RODO a handel online
Już 25 maja wchodzi w życie Rozporządzenie o Ochronie Danych Osobowych, które nakłada na podmioty zajmujące się przetwarzaniem takich danych dodatkowe obowiązki. Nieprzestrzeganie ich grozi wysokimi karami finansowymi, a czasu na wdrożenie zmian zostało coraz mniej. RODO obejmie również sklepy internetowe.
Jeszcze trzy miesiące temu szacowano, że na wejście w życie rozporządzenia przygotowany jest co dwudziesty e-sklep. Tymczasem niedostosowanie procedur do nowelizacji może mieć dla przedsiębiorców poważne konsekwencje finansowe, ponieważ kara może sięgać nawet 20 milionów euro. Obowiązkiem podmiotów, które w ramach swojej działalności zbierają i przetwarzają dane osobowe, jest zabezpieczenie ich przed dostępem osób nieupoważnionych. Potrzeba zmian przepisów i wprowadzenia unijnego rozporządzenia uzasadniana jest koniecznością dostosowania ich do zmieniającej się rzeczywistości, która przez postęp technologiczny przeniosła się do sieci. Wydawać by się mogło, że branża e-commerce powinna być na zmiany szybciej i lepiej przygotowana, tymczasem dane pokazują coś zupełnie przeciwnego.
Największy postęp jest w dużych i międzynarodowych sklepach, które zmiany wdrażały stopniowo od kilku lat, albo nawet zdążyły już wdrożyć je jakiś czas temu. Mariola Więckowska, administrator bezpieczeństwa danych i inspektor ochrony danych w Allegro wskazuje, że w Allegro prace te trwają od dwóch lat. Zauważa również, że „dla wielu organizacji największym wyzwaniem jest oszacowanie ryzyka naruszenia praw lub wolności użytkowników. A jest to niezbędne, zanim wdrożymy jakąś usługę czy rozwiązanie”. Rzeczywiście, nie można stworzyć jednolitej procedury wdrażania RODO, ponieważ powinna się ona opierać o specyfikę działania danego podmiotu i do tego zostać dostosowana. Więckowska dodaje, że „od ponad trzech lat działa wprowadzane przez RODO prawo do bycia zapomnianym. Czyli na prośbę naszych klientów ich dane personalne mogą zostać usunięte”.
Do najważniejszych zmian wprowadzonych przez RODO należą:
- obowiązek zgłoszenia do właściwego organu nadzoru naruszenia ochrony danych osobowych w ciągu 72 godzin,
- prawo żądania usunięcia swoich danych z bazy firmy, a także do wglądu do tych danych lub ich przeniesienia,
- inwentaryzacja danych – obowiązek prowadzenia rejestrów danych zgodnie z zaleceniami rozporządzenia,
- uzyskiwanie zgód na zebranie i przetwarzanie danych osobowych,
- obowiązek informowania klientów jaki jest cel zbierania danych, kto będzie ich administratorem oraz jakie prawa im w związku z tym przysługują,
- organizacje przetwarzające dane osobowe pochodzące z innych firm, w trakcie świadczenia usług na ich rzecz ponosić będą bezpośrednią odpowiedzialność za złamanie zapisów RODO,
- wyznaczenie Inspektora Ochrony Danych Osobowych.