Jak przenieść sprzedaż ze sklepu stacjonarnego do Internetu – poradnik LexDigital
Wprowadzenie możliwości sprzedaży w Internecie to bardzo ważna, biznesowa decyzja, która w momencie, kiedy przedsiębiorcy muszą ograniczać koszty wynajmu lokali czy koszty związane z zatrudnieniem, wydaje się być nieunikniona. Warto też mieć na względzie, że prawidłowo przygotowany sklep internetowy umożliwia handel nie tylko na rynku lokalnym czy krajowym, ale też międzynarodowym oraz zakupy o każdej porze dnia i nocy.
W związku z zaistniałą sytuacją wiele firm w celu utrzymania swojej działalności decyduje się na przeniesienie sprzedaży ze sklepów stacjonarnych do Internetu. W niektórych przedsiębiorstwach sprzedaż on-line była standardem stosowanym już od dawna, jednak dla wielu organizacji jest to zupełnie nowe wyzwanie, któremu muszą teraz sprostać, żeby móc utrzymać się na rynku.
Istotnym elementem, który każdy przedsiębiorca powinien wziąć pod uwagę przy realizacji procesu uruchomienia e-sklepu jest bezpieczeństwo danych osobowych klientów. Zdajemy sobie sprawę, że przeniesienie sprzedaży ze sklepu stacjonarnego do Internetu nie będzie łatwym zadaniem, dlatego przygotowaliśmy dla Was krótki przewodnik, którego celem jest przedstawienie najważniejszych kwestii dotyczących odpowiedniego zabezpieczenia danych osobowych klientów.
W artykule dzielimy się z Państwem wiedzą co do poszczególnych kroków jakie należy wykonać, aby e-biznes spełniał odpowiedni poziom bezpieczeństwa.
1. Planowanie i wdrażanie zmian w organizacji
Jeśli projektujemy nowe rozwiązanie, w którym będzie wymagane od użytkowników podanie jakichkolwiek danych, to należy bezwzględnie zadbać o ich ochronę od początku cyklu ich przetwarzania. Bez wątpienia przygotowanie e-sklepu jest takim projektem.
Jedną z zasad, którą będziemy zobowiązani zastosować w tym przypadku jest privacy by design, czyli ochrona danych osobowych w fazie projektowania.
Privacy by design to nie tylko dobra praktyka, ale od maja 2018 roku, to przede wszystkim prawnie ciążący obowiązek, który dotyczy podmiotów zarówno ze sfery publicznej, jak i prywatnej.
Obowiązek stosowania privacy by design został wprowadzony art. 25 ust. 1 RODO (ogólnego rozporządzenia o ochronie danych osobowych 2016/679), z którego wprost wynika, że administrator danych osobowych, powinien tak zaplanować projekt, aby ochrona danych osobowych stanowiła jego istotny aspekt.
Administrator powinien uwzględnić „stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia”.
2. Przygotowanie organizacji do sprzedaży Internetowej – kluczowe decyzje w aspekcie bezpieczeństwa danych osobowych klientów
Wybór rzetelnych dostawców może okazać się bardziej czasochłonny niż zakładałeś na początku. Pamiętaj jednak, że współpraca z zaufanymi podmiotami, które nie bagatelizują tematu bezpieczeństwa danych osobowych zaprocentuje uznaniem klientów i na pewno wpłynie na liczbę składanych zamówień. Ponadto zminimalizuje ryzyko naruszeń danych osobowych, które zgodnie z obowiązującym prawem mogą prowadzić do nałożenia na Ciebie kar finansowych.
Pamiętaj także, że zgodnie z art. 28 RODO z niektórymi dostawcami będziesz musiał zawrzeć umowy powierzenia przetwarzania danych osobowych. Co więcej, zgodnie z art. 28 ust. 1 RODO (uzupełniony treścią motywu 81 RODO), jako administrator zobowiązany jesteś do korzystania wyłącznie z takich podmiotów przetwarzających, które gwarantują wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających, że przetwarzanie spełnia wymogi rozporządzenia o ochronie danych osobowych oraz chroni prawa osób, których dane są przetwarzane.
a) Wybór dostawcy oprogramowania.
Przygotowania do uruchomienia e-sklepu powinieneś rozpocząć od rzetelnego wyboru dostawcy oprogramowania.
Co prawda otwarcie prostego sklepu internetowego nie wymaga zaawansowanej wiedzy programistycznej, a wiele pomocnych narzędzi do budowy strony internetowej jest bezpłatnych, jednak nie są to rozwiązania idealne w każdym przypadku, a tym bardziej w sytuacji, w której bezpieczeństwo przetwarzanych danych osobowych będzie jednym z ważniejszych aspektów. Późniejsza rozbudowa gotowych rozwiązań może okazać się niemożliwa lub bardzo kosztowna.
Drugim rozwiązaniem z jakiego możesz skorzystać jest stworzenie sklepu internetowego przy pomocy gotowego pakietu oprogramowania do sprzedaży online.
Możesz również otworzyć e-sklep korzystając z rozwiązań dedykowanych, tworzonych przez specjalistów. Dedykowany sklep online prawdopodobnie będzie najlepszym rozwiązaniem, jednak jego budowa jest czasochłonna i wymaga znacznych nakładów finansowych.
Obojętnie, czy zdecydujesz się na zakup gotowego modelu oprogramowania, czy na skorzystanie z usług firmy, która przygotuje dla Ciebie dedykowane rozwiązanie, musisz pamiętać, że Twoja strona internetowa ma zapewnić bezpieczeństwo przetwarzanych danych osobowych. Dlatego przed ostatecznym wyborem dostawcy sprawdź na tyle, na ile to możliwe rozwiązania jakimi posługuje się dana firma. Sprawdź również jakie ma podejście do kwestii ochrony danych osobowych, jakie zabezpieczenia stosuje.
Pamiętaj, że ta decyzja będzie miała wpływ na bezpieczeństwo oferowanych przez Ciebie usług.
b) Wybór dostawcy poczty elektronicznej.
Wybór domeny poczty elektronicznej to z pozoru prosta decyzja, pamiętaj jednak, że ona też będzie miała znaczenie w aspekcie bezpieczeństwa przesyłanych informacji, w tym danych osobowych zawartych chociażby na fakturach. Dostawca poczty elektronicznej powinien zapewnić nie tylko skuteczną ochronę antyspamową, ale także ochronę poczty elektronicznej przed wirusami lub złośliwym oprogramowaniem. Twoja poczta elektroniczna powinna być dobrze chroniona również przed oszustwami polegającymi na wyłudzaniu poufnych informacji na temat Twoich klientów.
Wybierając dostawcę domeny poczty koniecznie zwróć uwagę czy zapewnia on ochronę poczty elektronicznej przed utratą danych np. dzięki specjalnym filtrom opartym na określonej polityce.
Istotny będzie też aspekt dotyczący archiwizacji i przechowywania wiadomości e-mail.
c) Obsługa płatności
W zakresie obsługi płatności pierwszą decyzją jaką będziesz musiał podjąć to wybór rodzaju płatności, a następnie wybór ewentualnego dostawcy usług.
Możesz zdecydować się na wariant płatność przy odbiorze albo tradycyjny przelew internetowy, jednak zdecydowana większość firm, w celu ułatwienia zakupów wprowadza możliwość płatności on-line.
Korzystaj z zaufanych firm, cieszących się dobrymi opiniami klientów i przede wszystkim stawiającymi bardzo wysoko bezpieczeństwo przetwarzanych danych osobowych.
Firma, która będzie obsługiwała Twoje płatności on-line powinna posiadać certyfikaty, które będą potwierdzeniem m.in.:
- prawidłowego zarządzania bezpieczeństwem danych,
- zapewnienia odpowiedniej poufności danych przekazywanych drogą elektroniczną (np. szyfrowania kanału transmisji),
- zabezpieczenia danych przed ich przechwyceniem, zabezpieczenia serwera przed atakami celowymi.
- szyfrowany kanału transmisji zapewniającego poufność informacji
- zabezpieczenia serwera przed dostępem do danych przez osoby nieupoważnione
Pamiętaj, że sukces Twojego sklepu Internetowego w dużej mierze zależał będzie od niezawodności standardów bezpieczeństwa przeprowadzanych transakcji internetowych. Twoi klienci muszą mieć pewność, że dokonując zapłaty za kupione produkty ich dane osobowe, w tym np. numer rachunku bankowego czy hasło do aplikacji banku są bezpieczne.
d) Wybór firmy kurierskiej.
Wybór firmy kurierskiej do obsługi sklepu internetowego jest również bardzo ważną decyzją. Oprócz tego, że kurier powinien stosunkowo szybko i w korzystnej cenie realizować zamówienia, to ponadto powinien cieszyć się powszechnym zaufaniem klientów, również w aspekcie bezpieczeństwa danych osobowych.
e) Zabezpieczenia fizyczne i zabezpieczenia elektronicznej bazy klientów
Przygotowując firmę do rozszerzenia działalności o sklep internetowy powinieneś zadbać również o odpowiednie zabezpieczenia fizyczne. Chodzi przede wszystkim o zabezpieczenie danych osobowych klientów np. zawartych na fakturach, a także o odpowiednie zabezpieczenie sprzętu wykorzystywanego do prowadzenia sklepu np. komputerów i drukarek.
Wszelkie dokumenty związane z działalnością firmy, a przede wszystkim te zawierające informacje poufne (w tym dane osobowe klientów) powinieneś przechowywać w taki sposób, żeby dostęp do nich miały tylko osoby upoważnione. W RODO jest wprost powiedziane, że jako administrator danych musisz zapewnić odpowiednie środki techniczne i organizacyjne, które pozwolą na odpowiednie zabezpieczenie przetwarzanych prze Ciebie danych.
Odpowiednie zabezpieczenia powinny posiadać również wykorzystywane przez Ciebie sprzęty, takie jak komputer, skaner, drukarka a także telefon. Dobry program antywirusowy to podstawa, ale sprzęt wykorzystywany do prowadzenia sprzedaży on-line powinien posiadać znacznie lepsze zabezpieczenia niż taki, który wykorzystywałabyś do celów prywatnych.
Pamiętaj też o ustawieniu odpowiednio mocnych haseł, zwłaszcza w tych systemach, w których przetwarzać będziesz dane osobowe.
3. Ustalenie zakresu danych jakie będą pobierane od klientów w celu realizacji usługi (zakupów)
Jako właściciel sklepu internetowego i jednocześnie administrator danych osobowych będziesz musiał ustalić zakres informacji jaki będzie pobierany od klientów. Pamiętaj jednak, że obowiązuje zasada minimalizacji danych. Zgodnie z art. 5 ust. 1 pkt c RODO, dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Oprócz zasady minimalizacji danych obowiązują również inne zasady przetwarzania, takie jak zasada ograniczenia celu czy zasade prawidłowości, która nierozerwalnie wiąże się z celami, w których dane osobowe mają być przetwarzane.
Jako podmiot zbierający i przetwarzający dane (administrator danych osobowych) musisz mieć na uwadze, że RODO wymaga abyś zbierał i wykorzystywał tylko te dane, które są rzeczywiście zgodne z celami, które chcesz osiągnąć przy pomocy tych danych osobowych. Zatem jako administrator danych osobowych jesteś zobowiązany do gromadzenia tylko takich danych, jakie są niezbędne dla określonego celu przetwarzania. Co więcej, zgodnie z art. 5 ust. 2 rozporządzenia o ochronie danych osobowych jako administrator nie tylko jesteś odpowiedzialny za przestrzeganie zasady minimalizacji, ale zgodnie z zasadą rozliczalności musisz być w stanie wykazać jej przestrzeganie (np. w przypadku ewentualnej kontroli Urzędu Ochrony Danych Osobowych).
Wszystkie powyższe kwestie musisz mieć na względzie ustalając zakres danych jakie będziesz pobierał od klientów. Pamiętaj, że możesz wprowadzić podział na dane obowiązkowe, które będą konieczne do dokonania zakupów (np. imię, nazwisko, adres zamieszkania, numer telefonu i adres e-mail) oraz dane opcjonalne, od których podania nie będzie uzależniona realizacja zamówienia. Wśród danych podawanych dobrowolnie może być np. płeć czy data urodzenia. Musisz pamiętać jednak, żeby zawsze podawać cel zbierania danych, w tym przypadku może to być np. cel statystyczny lub realizacja bonów urodzinowych.
Samodzielne ustalenie zakresu przetwarzanych danych może być dość ryzykowne, w przypadku stwierdzenia przez Urząd Ochrony Danych Osobowych niezachowania zasady minimalizacji danych może zostać nałożona na Ciebie kara finansowa. Pamiętaj, że zawsze możesz zwrócić się o pomoc do specjalistów w tym zakresie.
4. Ustalenie zasad dotyczących realizacji zakupów
Jako osoba prowadząca sklep on-line będziesz musiał ustalić zasady dotyczące realizacji zakupów tj. musisz zdecydować czy Twoi klienci będą zobowiązani do założenia konta w sklepie czy umożliwisz im również dokonywanie zakupów jako „gość”. Obojętnie na jakie formy się zdecydujesz będziesz musiał odpowiednio zaplanować formularze do rejestracji oraz zakres zbieranych danych. Zgodnie z tym co opisane jest w punkcie 3 musisz pamiętać o zasadzie minimalizacji danych, tj. możesz zbierać tylko takie dane klientów, które są konieczne w danym celu. Jeżeli klient będzie rejestrował konto w Twoim e-sklepie, to w zasadzie powinieneś pobrać od niego tylko adres e-mail i hasło. Nie powinieneś wymagać od klienta od razu podawania danych adresowych do wysyłki produktów, które są w ofercie Twojego sklepu, ponieważ dokładny adres zamieszkania klienta nie jest potrzebny i żądanie go na tym etapie byłoby niezgodne z zasadą minimalizacji danych.
5. Zabezpieczenia elektronicznej bazy klientów
Elektroniczna baza klientów powinna być doskonale zabezpieczona przed różnymi zagrożeniami np. przed atakami hackerskimi. Cyberprzestępcy podejmują wiele prób kradzież taki baz. Wyciek danych osobowych klientów to poważne naruszenie za które grozi nie tylko kara finansowa, ale również wiąże się z tym utrata zaufania klientów. Wybierając zabezpieczenia swojej bazy klientów pamiętaj o ich bezpieczeństwie.
Zaprojektowanie zabezpieczeń baz danych klientów oraz sposobu ich weryfikacji powinieneś powierzyć specjalistom, którzy zadbają o kwestie związane z ochroną przetwarzanych w niej danych.
6. Ustalenie czasu retencji danych
Zgodnie z przepisami RODO (art. 5 ust. 1 lit. e) dane osobowe powinny być przechowane przez okres nie dłuższy niż jest to niezbędne do celów, w których są przetwarzane.
Jako administrator danych musisz określić niezbędny okres przechowania danych, zwany okresem retencji danych.
W przypadku sklepu internetowego wskazówką dla wyznaczania okresu retencji, może być okres przedawnienia zobowiązań podatkowych oraz okres przedawnienia roszczeń.
Musisz pamiętać także, że ustalenie i przestrzeganie zasady retencji oznacza ograniczenie ilości przechowanych danych, a tym samym także zmniejszenie ilości danych których mógłby dotyczyć potencjalny incydent.
Ponadto jako administrator danych w momencie stwierdzenia ustania/zrealizowania celu gromadzenia, czy też jego zmiany będziesz zobowiązany do podejmowania odpowiednich czynności takich jak usuwanie, anonimizacja czy archiwizacja danych.
7. Zasady usuwania kont klientów po upływie czasu przechowywania
Tak jak zostało to opisane w punkcie 6, zgodnie z podstawowymi zasadami RODO nie możesz przechowywać danych bezterminowo lub dłużej, niż jest to konieczne do spełnienia celu dla których dane te zostały zebrane. Tak więc po ustaniu celu, dla którego zebrałeś dane oraz upływie czasu związanego z koniecznością ich przetwarzania (np. do celów rozliczeń księgowych czy zabezpieczenia roszczeń), dane klientów sklepu powinny zostać usunięte.
Należy upewnić się, czy usunięcie danych wiąże się również ze skutecznym usunięciem kont klientów,
usunięciem danych ze wszystkich systemów i nośników, jakich używasz do ich przechowywania.
8. Opracowanie formularzy kontaktowych i formularzy rejestracyjnych (spełnienie obowiązku informacyjnego).
Prowadząc sklep internetowy musisz pamiętać, że wszelka komunikacja z klientem lub potencjalnym
klientem musi odbywać się w zgodzie z obowiązującymi przepisami prawa.
I tak, w przypadku korzystania z formularzy kontaktowych i rejestracyjnych, a także zapisów do newslettera powinniśmy pamiętać o pobieraniu tylko takiego zakresu danych, który jest nam niezbędny do zrealizowania określonego celu.
Wobec osób z którymi się komunikujemy musimy spełnić odpowiedni obowiązek informacyjny (inny będzie cel i podstawa prawna przetwarzania w związku z realizacja usługi newslettera, a inny w przypadku dokonywania rejestracji konta).
Najlepszym rozwiązaniem jest umieszczenie obowiązku informacyjnego tuż pod samym formularzem, przy czym nie musi być w tym miejscu widoczna cała jego treść. W tzw. pierwszej warstwie obowiązku informacyjnego należy wskazać kto jest administratorem danych, jakie są cele przetwarzania i prawa osób, których dane są przetwarzanie.
Pozostała treść obowiązku może być widoczna po np. kliknięciu przycisku „rozwiń” lub w podlinkowanej polityce prywatności.
9. Przygotowanie Polityki prywatności
Uruchamiając sklep internetowy warto mieć na uwadze wdrożenia polityki prywatności. Posiadanie tego dokumentu nie jest obowiązkiem, natomiast zdecydowanie warto go mieć.
Polityka prywatności to właściwe miejsce do spełnienia obowiązków informacyjnych wynikających z RODO, ustawy o ochronie danych osobowych, ustawy prawo telekomunikacyjne i ustawy o świadczeniu usług drogą elektroniczną.
Aby polityka prywatności spełniała swoją funkcję informacyjną dobrze jest tam opisać sposób w jaki będziesz chronić prywatność swoich użytkowników. Warto informacje rozbudować – np. informując użytkownika jak dokładnie może zmienić swoje dane osobowe (np. wskazać konkretną funkcję serwisu lub adres e-mail, na który należy wysłać wiadomość w tej sprawie).
W dokumencie tym informujemy kto jest administratorem danych osobowych, jakie prawa ma osoba pozostawiająca swoje dane osobowe, w jakim celu gromadzimy jej dane, jak długo będziemy je przechowywać oraz komu udostępniać itd.
Również w tym miejscu informujemy o stosowaniu plików cookies.
W związku z informacjami, które wskazujemy w polityce prywatności dotyczącymi możliwości realizacji praw osób, których dane dotyczą powinniśmy zastanowić się w jaki sposób będziemy te prawa realizować. Czy znane są nam zasady realizacji praw zgodnie z obowiązującymi przepisami, czy jesteśmy w stanie spełnić wszystkie prawa, a jeżeli nie, to dlaczego? Warto ustalić kto, z naszego zespołu, będzie się realizacją tych praw zajmował.
Wzór polityki prywatności jest jednym z elementów naszego pakietu RODO dla sklepów internetowych.
10. Pliki cookies i Polityka cookies (co trzeba opracować, jeśli zakłada się używanie plików cookies).
Jeżeli operator strony twojego sklepu automatycznie zbiera informacje zawarte w plikach cookies, takie jak m.in. data połączenia z serwisem oraz adres IP urządzenia, przechowywane na komputerach użytkowników (np. komputerze, tablecie lub smartfonie) musisz o tym poinformować.
Informacje dotyczące plików cookies mogą znaleźć się w polityce prywatności opisanej w punkcie powyżej.
Należy poinformować o tym jakie rodzaje plików są wykorzystywane, w jakim celu są one wykorzystywane, jakim podmiotom dane zebrane przez cookies mogą być udostępniane, informacje o możliwości ograniczenia lub wyłączenia dostępu plików cookies do komputerów i konsekwencjach z tego wynikających (ograniczenie lub zablokowanie plików cookies może wpłynąć niekorzystnie na wybrane funkcjonalności dostępne w serwisie).
Podczas ładowania strony głównej musi wyświetlić się komunikat o gromadzeniu i wykorzystaniu plików cookies.
Wzór polityki cookies jest również zawarty w naszym pakiecie RODO dla sklepów internetowych.
11. Prowadzenie fanpage w mediach społecznościowych – konieczność spełnienia obowiązku informacyjnego
Jeżeli będziesz promować swój sklep w mediach społecznościowych (np. na Facebooku) pamiętaj, że takie działania również wymagają pozostania w zgodzie z przepisami dotyczącymi ochrony danych osobowych. Wobec osób odwiedzających Twój fanpage musisz spełnić obowiązek informacyjny wskazując m. in. cele i podstawy przetwarzania danych.
Pamiętaj, że jako administrator fanpage’a nie jesteś administratorem danych bezpośrednio związanych z założeniem profilu oraz danych dotyczących informacji o aktywności osób wynikającej z użytkowania Serwisu. Administrujesz tylko tymi danymi, które bezpośrednio związane są z Twoją komunikacją z użytkownikami serwisu (komentarze, czaty, wiadomości prywatne).
12. Legalizacja działań marketingowych np. newsletter, programy lojalnościowe – jak zrealizować wymogi prawne w aspekcie ochrony danych osobowych (pobieranie zgód w obszarach, w których jest to wymagane)
Jak powszechnie wiadomo marketing to bardzo ważny obszar w działalności podmiotów gospodarczych. Dobrze prowadzony możne znacząco wpłynąć na wyniki sprzedaży, wizerunek, reputację.
Z punktu widzenia RODO prowadzenie marketingu wiąże się obowiązkami po stronie administratora danych. Jeżeli zdecydujesz się na wysyłkę newslettera, pamiętaj, że nie masz obowiązku uzyskiwania zgody na samą jego wysyłkę, ale na kanały komunikacji, których w tym celu będziesz używać. Musisz pamiętać, że należy uzyskać zgodę na przesyłanie drogą mailową na podstawie przepisów ustawy o świadczeniu usług drogą elektroniczną. Komunikacja treści marketingowych wysyłanych sms, czy przekazywanych podczas rozmów telefonicznych również wymaga zgody od ich odbiorcy (w tym wypadku na podstawie ustawy prawo telekomunikacyjne).
Ważne jest, aby treść newslettera nie nosiła znamion oferty i aby poinformować odbiorcę o tym kto będzie przetwarzał jego dane, w jakim celu, na jakich podstawach prawnych, przez jaki czas, itd. (spełnienie obowiązku informacyjnego).
Doskonałą formą marketingu jest również aktywność w mediach społecznościowych (zasady ich wykorzystywania opisano powyżej), organizowanie konkursów, a także programów lojalnościowych. W tych wypadkach przetwarzanie danych również powinno odbywać się w zgodzie z przepisami RODO, niekiedy konieczne będzie przygotowanie regulaminu opisjącego zasady samego udziału w konkursach i programach, a także zasady przetwarzania danych.
13. Upoważnienia dla pracowników
Nadawanie upoważnień do przetwarzania danych ma podstawowe znaczenie dla zapewniania zgodności przetwarzania z RODO. Jest to obowiązek wynikający z art. 29 RODO.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.
Częstą praktyką, szczególnie, gdy firma jest mała jest formułowanie treści upoważnień w sposób bardzo ogólny, np. „do przetwarzania danych osobowych”. To błąd. Może to rodzić sytuacje takie, że zarówno twoja księgowa, jak i osoba obsługująca zamówienia w sklepie będzie miała dostęp do tych samych danych. Po pierwsze, nie ma takiej konieczności, po drugie jest to niezgodne z bezpiecznymi zasadami przetwarzania danych i niesie za sobą ryzyko dostępu do danych, do których poszczególni pracownicy dostępu mieć nie powinni.
Idealnym rozwiązaniem byłoby więc wskazanie w treści upoważnienia dokładnego zakresu danych i kategorii osób, do których poszczególni pracownicy, ze względu na wykonywane przez nich czynności, będą mieli dostęp.
14. Ustalenie trybu postępowania w przypadku wycieku danych, naruszenia ochrony danych osobowych
Musisz zdawać sobie sprawę z tego, że nawet w przypadku zachowania najwyższej staranności i zastosowania zabezpieczeń na najwyższym poziomie może dojść do wycieku przetwarzanych przez Ciebie danych osobowych. Posiadana przez Ciebie baza danych może zwyczajnie paść ofiarą ataku hackerskiego.
Konieczne jest przygotowanie się na wystąpienie tego rodzaju sytuacji i opracowanie procedur postępowania na okoliczność wystąpienia incydentu związanego z ochroną danych osobowych. Procedury te nie muszą przyjąć formy pisemnej, ważne jest, aby zasady postępowania znane były wszystkim osobom zaangażowanym w procesy związane z przetwarzaniem danych osobowych. Pracownicy powinni wiedzieć kogo o naruszeniu informować, dlatego ważne jest, aby procedura określała, co zrobić w przypadku wykrycia innego stanu niż ten uznany za prawidłowy. Procedura powinna wymagać zgłoszenia każdej sytuacji, która odbiega od codzienności. Nawet jeśli to będzie zgłoszenie, które w efekcie nie będzie oznaczało naruszenia.
W przypadku naruszenia ochrony danych osobowych należy jak najszybciej usunąć jego skutki, opisać
jego okoliczności i planowaną reakcję, a jeżeli okaże się to konieczne bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je organowi nadzorczemu (tj. do Urzędu Ochrony Danych Osobowych), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
Niezależnie od konieczności zgłoszenia naruszenia do organu nadzorczego, należy zarejestrować je wewnętrznie.
Komplet potrzebnych dokumentów znajdą Państwo w naszym pakiecie RODO dla sklepu internetowego.