Dropshipping a RODO. Jak dostosować firmę do wymagań ochrony danych osobowych?

Sklep internetowy prowadzony w modelu dropshippingowym pozwala na znaczne ograniczenie zasobów niezbędnych do prowadzenia sprzedaży. Dotyczy to magazynowania, logistyki i – w niektórych przypadkach – obsługi zwrotów i reklamacji. Nadal jednak to na Sprzedawcy (a nie hurtowni dropshippingowej) spoczywają obowiązki związane z RODO i zapewnieniem bezpieczeństwa danym osobowym – opisujemy je poniżej.

Kto odpowiada za dane osobowe w sklepie dropshippingowym?

Zlecenie zewnętrznemu podmiotowi obsługi zamówienia nie oznacza, że sami jesteśmy zwolnieni z obowiązków związanych z RODO. Nadal to Administrator danych osobowych, czyli osoba lub firma decydująca o celach i środkach przetwarzania danych będzie musiała zadbać o spełnienie wymagań RODO. Administratorem będzie w takim wypadku sprzedawca, a więc strona wskazana w umowie (np. regulaminie sklepu internetowego). Stanowiska tego nie można wyznaczyć, jest nim właściciel firmy (w przypadku działalności gospodarczej) lub spółka (jeśli posiada osobowość prawną – np. spółka z ograniczoną odpowiedzialnością).

Hurtownia dropshippingowa będzie w takim wypadku procesorem, a więc podmiotem przetwarzającym dane osobowe na rzecz i polecenie Administratora, który zobowiązany jest do korzystania z usług tylko takich podmiotów, które gwarantują prawidłowe zabezpieczenie danych osobowych.

Zakres RODO w sklepie dropshippingowym

Wdrożenie zasad ochrony danych osobowych w sklepie dropshippingowym będzie polegało na wykonaniu kilku działań formalnych, wprowadzeniu zabezpieczeń oraz przygotowaniu koniecznej dokumentacji. Na samym początku należy jednak zidentyfikować zasoby, jakich używamy do przetwarzania danych oraz zidentyfikować cele, do których wykorzystujemy informacje osobowe. Mogą to być na przykład:

• Konieczność realizacji umowy z klientem, czyli zebranie danych niezbędnych do wysyłki i obsługi zamówienia.
• Prowadzenie konta w naszym sklepie internetowym (będzie to usługa świadczona drogą elektroniczną).
• Wysyłka newslettera oraz prowadzenie innych działań marketingowych.
• Konieczność prowadzenia dokumentacji księgowej (np. imienne dowody zakupu).
• Przetwarzanie danych naszych pracowników.
• Przetwarzanie danych kontrahentów oraz pracowników kontrahentów.

Wskazane powyżej cele są przykładowe, jednak najczęściej pojawiają się w sklepach internetowych. Musimy pamiętać, że jeśli w ramach naszej firmy prowadzimy również inne działania – np. świadczymy usługi, zatrudniamy stażystów czy realizujemy usługi na rzecz innych firm, takie cele również powinny zostać uwzględnione.

Na tym etapie prac dobrze jest odnotować również:

• jakie kategorie danych pozyskujemy w ramach każdego z celów (np. na podstawie formularza rejestracji czy zamówienia),
• gdzie dane są przechowywane (czy jest to np. tylko oprogramowanie sklepu internetowego, czy również powiązane systemy CRM, niezależne kopie danych etc.),
• kto ma dostęp do danych osobowych (nasi pracownicy, oraz np. biuro księgowe, hostingodawca, czy zewnętrzna hurtownia),
• jak długo (zgodnie ze stanem faktycznym) przechowujemy dane osobowe.

Na podstawie tych informacji będziemy mogli w prosty sposób opracować jeden z dokumentów wymaganych przez RODO, czyli Rejestr czynności przetwarzania danych osobowych. Zanim do tego przejdziemy musimy poznać zasady, jakie trzeba spełniać, żeby przetwarzanie danych osobowych było legalne.

Zasady przetwarzania danych osobowych

RODO wymaga, aby wszystkie dane osobowe przetwarzane w prowadzonej działalności były:

• Odpowiednio zabezpieczone przed dostępem osób nieuprawnionych, wyciekiem, zniszczeniem i niepoprawną zmianą.

Dane osobowe muszą być bezpieczne. To, jakie zabezpieczenia wdrożymy powinno być związane z kontekstem, zakresem oraz zasobami używanymi do przetwarzania danych. RODO jest neutralne technologicznie, co oznacza że nie wskazuje żadnych konkretnych zabezpieczeń pozostawiając tą kwestię Administratorowi – sami musimy zdecydować, jakie zabezpieczenia będą adekwatne w naszym konkretnym przypadku.

• Przechowywane nie dłużej, niż jest to konieczne.

Należy określić, jak długo przetwarzać będziemy dane osobowe. W związku z tym musimy wiedzieć, jakie cele będziemy realizować. Przykładowo realizacja zamówienia może wiązać się z:

• koniecznością wystawienia dowodu zakupu z danymi osobowymi (np. faktura). Dokumenty potwierdzające zobowiązanie podatkowe musimy przechowywać przez 5 lat licząc od końca roku, w którym zobowiązanie powstało,
• zabezpieczeniem, ustaleniem lub dochodzeniem roszczeń, co umożliwia nam przechowywanie danych przez 3 lub 6 lat (w zależności od tego, czy zawarliśmy umowę z konsumentem czy przedsiębiorcą).

Dla realizacji tych celów będziemy musieli posiadać dane osobowe. Należy jednak pamiętać o odpowiedniej formie przechowywania danych (np. pozostawienia tylko w systemach, które odpowiadają za dany proces – np. w oprogramowaniu księgowym, a nie systemie sklepu internetowego).

• Zbierane tylko w minimalnym, niezbędnym zakresie.

Co oznacza konieczność przeanalizowania zakresu pozyskiwanych danych. W przypadku zbierania danych nadmiarowych powinni zostać one usunięte.

• Pozyskiwane i wykorzystywane legalnie i przejrzyście.

Dla każdego celu powinniśmy dysponować odpowiednią podstawą prawną (jak np. konieczność realizacji umowy czy obowiązek prawny). Musimy wiedzieć też, w jaki sposób przetwarzamy dane (czas przetwarzania, lokalizacja, zabezpieczenia, etc.).

Obowiązki związane z dropshippingiem

Po przeanalizowaniu celów i ustaleniu zasobów możemy przystąpić do dalszych działań, które powinny objąć:

1. Utworzenie listy podmiotów, którym przekazujemy dane osobowe. Na takiej liście należy uwzględnić:

   • Hostingodawcę

   • Biuro księgowe

   • Agencje marketingowe

   • Firmy zapewniające obsługę IT

   • Hurtownie realizujące zamówienia

   • Inne podmiotu, którym przekazujemy dane.

Z tymi podmiotami musimy zawrzeć Umowę powierzenia danych osobowych. Jest to dokument, w którym określa się prawa i obowiązki stron związane z przetwarzaniem danych osobowych. Umowa taka nie musi mieć tradycyjnej, papierowej formy. Może to być inny, wiążący instrument prawny, jak np. regulamin czy część umowy głównej (np. na świadczenie usługi).

Duże podmioty, których działalność opiera się na przetwarzaniu danych powierzonych zwykle dysponują własnym dokumentem tego rodzaju, dlatego w pierwszej kolejności najlepiej zwrócić się do konkretnej firmy z pytaniem, w jaki sposób regulowana jest kwestia danych osobowych (bardzo często otrzymamy gotowy dokument do podpisania).

2. Opracowanie dokumentacji niezbędnej dla zabezpieczenia danych osobowych i wykazania rozliczalności prowadzonych działań. W jej zakres powinny wejść:

1. • Wspomniany już Rejestr czynności przetwarzania danych osobowych,

   • Imienne upoważnienia dla osób mających dostęp do danych osobowych, wraz z oświadczeniem o zachowaniu danych w poufności,

   • Rejestr incydentów i naruszeń bezpieczeństwa (w przypadku naruszeń mogących powodować wysokie ryzyka dla osób, których dane dotyczą należy poinformować w ciągu 72 godzin takie osoby oraz dokonać zgłoszenia w Urzędzie ochrony danych osobowych),

   • Analiza ryzyka – czyli formalny dokument, w którym zidentyfikujemy ryzyka dla danych osobowych w naszej działalności i środki podjęte w celu ich zminimalizowania.

Oprócz tego należy opracować i wdrożyć dokumenty, które będą budowały system bezpieczeństwa, jak na przykład:

• Politykę bezpieczeństwa
• Regulamin / instrukcję przetwarzania danych dla personelu
• Procedurę postępowania w przypadku naruszeń bezpieczeństwa
• Inne procedury, regulaminy i dokumenty, jakie będą konieczne.

Zakres dokumentacji powinien być zawsze dostosowany do potrzeb i możliwości przedsiębiorstwa.

3. Umieszczenie klauzul informacyjnych w miejscach pozyskiwania danych osobowych. RODO wymaga, aby w momencie zbierania danych osobowych przekazywać zestaw informacji. Musimy poinformować między innymi o:

   • Danych Administratora

   • Celach przetwarzania danych

   • Sposobie kontaktu z Administratorem

   • Prawach jakie przysługują w związku z przetwarzaniem

   • Okresie przechowywania danych

Informacje te powinny znaleźć się:

• Przy formularzach (np. zamówienia, rejestracji konta czy zapisie na newsletter).
• W ogłoszeniach o pracę.
• Jako nagranie przy rozmowie telefonicznej.
• Na papierowych formularzach, przy pomocy których zbierane są dane osobowe.

Pamiętajmy, że bezpośrednio w miejscu pozyskiwana danych mogą pojawić się tylko podstawowe informacje (dane ADO, cele przetwarzania) wraz z odesłaniem do pełnej treści klauzuli informacyjnej (np. w polityce prywatności).

Działania po wdrożeniu

Wdrożenie RODO nie ogranicza się tylko do jednorazowego utworzenia dokumentacji. Należy pamiętać o tym, że poszczególne działania powinny być realizowane stale, zgodnie ze zmieniającym się stanem faktycznym (bezpieczeństwo danych do proces). W związku z tym powinniśmy:

• Odnotowywać zmiany w celach przetwarzania oraz weryfikować poprawność Rejestru czynności przetwarzania,
• Analizować incydenty i naruszenia bezpieczeństwa,
• Przeprowadzać analizę ryzyka dla nowych lub modyfikowanych procesów,
• Wydawać upoważnienia dla nowych pracowników,
• Zawierać umowy powierzenia danych z podmiotami, z którymi rozpoczynamy współpracę,
• Realizować inne, przyjęte działania (np. przeglądy oprogramowania, testy kopii zapasowych, testowanie zabezpieczeń, kontrola dostępu, etc.).

Dzięki temu utrzymamy stały poziom bezpieczeństwa danych osobowych zabezpieczając się przed konsekwencjami prawnymi (np. karą za nieprawidłowe przetwarzanie danych) oraz znacznie zminimalizujemy ryzyka związane z ujawnieniem, utratą lub nieuprawnioną modyfikacją naszych danych.

Autor: Maciej Chwaliński, Specjalista ochrony danych osobowych

---

Jeżeli chcesz wdrożyć RODO w swojej firmie, napisz do mnie na biuro@trustdeal.pl – mam bardzo korzystną cenowo ofertę.