Zasady privacy by design i privacy by default w e-commerce

Zasada, czy być może koncepcja, ochrony danych osobowych w fazie projektowania, czyli właśnie Privacy by design, nakazuje każdemu administratorowi wdrożenie odpowiednich środków i niezbędnych zabezpieczeń, aby zapewnić skuteczną realizację zasad ochrony danych osobowych oraz chronić prawa osób, których dane dotyczą. Ma to następować już od etapu projektowania danego procesu, rozwiązania czy produktu i trwać przez cały okres przetwarzania danych osobowych. Działanie musi być proaktywne i prewencyjne – ma zapobiegać powstawaniu nieprawidłowości związanych z przetwarzaniem danych osobowych, a nie być reaktywne, czyli podejmowane dopiero pod koniec procesu czy nawet w momencie ujawnienia się jakiegoś problemu. Oznacza to, że ilekroć wprowadzana jest jakaś nowa usługa, to już przy rozmyślaniu nad jej kształtem i funkcjonalnościami, powinno rozpocząć się myślenie również nad tym, jak zapewnić jej zgodność z zasadami ochrony danych.

Realizacja Privacy by design powinna przebiegać z uwzględnieniem:

• stanu wiedzy technicznej,
• kosztu wdrażania,
• charakteru, zakresu, kontekstu i celu przetwarzania,
• ryzyka naruszenia praw lub wolności osób fizycznych.

By realizować zasadę privacy by design nie zawsze konieczne jest więc przyjęcie najlepszego, najnowszego rozwiązania, ponieważ może być ono niezwykle drogie. Po przeprowadzonej analizie może się okazać, że inne, tańsze i trochę starsze narzędzie, będzie w zupełności wystarczające dla zapewnienia ochrony danych osobowych w usłudze czy produkcie albo nowym procesie w organizacji.  Najważniejsze jest, aby zapewnić odpowiedni stopień bezpieczeństwa – inne potrzeby będzie miał duży szpital, a inne mały internetowy sklep z odzieżą.

Z zasady privacy by design, Prezes UODO w swoich decyzjach wywodzi często także obowiązek dokonywania regularnych przeglądów zabezpieczeń oraz ich aktualizowania w miarę potrzeby. Mechanizmy przyjęte kilka lat temu, na etapie projektowania, mogą okazać się już przestarzałe i nie działać dobrze, czy też mogły zostać odkryte i wykorzystane ich luki. To powoduje, że powinniśmy się zastanowić nad nowymi, bardziej skutecznymi metodami, pozwalającymi nam zagwarantować bezpieczeństwo przetwarzania danych.

Drugą zasadą jest domyślna ochrona danych, czyli privacy by default. Zgodnie z zasadą privacy by default musimy zapewnić, że domyślnie przetwarzamy tylko te dane, które są nam absolutnie niezbędne do osiągnięcia zamierzonego celu. Dotyczy to ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności należy przy tym zadbać, aby domyślnie dane osobowe nie były udostępniane bez interwencji (bez wyraźnego żądania) danej osoby nieokreślonej liczbie osób. Jeżeli osoba sama nie podejmie działań, to domyślne opcje przyjęte w procesie przetwarzania jej danych osobowych muszą jej zagwarantować, że prywatność jest chroniona. Prywatność ma być pewnym obowiązkowym elementem konkretnego systemu, wbudowanym do niego na stałe, a odstąpienie od takiego stanu jest możliwe tylko przez podjęcie pewnych działań przez osobę, której dane dotyczą.

Zapewnienie zgodności z zasadami privacy by design i privacy by default to obowiązek administratora.  Jest nim podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Z tego powodu często deweloper, któremu zlecamy stworzenie i utrzymywanie strony albo wdrożenie jakiejś nowej opcji do samodzielnie stworzonej, bądź dostawca gotowej platformy, z której korzystamy, wcale nie będzie administratorem, lecz podmiotem przetwarzającym. Administratorem pozostaje przedsiębiorca, który będzie prowadził stronę i sprzedawał na niej swoje produkty. To on musi działać zgodnie z powyższymi wytycznymi, a ponadto ponosi odpowiedzialność za weryfikację podmiotów przetwarzających pod kątem rzeczywistej zgodności ich działań z przepisami dotyczącymi ochrony danych osobowych.

Wprowadzenie zasad privacy by design i privacy by default może być trudne w praktyce dla niejednego właściciela sklepu internetowego. Często po prostu nie jest możliwe dokładne ustalenie, jak zapewnić zgodne z prawem przetwarzanie danych osobowych, jeżeli nie wiemy dokładnie, jakie funkcje ostatecznie zostaną wprowadzone do użytku w e-sklepie. Najczęściej dopiero pod sam koniec procesu związanego w wdrożeniem sklepu internetowego lub jego nową funkcjonalnością, podejmowane są działania związane z ochroną danych osobowych – często w pośpiechu, być może bez odpowiedniego przemyślenia, byle tylko udało się wreszcie „wystartować”.  Oznacza to, że właściciel sklepu internetowego nie trzyma się zasady privacy by design.

Niestety lekceważenie wdrożenia odpowiednich zasad ochrony danych osobowych może prowadzić do negatywnych konsekwencji np.  nałożenia kary wynoszącej dla przedsiębiorców do 10 milionów euro lub do 2% światowego rocznego obrotu z poprzedniego roku obrotowego (przyjmuje się wyższą z tych dwóch wartości).

Warto więc pamiętać o tym, żeby w fazie projektowania e-sklepu czy jakiejkolwiek innej strony internetowej,  rozpocząć myślenie nad zgodnością z ochroną danych osobowych i wprowadzić niezbędne elementy, które będzie można później doszlifować, już znając dokładniej wprowadzone rozwiązania.

Na różnych stronach, nieprawidłowości związane z nieprzestrzeganiem tych zasad są często widoczne już na pierwszy rzut oka. Są to przykładowo:

W miarę łatwo można jednak ustrzec się błędów  związanych z projektowaniem ochrony danych osobowych. Przygotowaliśmy krótką listę trzech przykładowych aspektów privacy by design & privacy by default, na które należy zwrócić uwagę:

1. Minimalizacja danych – zbieraj dane tylko w tym zakresie, w jakim są Ci potrzebne. Dostosuj to do swojej działalności. Jeżeli zajmujesz się sprzedażą win przez Internet, to oczywiście musisz wiedzieć, czy kupujący to osoba pełnoletnia. Nie potrzebujesz jednak znać jego daty urodzenia, żeby wysłać mu zamówione i w pełni opłacone ubrania. Nie warto więc nawet zbierać nadmiarowych danych, bo może z tego wyjść więcej problemów, niż pożytku.
2. Przekazywanie danych tylko uprawnionym podmiotom – wyznacz starannie krąg osób, które muszą mieć dostęp do danych osobowych klientów, żeby móc wykonywać swoje zadania. Pracownik infolinii powinien mieć dostęp do historii zamówień klienta, który kontaktuje się w sprawie reklamacji. Pracownicy magazynu, którzy zajmują się wysyłką produktów, nie potrzebują jednak wiedzieć, że dwa miesiące wcześniej ten klient kupił podobną koszulkę, ale w innym kolorze. Nie przyznawaj im więc dostępu do takich danych w swoich systemach.
3. Ustalenie bądź sprawdzenie okresu retencji danych – ustal czas, przez jaki będziesz przechowywać dane osobowe, oraz poinformuj o nim swoich klientów. Po upływie tego czasu, rzeczywiście usuń je ze wszystkich miejsc tak, abyś już nie miał do nich dostępu. Jeżeli ten okres jest wyznaczony przez dostawcę oprogramowania i nie możesz nigdzie go samodzielnie zmienić, to przynajmniej zorientuj się, jak długo będzie on trwał.

Wiesz już, czego przede wszystkim się wystrzegać oraz na jakie rzeczy zwracać uwagę. To jednak tylko wierzchołek góry lodowej. Należy bowiem podjąć konkretne działania, które pozwolą Ci nie tylko na wprowadzenie w życie wspomnianych zasad.

Przede wszystkim, powinien zostać przeprowadzony audyt. W jego trakcie zostanie ustalone m.in.:

• czy wszystkie formularze i pola wyboru są odpowiednio zaprogramowane,
• czy każdy link odsyłający do polityki prywatności rzeczywiście działa,
• czy polityka prywatności jest aktualna,
• jakie dane są potrzebne w Twojej działalności oraz jakie dane rzeczywiście zbierasz,

Zostaną także zweryfikowane ustawienia tj. które z nich są domyślnie zaprogramowane i co rzeczywiście się z nimi wiąże? Czy możliwa jest ich szybka, łatwa i skuteczna zmiana? Czy występują jakieś problemy z funkcjonowaniem usługi w przypadku wybrania różnych opcji?

Nie można przy tym zapominać o fakcie, że zgodność z zasadami ochrony danych osobowych ma być zapewniona nie tylko przy uruchamianiu usługi, ale również przez cały okres przetwarzania. Należy więc zapewnić, że przy wdrażaniu nowych opcji do już istniejącej strony, takich jak np. chatboty, ponownie ustalimy, jak możemy zadbać przy tym o prywatność oraz jakie ustawienia muszą być zaznaczone domyślnie. Trzeba też dokonywać regularnych kontroli, czy nasze zabezpieczenia dalej spełniają swoją rolę tak, jak powinny? A może są już za stare, czy odnaleziono w nich podatności, które można wykorzystać?

Twoja kadra również powinna o tym wszystkim wiedzieć. Musi zostać odpowiednio przeszkolona i mieć świadomość, jakie obowiązki wiążą się z przetwarzaniem danych osobowych w Twojej działalności, a także jak to konkretnie przebiega. Jeśli będą wiedzieli, jak przebiega cały proces, to zarówno łatwiej będzie uniknąć nieprawidłowości, jak i później je załatać, jeżeli niestety się wydarzą.

W każdej z tych czynności z chęcią pomoże Ci nasza kancelaria. Jeśli chcesz zacząć prowadzić sklep internetowy, albo dodać nowe opcje do już istniejącej strony, czy zbadać aktualność swoich zabezpieczeń – zapraszamy do kontaktu. Pomożemy Ci przeprowadzić cały ten proces. Jeżeli chcesz pozna więcej szczegółów w czym możemy Ci pomóc, zajrzyj konieczne na poniższe strony naszej specjalizacji e-commerce:

• Audyt prawny e-commerce
• Polityka prywatności dla sklepu internetowego