Branża e-commerce a naruszenia ochrony danych osobowych. O czym należy pamiętać?

Prowadzenie działalności w sektorze e-commerce jest nierozerwalnie połączone z przetwarzaniem danych osobowych. Główną i najważniejszą bazą danych dla przedsiębiorców działających w tej branży jest zwykle baza klientów oraz potencjalnych klientów. Wiele się mówi o nowych obowiązkach w związku z wejściem w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych - tzw. RODO. Przy okazji planowania działalności e-commerce, warto przyjrzeć się obowiązkom związanym z zapobieganiem, a także raportowaniem incydentów ochrony danych osobowych.

Naruszenie ochrony danych osobowych to bardzo szeroki termin, który właściwie może oznaczać każde zdarzenie które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia danych osobowych. Do naruszenia dojdzie zatem, na przykład w sytuacji ataku hakerskiego na sklep internetowy, nieuprawnionego wyniesienia danych przez nieuczciwego pracownika, czy zagubienia laptopa firmowego z danymi.

Jeśli taka sytuacja ma miejsce, kluczowe stają się pierwsze godziny od wykrycia incydentu. W pierwszej kolejności istotne jest ustalenie tego, co tak naprawdę miało miejsce, na czym polegało naruszenie. Ważne jest też zbieranie i zabezpieczanie dowodów dotyczących incydentu oraz następujących po nim działań. W tym celu warto posługiwać się opracowanym uprzednio wzorem dokumentu, tzw. kartą incydentu. Specjaliści wskazują, że z punktu widzenia IT, najwięcej informacji na temat wycieku danych można ustalić już w ciągu 24 godzin.

Magdalena Kogut - Czarkowska, radca prawny, Baker McKenzie, członek Grupy Prawnej oraz Grupy E-commerce IAB PolskaMagdalena Kogut - Czarkowska, radca prawny, Baker McKenzie, członek Grupy Prawnej oraz Grupy E-commerce IAB Polska IAB

Warto jednak działać szybko również z uwagi na wymogi prawne. Zgodnie z RODO, co do zasady, naruszenia danych osobowych trzeba zgłosić w ciągu 72 godzin od ich wykrycia. Formularz zgłoszenia jest bardzo szczegółowy, więc należy działać szybko żeby ustalić konieczne informacje i przygotować zgłoszenie do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Wyjątki od tego obowiązku zachodzą, jeśli ryzyko narażenia osób, których dane wyciekły jest bardzo niewielkie. W wypadkach ujawnienia danych klientów sklepu, ten wyjątek raczej nie będzie miał zastosowania.

Bardzo istotne z punktu widzenia reputacji biznesu e-commerce jest właściwe podjęcie decyzji o ewentualnym powiadomieniu o incydencie osób, których dane zostały naruszone. W pierwszej kolejności, trzeba zdecydować czy takie powiadomienie jest wymagane z punktu widzenia prawnego. W przypadku ograniczonych incydentów, gdy ryzyko dla osób jest niewielkie, może nie być to konieczne. Jeśli okaże się, że należy wysłać zawiadomienie, przesłany komunikat powinien być dosyć szczegółowy - trzeba poinformować m.in. o możliwych konsekwencjach naruszenia oraz o tym, jakie środki należy podjąć żeby zminimalizować impakt wycieku (np. zmiana hasła). Przykłady takich powiadomień z ostatnich miesięcy pokazują, że nie wszyscy przestrzegają tych wymogów.

Dlatego też, zakładając e-commerce - niezależnie od tego jak będziemy docierać do klientów - warto zastanowić się nad tym, jak zabezpieczyć ich dane oraz przygotować się do ewentualnego naruszenia. Pomocne będzie ustalenie procedur raportowania i przygotowania odpowiednich pełnomocnictw. Warto też zastanowić się nad wyznaczeniem inspektora ochrony danych lub zawarciem umowy na obsługę incydentów z zewnętrznym dostawcą.  Warto podjąć rozsądne działania aby uszczelnić system zabezpieczania danych i zapobiec naruszeniom, zarówno na poziomie zabezpieczeń IT jak też organizacji funkcjonowania sklepu. Konsekwencje złych praktyk mogą być poważne - kary pod RODO mogą sięgać milionów EUR lub kilku procent od obrotu przedsiębiorcy.

O wykorzystaniu nowoczesnych technologii w sklepach przyszłości, wpływie telewizji na reklamę digital, Client2Commerce, a także o influencer marketingu i innych sposobach zwiększania sprzedaży online opowiedzą eksperci branży już 22 października br. w Warszawie podczas konferencji IAB HowTo: grow your e-commerce efficiently. Facts vs. myths. Na spotkaniu zostaną zaprezentowane najciekawsze case studies udowadniające, że holistyczne podejście do ścieżki konwersji oraz wychodzenie poza utarte schematy to najlepsza droga do rozwoju sprzedaży online.

Szczegółowy program oraz informacje o zapisach znajdują się na stronie: https://ecommerce.howto.iab.org.pl/