Zmiany w AtomStore w związku z RODO

Oprócz zmian w panelu administracyjnym dokonaliśmy również modyfikacji szablonu demo (link: demo.atomstore.pl) pod kątem nowej ustawy. Od maja 2018 wszystkie nowe sklepy będą wdrażane w oparciu o szablon spełniający wymogi RODO. Wszyscy klienci, którzy będą uruchamiali swoje sklepy od maja będą więc mogli skorzystać z szablonu, który jest zgodny z ogólnymi wymogami RODO, natomiast klienci którzy korzystają już z AtomStore mogą zainstalować najnowszy szablon za darmo lub zlecić za opłatą (w większości przypadków drobne) zmiany w swoich obecnych szablonach.

Każdy właściciel e-sklepu w swoim zakresie musi dostosować regulamin sklepu, politykę prywatności, dokumentację, zmiany związane z funkcjonowaniem sklepu i wewnętrzną polityką np. wobec pracowników, magazynowania, działań marketingowych i narzędzi wykorzystywanych przez sklep. Aby ułatwić wprowadzenie powyższych zmian i zdjąć z ich barków ciężar odpowiedzialności za przeprowadzane audyty i propozycję zmian rozpoczęliśmy współpracę z firmą Legal Geek, która przygotowała specjalną ofertę dla naszych klientów. Warto podkreślić, iż kancelaria ta przeprowadziła audyt platformy AtomStore, zna działanie i możliwości naszego systemu.

Dla klientów AtomStore ma ona specjalną ofertę - pakiet RODO, który zawiera:

• audyt sklepu pod kątem zgodności z RODO,
• Politykę Prywatności i cookies w zalecanej przez rozporządzenie graficznej formie,
• pełną dokumentację RODO w tym:
  • analiza ryzyka,
  • polityki ochrony danych,
  • rejestr czynności przetwarzania,

• wzór umowy powierzenia przetwarzania danych zawieranej z podmiotami trzecimi przetwarzającymi dane osobowe.
  
  Więcej informacji i formularz kontaktowy znajduje się na stronie: http://atomstore.legalgeek.pl

Zakres zmian w panelu AtomStore

Rejestr dostępu do danych osobowych - moduł zapisujący historię dostępu do danych osobowych. Jest to moduł dostępny w AtomStore od wielu miesięcy. Można go znaleźć w prawym górnym rogu panelu klikając:

Logi-> Dostęp do danych osobowych



Do tej pory zapisywaliśmy informacje na temat zmian i dostępu do danych osobowych, które miały miejsce w panelu. W związku z RODO moduł ten został rozszerzony o uszczegółowienie opisów historii dostępu do danych osobowych. Co to oznacza? Administrator będzie mógł sprawdzić kto i kiedy miał dostęp do konta klienta i w jakim kontekście (edycja zamówienia, wydruk, edycja danych klienta itp.).

Będzie możliwość szczegółowej ewidencji i zapisu eksportu danych osobowych - do jakich systemów są one wysyłane (np. kurierzy). Co ważne, moduł nie analizuje co się dzieje z danymi po przekazaniu ich dalej lub wydrukowaniu. Po stronie sprzedawcy jest zadbanie o odpowiednie obchodzenie się z np. wydrukami zamówień oraz zadbanie o odpowiednie przeszkolenie pracowników, tak by stosowali praktyki zgodne z RODO.

Moduł prywatność 

Nowy panel w systemie znajduje się pod adresem: Ustawienia->Konfiguracja Sklepu->RODO.

W jednym miejscu znajdują się ustawienia i informacje dotyczące narzędzi, które gromadzą dane użytkowników. Oprócz możliwości konfiguracji ustawień dotyczących przechowywania danych ważną informacją jest także:

• checkbox “wymagaj zgody dla wywołania zewnętrznych skryptów marketingowych”
• usuwaj dane transakcyjne dla klientów zarejestrowanych w sklepie po … latach
• przechowuj dane transakcyjne do celów dowodowych przez … lat
• usunięcie danych transakcyjnych
• usuwaj opinie klienta po usunięciu konta klienta

Jak działają ustawienia modułu prywatność?

RODO obliguje sklepy do usuwania zbędnych danych po ustaniu świadczenia na rzecz klienta. W związku z tym w panelu pojawi się ustawienie jak długo przechowywać dane. O tym jaki termin przechowywania jest niezbędny do wywiązania się z obowiązków ustawowych sklepu decyduje specyfika danej branży, model sprzedaży itd. i powinno się to ustalać w konsultacji z prawnikiem. AtomStore nie narzuca żadnego terminu ani go nie proponuje, gdyż jest to bardzo indywidualna kwestia w każdej firmie. Każdy sklep może ustalić indywidualnie w panelu odpowiedni zakres czasowy.

W zależności od decyzji sklepu dane mogą być całkowicie usunięte lub zamazane. Dzięki temu sklep wciąż posiada dane historyczne dotyczące dat zamówień.

Jakie dane są zbierane i jakie dane można usunąć?

• transakcyjne: imię, nazwisko, telefon, e-mail, dane do faktury, dane do wysyłki,
• marketingowe: historia wizyt, przeglądanych towarów - na ich podstawie generowane mogą być rekomendacje produktowe.
  
  Dane marketingowe są kasowane bezwzględnie jeśli klient skorzysta z prawa do bycia zapomnianym.
  
  Dane transakcyjne są kasowane zgodnie z procedurą opisaną poniżej - między innymi w zależności od rodzaju klienta który składał zamówienie.

Istnieją następujące rodzaje klientów:

Anonimowi, którzy wchodzą do sklepu, przeglądają ofertę i wychodzą. W ich przypadku nie są zbierane żadne dane osobowe nt. klientów. 

Kupujący bez rejestracji i nie wyrażający zgody na przesyłanie informacji marketingowych. W przypadku klientów, którzy dokonują zakupu bez rejestracji zbierane są dane osobowe do celów realizacji umowy sprzedaży towaru i te dane będą usuwane zgodnie z ustawieniem "Przechowuj dane transakcyjne do celów dowodowych przez..".

Oprócz tego system wykorzystuje cookies do tego aby generować rekomendacje w ramach jednej sesji. Po wyczyszczeniu cookies lub wygaśnięciu sesji tacy klienci traktowani są jako nowi użytkownicy. Ci klienci mają prawo do wglądu do swoich danych osobowych w związku  zamówieniem, mogą zażądać ich usunięcia, jednak dane transakcyjne zostaną usunięte dopiero po terminie określonym w ustawieniu "Przechowuj dane transakcyjne do celów dowodowych przez … lat".

Zarejestrowani lub kupujący bez rejestracji którzy zgodzili się na otrzymywanie newslettera. W tym wypadku, zbierane są dane transakcyjne oraz informacje na temat preferencji zakupowych. Ci klienci:

• mają prawo do wglądu do swoich danych osobowych, mogą je eksportować (oczywiście klienci bez rejestracji też mają prawo do wglądu, tylko że dane które zbiera na ich temat system dotyczą tylko pojedynczej transakcji)
• mają prawo do bycia zapomnianymi (na tyle na ile sklep może usunąć dane ze względu na inne ustawy szczegółowe)
• mogą korzystać z usług dodatkowych jak konto klienta z historią zakupów (o tym czy historia zakupów jest czyszczona czy przechowywana na zawsze decyduje ustawienie "Usuwaj dane transakcyjne dla klientów zarejestrowanych w sklepie ...".

Cele dowodowe to dane dotyczące świadczenia usług np. na czas trwania gwarancji, czas realizacji dodatkowej rękojmi i obowiązki sprzedawcy wobec Urzędu Skarbowego. Każda branża ma indywidualne świadczenia, dlatego warto skonsultować cele dowodowe z prawnikiem.

Trzeba pamiętać, że gdy klient zażąda usunięcia swojego konta dane są usuwane w następujący sposób:

• dane marketingowe usuwane są w całości
• dane dotyczące transakcji usuwane są zgodnie z konfiguracją w module Prywatności - tak więc jeśli klient kupił towar 30 dni temu i zażąda skasowania swoich danych to informacja o tej transakcji NIE zostanie usunięta (w przypadku większości sklepów zgodnie z obowiązkiem świadczenia usług dane powinny być usuwane po dłuższym okresie np. 5, 7 lub 10 latach).

Oprócz tego w Rejestrze dostępu do danych osobowych zapisywana jest informacja o tym kiedy, na czyje żądanie i jakiego typu dane zostały usunięte (dzięki temu sklep może udowodnić dlaczego wykasował dane oraz, że np. przed usunięciem danych dysponował prawem do wysyłania treści marketingowych do klienta).     


Ponadto, w module prywatność administrator znajdzie tu informacje o aktywnych integracjach, poprzez które sklep może przekazywać dane osobowe do systemów zewnętrznych i w związku z tym powinna być zawarta informacja dla klientów w regulaminie sklepu lub polityce prywatności.

Moduł prywatność - nowa zakładka w panelu klienta

Zgodnie z dyrektywą RODO każdy klient ma prawo do dostępu do informacji na jego temat jakie gromadzi sklep - zamówienia, reklamacje, zwroty, dane teleadresowe, informacje na temat oglądanych kategorii, producentów oraz produktów, a także przedmiotów dodanych do koszyka. Dane przedstawione są w formie tabeli chronologicznej, tak by klient łatwo mógł znaleźć wszystkie informacje.

W module nie zapisujemy informacji o danych eksportowanych do systemów zewnętrznych. W celu poinformowania klientów o tym fakcie, sprzedawca powinien umieścić odpowiedni zapis w polityce prywatności lub regulaminie.

Dodatkowo dla klienta dostępne są funkcje takie jak przeglądanie historii, eksport do xls, możliwość usunięcia danych osobowych.Zgodnie z RODO klient ma prawo przekazać swoje dane do innego sklepu. Dlatego przygotowaliśmy odpowiednią funkcję umożliwiającą eksport wszystkich danych klientów.

Prawo do bycia zapomnianym
Każdy klient będzie miał prawo do usunięcia swoich danych osobowych ze sklepu. Oczywiście będzie to objęte weryfikacją - aby usunąć dane klient będzie musiał potwierdzić, klikając w unikatowy link wysłany na adres mailowy przypisany do konta. Na życzenie klienta będą usunięte wszystkie dane niewymagane do ustalenia obowiązku prawnego. Dodatkowo skasowanie danych będzie ewidencjonowane w logach.

Klienci bez konta w sklepie również będą mieli możliwość sprawdzić dane osobowe. Aby tego dokonać użytkownik będzie musiał podać adres e-mail, na ten adres zostanie wysłany link, przez który klient otrzyma dostęp do informacji jakie sklep ma na jego temat.

Moduł prywatności jest dostępny w nowym szablonie AtomStore. Oprogramowaliśmy go jednak w ten sposób, aby sklepy korzystające ze starego lub indywidualnych szablonów mogły spełnić obowiązek. Moduł ten będzie więc dostępny zawsze - w przypadku jeśli sklep nie zdążył dostosować wyglądu modułu Prywatność do swojego szablonu to będzie on wyświetlał się w standardowej wersji.

Pozostałe zmiany w szablonie

Zmieniliśmy także sposób działania systemu w przypadku klientów kupujących bez rejestracji. Usunęliśmy tzw. “pseudo konto” - dotychczas klienci kupujący bez rejestracji do czasu wygaśnięcia ich sesji mieli dostęp do swojego zamówienia tak jak klienci zarejestrowani, mogli także z tego poziomu zarejestrować się w systemie generując tylko hasło.

Po zmianach klienci kupujący bez rejestracji będą mogli uzyskać informacje o zamówieniu tylko poprzez potwierdzenie wysłane e-mailem i linkiem do zamówienia który tam się znajduje.

Funkcja szybkiej rejestracji będzie także dostępna jedynie przez link wysyłany na maila wraz z zamówieniem.

Opcja zarządzania cookies
Zgodnie z RODO klienci sklepu mają być informowani o cookies i polityce prywatności. Każdy z nich musi mieć możliwość zablokowania cookies (np. przez ustawienie blokowania cookies w przeglądarce). Taka informacja musi pojawić się w polityce prywatności. W AtomStore dodaliśmy dodatkowo opcję blokowania części cookies (tylko marketingowych, opartych na javascripcie). Aby włączyć tą opcję, należy wprowadzić zmiany w szablonie.

Aktualizacja systemu AtomStore z opisanymi zmianami pojawi się w okresie 9-11 maja.