utworzone przez Anna Zamojcin | gru 16, 2020
Regulamin sklepu internetowego 2021
Jest to dokument który powinieneś stworzyć lub zaktualizować jeśli jesteś właścicielem e-sklepu. Zobacz jakie zmiany przyniósł 2021 roku w obszarze dokumentacji sklepu online i jakie korekty powinien przejść twój regulamin sklepu internetowego, aby dostosować go do nowych przepisów:
Zmiana w definicjach regulaminu sklepu internetowego
Przejrzyj definicje użyte w pierwszej części regulaminu i sprawdź, czy wszystkie hasła którymi aktualnie posługujesz się w dokumencie będą poprawne w kontekście nowych przepisów. Być może konieczna okaże się zmiana opisów zwłaszcza w obszarze osób dokonujących zakupów w Twoim sklepie. Jeśli aktualnie posiadasz dwie grupy kupujących: konsumenci oraz przedsiębiorcy to musisz wiedzieć, że konieczne będzie wprowadzenie kolejnej kategorii, która będzie połączeniem tych dwóch grup, czyli powstanie nam konsument-przedsiębiorca.
Dołożenie kolejnej kategorii kupującego
Konsument-przedsiębiorca to taki rodzaj kupującego który prowadzi działalność gospodarczą, jest wpisany do CEiDG i dokonał zakupu w naszym sklepie na fakturę. Jednakże, aby otrzymać taki status musi spełnić dodatkowy warunek: kupujący nie użyje zakupionego towaru w celach związanych bezpośrednio z jego działalnością gospodarczą lub zawodową np. kosmetyczka zakupiła drukarkę do drukowania ofert i faktur co nie jest bezpośrednio związane z jej głównym przedmiotem działalności.
Odstąpienie od umowy teraz także dostępne dla przedsiębiorców
Do tej pory z prawa do odstąpienia od umowy zawartej na odległość mógł skorzystać jedynie konsument, czyli osoba która dokonała zakupu jako osoba fizyczna nieprowadząca działalności gospodarczej. Natomiast osoba, która poprosiła o fakturę na firmę traciła to prawo niezależnie od tego w jakim celu zakupiła towar. Jednak od 2021 roku takie prawo przysługuje także konsumentowi-przedsiębiorcy który dokonał zakupu na firmę, otrzymał fakturę i kupił towar w celach niezwiązanych bezpośrednio z działalnością gospodarczą.
Sposób weryfikacji kupującego
Sprzedawcy dochodzi kolejny obowiązek podczas weryfikacji statusu kupującego. Do tej pory sprawa była prosta, był konsument, który nie otrzymywał faktury na firmę i był przedsiębiorca, który kupował towar na fakturę. Teraz dochodzi nam trzecia kategoria kupujących jakim są konsumenci-przedsiębiorcy, których będziemy musieli poprawnie zidentyfikować np. w procesie odstąpienia od umowy. Podstawowym źródłem informacji będzie dla nas baza CEiDG i wykaz kodów PKD przypisanych do przedsiębiorcy. Baza o przedsiębiorcach jest narzędziem bezpłatnym i ogólnodostępnym, tym samym ułatwiona będzie weryfikacja tego, czy dana czynność wchodzi w zakres czynności zawodowo podejmowanych w ramach rzeczywiście wykonywanej przez przedsiębiorcę działalności gospodarczej.
Reklamacje
W związku z rozszerzeniem praw na dodatkową grupę odbiorców będziemy musieli dokonać zmian także w obszarze opisującym sposób składania i rozpatrywania reklamacji. Bądźmy uważni dokonując korekty zapisów, bo pomimo że konsument-przedsiębiorca będzie miał prawo do złożenia reklamacji z tytułu rękojmi przez taki sam okres jak konsument to jednak nie chronią go takie same przepisy. W przypadku przedsiębiorców zapisy pozostają bez zmian.
Regulaminu sklepu internetowego – załączniki
Pamiętajmy, że podczas realizacji praw konsumentów-przedsiębiorców będziemy musieli dokonać ich poprawnej weryfikacji. Warto więc tak przygotować i zmodyfikować formularze zwrotu, reklamacji czy odstąpienia od umowy, aby łatwo można było zidentyfikować kupującego i przyporządkować go do odpowiedniej grupy.
Elementy które wskazałam powyżej dotyczą obszarów regulaminu, które powinny zostać przez Was skontrolowane i dostosowane do najnowszych przepisów. Jednakże warto dokonać weryfikacji wszystkich zapisów w dokumencie zwłaszcza pod kątem klauzul niedozwolonych, które mogą narazić was na niepotrzebne koszty i nieprzyjemności i nie prowadziły do niekorzystnych postanowień umownych.
Jeśli nie chcecie sobie zaprzątać głowy zmianami przepisów i chcecie skorzystać z gotowych dokumentów przystosowanych do wszystkich aktów prawnych to zapraszam do sklepu. Gotowy pakiet dla sklepu internetowego dostępny poniżej:
Jeśli prowadzisz firmę i nie posiadasz jeszcze pakietu dokumentów w którym znajdziesz min. instrukcje i dokumenty związane z procesem rekrutacji, to zajrzyj do naszego sklepu online w którym znajdziesz dokumentację przygotowaną przez specjalistów zgodną z obowiązującym prawem.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | gru 4, 2020
Incydent w SGGW – studium przypadku
Musimy mieć świadomość, że do naruszeń dochodzi codziennie, a dane osobowe każdego Polaka gdzieś już zapewne wyciekły. W tym artykule omówimy sobie incydent, który miał miejsce w 2019 r. i w konsekwencji którego w sierpniu 2020 r. PUODO nałożył karę administracyjną w wysokości 50 tys zł. Incydent ten mógłby przejść bez większego echa, gdyby nie dwa czynniki – dotyczył on jednej z największych uczelni w Polsce, i po drugie – popełniono tu wszystkie możliwe podstawowe błędy związane z ochrona danych osobowych. A zaczęło się od prozaicznego zdarzenia jakim była kradzież prywatnego laptopa jednego z pracowników SGGW.
Kradzież urządzenia zawierającego dane osobowe
Kradzież służbowego lub prywatnego komputera, tabletu czy telefonu nie jest zdarzeniem niecodziennym. Może być wynikiem włamania, rozboju czy zwykłej niefrasobliwości, gdy nie będziemy zwracać uwagi na nasze rzeczy lub przez nieuwagę gdzieś je zostawimy. Takie rzeczy się zdarzają i będą zdarzać, dlatego przed skutkami kradzieży urządzenia musimy się zabezpieczać w inny sposób. A dane osobowe to prawdopodobnie nie są jedyne cenne dla Twojej firmy dane, które na takim laptopie mogą się znajdować.
Z komunikatu umieszczonego na stronach uczelni dowiadujemy się, że zbiór danych, które były przetwarzane na laptopie pracownika SGGW był bardzo obszerny.
Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.
Uczelnia, po stwierdzeniu naruszenia postępowała zgodnie z nałożonym na nią obowiązkiem wynikającym z artykułu 34 RODO. Poinformowała ona o tym fakcie potencjalnie poszkodowane osoby. Jednak my postarajmy się z jej błędów wyciągnąć odpowiednie wnioski.
Niezaszyfrowany nośnik danych osobowych
Choć informacji tej nie ma w komunikacie, to wszystko wskazuje na to, że dysk twardy w skradzionym komputerze nie był zaszyfrowany. Jest też możliwość, że laptop pracownika SGGW w chwili kradzieży był włączony lub tylko uśpiony. Jest to jednak mniej prawdopodobne. Gdyby dane zapisane na dysku były zaszyfrowane, najprawdopodobniej nie byłoby konieczności informowania o tym i zgłaszania incydentu do UODO. Pisałam o tym szerzej w artykule „Naruszenie ochrony danych – nie panikuj, tylko się przygotuj„. Jeżeli pamięć dowolnego urządzenia byłaby zaszyfrowana, a samo urządzenie wyłączone lub w stanie hibernacji, to dane byłyby bezpieczne i niemożliwe do odczytania przez złodzieja.
Najlepiej, aby szyfrowanie dysków było włączone na każdym urządzeniu, za pomocą którego pracownik ma dostęp do danych firmowych. Tę dobrą praktykę należy stosować zawsze. Postępuj tak, gdy za pomocą urządzenia uzyskuje on dostęp do danych osobowych. Nie zapominaj o innych cennych dla Twojej firmy dokumentów a nawet poczcie elektronicznej. Dostęp do nich także powinien obywać się z urządzenia z włączonym szyfrowaniem. Nie zapomnij także, aby szyfrować wszelkie dyski zewnętrzne czy pamięci typu pendrive.
Brak kontroli i monitoringu dostępu do plików
Tak poważnego incydentu można byłoby uniknąć także poprzez odpowiednią kontrolę i rejestrację dostępu do plików, w których zapisane były dane osobowe. Nie traktuj jednak tego mechanizmu jako alternatywę dla szyfrowania, gdyż ma ono swoje ograniczenia.
Kontrola i monitoring dostępu do plików są dzisiaj o wiele bardziej rozbudowane niż jeszcze parę lat temu. Ten skok był możliwy między innymi dzięki temu, że co raz więcej usług realizujemy w tzw. chmurze. Nie na własnych serwerach a jako usługę, którą kupujesz od zewnętrznej firmy. Jedną z nich jest choćby usługa przechowywania plików Microsoft OneDrive, która jest składnikiem pakietu Microsoft Office 365. Odpowiednia ochrona nie ogranicza się jednak tylko do plików zapisanych na OneDrive. Wykorzystasz ją chroniąc dowolne pliki znajdujące się na komputerach.
Usługa ta to Azure Information Protection, a jej licencja kosztuje 1,70 EUR miesięcznie dla każdego użytkownika. Jest to moim zdaniem bardzo niska cena za zaawansowane narzędzie. Jej działanie polega w skrócie na tym, że do każdego pliku możemy przypisać odpowiednią etykietę. Z tą etykietą powiązana jest polityka, w której zdefiniowanych jest wiele atrybutów bezpieczeństwa. Opcję pozwalającą na skonfigurowanie, co ile dni muszą być odświeżane uprawnienia do pliku. Dzieje się to przez połączenie z centralnym serwerem usługi za pośrednictwem sieci Internet. Sprawdzenie odbywa się automatycznie, o ile uprawniony użytkownik jest zalogowany.
Funkcjonalność pozwalającą na skonfigurowanie swego rodzaju terminu ważności dokumentu. Możemy go ustawić w postaci konkretnej daty lub liczby dni. Gdy tak skonfigurowana ważność dokumentu wygaśnie nikt nie będzie w stanie odczytać jego zawartości.
Oprócz wymuszania samej kontroli administratorzy dostają możliwość śledzenia i raportowania kto i kiedy otwierał wskazany plik. Pozwala to na ocenę, czy nieuprawniony dostęp do danych osobowych z dużym prawdopodobieństwem nastąpił, czy nie.
Zasada minimalizacji w RODO
Pamiętasz o zasadzie minimalizacji? Mówi ona, że administrator nie powinien przetwarzać więcej danych osobowych, niż jest to niezbędne do osiągnięcia celu przetwarzania. Podobnie postępuj, jeżeli chodzi o ilość danych, do których Ty i Twoi pracownicy macie w danej chwili dostęp. Z komunikatu SGGW wynika, że skradziono prywatny laptop, na który dane zostały skopiowane w sposób nieuprawniony. Odpowiednie korzystanie z narzędzi opisanych w poprzednim akapicie powinno pozwolić administratorom wykryć taką sytuację i zapobiec wynoszeniu danych. Przed takim wyzwaniem stoją wszyscy przedsiębiorcy pozwalający na dostęp do firmowych zasobów z prywatnych urządzeń.
Ochrona powinna odbywać się zarówno w warstwie technicznej, jak i przez wdrożenie odpowiednich polityk i procedur w firmie. Twój zespół powinien mieć dostęp jedynie do tych danych, które są niezbędne do wykonania stojącego przed nim zadania. Załóżmy, że pracownikowi SGGW skradziono nie prywatny laptop, na który kopiował dane w sposób nieuprawniony, a służbowy komputer, który wykorzystywał do codziennej pracy.
Jeżeli był on odpowiedzialny za proces rekrutacji na rok akademicki 2019/2020 to raczej nie powinien mieć już dostępu do danych kandydatów z lat ubiegłych, a już na pewno nie do tak szerokiego zbioru danych. Napisanie i wdrożenie odpowiednich polityk i regulaminów to skomplikowane zadanie spoczywające na barkach zarówno administratora danych, jak i zespołu IT. Konieczne są też wartościowe i regularne szkolenia dla osób, które mają dostęp do przetwarzanych danych osobowych.
Przeczytaj też Double opt-in przy zbieraniu zgód
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
