Opublikowano:

Jak zapewnić zgodność witryny WooCommerce z GDPR/RODO?

Już 25 maja zaczną obowiązywać nowe przepisy o ochronie danych osobowych.
GDPR (General Data Protection Regulation) / RODO (Rozporządzenie o Ochronie Danych Osobowych) to dokument, który wejdzie w życie z dniem 25 maja 2018 roku. Jego wprowadzenie ma na celu zapewnienie gwarancji swobodnego przepływu danych osobowych pomiędzy państwami będącymi w strukturach Unii Europejskiej. GDPR / RODO wprowadzi narzędzia umożliwiające jednolity sposób przetwarzania danych osobowych.

Kogo dotyczyć będzie RODO?

Tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe – oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.
Każdy przedsiębiorca działa inaczej. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu.
Firma, prosząc obywatela o podanie danych, będzie musiała poinformować o celu, zakresie i czasie ich przetwarzania. Pojęcie „danych osobowych” zostanie z kolei poszerzone o adresy IP oraz zbierane przez przeglądarkę internetową pliki cookies(„ciasteczka”). Oznacza to, że klauzule dotyczące wykorzystania danych osobowych, które klienci dostają do podpisania, będą jeszcze obszerniejsze. I bez względu na to, czy komuś będzie chciało się je czytać, przedsiębiorcy muszą do 25 maja 2018 r. przygotować nowe dokumenty prawne, uwzględniające poszerzony obowiązek informacyjny.
Jeśli masz na swojej stronie www:

  • komentarze do postów
  • formularze kontaktowe
  • zamówienia w sklepie online
  • użytkownik może lub musi założyć konto, nawet gościnne
  • zapis na newsletter

to podlegasz rodo/gdpr i nie ma znaczenia czy jest to osoba prywatna czy prawna (firma)

Użytkownik strony internetowej czy sklepu online musi wiedzieć kto i jak będzie zarządzał danymi osobowymi podczas realizacji działań na stronie, czyli np. jeśli założę konto na sklepie i kupię produkt, to:

  • Komu, gdzie i na jak długo będą powierzone moje dane osobowe?
  • Jak mogę je skasować?
  • Jak uzyskam dostęp do danych, które ma w posiadaniu ta strona www?

“Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe (…)”.
RODO, art. 17 ust. 1 – tu cały tekst RODO

Przepisami RODO wprowadzone zostaje:

• „prawo do bycia zapomnianym” (skierowane do obywateli, którzy życzą sobie, by ich dane osobowe zostały usunięte),
• uprawnienie do żądania przeniesienia danych
• oraz wzmocnione prawo dostępu i wglądu obywatela w jego dane.
Osoby, których dane dotyczą, będą także miały rozszerzone prawo sprzeciwu wobec przetwarzania ich danych, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych, co ma niebagatelne znaczenie dla firm bazujących na analityce danych.

Na czym polega prawo do bycia zapomnianym wg RODO?

W teorii to prawo oznacza, że dane osób, które chciałyby zostać „zapomniane”, musiałyby być usunięte w całości z systemu administratora.
Administratorzy danych powinni przygotować się do stosowania nowych lub rozszerzonych obowiązków administratorów danych takich jak:
• zarządzanie realizacją uprawnień podmiotów danych, w tym prawem dostępu do danych, żądania usunięcia lub ograniczenia przetwarzania danych, sprzeciwu wobec przetwarzania danych, przeniesienia danych czy prawem do wycofania zgody;

GDPR wymaga od właścicieli witryn i sklepów internetowych, aby informowali:

– które dane osobowe są gromadzone
– do czego dane są wykorzystywane
– kto zajmuje się danymi
– w jaki sposób uzyskano dane
– jak i gdzie przechowywane są dane

Naruszenie przepisów będzie wiązać się z ryzykiem nałożenia na przedsiębiorstwa kary finansowej do 20 mln euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa
Po wejściu w życie unijnej regulacji GPDR (General Data Protection Regulation), znanej w Polsce pod nazwą RODO (Rozporządzenie o Ochronie Danych Osobowych) podmioty przechowujące dane osobowe muszą być wyjątkowo wyczulone na przypadki nieuprawnionego dostępu podmiotów zewnętrznych.

Jak zapewnić zgodność witryny WooCommerce z GDPR/RODO?

Aby osiągnąć pełną zgodność z końcem maja 2018 r., sklepy oparte na silniku WooCommerce będą musiały:

Poinformuj użytkownika, kim jesteś, jakie dane gromadzisz, dlaczego gromadzisz dane, jak długo je przechowujesz i jakie strony trzecie je otrzymają (jeśli takie istnieją)
Uzyskaj wyraźną zgodę przed odebraniem jakichkolwiek danych
Pozwól użytkownikom uzyskać dostęp do ich danych
Pozwól użytkownikom pobierać swoje dane
Pozwól użytkownikom usuwać swoje dane
Poinformuj użytkowników, czy doszło do naruszenia danych
Jeśli nie będziesz ściśle przestrzegał tych zasad, ostatecznie otrzymasz grzywnę w wysokości do 20 milionów euro lub 4% rocznego obrotu na całym świecie, w zależności od tego, która z tych wartości jest większa …

Jakie zmiany muszę wykonać w witrynie WordPress / WooCommerce?

Zasady i warunki WooCommerce (strona zamówienia)
Polityka prywatności WooCommerce (strona zamówienia)
Rejestracja użytkowników WooCommerce (strona Moje konto)
Odrzucenie koszyka WooCommerce (strona kasy)
Opinie o produktach WooCommerce (strona pojedynczego produktu)
WordPress komentarze (strony Blog)
WordPress i formularze zgłoszeniowe WooCommerce (newsletter, magnesy prowadzące itp.)
Formularze kontaktowe WordPress (strona Kontakt, widżety itp.)
Analityka WooCommerce (Google Analytics, Metorik itp.)
Wtyczki WordPress i WooCommerce i interfejsy API (płatności, marketing e-mail itp.)
Powiadomienia o naruszeniu

Czy moja witryna WordPress / sklep WooCommerce musi być zgodna z GDPR?
Prawdopodobnie tak.

Jeśli twoja witryna WordPress lub sklep WooCommerce zbiera jakiekolwiek dane osobowe od użytkowników z UE, musisz uzyskać zgodność z GDPR. Innymi słowy, wszystkie strony internetowe, które zbierają dane osobowe od osób fizycznych i obywateli w UE, będą podlegać jurysdykcji GDPR.

Co to są dane osobowe?

Czy na przykład adres e-mail jest traktowany jako dane osobowe? GDPR ma jasną definicję tego, co składa się z danych osobowych.

Co uważa się za dane osobowe?
Jak definiuje to rozporządzenie (rozdział # 1, art.4, punkt 1):

“Dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (“podmiot danych”); dająca się zidentyfikować osoba fizyczna to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności w odniesieniu do identyfikatora, takiego jak nazwa, numer identyfikacyjny, dane dotyczące lokalizacji, identyfikator internetowy lub jeden lub więcej czynników właściwych fizycznemu, fizjologicznemu, tożsamość genetyczna, umysłowa, ekonomiczna, kulturowa lub społeczna tej osoby fizycznej.

 

Uwaga: nie jestem prawnikiem i nie mogę zagwarantować, że ten artykuł sprawi, że będziesz w 100% zgodny z przepisami – upewnij się, że oceniasz swoją zgodność z GDPR u wykwalifikowanego konsultanta.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *