Idealny sklep pod względem ochrony danych osobowych to jaki?
Działalność sklepu internetowego nierozerwalnie wiąże się z przetwarzaniem danych osobowych, a co za tym idzie – sklep podlega ustawie o ochronie tych informacji oraz obowiązkowi rejestracji zbiorów danych osobowych w GIODO. Nie każdy właściciel sklepu internetowego zdaje sobie do końca jednak sprawę z tego, jakie ciążą na nim obowiązki.
Obowiązki właściciela sklepu internetowego
Każdy administrator danych powinien przede wszystkim przeanalizować, jakie dane osobowe przetwarza by właściwie wyodrębnić zbiory danych osobowych, a następnie zweryfikować, czy powinien zarejestrować swój zbiór w GIODO.
Przy analizie, pomocny będzie poniższy schemat:
kliknij, aby powiększyć
Cały proces rejestracji zbioru danych w GIODO można przejść za pośrednictwem specjalnej platformy internetowej e-giodo, gdzie wypełnia się wniosek online i – jeżeli właściciel nie ma podpisu elektronicznego – powinien wydrukować go, podpisać i wysłać do Biura Generalnego Inspektora Ochrony Danych Osobowych. Jeśli e-sklep przetwarza tylko dane zwykłe – od momentu rejestracji zbioru danych będzie mógł w pełni legalnie działać w internecie.
Oprócz rejestracji zbiorów właściciel powinien opracować jeszcze 2 dokumenty:
Politykę bezpieczeństwa informacji
Instrukcję zarządzania systemem informatycznym
Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każdy e-sklep powinien mieć opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
sposób przepływu danych pomiędzy poszczególnymi systemami
określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy. Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
sposób odnotowywania informacji o odbiorcach danych.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać.
Dokumenty te opisują w jaki sposób ADO przetwarza i chroni dane osobowe.
Są to dokumenty wewnętrzne, jednak należy je aktualizować w miarę potrzeb.
Właściciel powinien prowadzić ewidencję upoważnień do przetwarzania danych osobowych
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO. Upoważnienie musi zawierać:
imię i nazwisko
datę nadania
datę ustania
zakres upoważnienia – nazwa zbioru bądź elementu zbioru danych
Właściciel e-sklepu powinien również pamiętać o obowiązku informacyjnym, a zatem:
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
Celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
Prawie dostępu do treści swoich danych oraz ich poprawiania
Dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
W przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
Celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych
Źródle danych
Prawie dostępu do treści swoich danych oraz ich poprawiania
Uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 (chodzi o prawo do złożenia sprzeciwu wobec przetwarzania danych w celach marketingowych lub przekazywania ich innym podmiotom oraz żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której one dotyczą)
Zgodnie z art. 32 ust. 5 ustawy o ochronie danych osobowych, prawo do informacji przysługuje osobie zainteresowanej raz na 6 miesięcy. Obowiązek informacyjny to również udzielenie informacji osobie, której dane dotyczą na podst. art. 32 ust.1 pkt 1-5a ustawy o ochronie danych osobowych, takich jak:
czy zbiór istnieje;
od kiedy dane są przetwarzane;
jakie jest źródło pozyskania danych;
w jaki sposób dane są udostępniane;
jaki jest cel i zakres przetwarzania danych;
w jakim zakresie i komu dane zostały udostępnione.
ABI?
Ustawa o ochronie danych nie wymusza na administratorze danych osobowych (w naszym przypadku chodzi oczywiście o właściciela sklepu) wyznaczenie administratora bezpieczeństwa informacji. W obecnym stanie prawnym jest to prawo a nie obowiązek administratora danych.
ABI to osoba w firmie, która stoi na straży bezpieczeństwa informacji, kontroluje oraz szkoli pracowników pod względem zawartych procedur w polityce bezpieczeństwa.
Podsumowanie
By zbiór danych osobowych pojawił się w GIODO potrzeba trochę czasu. Jednak jeżeli w zbiorze nie znajdują się dane osobowe wrażliwe – nic nie stoi na przeszkodzie by e-sklep już po dokonaniu rejestracji zbioru mógł rozpocząć przetwarzanie danych. Niniejszy artykuł miał na celu wskazać co powinien uczynić przed faktycznym rozpoczęciem działalności właściciel by jego sklep internetowy mógł zyskać miano idealnego pod względem ochrony danych osobowych. Trzeba pamiętać, że rejestracja zbioru w GIODO i przygotowanie dokumentacji to nie wszystko. Każdy z tych dokumentów wymaga aktualizacji, a zasady w nich opisane, wdrożenia w życie i przestrzegania.
W ramach mojej działalności prowadzę dwa sklepy i agencję marketingową. Czy do GIODO muszę zgłosić też agencję marketingową, czy wystarczą tylko sklepy?
Prowadząc własną działalność, należy dostosować ją do wymogów ustawy o ochronie danych osobowych.
Czy będąc właścicielem kilku firm, mogę zgłosić tylko te wybrane?
Jeżeli zarówno sklepy internetowe jak i agencja marketingowa są prowadzone w ramach jednej działalności gospodarczej, wówczas wystarczy stworzyć jeden komplet dokumentacji – jest jeden Administrator danych.
W sytuacji natomiast, jeżeli któraś działalność jest prowadzona np. w formie spółki z o.o., to spółka ta będzie już osobnym Administratorem danych i będzie wymagała przygotowania i wdrożenia osobnej dokumentacji. W ramach agencji marketingowej z pewnością również będą przetwarzane dane osobowe, dlatego tu również należałoby zidentyfikować zbiory danych osobowych i dokonać ich rejestracji.
Obowiązek rejestracji zbiorów danych osobowych w GIODO został wprost wpisany do art. 40 Ustawy o ochronie danych osobowych, w myśl którego administrator danych ma obowiązek zgłosić zbiór danych do rejestracji GIODO, chyba, że zachodzi jeden z wyjątków określonych w art. 43 ust. 1 UODO.
Dodatkowo należy wskazać, że agencja reklamowa i sklepy, będą mogły rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po jego zgłoszeniu do GIODO. Jeśli zaś któraś z powyższych firm będzie planować przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, żeby w ogóle móc to robić w sposób legalny, będzie musiała zaczekać aż zbiór taki zostanie zarejestrowany.
Podsumowanie
Istotne z punktu widzenia prawa jest samo przetwarzanie danych osobowych, więc jeżeli przedsiębiorca w ramach prowadzonej działalności przetwarza dane osobowe, to jego działania podlegają reżimowi w.w. Ustawy. Prowadząc jedną działalność, a w ramach niej kilka różnych firm, pozostajemy Administratorem danych osobowych dla każdej z nich i tworzymy jeden komplet dokumentacji. Sytuacja komplikuje się, gdy jedna z prowadzonych przez nas firm ma formę np. spółki z o.o. – wówczas spółka jest odrębnym Administratorem danych, w związku z tym należy stworzyć dla niej nową dokumentację i dokonać kolejnego zgłoszenia do GIODO.
Prowadząc sklep lub serwis w oparciu o działalność wpisaną do CEIDG, do GIODO zgłasza się przedsiębiorcę prowadzącego sklep internetowy. Natomiast w treści wniosku rejestracyjnego wskazuje się już konkretnie sklep (serwis) i jego adres.
Jak prawidłowo należy zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych?
Prawidłowe zgłoszenie polega przede wszystkim na właściwym wypełnieniu przez Administratora danych wniosku rejestracyjnego i przesłaniu go do Generalnego Inspektora Ochrony Danych Osobowych.
Zgodnie z regulacją art. 41 ust.1 ustawy o ochronie danych osobowych wniosek rejestracyjny powinien zawierać m.in.:
oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany wraz z podstawą prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
cel przetwarzania danych,
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych,
informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy,
informacje o sposobie wypełnienia warunków technicznych i organizacyjnych określonych w przepisach, o których mowa w art. 39a ustawy oochronie danych osobowych.
Jeden formularz zgłoszenia zbioru danych do rejestracji w GIODO odnosi się tylko do jednego zbioru danych osobowych.
Podsumowanie
Przedsiębiorca prowadzący sklep lub serwis internetowy ma obowiązek zarejestrowania wyłącznie zbiorów danych osobowych, dla których jest Administratorem danych osobowych.
W przypadku działalności gospodarczej – będzie nim przedsiębiorca, natomiast w przypadku spółki – sama spółka.
Z jakimi firmami muszę podpisać umowę powierzenia danych osobowych? Czy z księgową również?
Administrator danych osobowych decydując o celach i środkach przetwarzania danych osobowych, może wykonywać czynności na tych danych samodzielnie bądź zlecić je innemu podmiotowi.
Komu mogę powierzyć przetwarzane dane osobowe?
Bardzo częstą praktyką przedsiębiorców staje się powierzenie całości lub części czynności związanych z prowadzeniem m.in. polityki kadrowo-płacowej wyspecjalizowanym podmiotom zewnętrznym (outsourcing).
Działania tego rodzaju są jak najbardziej dopuszczalne prawnie i gwarantują profesjonalną obsługę, najczęściej jednak realizowane są w sposób naruszający obowiązki ustawowe.
Zgodnie z Ustawą o ochronie danych osobowych przedsiębiorca może powierzyć innemu podmiotowi przetwarzanie danych osobowych swoich pracowników, w celu wykonywania na jego rzecz lub w jego imieniu obowiązkowych czynności określonych w szeroko rozumianym prawie pracy. Zlecenie tego rodzaju usługi musi być wynikiem umowy zawartej na piśmie pomiędzy Administratorem danych osobowych a Usługobiorcą – Przetwarzającym dane osobowe (art. 31 ust. 1)
Jak powinna wyglądać umowa powierzenia danych osobowych?
Umowa powierzenia danych osobowych do przetwarzania, to szczególny rodzaj umowy o świadczeniu usług będących kombinacją czynności prawnych i faktycznych, dlatego też winna ona zawierać takie elementy jak:
strony umowy,
przedmiot umowy,
zabezpieczenia przedmiotu umowy,
podwykonawcy,
rozwiązanie umowy,
zasady odpowiedzialności stron umowy.
Umowa winna wskazywać podstawę prawną dopuszczającą powierzenie danych do przetwarzania – art. 31 ust. 1 ustawy o ochronie danych osobowych, Administratora danych osobowych w stosunku do informacji stanowiących przedmiot umowy, oświadczenie o posiadaniu przez przetwarzającego wszystkich niezbędnych uprawnień do wykonywania działalności objętej umową, np. związanych z prowadzeniem ksiąg rachunkowych.
Jak opisać przedmiot umowy?
Przedmiot umowy powinien zawierać przede wszystkim ustawowy wymóg określenia zakresu i celu powierzenia danych osobowych (art. 31 ust. 2 ), na który powinny się składać:
rodzaj powierzanych danych osobowych;
cel przetwarzania danych osobowych;
zakres dopuszczalnego przetwarzania danych osobowych;
forma przetwarzania danych osobowych;
czas trwania umowy.
W przypadku powierzenia danych osobowych w celu realizacji obowiązków kadrowo-płacowych ciążących na
przedsiębiorcy, nie jest konieczne wymienianie wszystkich danych oraz zakresu dopuszczalnych czynności, gdyż zarówno zawartość tego zbioru, jak również procesy kadrowe są jednoznacznie określone przez prawo powszechnie obowiązujące.
W umowie powierzenia przetwarzania danych osobowych należy zawrzeć zasady, jakie powinien wdrożyć przedsiębiorca w celu właściwego zabezpieczenia powierzonych danych osobowych zanim podejmie się wykonywania zlecenia. (art. 31 ust. 3).
Chodzi o zasady udzielania upoważnień do przetwarzania danych osobowych dla poszczególnych pracowników Przetwarzającego, którzy będą mieć dostęp do powierzonych danych osobowych np.
„Upoważnienia dla pracowników przetwarzającego są wydawane osobiście przez ADO”
„Upoważnienia dla pracowników wydaje sam przetwarzający, na podstawie właściwego pełnomocnictwa uzyskanego od ADO”
Następnie Administrator danych osobowych winien upewnić się czy przetwarzający wdrożył niezbędne zabezpieczenia organizacyjno-techniczne oraz obowiązkową dokumentację bezpieczeństwa. Wiedzę w tym zakresie powinien posiąść jeszcze przed przekazaniem danych osobowych doprzetwarzania. Decydując się na powierzenie danych osobowych do przetwarzania należy określić również kwestie związane z działaniami mającymi nastąpić w chwili rozwiązania umowy, tj.: zwrot, usunięcie, anonimizacja danych osobowych.
Co ważne, przedsiębiorca podejmując decyzję o powierzeniu przetwarzania danych osobowych swoich pracowników innemu podmiotowi w celu realizacji swoich zadań kadrowo-płacowych, nie musi uzyskiwać jakiejkolwiek ich zgody ani informować ich o tym fakcie.
Podsumowanie
Do powierzenia danych dochodzi gdy przedsiębiorca zleca usługę na zewnątrz i jednocześnie przekazuje dane komuś innemu, kto używa ich w jego imieniu i na jego rzecz. Umowa powierzenia danych osobowych to nieodłączny element prawidłowego wdrożenia dokumentacji ochrony danych osobowych w firmie. Zlecanie czynności związanych z prowadzeniem księgowości, wsparcia IT itp. firmie zewnętrznej jest bardzo często stosowaną przez przedsiębiorców, legalną praktyką.
Należy jedynie pamiętać by zawrzeć z podmiotem zewnętrznym umowę pisemną, uwzględniając wyżej opisane elementy, a zwłaszcza cel i zakres przetwarzania danych osobowych.
Czy są jakieś wymagania w jaki sposób dane Klientów muszą być przechowywane, czyli jak często trzeba zmieniać hasło, jakich zabezpieczeń użyć itp. ?
Rozporządzanie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku określa poziomy bezpieczeństwa infrastruktury informatycznej, jakie należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.
Wymagania zabezpieczeń zbioru danych osobowych – poziom wysoki
Autorzy regulacji jako warunek przyjęli podłączenie systemu informatycznego do sieci publicznej – Internet, które co powoduje, że w praktyce każdy z Administratorów danych osobowych jest zobowiązany do stosowania „wysokiego poziomu bezpieczeństwa”.
Zabronione jest aby kolejni następujący po sobie edministratorzy systemów mieli ten sam identy
fikator, np. „Admin”. Dostęp do systemu informatycznego, w którym będzie istniała możliwości przetwarzania danych osobowych, musi być zabezpieczony procesem uwierzytelnienia użytkownika, tj. potwierdzeniem tożsamości wskazanej w indywidualnym „identyfikatorze”.
Polityka haseł
Najpopularniejszą metodą weryfikacji praw dostępu do systemu informatycznego jest użycie „hasła”, tj. unikalnego i poufnego ciągu znaków literowych, cyfrowych lub innych (§2 pkt 3).
Siła „hasła” wykorzystywanego do uwierzytelnianie użytkowników w systemie informatycznym jest jedynym szczegółowo określonym wymogiem zabezpieczeń:
długość: co najmniej 8 znaków
małe i wielkie litery oraz cyfry lub znaki specjalne
ważność: maksymalnie 30 dni
Nie ma obowiązku, żeby system informatyczny automatycznie wymuszał na użytkownikach te wymagania, jednak taka funkcjonalność pozwala na skuteczne zarządzanie ich realizacją, uniemożliwiając jawne lub przypadkowe łamanie tego nakazu.
O poufności hasła nie decyduje wyłącznie jego nieudostępnianie innym osobom, ale również jego treść. Stąd też użytkownik systemu informatycznego ma obowiązek stosować hasła trudne do
odgadnięcia. W szczególności nie mogą nimi być
• nazwisko, imię, adres, numer rejestracyjny prywatnego samochodu, PESEL, NIP, numer telefonu, itp;
• słowo w żadnym popularnym języku;
• nazwa geograficzna, termin techniczny lub określenie potoczne;
• sekwencja kolejnych znaków na klawiaturze;
a także dowolny spośród wymienionych uzupełnionym na początku lub końcu cyfrą lub znakiem specjalnym.
Podsumowanie
Wymagania bezpieczeństwa dotyczące ochrony danych osobowych, odnoszą się do właściwego sklepu internetowego, nie zaś użytkownika mającego dostęp jedynie do własnych danych, a więc klienta w e-sklepie. To Administrator Danych Osobowych (sklep) w swoich systemach informatycznych – na których pracują pracownicy e-sklepu przetwarzający dane osobowe w związku z działalnością zarobkową – musi wprowadzić wymagania bezpieczeństwa określone w Ustawie o ochronie danych osobowych i Rozporządzeniu wykonawczym MSWiA do tej Ustawy z 2004 r.