty najczęściej będą miały zastosowanie?

– Takim głównym dokumentem który obecnie opracowujemy dla klientów jest taka zbiorcza polityka bezpieczeństwa informacji, polityka bezpieczeństwa danych osobowych. Tutaj nazwy mogą być tak naprawdę różne, co wynika z tego, że to nie są dokumenty regulowane przez przepisy. Generalnie ich treść jest mocno zbliżona do tej dokumentacji która była dotychczas obowiązkowa, przy czym rzecz jasna uzupełniona jest ona przez obowiązki i kierunki jakie wyznaczają nowe przepisy, a tych kwestii które dodaje RODO jest tak naprawdę sporo, więc i mocno rozbudowana musi być ta dotychczas prowadzona dokumentacja, jeżeli była. Jeżeli nie, to również powinna być wdrożona, ponieważ mimo, że nie jest to wprost powiedziane to w dalszym ciągu prowadzenie dokumentacji dotyczącej przetwarzania danych osobowych wewnętrznych polityk dotyczących konkretnych procesów przetwarzania danych powinny być wdrożone.

Powierzenie przetwarzania danych osobowych

– Ok, to został nam już ostatni obszar o którym wspomniałeś na początku, czyli powierzenie przetwarzania danych osobowych. Czy mógłbyś szerzej przybliżyć co zmienia się w tym obszarze.

Powierzenie przetwarzania danych osobowych, to generalnie sytuacja, bo myślę, że to warto na wstępie wyjaśnić, to sytuacja gdy jako administrator powierzamy dane naszych klientów innemu podmiotowi. Jest to w przypadku sklepu internetowego, będzie to więc chociażby sytuacja gdy powierzamy dane klientów firmie hostingowej, dostawcy oprogramowania sklepu internetowego i chociażby firmie księgowej.

W każdym takim przypadku powinniśmy zawrzeć umowę powierzenia przetwarzania danych osobowych. Tutaj też warto wspomnieć , że taki obowiązek spoczywał na nas już zgodnie z obecnie obowiązującą ustawą o ochronie danych osobowych, przy czym uregulowania dotyczące powierzenia danych w tej ustawie były trochę niewystarczające, ponieważ określały one jedynie to, że powinna wskazywać zakres i cel tego powierzenia. RODO wprowadza kilka dodatkowych postanowień które powinniśmy zawrzeć w tego rodzaju umowie.Podobnie więc jak w przypadku checkboxów wejście w życie RODO to dobry moment, żeby zweryfikować, czy ze wszystkimi podmiotami z którymi powinniśmy mieć zawartą taką umowę, faktycznie mamy ją podpisaną. Po drugie jakie postanowienia ona zawiera, bo prawdopodobnie będzie ona wymagała aneksowania i dostosowania do nowych przepisów.

RODO – zniesienie obowiązku rejestracji zbiorów danych osobowych

– A czy jeszcze coś ważnego RODO wprowadza o czym przedsiębiorcy z e-commerce powinni wiedzieć?

– Taką dużą zmianą o której, może warto było powiedzieć na wstępie to jest zniesienie obowiązku rejestracji zbiorów danych osobowych. Dotychczas bowiem w każdym przypadku gdy przetwarzaliśmy jakieś dane to mieliśmy obowiązek zarejestrować taki zbiór w GIODO , najczęściej tych zbiorów było kilka, ponieważ powinno być ich co do zasady tyle, ile celów przetwarzania. W przypadku sklepu internetowego, zawsze to był zbiór dotyczący chociażby realizacji zamówień, prowadzenia konta klienta, czasem newslettera, czy rozpatrywania reklamacji i zwrotów. Po wejściu w życie RODO ten obowiązek zostaje zniesiony. Po części zostanie on zastąpiony przez obowiązek prowadzenia rejestru czynności przetwarzania. Mówię “po części” ponieważ RODO wprowadza szereg wyjątków, kiedy administrator nie ma obowiązku prowadzenia takiego rejestru, przy czym z ogółu przepisów dotyczących RODO wynika, że nawet gdy administrator nie ma obowiązku prowadzenia rejestru czynności przetwarzania jako konkretnego dokumentu, to ma obowiązek prowadzić pewien wykaz zbiorów zawierających informacje dotyczące tego jakie dane, w jakich celach i jakie kategorie tych danych przetwarza, więc taki dokument na kształt rejestru czynności przetwarzania powinien być wdrożony w zasadzie w każdej firmie.

RODO – obowiązek notyfikacji organowi nadzoru

Kolejną dużą zmianą jest obowiązek notyfikacji organowi nadzoru każdego incydentu w zakresie przetwarzania danych osobowych czyli mówiąc prościej, w każdym przypadku gdy będzie miał miejsce jakiś, mówiąc potocznie “wyciek danych” to obecnie, po wejściu w życie RODO będziemy mieli obowiązek poinformować organ nadzoru, że taka sytuacja miała miejsce w naszej firmie, a w kilku przypadkach szczegółowo określonych przez RODO będziemy ponadto mieli obowiązek poinformowania każdej osoby której taki wyciek dotyczy, to zatem też spory obowiązek o którym powinniśmy pamiętać, że na nas spoczywa.

W każdym przypadku gdy taki incydent będzie miał miejsce, powinniśmy zweryfikować to, czy mamy obowiązek informować o tym, po pierwsze organ nadzoru,a  po drugie osoby których ten wyciek dotyczy.

Ponadto bardzo duże zmiany RODO wprowadza również w zakresie zabezpieczenia danych osobowych. Generalnie temat zabezpieczenia danych nadawałby się w zasadzie na odrębny odcinek podcastu, więc tutaj myślę, że warto jedynie podkreślić to, że także w tym zakresie RODO całkowicie zmienia podejście do administratorów. Obecnie bowiem ustawa i rozporządzenie wydane do ustawy wprost określały jakie zabezpieczenia powinny być wdrożone w zależności od poziomów bezpieczeństwa. Były trzy poziomy bezpieczeństwa i w ramach każdego poziomu rozporządzenie szczegółowo określało jakie zabezpieczenia powinny być wdrożone. W RODO zrezygnowano z określania konkretnych zabezpieczeń jakie administrator powinien zastosować i generalnie poziom zabezpieczeń powinien być dostosowany do ryzyka w zakresie przetwarzania osobowych, czyli mówiąc prościej zabezpieczenia powinny być adekwatne do skali na jaką przetwarzamy dane osobowe w naszej firmie.

– Czyli, Paweł, podsumowując. RODO to perspektywy dla rynku e-commerce czy problemy i zagrożenia?

– To na pewno nowe obowiązki, przy czym każdy administrator który odpowiednio wcześnie, może to śmiesznie obecnie brzmi, bo  tego czasu zostało już naprawdę niewiele, ale każdy kto zadba o to, żeby dostosować swoją formę do nowych przepisów to bez problemu spełni wszystkie obowiązki jakie na nim spoczywają.

– Paweł, dziękuję Ci bardzo za przedstawienie nam tego jak wejście w życie RODO będzie się przekładać na rynek e-commerce.

-Również dziękuję za zaproszenie.

Dziękuję Wam bardzo za wysłuchanie kolejnego odcinka podcastu “Prawo dla biznesu”, to pierwszy odcinek w  tej konwencji , jeśli Wam się podobało dajcie znać w recenzji na funpageu czy w komentarzach na iTunes. Jeżeli takie komentarze się pojawią, dostanę od Was informację, że ta forma Wam się podoba bardziej niż dotychczasowa forma w której tylko ja przedstawiałem Wam konkretne zagadnienia dotyczące prawa. Będziemy częściej nagrywać odcinki takie jak ten dzisiejszy.

Dziękuję Wam jeszcze raz bardzo serdecznie i do usłyszenia następnym razem, w kolejnym odcinku podcastu “Prawo dla biznesu”.