Idealny sklep internetowy chroniący dane osobowe

Idealny sklep internetowy chroniący dane osobowe

Idealny sklep pod względem ochrony danych osobowych to jaki?

 

Działalność sklepu internetowego nierozerwalnie wiąże się z przetwarzaniem danych osobowych, a co za tym idzie – sklep podlega ustawie o ochronie tych informacji oraz obowiązkowi rejestracji zbiorów danych osobowych w GIODO. Nie każdy właściciel sklepu internetowego zdaje sobie do końca jednak sprawę z tego, jakie ciążą na nim obowiązki.

 

Obowiązki właściciela sklepu internetowego

Każdy administrator danych powinien przede wszystkim przeanalizować, jakie dane osobowe przetwarza by właściwie wyodrębnić zbiory danych osobowych, a następnie zweryfikować, czy powinien zarejestrować swój zbiór w GIODO.
Przy analizie, pomocny będzie poniższy schemat:

obowiazki-wlasciciela-sklepu-internetowego

kliknij, aby powiększyć

 

Cały proces rejestracji zbioru danych w GIODO można przejść za pośrednictwem specjalnej platformy internetowej e-giodo, gdzie wypełnia się wniosek online i – jeżeli właściciel nie ma podpisu elektronicznego – powinien wydrukować go, podpisać i wysłać do Biura Generalnego Inspektora Ochrony Danych Osobowych. Jeśli e-sklep przetwarza tylko dane zwykłe – od momentu rejestracji zbioru danych będzie mógł w pełni legalnie działać w internecie.

Oprócz rejestracji zbiorów właściciel powinien opracować jeszcze 2 dokumenty:

  • Politykę bezpieczeństwa informacji
  • Instrukcję zarządzania systemem informatycznym

Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każdy e-sklep powinien mieć opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji
Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
  • wykaz zbiorów danych osobowych wraz ze wskazaniem  programów zastosowanych do przetwarzania tych danych
  • opis struktury zbiorów danych wskazujący zawartość  poszczególnych pól informacyjnych i powiązania między nimi
  • sposób przepływu danych pomiędzy poszczególnymi systemami
  • określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych


Instrukcję Zarządzania Systemem Informatycznym
– to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy. Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień  w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
  • procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
  • sposób odnotowywania informacji o odbiorcach danych.

 

Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać.

Dokumenty te opisują w jaki sposób ADO przetwarza i chroni dane osobowe.
Są to dokumenty wewnętrzne, jednak należy je aktualizować w miarę potrzeb.

Właściciel powinien prowadzić ewidencję upoważnień do przetwarzania danych osobowych
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
Upoważnienie musi zawierać:

  • imię i nazwisko
  • datę nadania
  • datę ustania
  • zakres upoważnienia – nazwa zbioru bądź elementu zbioru danych

Właściciel e-sklepu powinien również pamiętać o obowiązku informacyjnym, a zatem:
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

  1. Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
  2. Celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
  3. Prawie dostępu do treści swoich danych oraz ich poprawiania
  4. Dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej

W przypadku zbierania danych osobowych nie od osoby, której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

  1. Adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
  2. Celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych
  3. Źródle danych
  4. Prawie dostępu do treści swoich danych oraz ich poprawiania
  5. Uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 (chodzi o prawo do złożenia sprzeciwu wobec przetwarzania danych w celach marketingowych lub przekazywania ich innym podmiotom oraz żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której one dotyczą)

Zgodnie z art. 32 ust. 5 ustawy o ochronie danych osobowych, prawo do informacji przysługuje osobie zainteresowanej raz na 6 miesięcy.
Obowiązek informacyjny to również udzielenie informacji osobie, której dane dotyczą na podst. art. 32 ust.1 pkt 1-5a ustawy o ochronie danych osobowych, takich jak:

  • czy zbiór istnieje;
  • od kiedy dane są przetwarzane;
  • jakie jest źródło pozyskania danych;
  • w jaki sposób dane są udostępniane;
  • jaki jest cel i zakres przetwarzania danych;
  • w jakim zakresie i komu dane zostały udostępnione.

ABI?

Ustawa o ochronie danych nie wymusza na administratorze danych osobowych (w naszym przypadku chodzi oczywiście o właściciela sklepu) wyznaczenie administratora bezpieczeństwa informacji. W obecnym stanie prawnym jest to prawo a nie obowiązek administratora danych.
ABI to osoba w firmie, która stoi na straży bezpieczeństwa informacji, kontroluje oraz szkoli pracowników pod względem zawartych procedur w polityce bezpieczeństwa.

 

Podsumowanie

By zbiór danych osobowych pojawił się w GIODO potrzeba trochę czasu.
Jednak jeżeli w zbiorze nie znajdują się dane osobowe wrażliwe – nic nie stoi na przeszkodzie by e-sklep już po dokonaniu rejestracji zbioru mógł rozpocząć przetwarzanie danych.
Niniejszy artykuł miał na celu wskazać co powinien uczynić przed faktycznym rozpoczęciem działalności właściciel by jego sklep internetowy mógł zyskać miano idealnego pod względem ochrony danych osobowych.
Trzeba pamiętać, że rejestracja zbioru w GIODO i przygotowanie dokumentacji to nie wszystko. Każdy z tych dokumentów wymaga aktualizacji, a zasady w nich opisane, wdrożenia w życie i przestrzegania.

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?