Dokumentacja RODO w e – commerce
E – commerce to branża, która prężnie się rozwija próbując sprostać najbardziej wybrednym konsumentom. Dzięki RODO klienci mają większą wiedzę o ochronie danych osobowych. Świadomi swoich praw wymagają więcej i oczekują, że wirtualne zakupy będą dla nich bardziej bezpieczne. Jak RODO wpłynęło więc na przedsiębiorców działających w branży e-commerce i jak zgodnie z przepisami powinni działać internetowi sprzedawcy? W niniejszym artykule odpowiemy sobie na pytanie, czy w branży e-commerce jest wymagana dokumentacja RODO, a jeżeli tak, to jaki powinien być jej zakres.
Czy RODO narzuca obowiązek dokumentacyjny?
Każda organizacja przetwarzjąca dane osobowe, w tym te działające w obszarze e-commerce musi spełnić szereg wymogór narzuconych przez rozporządzenie ogólne o ochronie danych osobowych (RODO). Jednym z takich obowiązków jest wykazanie, iż administrator spełnia wymogi określone w rozporządzeniu oraz stosuje środki ochrony adekwatne do zagrożeń. W spełnieniu powyższego obowiązku może pomóc miedzy innymi dokumentacja, potocznie zwana dokumentacją RODO Czy rozporządzenie unijne nakłada obowiązek dokumentacyjny? W ramach rozporządzenia wymagane są w zasadzie tylko dwa rodzaje dokumentów: rejestr incydentów oraz rejestr czynności przetwarzania danych.
To oczywiście nie oznacza, że przedsiębiorca prowadzący sklep internetowy powinien ograniczyć się wyłącznie do wyżej wskazanych dokumentów. Odrębne przepisy nakładają na m.in. na branżę e-commerce obowiązek informowania o stosowanych plikach cookie (polityka cookie), zasadach związanych z realizacją zamówień przez sklep (regulamin sklepu), czy też zasady bezpieczeństwa dotyczące przetwarzania danych osobowych (polityka prywatności).
Należy pamiętać, że powyższa dokumentacją RODO tworzona jest przede wszystkim dla Klienta. Nadrzędne jest nie tylko bezpieczeństwo, ale również prosty i zrozumiały język komunikowania z klientem. Zapisy dotyczące przetwarzania danych osobowych powinny w sposób zrozumiały i przejrzysty wyjaśniać między innymi jakie dane klienta będą przetwarzane, w jakim celu, na jak długo, a przede wszystkim przez kogo.
Jakie jeszcze dokumenty są rekomendowane w e-commerce?
Przedsiębiorca prowadzący sklep internetowy podejmując decyzję dotyczącą dokumentacji, powinien pamiętać o zasadzie rozliczalności. Dokumentacja jako organizacyjny środek ochrony powinna odzwierciedlać przyjęte w sklepie zasady, reguły i metody ochrony danych osobowych. Rekomendowana jest zatem następująca dokumentacja:
- polityka ochrony danych – główny dokument wskazujący sposób organizacji ochrony danych osobowych w sklepie e-commerce
- księga klauzul – zbiór stosowanych w sklepie internetowym klauzul informacyjnych oraz klauzul zgód
- metodyka dotycząca przeprowadzania ananlizy ryzyka oraz DPIA
- polityka zarządzania incydentami – dokument określający sposób identyfikacji oraz zarządzania incydentami
- rejestry i ewidencje, np.: rejestr udostępnięć danych osobowych, rejestr podmiotów przetwarzających dane w imieniu administratora, rejestr upoważnień itp.
- procedury, np. czystego biurka i ekranu, realizacji praw osób, których dane dotyczą, nadawania uprawnień w systemie e-commerce itp.
Wskazane powyżej dokumenty RODO w e-commerce nie są wymagane, lecz ich przygotowanie z pewnością pomoże w wykazaniu zgodności z RODO.
