RODO – dla marketerów to pewnie najważniejsze słowo tego roku, dla innych w zasadzie nic nieznaczący skrót. Wielu z właścicieli sklepów internetowych nawet nie zdaje sobie sprawy z jego znaczenia i potencjalnych konsekwencji nieprzestrzegania ustawy. Co oznacza ten skrót i jaki wpływ może mieć na działalność ecommerce?
Co oznacza skrót RODO?
RODO to Rozporządzenie o Ochronie Danych Osobowych, jest polskim tłumaczeniem skrótu GDPR (General Data Protection Regulation) i będzie obowiązywać w całej Unii Europejskiej. Nowe przepisy wchodzą w życie 25 maja bieżącego roku. RODO to sposób na ujednolicenie prawodawstwa związanego z ochroną danych osobowych z Unii Europejskiej. Do tej pory w poszczególnych państwach różnice były ogromne, teraz ma się to zmienić.
Obecnie świadomość RODO jest jednak znikoma. Blisko 70 proc. internautów nie wie o unijnym rozporządzeniu o ochronie danych osobowych RODO – tak przynajmniej wynika z badania przeprowadzonego na zlecenie Publicis Media. Wśród nich jest wielu biznesmenów czy właścicieli startupów i sklepów internetowych. Tymczasem RODO, przynajmniej teoretycznie, niesie ze sobą sporo konsekwencji – potencjalnie milionowe kary, likwidacje dotychczasowych baz danych czy ograniczenie działań marketing automation. Jakie zmiany niesie ze sobą nowa ustawa w rzeczywistości?
Na początek kluczowa kwestia – RODO to nie z góry narzucona ustawa, tylko zbiór przepisów. Głównie określa, co musi podlegać ochronie, ale nie daje i nie sankcjonuje gotowych rozwiązań. Na szczęście, jeśli do tej pory dane były zbierane zgodnie z prawem (np. zgłaszane do GIODO), to nie trzeba ich usuwać i z nich rezygnować. RODO dotyczy tylko nowych baz danych, tworzonych po 25 maja 2018 roku.
Jakie obowiązki znikną wraz z RODO?
Przede wszystkim zniknie obowiązek zgłaszania zbioru danych osobowych do GIODO – do tej pory chęć zbierania bazy kontaktów/klientów trzeba było listownie zgłaszać (choć umówmy się – mało kto respektował ten obowiązek). Choć wymóg ten wciąż obowiązuje, to wraz z 25 maja i początkiem RODO - zniknie.
Poprzez GIODO jawne były listy wnioskodawców, którzy zgłosili zbieranie baz danych. Z jednej strony w ten sposób konsumenci mogli łatwo zweryfikować, czy dane są zbierane zgodnie z prawem, a z drugiej konkurencja mogła śledzić i monitorować działania danej firmy. Przy RODO tego typu listy nie będą nigdzie publicznie podawane.
Do tej pory wymagana była także regularna zmiana haseł do systemów, w których przetwarzane były dane osobowe. Było to dodatkowe utrudnienie dla administratorów danych i użytkowników, a przy okazji jeden z bardziej irytujących przepisów ochrony. Wraz z RODO – znika. Kosmetyczną zmianą będzie z kolei nazwa organu z GIODO na PUEDO lub PUODO (Prezes Urzędu Ochrony Danych Osobowych). Nie zmienią się jednak kompetencje, więc ma to marginalne znaczenie dla przedsiębiorców.
RODO dla firm - jakie obowiązki niesie?
To w zasadzie kluczowa kwestia, z którą dokładnie powinni zapoznać się wszyscy właściciele sklepów internetowych.
1. Privacy by desgin i privace by default
Jedną z podstawowych zmian związanych z RODO w internecie jest privacy by design. Oznacza to obowiązek zastosowania przepisów o ochronie danych osobowych już w momencie projektowania czy testowania sklepu internetowego. Privacy by default oznacza z kolei, iż można zbierać tylko te dane, które są rzeczywiście niezbędne to realizacji zakupu, skorzystania z aplikacji czy użycia serwisu. Np. numer telefonu nie jest kluczowy dla zapisu do newslettera.
Nie można już zbierać danych z wyprzedzeniem, bez konkretnego celu. Nawet jeśli w przyszłości chcemy stworzyć webinar i w tym celu zbieramy dane osobowe, to powinniśmy o tym zawczasu poinformować użytkownika. Odbiorcy powinni mieć pełną świadomość tego, w jakim celu podają swoje dane i w jaki sposób będą one wykorzystane.
2. Rejestr czynności przetwarzania
Uważany jest za kluczową zmianę, którą wprowadzi RODO dla firm w internecie. To konieczność posiadania dokumentu, w którym spisane są cele przetwarzania danych osobowych oraz wskazane są osoby, które mają administrować bazą. Dokument ten powinien zawierać informacje na temat sposobu ochrony danych, osoby administratora i celu wykorzystania informacji. Co ważne – nie jest określona forma dokumentu, więc równie dobrze może to być plik z rozszerzeniem .doc czy .xlsx.
3. Obowiązek zgłaszania naruszeń
Czyli innowacyjny sposób „skarżenia” na siebie związany z RODO w internecie. Jeśli firma dopuści się naruszenia ochrony danych osobowych, to ma obowiązek sama to zgłosić. Ma na to 72 godziny od momentu, gdy doszło do takiej sytuacji.
4. Obowiązek informacyjny
Czyli rozbudowanie informacji na temat celu przetwarzania danych, tego, kim jest administrator bazy i jakie dane są zbierane. Wszystkie dane będą musiały być jasno wskazane przy zawieraniu transakcji w sklepie internetowym czy przy innym procesie, który wymaga podania danych osobowych. Do tej pory w większości wystarczyła standardowa formułka „Zgadzam się na przetwarzanie moich danych osobowych przez firmę ABC”.
RODO w internecie - jak się na nie przygotować?
Zmiany wskazane przez prawodawcę można wdrażać w firmie samodzielnie. Oczywiście, będzie to znacznie łatwiejsze dla startupów, które nie mają zbyt rozbudowanych struktur i raczej nie zarządzają ogromnymi bazami danych. Gorzej to wygląda w przypadku korporacji czy średniej wielkości firm, gdzie formalności jest znacznie więcej. Obecnie pojawiło się jednak wielu prawników i specjalistów, którzy pomagają przeprowadzić gruntowane zmiany, dopasowujące działalność przedsiębiorstwa do wymagań RODO dla firm. Nawet jeśli nie są to tanie usługi, to koszt jest jednak znacznie mniejszy niż potencjalne kary za nieprzestrzeganie unijnych przepisów.
Choć RODO oznacza dla właścicieli sklepów internetowych wiele zmian, to niekoniecznie będą to zmiany na gorsze. Mało tego – wiele uciążliwych obowiązków zostanie zdjętych. Dlatego nie ma powodów, by obawiać się nowej ustawy, należy się tylko odpowiednio się do niej przygotować i dbać o bezpieczeństwo przetwarzanych danych osobowych. Tylko i aż tyle, by spać spokojnie po wdrożeniu RODO dla firm!
