Kupujesz w sieci? Największe sklepy bywają na bakier z RODO, zwróć na to uwagę

Rozpoczął się Europejski Miesiąc Cyberbezpieczeństwa, a skoro tak to specjaliści świętują — oczywiście na swój sposób, czyli bacznie przyglądając się zabezpieczeniom, procedurom i mechanizmom. Wśród świętujących jest Exatel, polski operatorów infrastruktury teleinformatycznej, w tym światłowodów do infrastruktury krytycznej. Jak na jednego z liderów branży przystało, firma podchodzi do cyberbezpieczeństwa kompleksowo i nie tylko chroni przed cyberprzestępcami, ale też pilnuje konsumentów przed dodatkowymi zagrożeniami. Na przykład przed wyciekami lub naruszaniem ich danych.

Przed wyciekiem nie da się stuprocentowo zabezpieczyć, bo zawsze pozostaje tzw. czynnik ludzki. To człowiek jest najsłabszym ogniwem całego systemu i widać było to ledwie kilka dni temu, gdy okazało się, że do wycieku doszło w… Głównym Urzędzie Statystycznym. I to przy okazji korespondencji dotyczącej spisu powszechnego. Tego spisu, w którym część Polaków tak niechętnie chciała dzielić się swoimi danymi.

O ile jednak od błędów ludzkich nie uciekniemy, o tyle możemy zniwelować je dzięki odpowiednim działaniom prewencyjnym. Na przykład dzięki przygotowaniu zgodnych z RODO procedur, które nie będą utrudniały działań użytkownikowi ani wyciągały niepotrzebnych informacji. Kamil Lunda, ekspert ds. bezpieczeństwa w Exatelu, sprawdził 5 czołowych e-sklepów z elektroniką i sprzętem komputerowym. I w każdym znalazł uchybienia mogące prowadzić do finansowych kar.

Dlaczego akurat e-sklepy zostały wzięte na tapet? Z kilku powodów. Po pierwsze tam wydajemy nasze pieniądze (w zeszłym roku 83 mld zł). Po drugie mamy w Polsce prawie 50 tys. sklepów — tuż przed pandemią było ich 36 tys. I po trzecie sami coraz częściej tam kupujemy - w tym roku w sieci nabyliśmy już co drugi ciuch lub buty, co trzecią książkę i co piąty sprzęt RTV/AGD. To wystarczająco dużo powodów, by sklepy porządnie zatroszczyły się o powierzane im przez nas dane.

Zwłaszcza że, jak okazuje się z badania Exatela, nawet ci najwięksi gracze mają co nieco za uszami w kwestii przestrzegania przepisów RODO. Pięć e-sklepów zostało sprawdzonych w kilku aspektach, a badacze za cel postawili sobie znaleźć odpowiedzi na kilka pytań. Wśród nich m.in.: Czy łatwo usunąć konto w danym e-sklepie? Czy e-sklep zbiera niepotrzebne dane? Czy odpowiednio je zabezpiecza? Czy informuje użytkownika o jego prawach?

Okazuje się, że niestety już przy zakładaniu konta może się okazać, że sklep zbiera za dużo danych, bo do takiej czynności powinien wystarczyć już sam adres mailowy. Trzeba bowiem pamiętać, że założenie konta nie jest tożsame z zakupem jakiegoś towaru - niepotrzebne jest więc podawanie od razu np. miasta zamieszkania czy kodu pocztowego.

Oczywiście nawet jeśli sklep żąda zbyt wielu danych, nie powinien ich dostać bez naszej zgody, prawda? A właśnie że nie! Exatel sprawdzał bowiem nie tylko proces rejestracji konta, ale także m.in. zapisu na newsletter. I wyszło, że jeden z pięciu największych e-sklepów w Polsce nie prosi o żadne zgody w momencie, gdy użytkownik zapisuje się na newsletter. A powinien prosić o zgody dotyczące co najmniej trzech różnych przepisów.

Będąc dalej przy newsletterze - mimo że na etapie zapisu użytkownik powinien wiedzieć, kto będzie administratorem jego danych, tylko 2 z 5 sklepów o tym informują. Kolejne uchybienie badacze znaleźli w procedurze wypisania się z newslettera, która powinna być tak samo prosta jak zapisanie się. Zwykle wystarczy kliknąć link na końcu maila w newsletterze, jeden ze sklepów wymaga jednak napisania odpowiedniego maila do inspektora ochrony danych.

To tylko część badanych aspektów. Całe badanie można znaleźć tutaj. Exatel wykonuje tego typu audyty dla firm na zlecenie. Jak widać po powyższych przykładach, warto z tego skorzystać. Lukom w procedurach związanych z RODO dziwią się sami eksperci. - Dużym zaskoczeniem dla mnie było to, że żaden ze sprawdzanych sklepów nie spełnił wszystkich postawionych wymagań, co wskazuje na to, że przed Inspektorami Ochrony Danych w handlu stoi jeszcze wiele wyzwań, aby sprostać wymogom przepisów prawa - mówi autor badania Kamil Lunda.