Dokumentacja RODO dla sklepu internetowego to odpowiedź na potrzeby firm, prowadzących sprzedaż internetową.
Posiadanie własnego sklepu internetowego i realizacja transakcji kupna-sprzedaży dla naszych klientów, w kontekście ochrony danych osobowych niesie ze sobą szereg obowiązków, jakie musimy spełnić:
Sprzedawać możemy przy pomocy własnej platformy sklepowej, ale też z wykorzystaniem platform sprzedażowych innych firm, np. Allegro. Do specyficznego rodzaju współpracy sprzedażowej pomiędzy podmiotami należą porównywarki cen (np. Ceneo, Skąpiec). Należy też mieć świadomość o innych obszarach, wymagających indywidualnego podejścia wynikającego z RODO, tj. korzystanie ze statystyk odwiedzin stron internetowych, np. Google Analytics, ale też w stosunku do kandydatów do pracy, naszych pracowników, kontrahentów zewnętrznych z którymi podpisujemy wszelkie umowy o współpracy, biur rachunkowych, firm świadczących usługi IT, usługi hostingowe, monitoring i inne.
Dokumentacja RODO dedykowana dla sklepu internetowego to kompletny zestaw dokumentów dostosowanych do specyfiki działalności w tej branży. Odpowiada na wszystkie wymagania wynikające z RODO, zapewniając pełną zgodność i co ważne – rozliczalność, czyli umiejętność wykazania pełnej zgodności z przepisami. Opracowaliśmy je tak, aby dały Ci poczucie bezpieczeństwa i pewność przetwarzania w zgodzie z RODO i jednocześnie podnosiły poziom bezpieczeństwa przetwarzania danych osobowych w Twoim sklepie internetowym.
Dokumentację RODO dla sklepu internetowego możemy dostarczyć Ci z naszym pełnym wsparciem przy jej wdrożeniu albo jako wzory dokumentów – do samodzielnego wdrożenia.
Polityka prywatności i plików cookies to tzw. dokumenty zewnętrzne, powinniśmy zapewnić do nich dostęp naszym klientom, kontrahentom i każdej innej osobie, której dane osobowe będziemy przetwarzać w jakikolwiek sposób. Polityki takie to zbiór wszelkich informacji na temat przetwarzania danych (w tym osobowych), podany prostym i zrozumiałym językiem. Polityka bezpieczeństwa danych osobowych to wewnętrzny dokument porządkujący zasady bezpieczeństwa stosowane w organizacji.
Nie obejdziemy się także bez szerokiego zestawu procedur. Pozwalają one usystematyzować działania i czynności jakie nakładają na nas przepisy o ochronie danych osobowych. Są wewnętrznymi drogowskazami zgodnie z którymi postępujemy w różnych sytuacjach. Ich prawidłowe zastosowanie zapewnia nam także spełnienie obowiązku rozliczalności i pośrednio przyczynia się do ochrony osób, których dane przetwarzamy, dając nam jednocześnie poczucie wewnętrznego bezpieczeństwa i zgodności z przepisami.
Powinniśmy chronić osoby, których dane osobowe przetwarzamy lub projektujemy przetwarzanie a zatem ochronę uwzględnić musimy z jednej strony już na etapie projektowania takiego przetwarzania jednocześnie pilnując by ochrona ta była zapewniona domyślnie, stąd nazwa: procedura ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Procedurę stosujemy w przypadku projektowania nowych czynności lub operacji przetwarzania, modyfikacji lub zmiany istniejących czynności i zawsze w sytuacji gdy dla tych nowych czynności lub operacji współczynnik ryzyka jest wysoki. Procedurę należy więc poprzedzić oceną ryzyka.
Procedura odnosi się do ryzyk w kontekście naruszenia praw i wolności osób, których dane przetwarzamy. W szczególności ryzyk: naruszenia prawa do prywatności, naruszenia dobrego imienia, poufności danych oraz kradzieży tożsamości.
Procedura pozwala nam na:
Zastosowanie procedury pozwala nam zidentyfikować i ocenić skutek dla konkretnej czynności przetwarzania danych. Dla każdej czynności powinniśmy wykonać tzw. test konieczności wykonania oceny. A zatem procedura pozwala nam na:
Stosowanie procedury zapewnia nam zgodność procesu przechowywania danych osobowych z przepisami o ochronie danych osobowych, poprzez:
Procedurę stosujemy do każdej czynności przetwarzania danych i jej zastosowanie w praktyce oznacza, że należy:
Przepisy o ochronie danych osobowych dają osobom fizycznym szereg praw, z których mogą korzystać zawsze gdy przetwarzamy ich dane. Oto podstawowe z nich:
Prawa te wiążą się z obowiązkami i sposobami w jakie będziemy je realizować. Wszystkie szczegółowo opisuje procedura.
Przepisy prawa zobowiązują nas do korzystania wyłącznie z usług takich podmiotów przetwarzających powierzone im dane osobowe, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Weryfikujemy zatem u potencjalnego kontrahenta następujące środki techniczne, organizacyjne i prawne:
Weryfikację taką zobowiązani jesteśmy udokumentować, co m.in. zapewnia nam zastosowanie procedury wyboru kontrahenta.
Przepisy zobowiązują nas do:
W praktyce oznacza to, że musimy:
Procedurę stosujemy zatem w sytuacji, gdy nastąpiło naruszenie danych osobowych co w praktyce oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem:
Procedura w przygotowaniu! Każdy nasz dotychczasowy Klient otrzyma procedurę bezpłatnie. Jeżeli zamówisz zestaw dokumentów zanim ukończymy procedurę – także otrzymasz ją w ramach zamówienia.
Informowanie osób o szczegółach przetwarzania ich danych osobowych to jeden z podstawowych obowiązków Administratora danych. Chcąc przetwarzać dane, musimy określić cele, podstawę prawną, retencję, odbiorców danych i wiele więcej. I o tym wszystkim informujemy osoby najpóźniej w chwili pozyskiwania danych osobowych.
Jedną z kilku podstaw prawnych może być zgoda, którą odebrać musimy od osoby, której dane chcemy przetwarzać. Zgoda taka musi być wyrażona zgodnie z przepisami. Ponadto musimy wykazać jej zgodność z przepisami.
Nie obejdziemy się także bez szerokiego zestawu procedur. Pozwalają one usystematyzować działania i czynności jakie nakładają na nas przepisy o ochronie danych osobowych. Są wewnętrznymi drogowskazami zgodnie z którymi postępujemy w różnych sytuacjach. Ich prawidłowe zastosowanie zapewnia nam także spełnienie obowiązku rozliczalności i pośrednio przyczynia się do ochrony osób, których dane przetwarzamy, dając nam jednocześnie poczucie wewnętrznego bezpieczeństwa i zgodności z przepisami.
Wzór zawiera wszystkie wymagane prawem elementy, dając jednak podmiotowi przetwarzającemu przestrzeń do samodzielnego określania zakresu i terminów realizacji poszczególnych obowiązków wynikających z przepisów prawa. Ponadto umowa nie zawiera regresu. Zwykle dobrze jest zastosować ten wzór gdy to my mamy zostać podmiotem przetwarzającym.
Wzór zawiera bardzo szczegółowy wykaz obowiązków, wynikających z przepisów prawa, takich jak pełny zestaw dokumentacji, terminy odpowiedzi i realizacji ustawowych zadań, szczegółowy opis postępowania w przypadku naruszenia danych osobowych a także zapisy o regresie. Wzór stosujemy gdy powierzamy dane osobowe zewnętrznemu podmiotowi.
Umowa o zachowaniu poufności to niezwykle ważny dokument wszędzie tam, gdzie należy dochować obustronnej tajemnicy w związku z przekazywanymi wzajemnie informacjami. Podpisujemy ją zwykle na początku zawierania współpracy, zwykle przed podpisaniem umowy o współpracy.
Dokument zabezpiecza interesy zarówno Administratora danych osobowych, powołującego specjalistę od ochrony danych jak i Inspektora Ochrony Danych. Zawiera szczegółowy zakres obowiązków wynikający z przepisów prawa a także zabezpiecza współdziałanie obu stron. Zawiera także klauzule zachowania poufności.
Zestaw plików Excel i Word, które tworzą tzw. Korespondencję seryjną. W praktyce w Excelu tworzymy listę pracowników, którym nadajemy upoważnienia i Word automatycznie tworzy dla każdego takiego pracownika odrębny dokument – nie musimy dokumentów tworzyć ręcznie. Wzór upoważnienia zawiera wszystkie niezbędne informacje.
Prowadzenie powyższych rejestrów to obowiązek każdego Administratora danych. Aby wykonać go rzetelnie, należy zidentyfikować wszystkie procesy w organizacji, w których zachodzi przetwarzanie danych osobowych a następnie zmapować je na czynności przetwarzania. Tak wyodrębnione czynności wpisujemy do rejestru, uzupełniając go o szereg dodatkowych informacji. Nasze rejestry, gotowe do zastosowania, wypełnione są danymi zawierającymi najczęściej występujące czynności przetwarzania:
Przez wiele lat obowiązywało rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (…), które wprowadzało wymagania formalne w tym zakresie.
W dniu 25 maja 2018 roku zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. RODO, które jednak nie zawiera żadnych wytycznych co do sposobu prowadzenia dokumentacji przetwarzania danych osobowych oraz jej zawartości.
Dla nas oznacza to, że tak naprawdę nie wynika wprost z przepisów prawa, jaką dokumentację powinniśmy prowadzić oraz w jaki sposób to robić. To jest między innymi głównym powodem licznych problemów w jej sporządzeniu i prowadzeniu z jakimi mierzą się wszystkie podmioty zobowiązane do przestrzegania przepisów o ochronie danych osobowych.
W odpowiedzi na te problemy, opracowaliśmy w gronie profesjonalistów w swoich dziedzinach (prawnicy, specjaliści IT, analitycy biznesowi) kompletną Dokumentację RODO dla sklepu internetowego / firmy prowadzącej sprzedaż internetową (na odległość).