Dropshipping a RODO, czyli kto odpowiada za dane osobowe klienta?

Jeśli prowadzisz sklep internetowy, na pewno przetwarzasz dane osobowe. A skoro tak jest, musisz wiedzieć, jak zapewnić im bezpieczeństwo. Dlaczego to takie ważne? Kary za naruszenie przepisów RODO to zazwyczaj siedmiocyfrowe liczby. Dlatego zdecydowanie lepiej wiedzieć, jakie są Twoje obowiązki w tym zakresie.

Dropshipping to wyjątkowy przypadek, w którym dane klienta przekazywane są między kilkoma podmiotami. Kto w takim razie odpowiada za ich zabezpieczenie – Ty, czy hurtownia? Dowiedz się, jak się ma dropshipping do RODO i uniknij kosztownych błędów.

Czym jest RODO?

RODO to Rozporządzenie o Ochronie Danych Osobowych. Weszło w życie 25 maja 2018 roku, by dostosować polskie przepisy do wymogów Parlamentu Europejskiego i Rady Unii Europejskiej. Regulacja ta gwarantuje wszystkim obywatelom Unii te same prawa dotyczące ochrony lub usunięcia danych osobowych. Bez względu na to, gdzie działa podmiot, któremu te informacje zostały powierzone. Jeśli w swoim sklepie internetowym masz klientów z Unii Europejskiej, przepisy RODO dotyczą także Ciebie.

Początkowo rozporządzenie Parlamentu Europejskiego budziło wiele emocji i niepewności u przedsiębiorców. Zwłaszcza gdy europejskie urzędy ochrony danych osobowych nałożyły kilka wysokich kar na firmy i instytucje. Na szczęście szybko okazało się, że wystarczy wdrożyć odpowiednie procedury bezpieczeństwa, by nie przekraczać przepisów prawa. A jak to wygląda w dropshippingu?

Kto ma obowiązek ochrony danych osobowych w dropshippingu?

W skrócie: każdy, kto je przetwarza. W przypadku dropshippingu oznacza to zarówno sklep internetowy, jak i hurtownię. W końcu, gdy klient złoży zamówienie w Twoim e-sklepie, przekazuje Ci swój adres, numer telefonu czy e-mail. Wszystkie te informacje przesyłasz dalej do hurtowni w celu realizacji zamówienia.

Pamiętaj! Klient musi bezwzględnie wiedzieć o tym, komu przekazujesz jego dane osobowe. Informację o tym koniecznie zawrzyj w regulaminie sklepu internetowego oraz w polityce prywatności.

Jak zabezpieczyć dane klientów sklepu internetowego?

Zgodnie z przepisami RODO, danymi osobowymi są nie tylko imię, nazwisko czy PESEL. To wszystkie informacje, które mogą posłużyć do zidentyfikowania osób fizycznych, których te dane dotyczą. Czyli na przykład adres IP, z którego klient dokonał zakupu w Twoim e-sklepie. Dlatego koniecznie:

  • zadbaj o to, by strona Twojego sklepu internetowego była bezpieczna – upewnij się, że serwer, z którego korzystasz, spełnia wszystkie standardy i zaszyfruj witrynę przy pomocy certyfikatu SSL,
  • w regulaminie sklepu i polityce dotyczącej cookies określ, jakie informacje zbierasz oraz w jakim celu to robisz,
  • każdorazowo proś klienta o zgodę na pozyskanie i przetwarzanie jego danych,
  • zagwarantuj kupującym możliwość skorzystania z prawa dostępu, sprostowaniu lub usunięcia informacji na swój temat.

Kto jest administratorem danych?

Chociaż każdy z uczestników dropshippingu przetwarza dane, warto zwrócić uwagę na to, kto jest za nie odpowiedzialny. Informacje na ten temat znajdziesz w Artykule 28, w punkcie 4 rozporządzenia:

„Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym”

Oznacza to, że Ty, jako właściciel sklepu jesteś administratorem danych osobowych klienta. Ostateczna odpowiedzialność za ich ochronę spoczywa więc na Tobie. Dlatego do dropshippingu koniecznie wybierz dostawcę godnego zaufania.[1]  Aby zabezpieczyć się przed nieprzewidzianymi sytuacjami, bezwzględnie podpisz z hurtownią umowę o powierzeniu danych osobowych.

Co powinna zawierać umowa w związku z przetwarzaniem danych osobowych?

Odpowiednio skonstruowana umowa z dostawcą zabezpieczy nie tylko prywatność Twoich klientów. To również ochrona dla Ciebie, jako administratora ich danych. Twój partner dropshippingowy ma prawo przetwarzania danych klientów sklepu tylko w zakresie określonym w takim porozumieniu. Dlatego w kontrakcie powinny znaleźć się zapisy określające:

  • jakie dane powierzasz dostawcy, np. adres, numer telefonu,
  • w jakim celu przekazujesz je hurtowni,
  • jak długo od zawarcia umowy sprzedaży dostawca może przetwarzać dane.

Co to oznacza w praktyce? Hurtownia musi zapewnić pełną ochronę otrzymanych informacji i zobowiązuje się do zachowania tajemnicy. Bez Twojej zgody nie może ich powierzyć innym podmiotom. I co najważniejsze: na każde Twoje żądanie musi udowodnić, że wywiązuje się z wykonania umowy.

Za RODO w dropshippingu odpowiada sklep internetowy

Chociaż temat RODO w dropshippingu może wydawać się skomplikowany, w rzeczywistości nie powinien nastręczać problemów. Jeśli zadbasz o politykę prywatności oraz podpiszesz z dostawcą umowę w sprawie ochrony danych, jesteś na dobrej drodze do spełnienia wymagań rozporządzenia. A podejmując współpracę z odpowiedzialną hurtownią, dodatkowo ułatwisz sobie to zadanie.

Partnerem, na którego zawsze możesz liczyć, jest Sollux Lighting. Mamy wieloletnie doświadczenie w sprzedaży w tradycyjnym modelu oraz w dropshippingu. Zobacz, jak wygląda współpraca z nami.[2]