Jakie są największe błędy w stosowaniu przepisów RODO w e-commerce
- Brak lub nieaktualna polityka prywatności – przedsiębiorcy często nie posiadają lub nie aktualizują polityki prywatności, co prowadzi do niezgodności z RODO.
- Brak zgody użytkowników – nieuzyskanie wyraźnej zgody użytkowników na przetwarzanie danych, zwłaszcza w przypadku przetwarzania danych osobowych dla celów marketingowych lub analitycznych, czy w celu przekazania danych do partnerów biznesowych, lub wysyłanie newsletteru.
- Domyśle zaznaczanie zgód – użytkownik sam nie decyduje o wyrażeniu zgody na przetwarzanie jego danych osobowych, często jest zmuszony do „ręcznego” odznaczenia wielu zgód domyślnie zaznaczonych.
- Nieadekwatne komunikaty o przetwarzaniu danych – nieprecyzyjne lub niepełne informacje na temat celu i sposobu przetwarzania danych.
- Błędy w zbieraniu danych – niezbieranie wystarczających danych lub zbieranie danych niezgodnych z celem przetwarzania (nadmiarowe zbieranie danych).
- Przetwarzanie danych bez podstawy prawnej, np. zgody, konieczności zawarcia i wykonania umowy, wypełnienia obowiązku prawnego.
- Brak praw do wglądu i usunięcia danych – nieudostępnianie użytkownikom możliwości wglądu do swoich danych oraz ich usunięcia.
- Niezrozumiałe komunikaty – brak jasnych i przejrzystych komunikatów o przetwarzaniu danych osobowych.
- Przechowywanie danych osobowych dłużej niż jest to niezbędne do realizacji celu przetwarzania.
- Brak dostępu do danych w przypadku żądania –
nieudostępnianie danych na żądanie osoby, której dane dotyczą. - Niewłaściwe zabezpieczenie danych osobowych –
brak odpowiednich środków technicznych i organizacyjnych do ochrony danych, np. niewłaściwe przechowywanie, brak szyfrowania, brak dostępu do danych, umieszczanie danych na wątpliwych serwerach lub w chmurach obliczeniowych. Dotyczy to również podmiotów, które wspierają przedsiębiorcę w zapewnianiu obsługi informatycznej, dostawców systemów informatycznych, a także udzielających asysty i wsparcia technicznego dla systemów informatycznych, w których przetwarzane są dane osobowe użytkowników. - Brak szkoleń personelu mającego stały lub regularny dostęp do danych osobowych – szkolenie powinno uwzględniać specyfikę przetwarzania danych osobowych w różnych jednostkach i na różnych stanowiskach pracy. Szkolenia nie mogą mieć charakteru jednorazowego działania przy okazji zatrudnienia nowego pracownika, ale raczej powinny mieć charakter kompleksowy i cykliczny.
- Brak procedur wewnętrznych lub niewłaściwe ich udostępnianie – brak m.in. polityki bezpieczeństwa danych osobowych, instrukcji zarządzania systemami informatycznymi, regulaminu w zakresie przeciwdziałania i reagowania na naruszenia. Należy przy tym pamiętać, iż dokumentacja firmowa powinna być udostępniania wewnątrz organizacji i błędem będzie umieszczanie jej na stronie internetowej do wglądu publicznego. Ujawnianie stosowanych zabezpieczeń może ułatwić ataki hackerskie.
- Nieaktualizowanie oprogramowania – brak regularnych aktualizacji systemu może prowadzić do poważnych naruszeń bezpieczeństwa danych osobowych. Dowodzą tego m.in. sprawy prowadzone w Urzędzie Ochrony Danych Osobowych (UODO), np. DKN.5131.56.2022 – atak Ransomware był skuteczny z powodu nieaktualnej bazy wirusów programu antywirusowego; DKN.5112.35.2021 – problem wynikał z braku aktualizacji oprogramowania; DKN.5130.2815.2020 czy DKN.5131.34.2022 – doszło do naruszeń bezpieczeństwa na skutek korzystania z systemu operacyjnego, który utracił wsparcie producenta.
Przedsiębiorcy często nie posiadają lub nie aktualizują polityki prywatności, co prowadzi do niezgodności z RODO.
Jak unikać błędów w stosowaniu RODO w e-commerce
Kluczem do wyeliminowania błędów w stosowaniu RODO jest domyślna ochrona danych oraz uwzględnianie jej w fazie projektowania.
Przedsiębiorca – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania danych osobowych – powinien wdrażać odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych i nadania przetwarzaniu niezbędnych zabezpieczeń. Należy uwzględnić przy tym stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia.
Wdrażając odpowiednie środki techniczne i organizacyjne, przedsiębiorca powinien zadbać o to, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te mają sprawić, aby domyślnie dane osobowe nie były udostępniane nieokreślonej liczbie osób fizycznych bez interwencji danej osoby.
Brak regularnych aktualizacji systemu może prowadzić do poważnych naruszeń bezpieczeństwa danych osobowych. Dowodzą tego m.in. sprawy prowadzone w Urzędzie Ochrony Danych Osobowych.
Artykuł pochodzi z e-booka „Dochodowy e-commerce 2025”. Kliknij w baner i pobierz.
