Co z RODO w dropshippingu?

Gorący temat – RODO w dropshippingu.

Kto w modelu sprzedaży przy użyciu dropshippingu ponosi odpowiedzialność za ochronę danych osobowych naszych klientów?

Postaram się krótko odpowiedzieć na to pytanie.

Wszyscy wiemy, na czym polega dropshipping: przyjmujesz zamówienie w swoim sklepie internetowym i na podstawie umowy dropshippingowej z dostawcą (producentem, hurtownikiem) zlecasz mu jego realizacje, włącznie z dostawą do klienta.

Przepisy o RODO (GDPR), które weszły w życie 25 maja bieżącego roku (Rozporządzenie unijne w sprawie ochrony danych osobowych osób fizycznych) już od dłuższego czasu spędzały sen z powiek wielkim korporacjom oraz mniejszym przedsiębiorcom, gdyż obowiązują one wszystkie podmioty, niezależnie od tego gdzie mają siedzibę i są zarejestrowane, które przetwarzają lub przechowują dane osobowe osób fizycznych, będących obywatelami państw Unii Europejskiej. Czyli praktycznie wszystkich działających w dropshippingu, chyba, że 100% obrotu generują Chińczycy albo inna egzotyczna nacja 😊

Ale do rzeczy. W dropshippingu sprawa staje się bardziej skomplikowana. Przecież dane naszego kupującego musimy udostępnić dalej, aby nasz dostawca zrealizował usługę zakupu. Według RODO, każdy kto przetwarza dane jest za nie odpowiedzialny, dlatego oprócz nas, problem dotyczy też naszych dostawców.

Czyli, kto jest finalnie odpowiedzialny za te dane?

Całe rozporządzenie dostępne na stronie GIODO https://giodo.gov.pl/pl/569/9276 ma 88 stron. Dla wytrwałych – polecam!

Z naszego punktu widzenia, najbardziej istotny wydaje się Artykuł 28, w punkcie 4, który brzmi:

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym

Kto więc odpowiada z dane osobowe w dropshippingu według RODO?

Czyli Proszę Państwa, z tego artykułu jasno wynika, że to my, jako przyjmujący zamówienie i będący administratorem danych naszego klienta, ponosimy ostateczną odpowiedzialność za bezpieczeństwo tych danych, choć podmiot te dane od nas otrzymujący, ma jednakowe zobowiązanie do ich chronienia. Ale to my decydujemy o tym jak te dane przechowujemy i zabezpieczamy oraz komu je udostępniamy (oczywiście o fakcie udostępniania danych innemu podmiotowi nasz klient musi być wyraźnie poinformowany i musi wyrazić na to zgodę – ale o tym już na pewno wiecie. Jeżeli nie, dajcie znać, to zajmiemy się i tym tematem).

Czyli w naszym najlepszym interesie jest zabezpieczenie danych osobowych naszych klientów przed przekazaniem ich podwykonawcy, w celu realizacji naszego zlecenia. Musimy również wybrać podmiot, który działa zgodnie z RODO – naszym obowiązkiem jest zapewnienie ochrony danych naszych klientów, również u dostawcy.

Takim zabezpieczeniem będzie umowa powierzenia danych osobowych, którą bezwzględnie jesteśmy zobowiązani zawrzeć z każdym z naszych partnerów dropshippingowych. Więcej o umowie można przeczytać w Artykule 28, ustęp 3 Rozporządzenia RODO.

Co z tego wszystkiego wynika?

Sklep internetowy (administrator danych) i dostawca (podmiot przetwarzający) działają na podstawie umowy podlegającej prawu UE lub prawu państwa członkowskiego. W takiej umowie muszą znaleźć się zapisy o:

  • Przedmiocie i czasie trwania przetwarzania danych
  • Charakter i cel przetwarzania danych
  • Rodzaj przetwarzanych danych osobowych

W świetle RODO nasz partner dropshippingowy:

  • Przetwarza dane osobowe naszych klientów wyłącznie na nasze udokumentowane polecenie. Są od tego wyjątki (udostępnienie danych organom ścigania itp., ale o takim fakcie każdorazowo musimy być poinformowani).
  • Nasz dostawca nie może powierzyć innym podmiotom danych naszych klientów, bez naszej udokumentowanej zgody (chyba, ze są to wyjątki, opisane w rozporządzeniu).
  • Musi nas zapewnić, że osoby mające kontakt z danymi osobowymi naszych klientów zobowiązane są do zachowania tajemnicy.
  • Zapewnia pełną ochronę danych naszych klientów.
  • Pomaga administratorowi, w ramach posiadanych środków technicznych i organizacyjnych, w odpowiadaniu na żądania osoby, której te dane dotyczą (np. żądanie do usunięcia danych).
  • Po zakończeniu świadczenia usług usuwa lub zwraca wszelkie dane naszych klientów, zgodnie z naszym życzeniem, chyba że inne prawa UE lub PL nakazują ich dalsze przechowywanie.
  • I co ważne, na każde nasze żądanie, zobowiązany jest wykazać, że spełnił swój obowiązek ochrony danych, które mu powierzyliśmy.

 

Uff, zrobiło się na koniec poważnie ale niestety RODO to poważny temat. Powodzenia!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Dodanie komentarza wymaga zgody na przetwarzanie danych osobowych zgodnie z Polityką Prywatności.