← Blog
RODO i bezpieczeństwo

RODO w e-commerce — dlaczego dane klientów nie powinny leżeć w chmurze

Każda platforma SaaS do obsługi zamówień to zewnętrzny podmiot przetwarzający dane Twoich klientów. Co to znaczy dla sprzedawcy Allegro i jak się przed tym zabezpieczyć.

Jeśli prowadzisz sprzedaż na Allegro, każdego dnia przetwarzasz dane osobowe swoich klientów: imię i nazwisko, adres dostawy, numer telefonu, adres e-mail. Jako sprzedawca jesteś administratorem danych osobowych i odpowiadasz za to, co się z nimi dzieje — nawet jeśli korzystasz z zewnętrznego oprogramowania.

Problem z platformami SaaS

Większość narzędzi do obsługi zamówień działa w modelu SaaS (Software as a Service) — dane klientów trafiają na serwery dostawcy oprogramowania. W praktyce oznacza to, że:

  • Dane osobowe Twoich klientów są przechowywane na serwerach firmy trzeciej, często za granicą lub na infrastrukturze chmurowej (AWS, Azure, GCP).
  • Taki dostawca staje się podmiotem przetwarzającym w rozumieniu RODO — musisz podpisać z nim umowę powierzenia przetwarzania danych.
  • Nie masz pełnej kontroli nad tym, kto ma dostęp do tych danych, jak długo są przechowywane i co się z nimi dzieje po zakończeniu współpracy.
  • W razie wycieku danych z serwerów dostawcy — to Ty jako administrator odpowiadasz wobec klientów i UODO.

Co mówi RODO o powierzaniu danych

Art. 28 RODO nakłada na administratora danych obowiązek zawarcia pisemnej umowy z każdym podmiotem, któremu powierza przetwarzanie danych osobowych. Umowa musi precyzować m.in.:

  • cel i zakres przetwarzania danych,
  • obowiązki w zakresie bezpieczeństwa,
  • zasady korzystania z podprzetwarzających (np. firm hostingowych dostawcy SaaS),
  • warunki usunięcia danych po zakończeniu umowy.

W praktyce wiele małych sklepów internetowych używa narzędzi SaaS bez podpisanej umowy powierzenia — bo nikt ich o tym nie poinformował. To błąd, który w razie kontroli UODO może kosztować.

Szczególna sytuacja: dane klientów Allegro

Gdy pobierasz zamówienia z Allegro, platforma udostępnia Ci dane kupującego wyłącznie w celu realizacji zamówienia. Allegro samo jest administratorem danych kupujących i nakłada na sprzedawcę ograniczenia dotyczące dalszego przetwarzania tych danych.

Przesyłanie danych kupujących do zewnętrznego systemu SaaS bez odpowiedniej podstawy prawnej i umowy powierzenia może naruszać zarówno RODO, jak i regulamin Allegro.

Jak działa AfterSale — dane zostają u Ciebie

AfterSale to program instalowany lokalnie — na Twoim komputerze lub serwerze w Twojej siedzibie. Dane zamówień i dane klientów:

  • nie opuszczają Twojej sieci — program łączy się bezpośrednio z Twoją bazą Comarch ERP Optima przez JDBC,
  • nie są wysyłane na żadne zewnętrzne serwery — AfterSale nie ma własnego backendu chmurowego, który przechowywałby Twoje dane,
  • nie wymagają umowy powierzenia z producentem oprogramowania — bo dane nigdy nie trafiają poza Twoją organizację,
  • są przechowywane w tej samej bazie Optimy, w której masz już umowy, faktury i kartoteki kontrahentów.

Jedyne połączenia sieciowe, które nawiązuje AfterSale, to połączenie z API Allegro (w celu pobierania zamówień i aktualizacji statusów) oraz z dostawcami usług kurierskich (InPost, DPD) podczas generowania etykiet.

Co jako sprzedawca i tak musisz zrobić

Korzystanie z lokalnego oprogramowania nie zwalnia Cię ze wszystkich obowiązków wynikających z RODO. Nadal powinieneś:

  • posiadać politykę prywatności informującą klientów o celach i podstawach przetwarzania ich danych,
  • zawrzeć umowę powierzenia z Allegro (Allegro udostępnia standardowy wzór w panelu sprzedawcy),
  • zapewnić bezpieczeństwo danych w Optimie — kopie zapasowe, kontrola dostępu, ochrona sieci lokalnej,
  • obsługiwać prawa osób, których dane dotyczą — np. żądania usunięcia danych od kupujących.

Podsumowanie

Wybór oprogramowania do obsługi zamówień to nie tylko kwestia wygody i ceny — to też decyzja o tym, komu powierzasz dane Twoich klientów. Platforma SaaS oznacza kolejny podmiot przetwarzający, kolejną umowę i kolejne ryzyko. Lokalnie zainstalowany program jak AfterSale eliminuje ten problem u źródła: dane zostają tam, gdzie powinny — w Twojej infrastrukturze.

Masz pytania dotyczące bezpieczeństwa danych w AfterSale? Napisz do nas — chętnie wyjaśnimy szczegóły techniczne. Możesz też przeczytać więcej na stronie Bezpieczeństwo danych.

← Wróć do bloga