5 kroków przygotowania sklepu internetowego do RODO

 

Rozporządzenie o Ochronie Danych Osobowych (RODO) zacznie obowiązywać od maja 2018 roku. Do jego wymagań będą musiały się dostosować wszystkie firmy świadczące usługi na terenie Unii Europejskiej, wliczając w to także sklepy internetowe.

Sam fakt „świadczenia usług” oznacza, że uniknięcie RODO poprzez przeniesienie sklepu za granicę nie będzie możliwe. Co więcej, akt prawny nie rozróżnia i nie wyłącza odpowiedzialności żadnych podmiotów, niezależnie od ich wielkości czy obrotu. Tym samym nawet niewielki sklep, który narazi swoich klientów na nieprzyjemności, spowodowane wyciekiem lub niefrasobliwym podejściem do ich danych osobowych, musi liczyć się z karami. Maksymalny wymiar sankcji przewidziany przez RODO to 20 milionów euro lub 4 proc. światowego obrotu, w zależności od tego, która wartość jest wyższa.

Obecnie wszystkie branże przetwarzają dane osobowe, jednak to właśnie e-commerce, ze względu na ucyfrowienie całego procesu zakupowego, jest biznesem, który musi szczególnie starannie przygotować się na RODO.

1. Inwentaryzacja danych

Przed wprowadzeniem RODO w wielu firmach można było dostrzec niefrasobliwe podejście do kwestii informacji osobowych. Pracownicy przesyłali sobie wzajemnie arkusze Excel z kontaktami do klientów, księgowość prowadziła równolegle kilka baz danych do różnych celów. Przedsiębiorstwa na próbę uruchamiały różne usługi online, które przetwarzały dane klientów, a następnie przestawały z nich korzystać, bez wnikania, co się dalej dzieje z informacjami tam przechowywanymi.

Aby skutecznie przygotować swój sklep do RODO, przedsiębiorcy muszą przede wszystkim przeprowadzić inwentaryzację posiadanych informacji i wskazać, gdzie konkretnie są one przechowywane. Oznacza to nie tylko zebranie w jednym miejscu wszystkich baz danych, informacji adresowych czy kontaktowych, ale również ustalenie kto jest za nie odpowiedzialny oraz w jakim celu powstały. Przy okazji możliwe jest również ujednolicenie posiadanych informacji i uaktualnienie ich.

Dzięki inwentaryzacji  danych firma może dokładnie sprawdzić kto i w jakim celu ma do nich dostęp. A to pierwszy krok do budowy bezpieczeństwa i ładu danych w organizacji.

2. Uaktualnienie wszystkich zgód zebranych od klientów

Świadczenie usług drogą elektroniczną, wliczając w to wysyłanie ofert, wymaga ze strony klientów wyrażenia odpowiednich zgód. Tym samym wszelkiego rodzaju zgody wcześniej „dorozumiane” lub wyrażone w sposób niejednoznaczny, muszą zostać zaktualizowane.

W praktyce oznacza to, że jeśli sklep ma jakiekolwiek wątpliwości związane ze zgodami klientów, które przechowuje, ma obowiązek zwrócić się do nich z prośbą o potwierdzenie. Przy okazji będzie musiał poinformować klienta o możliwości wycofania i modyfikacji tych zgód.

Jeśli pozyskanie odpowiednich pozwoleń jest niemożliwe, sklep ma obowiązek przestać przetwarzać dane danego klienta. W innym przypadku złamie przepisy i narazi się na odpowiedzialność.

3. Opracowanie polityki przetwarzania danych i informowanie o niej klientów

Gdy firma zadba o odpowiednie zgody oraz zinwentaryzuje dane, jej obowiązkiem jest opracowanie polityki ochrony i przetwarzania danych. Zgodnie z zapisami RODO obowiązkiem każdej formy jest „zapewnienie informacjom najlepszej możliwej ochrony”. Tak nieprecyzyjny zapis wymusza na przedsiębiorstwach opracowanie własnych polityk bezpieczeństwa.

Dokument taki powinien zawierać informację na temat środków, jakie są stosowane do ochrony danych osobowych oraz wyjaśnienie, dlaczego zostały one zastosowane. Firmy powinny wobec tego szukać rozwiązań zapewniających optymalną relację między zapewnianym poziomem ochrony a ceną. Nikt nie może wymagać od najmniejszych podmiotów inwestowania w drogie systemy ochrony informacji i zatrudniania na pełen etat specjalistów. Jednak jeśli podobnych środków nie zastosują banki lub duże przedsiębiorstwa, może to zostać uznane za niedopełnienie obowiązków.

Przygotowaną wcześniej politykę ochrony danych należy udostępnić do wglądu wszystkim partnerom i klientom. Firmy uzyskują dzięki temu gwarancję, że współpraca nie narazi ich na nieprzyjemności związane z RODO, a klienci – że dane, które powierzają w firmie są bezpieczne.

4. Audyt technologiczny

Sklep internetowy jest uzależniony od wykorzystywanych technologii – platformy e-commerce, systemu CRM, narzędzi do obsługi magazynu oraz podobnych rozwiązań. Większość z nich służy przetwarzaniu danych osobowych.

Teoretycznie wszystkie wykorzystywane systemy są bezpieczne. W praktyce użytkownik najczęściej nie ma żadnych dowodów na szczelność używanych technologii. Jednak statystycznie 90 proc. aplikacji online (takich jak systemy CRM w chmurze) mają przynajmniej jedną krytyczną podatność wynikającą z błędnego podejścia do systemów bezpieczeństwa. Mimo to ponad 50 proc. firm nie ma opracowanej polityki zwalczania błędów bezpieczeństwa w swoich aplikacjach[1].

Z tego względu firma powinna regularnie przeprowadzać testy wykorzystywanych technologii. Obecnie na rynku działa wiele przedsiębiorstw, które oferują tego typu usługi w przystępnej cenie, między innymi Cybercom. Certyfikat bezpieczeństwa wystawiony przez firmę zajmującą się cyberzabezpieczeniami stanowi poważny argument za „dochowaniem wszelkiej możliwej staranności” w ochronie danych klientów.

5. Audyt prawny

RODO przewiduje nie tylko odpowiedzialność firmy za wyciek, który spowodowała, ale również za incydenty, którym winni są jej partnerzy biznesowi. Tym samym jeśli na skutek błędów dostawcy systemu CRM wycieknie baza danych klientów sklepu internetowego, to sklep zostanie ukarany.

Oznacza to, że aby zapewnić sobie bezpieczeństwo, przedsiębiorstwa muszą zadbać o odpowiednią konstrukcję umów z partnerami. Powinny one zawierać dokładne informacje na temat obowiązków oraz zakresu odpowiedzialności związanego z obsługą danych osobowych klientów.

Audytowi powinny podlegać również umowy z pracownikami, gdyż każdy z nich może mieć styczność z danymi osobowymi i przetwarzać je w ramach swoich obowiązków służbowych.

Odpowiednia konstrukcja umów z pracownikami i partnerami biznesowymi jest kluczowa dla określenia odpowiedzialności za ewentualne incydenty. Audytowi prawnemu powinna podlegać również opracowana polityka bezpieczeństwa, między innymi pod kątem spójności oraz zgodności z wymaganiami.

Podsumowanie

Kompleksowe przygotowanie sklepu internetowego do wymagań RODO to spore wyzwanie. W takiej sytuacji pomocą będą zaufani partnerzy, zarówno technologiczni jak i prawni, którzy przeprowadzą przedsiębiorstwo przez wszystkie etapy przygotowań.

[1]     https://techbeacon.com/32-app-sec-stats-you-should-be-tracking