Rodo interneta veikalā soli pa solim

Apkalpošana

No 2018. gada maija tiek piemērota Eiropas Parlamenta un Padomes (ES) GDPR regula. Regulas nosacījumi ieviesa daudz jaunu risinājumu personas datu aizsardzības jomā, kuru īstenošana bija un joprojām ir īsts izaicinājums visiem personas datu apstrādes uzņēmējiem. Uzņēmējiem, kuri vada interneta veikalus, jābūt īpaši piesardzīgiem, jo ​​viņu apstrādāto un glabājamo datu apjoms ir ļoti plašs.Kā ieviest GDPR lasi interneta veikalā!

Kādi dokumenti ir nepieciešami?

GDPR regula attiecas uz visiem uzņēmējiem, kas darbojas Eiropas Savienībā. Interneta veikalu gadījumā uzņēmuma atrašanās vietai ārpus ES nav nozīmes, ja tirgotājs piedāvā savas preces Eiropas iedzīvotājiem.

VDAR noteikumi neuzliek subjektiem, kas apstrādā personas datus, konkrētu katalogu vai dokumentu kopumu, kas jāsagatavo, lai veikto darbību pielāgotu regulas saturam. Katram uzņēmējam pašam ir jāizlemj, kas ir nepieciešams uzņēmuma rakstura dēļ. Neapšaubāmi, veikto darbību veids ir būtiski atkarīgs no tā veida – interneta veikala gadījumā būtiski būs tādi faktori kā veikala klientu specifika vai uzņēmēja iegūto datu apjoms, kas nepieciešams pakalpojuma sniegšanai.

Svarīgs!
Domājot par interneta veikala lietotājiem sagatavoto dokumentu saturam jābūt noformētam vienkāršā un ikvienam saprotamā valodā, neizmantojot sarežģītas frāzes un atsauces uz normatīvajiem aktiem.

Pirms dokumentu sagatavošanas (vai pirms to aktualizēšanas) uzņēmējam jāveic detalizēts audits, kura mērķis ir pārbaudīt, kuri personas datu drošības pasākumi jau ir ieviesti un kuri ir jāsagatavo.

Ar GDPR noteikumiem saistīto dokumentu paraugkatalogā tiešsaistes veikalā jāietver:

  1. Interneta veikala noteikumi;
  2. Privātuma politika;
  3. Drošības politika;
  4. IT sistēmu vadības rokasgrāmata;
  5. Sīkdatņu politika;
  6. Veikala pircējiem paredzētās veidlapas, ieskaitot līguma atteikuma paraugu un sūdzības paraugu;
  7. Personas datu apstrādes darbību reģistrs;
  8. Ar personas datu aizsardzības pārkāpumiem saistīto incidentu reģistrs;
  9. Pilnvara apstrādāt personas datus;
  10. Personu reģistrs, kas ir tiesīgs apstrādāt personas datus;
  11. Paziņojuma par piekrišanu personas datu apstrādei veidne.

Sāciet bezmaksas 30 dienu izmēģinājuma periodu bez jebkādām prasībām!

Vai GDPR interneta veikalā prasa izmaiņas noteikumos?

Saskaņā ar GDPR noteikumiem sagatavotā interneta veikala nolikuma galvenais mērķis ir informēt veikala klientus un visus tā mājaslapas apmeklētājus par viņu tiesībām un pārdevēja pienākumiem.

Uzņēmējam, kurš vada tiešsaistes veikalu, ir jāinformē lietotāji par:

  • precīzs iegūto personas datu apjoms;

  • personas datu uzglabāšanas veids pēc to savākšanas;

  • tiesības pieprasīt lejupielādēto datu dzēšanu no uzņēmēja uzturētajām datubāzēm;

  • citas lietotāja tiesības: tiesības tikt aizmirstam, rediģēt lejupielādētos personas datus, ziņot par pārkāpumiem;

  • darbības veids IT sistēmas atteices, sistēmas uzlaušanas un lietotāja datu zādzības gadījumā;

  • uzņēmēja datus, tai skaitā precīzus personas datu administratora datus;

  • uzturētās datu bāzes segmentēšana.

Uzmanību!
Interneta veikalus strādājošo uzņēmēju skatījumā svarīgākā darbība ir vietnes lietotāja piekrišanas iegūšana viņa personas datu apstrādei.

Uzņēmējam jāiegūst un jāuzglabā tikai tie dati, kas nepieciešami pakalpojuma veikšanai.

1. piemērs.

Uzņēmējs vada interneta veikalu, kas pārdod apģērbu. Viņš var iegūt tālruņa numurus no klientiem, lai izpildītu pasūtījumu un tā pareizu piegādi. Tomēr viņam nevajadzētu iegūt nevajadzīgus (piem., PESEL numuru) vai izmantot iegūtos datus neatbilstoši to paredzētajam lietojumam (piemēram, sūtīt īsziņas uz norādīto tālruņa numuru, ja šāds mērķis nav noteikts noteikumos).

Mājas lapas lietotāju (ne tikai veikala klientu, bet arī visu vietnes apmeklētāju) piekrišanas iegūšana ir uzņēmēja galvenais pienākums. Svarīgi, ka piekrišana nevar būt automātiska (vietnes lietotājam tā ir jāizsaka pašam, ekrānā izvēloties atbilstošo opciju), un tai ir jābūt brīvprātīgai. Paziņojuma saturā precīzi jānorāda, kam lietotājs piekrīt. Uzņēmējs var izmantot vienu formulu, kurā ir visas nepieciešamās piekrišanas, bet, ja viņš tās iegūst atšķirīgā apjomā un dažādiem mērķiem, katra no tām ir jāizsaka atsevišķi.

Datu apstrādes darbību reģistrs

Līdz GDPR regulas spēkā stāšanās brīdim uzņēmējiem, kuri pārvalda tiešsaistes veikalus, bija jāreģistrē savas datu kopas GIODO. Šobrīd šis pienākums ir aizstāts ar nepieciešamību veikt datu apstrādes reģistru. Tas ir dokuments, kas satur informāciju par:

  • personas datu administrators (uzņēmēji, kas apstrādā un glabā datus);

  • personas datu inspektors (jāpiebilst, ka lielākajai daļai interneta veikalu nav jāieceļ inspektors);

  • personu kategorijas, kuru datus lejupielādē un glabā administrators (piemēram, par interneta veikala klientiem);

  • subjekti, kuriem potenciāli var būt pieejami veikala lietotāju dati (piemēram, veikalu pārvaldošā uzņēmēja līgumslēdzēju dati);

  • izmantotie drošības pasākumi.

Svarīgs!
Personas datu apstrādes darbību reģistrs interneta veikalu gadījumā neattiecas tikai uz veikala klientiem. Ja uzņēmējs, kurš vada veikalu, nodarbina darbiniekus, viņš apstrādā arī viņu personas datus. Šādā gadījumā reģistrā ir jāatspoguļo visi dati, ko apstrādā un glabā tirgotājs.

Regula paredz, ka dažas uzņēmēju kategorijas ir atbrīvotas no pienākuma to vadīt (piemēram, subjekti, kas nodarbina mazāk nekā 250 darbiniekus vai personas datus apstrādā sporādiski). Tomēr interneta veikalu īpašniekiem ir jāveido reģistrs, jo tie apstrādā personas datus būtībā nepārtraukti, nevis neregulāri.

Veikala sistēmai jāatbilst tehniskajām prasībām

Uzņēmējam, kurš vada interneta veikalu, ir jānodrošina, lai viņa izmantotās sistēmas un rīki atbilstu visām drošības prasībām. Lai gan lielākā daļa pārdevēju izmanto hostinga pakalpojumus, sistēmas organizēšanas uzticēšana citai struktūrai neatbrīvo uzņēmēju no pienākuma nodrošināt sistēmas drošību un līdz ar to arī glabājamo datu drošību. Atkal, katram datu pārzinim ir jāapsver, kādus datus tas glabā un kādi drošības pasākumi būs visefektīvākie to aizsardzībai.

Uzņēmējam ir jāpiemēro gan fiziskās aizsardzības pasākumi (piemēram, dokumentu glabāšana papīra formā, kas ir aizsargāti pret zādzību vai iznīcināšanu), gan IT aizsardzības pasākumi (piemēram, ugunsmūra drošība, personas datu šifrēšana, anonimizācija vai pseidonimizācija). GDPR ieviešanai un piemērošanai ir nepieciešama datu dublējumkopiju glabāšana, kas ļaus atgūt lietotāju datus (un informēt viņus par datu pārkāpumu) pēc to nozaudēšanas.