Lip 28

RODO w e-commerce

Tags:

Uruchamiasz sklep internetowy, ale obawiasz się
przepisów o ochronie danych osobowych? Przeczytaj poniższy artykuł – dzięki
niemu w kilka minut dowiesz się najważniejszych rzeczy o RODO lub uporządkujesz
swoją dotychczasową wiedzę.

RODO

RODO, czyli Rozporządzenie o
Ochronie Danych Osobowych weszło w życie 25 maja 2018 roku po dwuletnim okresie
przejściowym. Rozporządzenie ujednolica przepisy na terenie całej Unii
Europejskiej. Przepisy RODO dotyczą ochrony danych osobowych osób fizycznych w
związku z ich przetwarzaniem przez podmioty gospodarcze. Obowiązek zastosowania
się do RODO mają wszyscy przedsiębiorcy, którzy gromadzą, a później
wykorzystują dane dotyczące osób fizycznych. Przepisy rozporządzenia dotyczyć
więc będą zarówno dużych korporacji, jednoosobowych firm, czy sklepów
internetowych. Uwaga, przepisom RODO będą podlegać także osoby, które nie
prowadzą działalności gospodarczej stricte, ale przetwarzają dane w związku z
wykonywaniem czynności zawodowych. W porównaniu do dotychczasowych norm RODO
zwraca szczególną uwagę na zakres przechowywanych danych, obowiązek
informowania osób, których dane dotyczą o celu i czasie przetwarzania danych
osobowych, a także podkreślają konieczność jasnego formułowania rozmaitych
zgód. 

Czym są dane osobowe?

Może nam przyjść do głowy, że dane osobowe to imię i
nazwisko. Jednak poza samym imieniem i nazwiskiem danymi osobowymi są również:
adres zamieszkania, numer identyfikacyjny, pseudonim, dane o lokalizacji, identyfikator
internetowy i wszelkie inne dane, które pozwalają na identyfikację konkretnej osoby.

Oprócz danych osobowych „zwykłych”, RODO wskazuje również
m.in. dane dotyczące zdrowia, poglądów politycznych, orientacji seksualnej. Są
to dane z kategorii wrażliwych, które powinny być chronione w szczególny
sposób.

RODO zdecydowanie rozszerzyło pojęcie danych osobowych.
Mianem danych osobowych możemy określić wszystkie informacje, które umożliwiają
nam identyfikację osoby
.

Jakie czynności obejmuje przetwarzanie danych
osobowych?

Przetwarzanie danych osobowych jest również terminem bardzo
szerokim. Dotyczy bowiem nie tylko wykorzystywania zgromadzonych danych, ale
także ich zbierania, utrwalania, organizowania, porządkowania, przechowywania,
adaptowania lub modyfikowania, pobierania, przeglądania, wykorzystywania,
ujawniania poprzez przesłanie, rozpowszechnianie lub innego rodzaju
udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub
niszczenie.

Reasumując, przetwarzanie oznacza każdą czynność, która
jest związana z użyciem danych osobowych. Przetwarzanie danych osobowych musi
być oczywiście uzasadnione i konieczne do wykonania usług np. dostawy produktu.

Kim w świetle RODO jest Administrator?

Administrator to podmiot, który ustala cel, w jakim są
wykorzystywane dane osobowe oraz sposób ich przetwarzania. To na nim spoczywa obowiązek
zadbania o odpowiednie zabezpieczenie danych osobowych.

Podmiot przetwarzający – kto to taki?

Oprócz administratorów, istotną kategoriach w nowych
przepisach są tzw. Podmioty przetwarzające. Są to podmioty, które przetwarzają
dane w imieniu administratora, wyłącznie na jego polecenie. Te działania uregulowane
są umową powierzenia przetwarzania danych osobowych. Wraz z wejściem  RODO możliwe jest zawarcie wspomnianej umowy on-line,
bez konieczności przesyłania dokumentów w wersji papierowej. Działania tego
typu mają miejsce np. wtedy, kiedy hostingodawca odpowiada za przechowywanie
wszelkich informacji z Twojego e-sklepu na swoich serwerach.

wprowadzenie zasady privacy by default – która oznacza
wprowadzenie takich środków (zarówno technicznych, jak i organizacyjnych)
pozwalających na przetwarzanie tylko danych niezbędnych do określonej operacji.

Obowiązki przedsiębiorcy e-commerce z zakresu
ochrony danych osobowych – praktyczne wskazówki krok po kroku.

  1. Weź
    pod uwagę ochronę danych osobowych już na etapie projektowania e-sklepu:

Privacy by design to uwzględnienie ochrony danych w fazie projektowania, innymi słowy – zapewnienie zgodności z RODO, jeszcze zanim zaczniesz przetwarzać dane. Przykład: jeśli planujemy uruchomić sklep internetowy, to zastanawiamy się, jakie będą warunki regulaminu, jaki system informatyczny będzie wykorzystywany do jego świadczenia, a także którzy pracownicy będą zaangażowani w proces sprzedaży. Już na tym etapie powinniśmy odpowiedzieć na pytania: jakie dane osobowe będziemy pozyskiwać? Gdzie klienci znajdą informacje o przetwarzaniu danych? Z kim należy zawrzeć umowę powierzenia przetwarzania?

2. Pamiętaj także o zasadzie Privacy by default:

Co oznacza wdrożenie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Przykładowo: kupujemy jakiś produkt i podajemy dane osobowe, to bez dodatkowej zgody sprzedawca nie powinien zapisywać nas do programu lojalnościowego czy konkursu.

3. Zastosuj odpowiednie zabezpieczenia

RODO odchodzi od dotychczasowych sztywnych
reguł, na rzecz elastycznych, dobieranych indywidualnie rozwiązań. O tym, czy
zostały właściwie dobrane, zadecyduje ich skuteczność. RODO wskazuje jedynie
wytyczne w zakresie prawidłowych rozwiązań:

  • pseudonimizację i szyfrowanie danych osobowych,
  • zapewnienie poufności, integralności,
    dostępności i odporności systemów i usług przetwarzania
  • możliwość szybkiego przywrócenia dostępności
    danych osobowych i dostępu do nich w razie incydentu fizycznego lub
    technicznego,
  • regularne testowanie, mierzenie i ocenianie
    skuteczności środków technicznych i organizacyjnych mających zapewnić
    bezpieczeństwo przetwarzania.

    Z
powyższego można wywnioskować, iż powinieneś regularnie sprawdzać i ulepszać
przyjęte procedury.

Zapewnienie bezpieczeństwa to zarówno bezpieczeństwo sieci i systemów, jak i urządzeń mobilnych, pomieszczeń i przede wszystkim odpowiednio przeszkoleni pracownicy. Dbanie o pogłębianie ich wiedzy i świadomości stanowi ważny element w zakresie gwarantowania bezpieczeństwa danych osobowych. Bowiem w każdym systemie bezpieczeństwa to ludzie stanowią jednocześnie najsłabsze i najsilniejsze ogniwo.

4. Regulamin

RODO nie nakłada żadnych
szczególnych obowiązków na przedstawicieli branży e-commerce.

W wielu regulaminach e-sklepów
znajdują się postanowienia dotyczące przetwarzania danych osobowych. Dobrym
pomysłem będzie skrócenie postanowień dotyczących danych osobowych w regulaminie
do niezbędnego minimum i umieszczenie w dokumencie aktywnych linków do obowiązku
informacyjnego, np. polityki prywatności.

Regulamin nie powinien zawierać zgody na przetwarzanie danych osobowych – RODO wskazuje bowiem, że wszelkie zgody, jakie zbierasz od swoich klientów czy użytkowników, powinny być udzielone świadomie, jednoznacznie i przede wszystkim dobrowolnie. RODO wymaga od administratora większej dbałości i staranności w celu upewnienia się, że zgoda została wyrażona w sposób nie budzący wątpliwości.

5. Obowiązek informacyjny – Polityka prywatności, polityka plików cookies

Aby działać zgodnie z RODO,
przedsiębiorca ma obowiązek zapewnienia, że jego klienci poinformowani zostali
m.in. o tym, kto, w jakim celu, na jakiej podstawie i jak długo przetwarzać
będzie ich dane osobowe.

Oprócz konkretnych treści,
które powinny zostać umieszczone w polityce prywatności (dokładnie sprecyzowane
w art. 13 RODO), sklepy internetowe powinny zadbać również o umiejscowienie,
swojej polityki prywatności. Przede wszystkim klient powinien mieć łatwy dostęp
do informacji. RODO nie determinuje technicznych aspektów realizacji obowiązku
informacyjnego. W praktyce w wielu e-sklepach klauzula informacyjna umieszczana
jest jako osobny, podlinkowany dokument. Warto na swojej stronie internetowej
stworzyć widoczną zakładkę, z której jasno będzie wynikać, że klikając w nią,
można uzyskać informacje dotyczące przetwarzania danych osobowych.

Polityk plików cookies to kolejny niezbędny dokument, który powinien znaleźć się na stronie internetowej. Administrator informuje klientów o stosowaniu takich plików, ich rodzaju oraz możliwości indywidualnej zmiany ustawień.

6. Zgody

Jeśli chcesz uporządkować kwestie zgód na przetwarzanie
danych osobowych to sprawdź, czy w ogóle ich potrzebujesz. Nie trzeba
bowiem odbierać zgody, jeśli podstawą do przetwarzania danych jest obowiązek
wynikający z przepisu prawa, wykonywanie umowy albo tzw. prawnie uzasadniony
interes administratora. Wystarczy posiadać jedną z podstaw prawnych
wskazanych w RODO, aby móc legalnie przetwarzać dane osobowe.

W praktyce zatem zbędne będzie umieszczanie pod formularzem
zamówienia checkboxa o treści „wyrażam zgodę na przetwarzanie podanych
przeze mnie danych osobowych przez XXX w celu realizacji zamówienia”. Samo
zawarcie umowy stanowi tutaj podstawę prawną przetwarzania danych. 

 RODO wskazuje, że
zgoda dotycząca przetwarzania danych osobowych powinna być:

  • dobrowolna,
  • świadoma,
  • jednoznaczna,
  • konkretna

Jeśli zbierasz zgody w formie checkboxu, to okienko
powinno być domyślnie odznaczone, a dopiero działanie użytkownika poprzez kliknięcie
może powodować zaznaczenie zgody. Dobrowolność zgody będzie zachodziła także
wówczas, gdy od jej udzielenia nie będziesz uzależniał sprzedaży produktów czy
usług w swoim e-sklepie. Dodatkowa zgoda np. na subskrypcję newslettera
powinna być umieszczona osobno i nie można uzależniać od niej sprzedaży.

Dobrowolność zgody nie oznacza zakazu oferowania
dodatkowych  korzyści w zamian za
wyrażenie zgody. Proponowanie jednorazowego rabatu w zamian za zapisanie
się na newsletter będzie jak najbardziej dozwolone.

Świadoma zgoda to taka, którą użytkownik wyraża
w sposób aktywny, w pełni zdając sobie sprawę z tego, co robi. Użytkownik
musi kliknąć w odpowiednie miejsce zaznaczając checkbox, zatem jego
działanie jest nieprzypadkowe.

Zgoda jednoznaczna, wyraźna, to zgoda niezaprzeczalna.
Konkretne działanie lub oświadczenie musi być przyzwoleniem na konkretne
czynności, których chcesz następnie dokonywać.  

Treść zgody

  • Konkretność zgody, to wskazanie w jej treści
    zgody podać pełną nazwę Twojego przedsiębiorstwa,. Niepoprawne będzie zatem wskazanie
    „na cele własne i partnerów”,
  • Należy wskazać cel i zadbać o to, by nie
    zbierać danych jednocześnie w kilku niepowiązanych ze sobą celach,
  • Określamy jakich kategorii danych osobowych
    zgoda dotyczy.

Należy pamiętać, że dane klienta, które zostały uzyskane w wyniku zawartej umowy sprzedaży, nie powinny posłużyć do promowania innych produktów, np. poprzez wysyłkę mailową. Oprócz RODO zastosowanie w takim wypadku mają również inne polskie przepisy – ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego, które wskazują obowiązek zbierania zgód na podejmowanie działań marketingowych.

7. Respektowanie praw osób, których dane dotyczą

Zgodnie z
przepisami RODO każda osoba, której dane osobowe przetwarzamy jako administrator
danych osobowych,  ma prawo do:

  1. bycia informowanym o przetwarzaniu danych
    osobowych,
  2. dostępu do swoich danych osobowych,
  3. poprawiania, uzupełniania, uaktualniania, sprostowania
    danych osobowych,
  4. usunięcia danych (prawo do bycia zapomnianym),
  5. ograniczenia przetwarzania,
  6. przenoszenia danych,
  7. wniesienia sprzeciwu od przetwarzania danych
    osobowych,
  8. prawo do cofnięcia zgody w dowolnym momencie
    bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie
    zgody przed jej cofnięciem,
  9. niepodlegania profilowaniu,
  10. wniesienia skargi do organu nadzorczego (tj.
    do Prezesa Urzędu Ochrony Danych Osobowych), o którym mowa w art. 77 RODO

Dla Ciebie jako właściciela e-sklepu istotne będą przede wszystkim:

•  prawo do bycia zapomnianym,

•  prawo dostępu do swoich danych wraz z prawem otrzymania ich kopii.

•  sprzeciw wobec przetwarzania danych osobowych (najczęściej dotyczy marketingu bezpośredniego).

Osoba, której
dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia
dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej
zwłoki usunąć dane osobowe (prawo do bycia zapomnianym). Jednakże zanim
usuniesz dane, sprawdź czy spełniony jest jeden spośród następujących warunków:

  1. dane nie są już dłużej niezbędne do
    realizacji celu, w jakim zostały zebrane lub są przetwarzane;
  2. podmiot danych wycofał zgodę na
    przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby
    mimo tego kontynuować przetwarzanie;
  3. podmiot danych sprzeciwia się
    przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy
    przetwarzania, lub
  4. podmiot danych sprzeciwia się
    przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu
    bezpośredniego (w tym profilowania);
  5. przetwarzanie w inny sposób nie jest lub
    nie było zgodne z RODO lub innymi przepisami prawa;
  6. dane osobowe zostały zebrane w nawiązaniu
    do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa
    informatycznego (np. e-handel, portale społecznościowe).

Prawo dostępu
klienta do swoich danych to np. możliwość podglądu i modyfikowania swoich
danych, a także możliwość przeglądania historii swoich zakupów.

Kopią może być
np. raport, który można wygenerować z konta użytkownika (historia konta oraz
dane).

Prawo do
wniesienia sprzeciwu nie ma charakteru bezwzględnego i nie można go zastosować
w każdym przypadku. Wyjątkiem jest przetwarzanie danych w celach
marketingowych, gdzie prawo do złożenia sprzeciwu  powinno być zawsze
realizowane.

Zgłaszając
sprzeciw, osoba której dane dotyczą powinna wskazać swoją szczególną sytuację,
z uwagi na którą Administrator nie powinien przetwarzać jej danych osobowych.
Zaprzestanie przetwarzania nie będzie możliwe w poniższych sytuacjach:

  • Istnienie
    ważnych prawnie uzasadnionych podstaw do przetwarzania danych, nadrzędnych
    wobec interesów, praw i wolności osoby, której dane dotyczą lub
  • Istnienie podstaw do ustalenia,
    dochodzenia lub obrony roszczeń.

 Osoba której dane dotyczą może w każdym
momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych
na potrzeby marketingu, w tym profilowania,  w granicach w jakich
przetwarzanie jest związane z marketingiem bezpośrednim. Po wniesieniu
sprzeciwu nie możesz przetwarzać danych w tym celu.

Skorzystanie zarówno z prawa sprzeciwu, jak i innych praw jest bezpłatne. Pamiętaj, że masz obowiązek odpowiedzieć na żądanie osoby, której dane dotyczą w ciągu miesiąca. W przeciwnym razie klient może wnieść skargę do organu nadzorczego.

8. Zasady

RODO opiera się na poniższych zasadach ogólnych, których
należy bezwzględnie przestrzegać:

  1. Zasada zgodności z prawem, rzetelności i przejrzystości – przetwarzanie danych może odbywać się wyłącznie w sposób zgodny z prawem. Powinieneś informowanie o celu czynności oraz prawach, jakie ma każda z osób. Dodatkowo zasada ta przypomina o używaniu jasnego i prostego języka, tak by osoba przekazująca dane miała pełną świadomość zakresu, w jakim będą przetwarzane.
  2. Zasada ograniczenia celu przetwarzania danych – cel przetwarzania danych powinien być precyzyjnie określony. Powierzonych danych nie można wykorzystywać w celach innych niż te, na które zgodziła się osoba, której dane dotyczą. Każda z wyrażanych przez nią zgód powinna być oddzielna. Domyślne zaznaczać zgód do przetwarzania danych np. w celu marketingowym jest niedopuszczalne.
  3. Zasada minimalizacji danych – to gromadzenie  ilości i zakresu danych niezbędnych do wykonania określanych wcześniej czynności. W procesie zakupowym można uniknąć podawania np. daty urodzenia klienta. Do prawidłowego zrealizowania zamówienia wystarczy podanie imienia i nazwiska, adresu e-mail, adresu zamieszkania i telefonu kontaktowego.
  4. Zasada prawidłowości danych –Twoim obowiązkiem jest aktualizacja danych osobowych, jeśli zostaniesz poinformowany o zmianach lub błędzie.
  5. Zasada ograniczenia przechowania danych – okres przechowywania danych powinien być uzależniony od celu. Po jego zrealizowaniu dane osobowe powinny być usunięte, o ile przepisy szczególne nie nakazują dłuższego okresu przechowywania.
  6. Zasada integralności i poufności danych – nakłada obowiązek zabezpieczenia przetwarzania danych przez odpowiednie środki technologiczne oraz organizacyjne.
  7. Zasada rozliczalności – pamiętaj, że to na Tobie jako na administratorze danych osobowych ciąży obowiązek udowodnienia, że ich przetwarzanie jest zgodne z prawem. W rezultacie musisz wykazać, że podejmowane przez Ciebie czynności są uzasadnione i odpowiednio zabezpieczone.

9. Dokumentacja

Przepisy
RODO, mimo ogólnego i nieco pozornego rozluźnienia w zakresie obowiązku
prowadzenia dokumentacji, nakładają na Ciebie jako administratora danych
osobowych odpowiedzialność za przestrzeganie przepisów oraz obowiązek wykazania
ich przestrzegania (rozliczalność).

Aby uniknąć
problemów i w sposób skuteczny zapewnić sobie możliwość wykazania przed organem
kontrolnym, że dba się o bezpieczeństwo danych osobowych,  powinieneś posiadać przynajmniej następującą
dokumentację:

  • Politykę ochrony danych osobowych – dokument ten powinien zawierać m.in.:
  • ogólne zasady przetwarzania danych osobowych w przedsiębiorstwie,
  • zasady dostępu do danych osobowych – czyli procedurę nadawania i anulowania upoważnień dla pracowników,
  • założenia dotyczące realizacji praw osób, których dane dotyczą,
  •  procedurę zgłaszania naruszeń bezpieczeństwa danych osobowych,
  • procedurę sprawdzenia zgodności przetwarzania danych osobowych i doskonalenia polityki bezpieczeństwa danych osobowych
  • sposób zarządzania systemem informatycznym
  • Rejestr czynności przetwarzania (dotyczy administratora),
  • Rejestr kategorii czynności przetwarzania (dotyczy podmiotu przetwarzającego)
  • Rejestr naruszeń ochrony danych osobowych,
  • Analiza ryzyka,
  • Ocena skutków dla ochrony danych (w sytuacji, gdy dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych),
  • Upoważnienia dla pracowników mających dostęp do danych osobowych, a także oświadczenia o poufności,
  • zalecane jest także prowadzenie rejestru tych upoważnień;
  • wzory Klauzul informacyjnych przedstawiane osobom, których dane osobowe przetwarzamy.
  • umowy powierzenia przetwarzania danych osobowych – pamiętaj, iż powierzając przetwarzanie danych osobowych innemu podmiotowi powinieneś dopilnować, aby powierzenie miało formę pisemną, która zobowiąże podmiot przetwarzający do utrzymania standardów gwarantujących bezpieczeństwo danych i zabezpieczy Twoje interesy. Twoim obowiązkiem jest dokonanie przeglądu podwykonawców, ponieważ to Ty, jako administrator odpowiadasz za ich działania.
  • 10. Zgłaszanie naruszeń

Jeśli
doszło do naruszenia ochrony danych osobowych, Twoim obowiązkiem jest
zgłoszenie tego faktu do organu nadzorczego w ciągu 72 godzin od momentu
stwierdzenia naruszenia. Jednakże nie każdy incydent będzie podlegał
zgłoszeniu. Jeśli jest mało prawdopodobne, że do naruszenie skutkowało ryzykiem
naruszenia praw i wolności osób fizycznych – wystarczy odnotować ten fakt w
rejestrze naruszeń.

Pamiętaj, że Twoim obowiązkiem jest zawiadomienie osób, których dane dotyczą o wystąpieniu naruszenia ochrony danych osobowych.

11. Wyznaczenie IOD

Głównymi
obowiązkami IOD są sprawdzanie zgodności procedur przyjętych w zakresie danych
osobowych przez dane przedsiębiorstwo z wymaganiami rozporządzenia, a także
bieżące wsparcie przy realizacji obowiązków wynikających z RODO, udzielanie
odpowiedzi na żądania osób, których dane dotyczą.

Kiedy
powołanie Inspektora Ochrony Danych Osobowych będzie obowiązkowe?

Przede
wszystkim – aby IOD był wyznaczony obligatoryjnie – musi być spełniona jedna z
następujących przesłanek:

  • przetwarzania dokonuje organ lub podmiot
    publiczny,
  • przetwarzanie, które ze względu na swój
    charakter, zakres lub cele wymaga regularnego i systematycznego
    monitorowania na dużą skalę osób, których dane dotyczą,
  • przetwarzanie na dużą skalę szczególnych
    kategorii danych osobowych.

Jednakże istnieją profile działalności, gdzie wyznaczenie Inspektora Ochrony Danych jest wskazane. Jeśli platforma ma zakres ogólnopolski, generuje to duże prawdopodobieństwo wystąpienia wycieku danych lub problemów, wobec których konieczne będzie sprawne działanie, a wówczas pomoc IOD będzie nieoceniona.

12. Kary

Nie sposób pominąć faktu, że
RODO przewiduje kary za naruszenie przepisów z zakresu ochrony danych
osobowych.

Administracyjne kary finansowe
są nakładane przez Prezesa Urzędu Ochrony Danych Osobowych w drodze decyzji
administracyjnej.

Od decyzji Prezesa Urzędu
Ochrony Danych Osobowych można odwołać się do wojewódzkiego sądu
administracyjnego.

Przewidziano także możliwość
odroczenia uiszczenia kary albo rozłożenia jej na raty – na wniosek ukaranego,
z uwagi na ważny interes wnioskodawcy.

Wysokość kar:

  • 10 mln euro lub 2% rocznego światowego obrotu
    przedsiębiorstwa osiągniętego w poprzednim roku obrotowym – dotyczy to w
    szczególności naruszeń:

–  zasad ochrony danych,

–  w przetwarzaniu danych,

– rejestracji czynności
przetwarzania,

– zasad współpracy z organem
nadzorczym,

 – zasad bezpieczeństwa danych.

  • 20 mln euro lub 4% rocznego światowego
    obrotu firmy osiągniętego w poprzednim roku obrotowym – dotyczy m.in.
    następujących naruszeń:

– zasad przetwarzania danych
osobowych,

– warunków wyrażania zgody na
przetwarzanie danych,

–  naruszenia dostępu danych dla tych osób,
których dane są przetwarzane,

–  naruszeń praw osób, których dane dotyczą

Przy nakładaniu kary
pieniężnej za naruszenie przepisów RODO, organ nadzorczy bierze pod uwagę takie
czynniki jak:

  • szkodliwość naruszenia,
  • czas trwania naruszenia,
  • ilość poszkodowanych osób, cel i zakres
    przetwarzanych danych,
  • czy naruszenie było umyślne, czy
    nieumyślne,
  • jakie działania podjął administrator, żeby
    zminimalizować szkodę,
  • wcześniejsze naruszenia,
  • próby usunięcia naruszenia.

RODO w e-commerce – podsumowanie

Jak słusznie wywnioskowałeś z
lektury niniejszego artykułu, przepisy RODO nie określają, co konkretnie jako administrator
będziesz musiał zrobić aby należycie zabezpieczyć i przechowywać dane osobowe.
Działania jakie w tym celu podejmiesz zależą od Ciebie. Niezwykle ważne jest,
abyś miał pełną kontrolę nad bezpieczeństwem przetwarzania danych osobowych w
Twoim przedsiębiorstwie. W tym pomogą Ci cykliczne przeglądy zabezpieczeń, a
także regularne odświeżanie wiedzy z zakresu ochrony danych osobowych – zarówno
Twoje, jak i całego zespołu pracującego w strukturach Twojej organizacji.

No comments yet.

Leave a Comment

reset all fields