[Zaktualizowane 29.07.2018 po konsultacji z kancelarią prawniczą]
Wielkimi krokami zbliża się 25 maja 2018 – dzień, w którym drastycznie zmienią się regulacje dot. przechowywania i przetwarzania danych. Wśród sklepów e-commerce można wyczuć wyraźne zaniepokojenie wysokimi karami, ale przede wszystkim częsty brak jasnej informacji co należy zrobić. Właściciele biznesów obawiają się wysokich kosztów związanych z analizami prawnymi, które wykażą czy ich sklepy są zgodne z RODO. A prawda jest taka, że nie ma się czego bać. Zmiany są proste, chociaż czasem niewygodne. Zobacz, co musisz zrobić, żeby dostosować swój sklep e-commerce, żeby spełniał założenia RODO.
Czy RODO to dobra zmiana?
Niedawna historia – złodzieje włamali się do sklepu savicki.pl, skąd udało im się pobrać dane transakcji wraz z informacjami o danych osobowych oraz szczegółach zamówienia. Następnie zaczęli wysyłać wiadomości z szantażem, że jeżeli nie wyślą 10% wartości zakupu na konto Bitcoin, wyślą żonom informacje o kupowanej biżuterii. Jestem przekonany, że trafili na jednostki, które te informacje woleliby zachować dla siebie, ponieważ biżuterię kupowali dla kochanki, albo byłej. To tylko jeden z wielu przykładów z ostatniego roku, gdzie wykorzystywane były skradzione dane.
Zacznijmy więc od krótkiego komentarza z perspektywy użytkownika internetu – uważam, że ta zmiana jest wyjątkowo potrzebna. Obecna ustawa regulująca bezpieczeństwo danych osobowych jest z 1997 roku. Nie było wtedy ani Facebooka, ani Google, a na naszych komputerach panował Windows 95. To jak proszenie dziadka o napisanie skutecznego programu antywirusowego.
Zmiana ta będzie niewygodna. Będzie wymagała pewnych nakładów finansowych. Będzie też ogólnie krytykowana przez internet, ze względu na konieczność zaznaczenia już nie jednej, a ok. 3 zgód na przetwarzanie danych. Sytuacja będzie wyglądała analogicznie jak belka z informacją o ciasteczkach – spotkała się ona z powszechną krytyką, ale odniosła jeden potwornie ważny cel – wszyscy obecnie wiedzą, że ich dane są zbierane przez ciasteczka i czym one są. Podobnej sytuacji spodziewam się z RODO – użytkownicy internetu zaczną być bardziej świadomi, gdzie zostawiają swoje dane i w jakim celu.
Ogólne założenia RODO
RODO wchodzi w życie już 25 maja 2018. Nie jest to moment, kiedy mamy zacząć wprowadzać je w życie, tylko musimy już być gotowi. Okres przejściowy niestety już trwa.
Jeżeli miałbym określić jednym słowem założenia RODO, to tym słowem byłoby “informowanie”. Od końcówki maja powinniśmy:
- Informować naszych użytkowników w regulaminie o tym, jakie dane zbieramy i jak je przetwarzamy.
- Informować naszych użytkowników, że mają opcję usunięcia danych z bazy.
- Dać możliwość użytkownikom wyrażenia zgody na poszczególne działania związane z przetwarzaniem danych jak np. akcje marketingowe, czy procesowanie przez firmy trzecie.
- Informować naszych użytkowników o segmentacji bazy.
- Poinformować odpowiedni organ o naruszeniu danych osobowych do 72 godzin od wystąpienia naruszenia (jeżeli takie wystąpi).
- Poinformować bezzwłocznie użytkowników, których dane zostały wykradzione
- Udokumentowanie zarówno zabezpieczeń, jak i ew. naruszeń i działań z tym związanych.
- Otrzymanie zgody od naszych obecnych Klientów na nowe zasady przetwarzanie danych (tylko jeżeli nasza polityka prywatności nie odpowiadała wymogom RODO).
- Zgody na przetwarzanie danych powinny być określone prostym, ludzkim językiem.
Co ciekawe, jest jeszcze dodatkowy punkt, który z kolei zmniejsza nasz obowiązek informacyjny:
10. Od 25 maja 2018 nie mamy już obowiązku zgłaszania bazy sklepu e-commerce do GIODO.
Skąd ta zmiana? Założenie jest związane z tym, że obecnie zgłaszamy bazę i przestrzegamy kilka podstawowych wytycznych (hasło min. 8 znaków zmieniane maksymalnie co 30 dni) i czujemy, że nie jesteśmy odpowiedzialni za dane użytkowników.
Zastanówcie się szczerze przed sobą – jak nisko na waszej długiej liście zadań związanych z utrzymaniem i promocją sklepu e-commerce jest zapewnienie bezpieczeństwa danych użytkowników?
Zmiany w regulaminie
Pierwszą zmianą, którą należy wprowadzić, jest uzupełnienie naszego regulaminu w szereg informacji. Jest to tylko kwestia zmiany tekstu, więc nie wymaga od nas specjalnych nakładów finansowych, poza ew. sprawdzeniem regulaminu przez prawnika.
Informacje, które powinny zostać zawarte w regulaminie to:
- Jakie informacje są zbierane?
- Kto jest administratorem danych?
- Po co są zbierane informacje?
- Informacja o prawach użytkownika (prawo do zapomnienia, usunięcia danych, prawo do informacji o przetrzymanych danych, prawo do edycji swoich danych, a także do zgłoszenia naruszenia.
Należy upewnić się też, że treść regulaminu jest czytelna – nie może być napisana prawniczym językiem, tylko prostymi, zrozumiałymi słowami. Jeżeli informacja będzie przedstawiona w nieczytelny sposób to może to zostać wykorzystane przeciwko nam w przypadku kontroli/problemów z wyciekiem danych.
Jakie zgody muszę pokazać w sklepie?
Po wejściu RODO nasz sklep powinien wyświetlać użytkownikowi kilka pól, w zależności od tego, jakie dane przetwarzamy. Zakładając, że mówimy o standardowym sklepie e-commerce, to prawdopodobnie znajdą się tam 2 pozycje:
Moje dane mogą być wykorzystane w celu przetwarzania zamówienia.(KG 02.04.2018) Konsultowałem artykuł z radcą prawnym – samo kliknięcie w “zamawiam i płacę” jest już jednoznaczną zgodą na przetwarzanie danych w celu realizacji zamówienia).- Moje dane mogą być wykorzystywane w celach marketingowych.
- Moje dane mogą być przekazywane podmiotom trzecim.
Trzeci punkt budzi moje największe wątpliwości, bo nie wyobrażam sobie, żeby np. firma zapewniająca obsługę programistyczną nie miała dostępu do danych zamówień. Wygląda na to, że będzie to częściowo martwy przepis, bo nie widzę realnej możliwości wdrożenia go w życie. (KG 29.07.2018) W tym celu podpisywane są specjalne powierzenia danych między firmami. Jako właściciel danych mam też prawo dowiedzieć się gdzie były przekazywane.
Bardzo ważnym założeniem związanym ze zgodami jest to, że muszą być wyrażone dobrowolnie, tj. nie możemy mieć już zaznaczonych checkboxów – użytkownik musi je sam oznaczyć. Nie możemy mieć też zgód łączonych (“Kliknij tutaj, by zaznaczyć wszystkie pola”), ponieważ zgody muszą być jednoznaczne i konkretne. (KG 29.07.2018) Nie możemy też zbierać zgód negatywnych – “nie wyrażam zgody na przetwarzanie danych osobowych”, ani sugerować układem jedynego poprawnego wyboru (np. poprzez podchwytliwe wykorzystanie kolorów w checkboxach).
Ponownie też kluczowe jest posługiwanie się czytelnym, prostym językiem. Zgody wyrażone w zawiły, niejasny sposób mogą nie być honorowane.
Informacja o segmentacji bazy
Co więcej, jeżeli dzielimy automatycznie użytkowników na grupy, (np. poprzez systemy marketing automation) to należy poinformować o tym użytkowników w regulaminie, oraz przede wszystkim – dodać kolejną zgodę, która musi być świadomie zaznaczona.
Ta wytyczna niestety generuje po naszej stronie pewne prace – ponieważ kończymy z dwoma “workami” subskrybentów/Klientów – tych, którzy się zgadzają na segmentację (profilowanie) i tych, którzy tej zgody nie wyrazili. Proponuję więc w programie marketing automation utworzyć dwa “worki”adresów i tylko jeden z nich segmentować.
(KG 29.07.2018) – po konsultacji z prawnikiem – segmentacja wymaga od nas wyłącznie obowiązku informacyjnego, czyli poinformowania Klienta o segmentacji, zgoda nie jest wymagana. Jako administrator musimy jednak być w stanie wykazać, że pokazaliśmy użytkownikowi taką informację. Ciężar udowodnienia jest po stronie administratora.
Poinformowanie w momencie zaistnienia zagrożenia wycieku danych
W przypadku ataku lub wycieku danych RODO nakłada na nas obowiązek poinformowania dwóch grup:
- W ciągu maksymalnie 72 godzin musi zostać poinformowany organ nadzorczy – proponuję rygorystycznie trzymać się tego terminu, gdyż jest to najprostsza droga do otrzymania kary finansowej.
- Niezwłocznie powinni też zostać poinformowani użytkownicy, których dane mogły zostać narażone poprzez atak. (KG 29.07.2018) Klientów informujemy tylko i wyłącznie w przypadku kiedy stwierdzamy, że nasz wyciek mógł im zagrozić, np. wypłynęły hasła, albo numery kart kredytowych. W przypadku kiedy nie ma takiego ryzyka, nie mamy obowiązku informowania użytkowników.
Chciałbym chwilę pochylić się nad drugim punktem – uważam to za bardzo dobre rozwiązanie, bo w momencie, kiedy nasze dane zostały wykradzione, my się o tym dowiadujemy i możemy podjąć decyzję o zmianie hasła w banku, e-mailu, czy innych miejscach z wrażliwymi danymi.
Dodam, że kilkukrotnie otrzymywałem podobne informacje od zagranicznych firm (nie tylko związane z wyciekiem danych, ale też np. z problemami z oprogramowaniem/serwerem). Właściwie spreparowana wiadomość może sprzedać bardzo dobry wizerunek sklepu. Jeżeli zawrzemy tam informacje o tym, jaką wagę przykładamy do bezpieczeństwa danych, wylistujemy zabezpieczenia, które wprowadziliśmy i opiszemy sugerowane kolejne kroki dla użytkowników, możemy liczyć nawet na wzmocnienie relacji z Klientem.
Inspektor Ochrony Danych Osobowych
Na szczęście w przypadku większości firm nie jest konieczne zatrudnienie/nominowanie Inspektora Ochrony Danych Osobowych. Jest to oczywiście rekomendowane, ale nie wymagane. Musimy mieć taką jednostkę, tylko jeżeli:
- Jesteśmy organizacją publiczną
- Nasza główna działalność to przetwarzanie dużej liczby danych osobowych
- Operujemy danymi z tzw. szczególnej kategorii danych, czyli danych wrażliwych (np. dane o leczeniu pacjenta, dane o wyrokach sądowych, etc.)
Jednym z obowiązków Inspektora Ochrony Danych Osobowych jest prowadzenie oceny ryzyka związanego z posiadanymi danymi osobowymi. W największym skrócie RODO zakłada, że to my decydujemy, jakie mamy dane, co może z nimi zrobić potencjalny haker i jak bardzo musimy je w związku z tym zabezpieczyć.
Ogólnie, niezależnie od tego czy posiadamy IOD, powinniśmy mieć wewnętrzny dokument (będzie potrzebny organom kontrolującym w przypadku wycieku danych), który będzie zawierał informacje o typie przechowywanych danych, liście ryzyk z nimi związanych, liście zabezpieczeń, jakie mamy wdrożone, ale także tabeli gdzie mamy udokumentowane wszelkie sytuacje, w których dane mogły być zagrożone i jakie zostały podjęte kroki zapobiegawcze.
Przykładem takiego wpisu byłoby:
Zauważona została próba wielokrotnego logowania do panelu administracyjnego. Zmieniony został adres panelu administracyjnego, zmienione zostało hasło administratora oraz dodano mechanizm blokujący po trzykrotnym wpisaniu niewłaściwego hasła.
Prowadzenie takiego dokumentu powinno być ważnym argumentem pozwalającym uchylić się od ew. kary finansowej.
Dajcie znać, jeżeli zamierzacie wysłać na szkolenie pracowników firmy. Czy będzie to jedna osoba, czy wszyscy pracownicy?
Co z naszymi obecnymi użytkownikami?
Niestety tutaj pojawia się największy problem z RODO. Jest to prawo, które poniekąd działa wstecz, bo nawet jeżeli użytkownik zgodził się na przetwarzanie jego danych osobowych, ale zgoda ta nie była zgodna z wytycznymi RODO, konieczne będzie uzyskanie jego nowej zgody.
Jak to zrobić? Najlepszym sposobem wydaje się wysłanie maila informującego użytkowników o zmianach w regulaminie z możliwością wyrażenia zgód poprzez kliknięcie w link w mailu. Oczywiście, rozwiąże to tylko część problemu – resztę użytkowników będziemy musieli poprosić ponownie o wyrażenie zgody przy zakupie lub przy pierwszym zalogowaniu się.
Ciekawym rozwiązaniem wydaje się wysłanie e-maila z wyjątkowo atrakcyjną zniżką – po wejściu na stronę i zalogowaniu się od razu powinien wyświetlić się popup, którego można tylko zaakceptować (nie można zamknąć). Podobną praktykę stosuje Google po zalogowaniu na ich usługi.
Pamiętajcie, że niestety do momentu otrzymania nowych zgód nie powinniśmy wykorzystywać danych użytkowników.
Podsumowanie RODO
Jak widzicie, wytyczne nie są bardzo restrykcyjne, dają też dużą dowolność, jeżeli chodzi o ich interpretację. Na pewno należy je wdrożyć przynajmniej w najłagodniejszej dla nas wersji, żeby nie wisiało nad nami widmo gigantycznej kary (która ma wynosić do 20 mln Euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). (KG 29.07.2018) Jest to jednak kara maksymalna, prawdopodobnie nie będzie stosowana u małych podmiotów – jest tutaj brana w ocenie skala, to czy administrator już wcześniej miał sprawę związaną z wyciekiem, a także zastosowanie pewnych elementów ochrony danych. Jeżeli więc dbamy o s e c u r i t y w naszym sklepie, to ryzyko znaczącej kary jest niewielkie.
Wprowadzając jednak te zmiany, a przynajmniej część z nich, otrzymujemy możliwość obrony przed ew. karą finansową. Pamiętajcie też, że pomimo wymagań, jakie na nas narzuca, RODO jest też pozytywną zmianą, jeżeli chodzi o sposób działania całego internetu. Owszem – dla wielu będzie to chwilowy szok, ale pozwoli się otrząsnąć z letargu.
Dziękuję za przeczytanie całości. To chyba najdłuższy artykuł, jaki do tej pory napisałem, jednak uznałem, że temat jest ważny dla wielu osób i brakuje jasnych informacji, co należy zrobić. Jeżeli macie jakiekolwiek pytania – dajcie znać.
Dwa pytania na odchodne:
1. Czy uważacie, że RODO jest dobrą zmianą? Jeżeli tak – dlaczego? Jeżeli nie – dlaczego?
2. Czy rozpoczęliście już proces zmian w Waszym sklepie? Co okazało się łatwe, a co trudne?