RODO/GDPR i e-privacy w sektorze e-commerce

Mało który obszar działalności przedsiębiorstwa jest tak często poddawany nowym regulacjom prawnym, jak ma to miejsce w przypadku e-commerce. Zupełnie nie tak dawno (grudzień 2014 r.) przedsiębiorcy mierzyli się z nowym prawem konsumenckim, dostosowując procedury i dokumenty do zmienionej rzeczywistości prawnej. Aktualnie wyzwanie jest jeszcze większe. Od dnia pełnego obowiązywania RODO (Od 25 maja 2018 r ) zagadnienie ochrony danych przejdzie na całkowicie inny, znacznie wyższy poziom ryzyka, a zgodność przetwarzania z przepisami stanie się krytyczna dla przedsiębiorstw.

Pozostaje więc coraz mniej czasu na przeprowadzenie w swojej organizacji projektu pt. wdrożenie RODO. Trzeba jednak pamiętać, że na horyzoncie europejskim pojawia się jeszcze jeden istotny dokument – rozporządzenie e-privacy, które ureguluje jednolicie w całej Unii Europejskiej zagadnienia dotyczące m.in. plików cookies, tele i e-mail marketingu oraz zasad korzystania z meta danych. Aktualnie e-privacy to wciąż projekt ale planowane jest wejście w życie i stosowanie tych przepisów również z dniem 25 maja 2018 r.

Rozporządzenie o ochronie danych osobowych przewiduje m.in. możliwość nakładania sankcji finansowych przez organ nadzoru (Prezesa Urzędu Ochrony Danych Osobowych), na kwotę maksymalnie do 20 mln EUR lub 4% obrotu światowego przedsiębiorstwa oraz ich zdecydowane egzekwowanie. Sankcje zdecydowanie stały się jednym z głównych impulsów dla wielu firm do zainteresowania się tematem ochrony danych osobowych. Ryzyko jednak nie jest wyłącznie finansowe. Pod uwagę trzeba brać m.in. rozstrzygnięcia przyszłego organu nadzoru np. ograniczające możliwość transferu danych do państwa trzeciego, jeżeli zasady i podstawy tego transferu będą budziły wątpliwości prawne.

Istotnym elementem funkcjonowania każdego przedsiębiorstwa są jego klienci/kontrahenci. W szczególności nie ma po co prowadzić obszaru e-commerce skoro się nie sprzedaje. Sporą cześć klientów stanowią tzw. klienci indywidualni czyli osoby fizyczne nieprowadzące działalności gospodarczej. Dla tych klientów RODO niesie ze sobą znaczne poszerzenie możliwości i środków prawnych wobec administratora danych. Nie są to jednak jedyne zmiany bo chociaż dziś (po wielu zmianach) przedsiębiorcy z CEIDG (tzw. jednoosobowi przedsiębiorcy prowadzący działalność gospodarczą) nie są traktowani jak dane osobowe, to w maju 2018 r. – będą. Czyli nawet sklep online sprzedający wyłącznie B2B również powinien być zainteresowany projektem pt. RODO (poza tym zapewne ma pracowników więc temat RODO i tak go dotyczy). Oprócz już teraz znanych instytucji jak np. prawo do sprzeciwu przetwarzania danych, klient będzie miał ponadto możliwość zrealizować następujące prawa:

- prawo do przenoszenia danych (od przedsiębiorcy X do przedsiębiorcy Y) (nie tylko danych osobowych ich dotyczących ale również innych danych, które są wynikiem korzystania z usługi;

- „prawo do bycia zapomnianym” (trwałego, kompletnego usunięcia informacji o danej osobie z systemów przedsiębiorcy);

- rozszerzone prawo do informacji (m.in. o dane dot. czasu przetwarzania danych);

- prawo do niepodlegania profilowaniu (szczególnie istotne w marketingu oraz przy tworzeniu tzw. czarnych list).

Oznacza to, że od dnia 25 maja 2018 r. każdy z przedsiębiorców, w ramach swojej organizacji, będzie musiał być przygotowany, zarówno organizacyjnie (w tym od strony systemów IT), jak i proceduralnie, na zrealizowanie nowy uprawnień przysługujących ich klientom. Należy się spodziewać, że klienci mogą chcieć korzystać z nowych uprawnień i np. przenieść swoje dane ze sklepu X do sklepu Y (nie tylko swoich danych osobowych ale również np. historii zamowień).

RODO/GDPR i e-privacy w sektorze e-commerce

Przykładowe kroki prowadzenia projektu RODO dla e-commerce

Skoro mowa o systemach IT to trudno wyobrazić sobie aktualnie działające, nowoczesne przedsiębiorstwo bez wsparcie co najmniej dziesiątek mniejszych i większych systemów informatycznych. Jest to widoczne zwłaszcza w obszarze systemów marketing automation, które zasilane są danymi z bardzo wielu źródeł i systemów. Praktyka pokazuje, że w większości tego typu systemów IT przetwarzane są dane osobowe. W konsekwencji przedsiębiorcy muszą dostosować swoje systemy tak, aby spełniały one wymogi RODO, chociażby w zakresie oczekiwanego poziomu zabezpieczeń czy funkcjonalności. Dobrym przykładem ilustrującym konieczność wprowadzenia zmian w zakresie systemów IT jest wspomniane prawo do przenoszenia danych, które wymaga wygenerowania pliku z danymi osobowymi konkretnego klienta/kontrahenta.

Duże zmiany dotyczą brzmienia i zakresu zgód na przetwarzanie danych osobowych, jakie aktualnie przedsiębiorcy stosują nie tylko na swoich stronach internetowych ale również na szeregu drukowanych materiałów, formularzy i ulotek.. Zarówno same zgody, jak i informacje podawane w ramach obowiązku informacyjnego, wymagają zmian, zaimplementowania w systemach i „na papierze”, w konsekwencji przeszkolenia kadry w jaki sposób należy postępować z danymi gromadzonymi tymi kanałami.

RODO wymaga od przedsiębiorców opracowania reguł postępowania i dokumentacji w związku z nowymi instytucjami przewidzianymi przez RODO. Jednym z wymogów jest notyfikowanie organu nadzoru (Prezesa Urzędu Ochrony Danych Osobowych) o fakcie naruszenia zasad bezpieczeństwa danych osobowych (np. w wyniku wycieku danych osobowych). Przepisy wprowadzają określony czas i zakres informacji koniecznych do przekazania organowi nadzorczemu przez przedsiębiorcę. Obligują go również do przekazania konkretnych informacji do każdego podmiotu, którego dane osobowe przedsiębiorca przetwarza i które mogły być przedmiotem takiego wycieku. Innymi nowymi instytucjami jest zasada privacy by design oraz privacy by default – wymagające od przedsiębiorcy uwzględnienia zasad ochrony danych osobowych (m.in. zasada minimalizmu danych – nie zbieramy więcej aniżeli jest niezbędne) zarówno w fazie projektowania samej usługi czy narzędzia, ale także w całym cyklu jego funkcjonowania. Do tego dołożyć trzeba jeszcze obowiązek administratora danych do udokumentowania i udowodnienia spełnienia wymogów RODO (zasada rozliczalności).

U wielu administratorów danych osobowych powołany jest aktualnie Administrator Bezpieczeństwa Informacji (ABI). RODO przewiduje w tym zakresie funkcje IOD – Inspektora Ochrony Danych (w angielskim tekście rozporządzenia DPO – Data Protection Officer). Podstawowym pytaniem przedsiębiorców, którzy jeszcze nie powołali ABI będzie, czy mają powoływać DPO czy nie. Innym pytaniem będzie, czy wolno outsourcować funkcję DPO i czy to jest dla administratora danych osobowych bezpieczne. Decyzje w tym zakresie powinny być podejmowane indywidualnie, biorąc pod uwagę faktyczną działalność i procesy zachodzące w danym przedsiębiorstwie.

Kolejną kwestią jest korzystanie z podwykonawców, co w praktyce jest normalnym procesem biznesowym. Dotyczy to najczęściej usługi hostingu czy outsourcingu np. procesów kadrowych. Każdy przedsiębiorca przed 25 maja 2018 r. musi przeprowadzić analizę jakie umowy dot. powierzenia danych do przetwarzania zawarł i z kim. Jest to istotne z dwóch powodów – z jednej strony konieczne może być aneksowanie tych umów (ustawodawca unijny wprowadził szereg dodatkowych elementów, jakie muszą znaleźć się w tych umowach), z drugiej strony administrator danych powinien sporządzić dokumentację, z której wynika dlaczego tak istotne informacje jak dane osobowe powierzył temu konkretnemu podmiotowi.

Wiele wskazuje na to, że za naruszenie zasad ochrony danych osobowych pod RODO (i nową polską ustawą o ochronie danych osobowych) przedsiębiorcy będą musieli liczyć się zarówno z odpowiedzialnością karną (tak jak ma to miejsce aktualnie), odpowiedzialnością cywilną oraz administracyjną w postaci drakońskich kar pieniężnych (i to w ramach, aktualnie projektowanego, postępowania jednoinstancyjnego przed Prezesem Urzędu Ochrony Danych Osobowych, a następnie sądem administracyjnym). W zakresie mechanizmów mogących wpłynąć na wymiar kary pieniężnej istotna jest certyfikacja oraz kodeksy postępowania.

Na koniec – czas. Średni czas trwania projektu RODO w e-commerce to od 3 do 9 miesięcy (w zależności od zakresu i złożoności projektu). Co to oznacza? Że czasu zostało już praktycznie bardzo mało.

Bartosz Marcinkowski, radca prawny, Partner w Kancelarii Domański Zakrzewski Palinka

Michał Kluska, adwokat, Associate w Kancelarii Domański Zakrzewski Palinka

Więcej na temat zagadnień prawnych dotyczących e-commerce możesz dowiedzieć się podczas jednej z najstarszej i najciekawszej konferencji poświęconej sprzedaży przez Internet - Ecommerce Standard.

www.ecommercestandard.pl