Sprzedawca sklepu internetowego przyjmuje zamówienie, a jego realizację zleca dostawcy towaru. Tak w skrócie można zdefiniować dropshipping, czyli zyskujący na popularności model sprzedaży internetowej. Wraz z pojawieniem się nowego podmiotu na linii klient-sprzedawca, problem ochrony danych osobowych klienta zgodnie z wchodzącymi w życie przepisami o RODO staje się trudniejszy.

25 maja 2018 r. wejdzie w życie rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Chodzi o dostosowanie polskich przepisów wymogów UE. Ujednolicenie przepisów ma służyć zarówno firmom prowadzącym działalność poza granicami kraju, a także konsumentom, którym ustawodawca gwarantuje ochronę danych osobowych na tym samym poziomie w UE.

RODO dotyczy każdego, kto przetwarza dane. Za naruszenie przepisów odpowie zatem dyrektor urzędu, placówki oświatowej czy właściciel firmy. Kary finansowe za zaniedbania dot. bezpieczeństwa, przetwarzania czy rejestru czynności związanych z ochroną danych osobowych to w większości siedmiocyfrowe kwoty. W przypadku popularnego wśród sprzedawców internetowych modelu tj. dropshipingu, odpowiedzialność ponosi zarówno pośrednik tj. hurtownia lub producent, jak i sprzedawca.

Dropshiping to model sprzedaży, który pozwala zaoszczędzić czas i pieniądze. Koszty związane z magazynowaniem towaru, jego zapakowaniem i wysyłką są bowiem przeniesione na dostawcę towaru. Najpierw klient składa zamówienie u sprzedawcy, a następnie sprzedawca kupuje potrzebny towar u dostawcy przekazując mu dane (głównie adresowe) klienta. Następnie hurtownia wysyła produkt bezpośrednio do klienta, co skutkuje krótszym czasem dostarczenia zamówionego przedmiotu. Skutkuje też koniecznością uprzedniego zawarcia umowy między sprzedawcą o firmą realizującą zamówienie. Co na ten temat mówi rozporządzenie o RODO?

Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Artykuł 28, pkt 4 rozporządzenia

Na kim ostatecznie spoczywa odpowiedzialność? Ministerstwo Cyfryzacji w odpowiedzi na nasze pytanie stwierdza, że w przypadku sklepu internetowego zlecającego realizację zamówienia innemu podmiotowi administratorem danych będzie co do zasady sklep internetowy, w którym klient zamawia towar. To sklep decyduje o celach przetwarzania danych i wdrożonych środkach bezpieczeństwa. Warunkiem przekazania danych swojemu podwykonawczy będzie więc zawarcie pisemnej umowy spełniającej przesłanki o których mowa w art. 28 RODO.

Jakie elementy powinna zawierać umowa między stronami? Warto powrócić do ust.3 art.8 rozporządzenia. W umowie zastrzega się m.in, że podmiot przetwarzający dane:

  • wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy
  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą
  • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie

W przypadku ostatniego warunku, nie można również wykluczyć, że w pewnych przypadkach podmiot realizujący zamówienie w imieniu np. sklepu internetowego, będzie miał własny interes w przechowywaniu danych o przeprowadzonych transakcjach np. wykazanie sposobu wykonania umowy ze sklepem internetowym. „Musimy również pamiętać, że podwykonawca nie będzie mógł na kanwie RODO skorzystać z usług innego podmiotu bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora”- informuje resort cyfryzacji.