Prowadząc e-sklep, należy ustalić, jakie dane są obecnie gromadzone. Jeśli są zaliczane do wrażliwych, niezbędne będzie powołanie inspektora ochrony danych osobowych (w miejsce obecnego administratora bezpieczeństwa informacji).
W dalszej kolejności – konieczne będzie sprawdzenie do kogo trafiają dane klienta i dokonanie analizy zawartych umów. Należy zweryfikować pod kątem zgodności z RODO wszelkie umowy, na mocy których następuje powierzenie przetwarzania danych osobowych – mowa tutaj zarówno o outsourcingu usług księgowych, kadrowych, prawnych, logistycznych, jak i o umowach z firmami wysyłającymi newslettery i operatorami płatności. Konieczna może okazać się całkowita zmiana lub aneksowanie dokumentów – tak, aby z dniem 25 maja 2018, czyli wejściem w życie RODO były one zgodne z rozporządzeniem. W myśl nadchodzących zmian dostawcy danych będą współodpowiedzialni za ich bezpieczeństwo i ochronę również w obrębie technologii chmurowych.
Personalizacja? Nie, dziękuję
Jasno zdefiniowane prawa osób fizycznych do ochrony danych osobowych często oznaczają gruntowne zmiany w treści regulaminów – często napisanych trudnym, hermetycznym językiem. Nacisk na obowiązek informacyjny wymusza konieczność formułowania regulaminów, klauzul informacyjnych i zgód ujętych w zrozumiałe, klarowne treści. Dotyczy to również zapisów ujętych w polityce prywatności. Użytkownik powinien być w pełni świadom tego, w jakim celu przetwarzane i pozyskiwane są jego dane osobowe. Może nie wyrazić na to zgody. Oznacza to przebudowę formularzy, czyli odpowiednie zmiany treści przy zaznaczanych checkboxach odnoszących się do wyrażania zgody na takie działania marketingowe, jak np. otrzymywanie newsletterów. Dodatkowo użytkownikowi przysługuje prawo do bycia zapomnianym, co gwarantuje mu, możliwość żądania od administratora trwałego usunięcia danych z systemu, czy archiwum, np. gdy dane nie są już potrzebne do celu przetwarzania. Pojawiają się opinie, że wzrost świadomości konsumenta uderzy w zaawansowaną analitykę e-commerce, szczególnie w zakresie profilowania i personalizacji. Taki obrót spraw może również położyć się cieniem na budowaniu strategii marketingowych, blokując łatwość dotarcia z odpowiednią ofertą do konkretnego podmiotu. Spada wówczas efektywność kampanii, osłabia się lojalność klienta, pomniejszają się zyski. W jakim stopniu te przewidywania się sprawdzą, uda się oszacować po upływie dłuższego czasu. Obecnie można jedynie spekulować.
Egzamin dojrzałości, czyli analiza ryzyka
Kolejny krok to dostosowanie działań w obrębie firmy, ale też infrastruktury IT do wymogów unijnego rozporządzenia, to – analiza ryzyka. Analiza powinna wykazać, m.in. czy stosowane hasła dostępu są wystarczająco silne, na jakim etapie i czy zawsze niezbędne będzie szyfrowanie danych. Konieczność wdrożenia systemów zabezpieczeń w systemach obsługujących e-platformy nie powinna więc być zaskoczeniem. Nowością na gruncie bezpieczeństwa może być obowiązek uwzględnienia ochrony danych począwszy od fazy projektowania (privacy by design), przechodząc do fazy ustawień domyślnych (privacy by default). Czy obecnie stosowane mechanizmy, które kontrolują zawartość danych i sposób ich przetwarzania są spójne z założeniami RODO? Problemy z interpretacją stwarza art. 32 rozporządzenia, który brzmi: Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku [...] >patrz zdaniem autora.
Wychodząc naprzeciw licznym wątpliwościom, GIODO opracowało wskazówki, jak należy rozumieć podejście oparte na ryzyku. We wskazówkach tych można odnaleźć rekomendacje w zakresie metod analizy ryzyka, które powinny być wykorzystywane w procesie analizy. Niezależnie od wybranej metody niewątpliwe jest, że dla przypadku przetwarzania wiążącego się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych administrator danych osobowych musi dokonać oceny skutków, które należy uwzględnić przy określaniu odpowiednich środków.