Kontrowersyjny mail czy raczej blackmail?
Szanowni Państwo,
z uwagi na rozpoczęcie obowiązywania od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), nazwa.pl informuje o konieczności dostosowania się zarówno dostawcy, jak i użytkownika usługi do zasad wynikających z tego rozporządzenia.
Mając na uwadze fakt, że posiadają Państwo usługę sklepu, w ramach której przetwarzają Państwo dane osobowe, nazwa.pl informuje, iż konieczne będzie przeprowadzenie procesu audytu tych danych. Audyt zostanie przeprowadzony przez zespół specjalistów w zakresie bezpieczeństwa informacji i ochrony danych osobowych. Na podstawie tego audytu, zostanie podjęta decyzja, czy zakres przetwarzanych przez Państwa danych pozwala na dalsze świadczenie usługi sklepu.
Przeprowadzeniem audytu zajmie się profesjonalnie przygotowany zespół specjalistów w zakresie przetwarzania danych osobowych. W efekcie, otrzymają Państwo gwarancję, że dane będą przetwarzane i przechowywane zgodnie z nowymi przepisami prawa. Usługa audytu jest podyktowana koniecznością dochowania należytej staranności w ocenie przetwarzania danych, jest czasochłonna, może potrwać nawet do 14 dni i wiąże się z koniecznością uiszczenia jednorazowej opłaty w wysokości 2 000 zł + 23% podatku VAT.
Dodatkowo nazwa.pl informuje, że po pozytywnym wyniku audytu przesłana zostanie do Państwa umowa Powierzenia Przetwarzania Danych Osobowych. Umowa zostanie przygotowana przez dedykowany zespół prawny. Dzięki temu zyskują Państwo pewność, że wszystkie dane będą przechowywane i przetwarzane w prawidłowy sposób przez cały okres świadczenia usługi Powierzenia Przetwarzania Danych Osobowych. Miesięczny koszt usługi Powierzenia Przetwarzania Danych Osobowych wynosi 500 zł + 23% podatku VAT.
Proforma za usługę audytu zostanie do Państwa wysłana w następnej wiadomości e-mail, a wzór nowej umowy Powierzenia Przetwarzania Danych Osobowych znajduje się w załączniku. Płatność powinna zostać uregulowana do 02.05.2018 r., aby możliwe było przeprowadzenie procesu audytu, przygotowanie i podpisanie umowy przed datą rozpoczęcia obowiązywania nowych przepisów, tj. 25.05.2018 r.
Oprócz wspomnianych wcześniej dokumentów, w załączniku znajdują się również: nowy Regulamin sklepu internetowego oraz Ogólne Warunki Umów dostosowane do nowych regulacji prawnych.
Brak zawarcia umowy Powierzenia Przetwarzania Danych Osobowych będzie skutkować zaprzestaniem świadczenia usługi sklepu przez nazwa.pl z dniem 25.05.2018 r. Nazwa.pl jednocześnie informuje, że opłata, którą Państwo ponieśli zostanie zwrócona proporcjonalnie do niewykorzystanego okresu abonamentowego. Zgodnie ze zmianami wprowadzonymi w regulaminie umowa o świadczenie usługi sklepu może zostać wypowiedziana drogą elektroniczną.
W razie jakichkolwiek pytań do Państwa dyspozycji pozostaje Dział Obsługi Klienta – pisze w swoim liście do klientów Nazwa.pl.
Początek wiadomości nie zwiastuje niczego złego. Firma hostingowa dba o dane, bo taki ma obowiązek. Dalej pojawia się informacja o konieczności przeprowadzenia audytu – i tu zatrzymajmy się na moment. Trzeba sprawdzić do kogo dotarła ta wiadomość.
2000 zł + VAT – i więcej
Założenie sklepu internetowego jest w zasadzie proste. Jeżeli nie chcemy tworzyć go od podstaw, możemy użyć tzw. kreatora stron. I tu mamy kluczową kwestię dla omawianej sprawy: sklep zbudujemy łatwo, ale będziemy przywiązani do operatora, oferujacego usługę. Przeniesienie witryny na inny hosting stanie się trudne, a właściwie niemożliwe do przeprowadzenia w niezmienionej formie. I właśnie do posiadaczy tak skonstruowanych sklepów internetowych Nazwa.pl rozesłała swój list.
W korespondencji rozesłanej przez Nazwa.pl szczególnie interesujące są wątki: opłat i terminów. Nazwa.pl za audyt (którego procedury przeprowadzenia nigdzie nie mogłem odszukać) życzy sobie 2000 złotych netto. Do tego za usługę “Powierzenia Przetwarzania Danych Osobowych” firma oczekuje kolejnych 500 złotych netto… miesięcznie. Dla wielu małych sklepików internetowych może to być bardzo wysoki koszt.
Powierzenie Przetwarzania Danych Osobowych zwykle dzieje się w oparciu o umowę między właścicielem sklepu a firmą świadczącą usługi hostingowe. W wielu przypadkach jest to usługa bezpłatna. Nazwa.pl, według ostatniej informacji zawartej w liście, chce comiesięcznej opłaty.
Teraz terminy. Firma informuje, że audyt może potrwać 14 dni (sic!), a zapłata jest konieczna do 2 maja, by udało się przeprowadzić operację przed wejściem w życie przepisów RODO (25 maja). Oczywiście brak zgody użytkownika na zaproponowane warunki jest możliwy. Wówczas jednak będzie to, jak czytamy w mailu: skutkować zaprzestaniem świadczenia usługi sklepu przez nazwa.pl z dniem 25.05.2018. Dlaczego Nazwa.pl wysyła tę wiadomość w ostatniej chwili, na cztery tygodnie przed ewentualnym terminem wyłączenia sklepu (jeśli przedsiębiorca nie zgodzi się na audyt)?
Skontaktowaliśmy się z przedstawicielką Nazwa.pl – jutro firma ma odpowiedzieć na pytania CHIP-a. O komentarz prosimy też Generalnego Inspektora Ochrony Danych Osobowych.
Na kolejnej stronie piszemy m.in. o reakcjach klientów firmy.
Co na to klienci?
Dotarliśmy do kilku osób, które otrzymały cytowaną wiadomość. Nasi rozmówcy dostali wspomniany list 25 kwietnia. Tym samym czas na reakcję jest jeszcze krótszy, zwłaszcza w kontekście zbliżającej się majówki. Jeden z klientów Nazwa.pl opisuje sprawę tak:
– Mam u nich domenę oraz Sklepicom Pro. Wczoraj, ku mojemu zdziwieniu, otrzymałem maila z treścią o potwierdzeniu zamówienia i wystawioną fakturą proforma. Mocno zdziwiony zacząłem czytać kolejne maile i tam przeczytałem o ustawie o ochronie danych osobowych i RODO. Nie rozumiem na jakiej podstawie serwis Nazwa.pl wymusza na swoich klientach płacenia takich pieniędzy (audyt 2000,00 zł netto + 500,00 zł miesięcznie za powierzenie danych) i uznaję to za naruszenie praw konsumenta oraz wymuszanie na nim płatności za coś, czego klient nie chce. Po kilku telefonach do konkurencyjnych firm dowiedziałem się, iż żadna z nich nie zamierza pobierać z tego tytułu pieniędzy – opowiada jeden z adresatów wiadomości o audycie.
Zaskoczenie pojawia się także w innych komentarzach. Klienci denerwują się szczególnie krótkim terminem dyktowanym przez Nazwa.pl. Z relacji prowadzących sklepy wynika, że firma hostingowa nigdy wcześniej nie informowała o tej sprawie.
Co mogą zrobić właściciele sklepów?
Gdyby sprawa dotyczyła zwykłych użytkowników a nie przedsiębiorców, zapewne trafiłaby do Urzędu Ochrony Konkurencji i Konsumentów. W przypadku firm najbardziej naturalnym wyjście wydaje się być migracja sklepu.
Jak wyjaśnia w rozmowie z CHIP-em Łukasz Nowak ze śląskiej firmy budującej strony internetowe, Simpleideas, cały proces da się przeprowadzić, chociaż jest dość żmudny:
– Platforma Sklepicom, którą udostępnia Nazwa.pl swoim klientom, jest spersonalizowaną wersją systemu e-commerce, znaną jako Shoper. Technicznie oba rozwiązania dysponują funkcjonalnością umożliwiającą wyciągnięcie z działającego sklepu listy produktów, kategorii, klientów oraz zamówień. Listy te później można zaimportować np. do oprogramowania Shoper, a także do dowolnego innego systemu sklepowego, umożliwiającego import zewnętrznych plików, czyli w zasadzie do większości popularnych i znanych platform sklepowych, w tym również do rozwiązań, które mogą być hostowane w dowolnym miejscu, np. PrestaShop czy tandem WordPress plus WooCommerce – twierdzi specjalista.
Niestety taka migracja nie jest prosta. W przypadku części plików możliwe będzie tylko ich odtworzenie w edytorze tekstu lub arkuszu kalkulacyjnym.
– W praktyce jednak wystarczy to klientom. Przygotowanie na nowo bazy produktów to bardzo dużo pracy. Ci, którzy zostali postawieni w zasadzie przed faktem dokonanym, chcąc samodzielnie zadbać o kwestie wynikające z RODO, na własnych warunkach, nie mają w tym zakresie innej możliwości – dodaje Łukasz Nowak.
Podobnego zdania jest Marek Panek, właściciel firmy hostingowej Lh.pl, którego zapytałem jak uniknąć ryzyka, że sprzedawca usług zechce wymusić dodatkowe opłaty związane z RODO.
– Rynek hostingowy jest zróżnicowany – odpowiada przedsiębiorca. – Obecnie oferty hostingowe wzbogacone są o dodatkowe usługi, takie jak kreatory stron WWW lub sklepów internetowych. I chociaż są to rozwiązania łatwe we wdrożeniu, a zarządzanie nimi nie wymaga specjalistycznej wiedzy, mają pewne ograniczenia. Właśnie tu istnieje ryzyko, że usługodawca może narzucić swoją metodę przystosowania się do nowych przepisów wynikających z RODO. Często nie za darmo. Jak tego uniknąć? Najlepszym rozwiązaniem jest wybór wolnego oprogramowania strony lub sklepu, takiego jak WordPress, z Woocommerce, Prestashop czy Magento – radzi Marek Panek.
RODO a konieczność audytu… i szafy?
Według badania firmy Dell, ponad 80 procent ankietowanych europejskich firm nie wie nic o nowym unijnym rozporządzeniu lub ma o nim szczątkową wiedzę. Tylko 3 procent zadeklarowało, że ich przedsiębiorstwo opracowało stosowny plan wprowadzenia RODO.
Faktem jest, że dokument nakłada zarówno na dostawcę usługi, jak i na samego właściciela strony internetowej zbierającej dane o użytkownikach obowiązek dbania o ochronę tychże danych. Jednocześnie europejskie rozporządzenie nie precyzuje większości elementów zabezpieczeń, pozostając regulacją dość niejasną w wielu kwestiach, poza jedną, czyli karami wynikającymi z niestarannej ochrony danych. Te mogą wynieść nawet 20 milionów euro (85 milionów złotych) lub 4 procent rocznego obrotu firmy, w zależności od tego, która kwota jest wyższa.
W związku z tak wysokimi karami nietrudno zgadnąć, że wiele firm chce uniknąć choćby cienia ryzyka. To z kolei staje się polem do działania dla wielu “ekspertów” i “audytorów”. W internecie można znaleźć oferty kupna “szaf RODO” i “sejfów RODO”. Dodam tylko, że rozporządzenie nie mówi niczego na temat szaf i sejfów. | CHIP
