Jaką dokumentację dotyczącą danych osobowych należy mieć prowadząc sklep internetowy
Każdy sklep internetowy ma obowiązek prowadzenia dokumentacji z zakresu ochrony danych osobowych, o której będzie mowa w niniejszym artykule. Prowadząc sprzedaż, działania marketingowe, zatrudniając pracowników sklep przetwarza dane osobowe i staje się ich administratorem. Wobec tego ciąży na nim obowiązek zgłoszenia zbiorów danych do GIODO czyli Generalnego Inspektora Ochrony Danych Osobowych.
Co więcej, obowiązek opracowania i wdrożenia dokumentacji z zakresu ochrony danych osobowych jest aktualny nawet w sytuacji wyłączenia obowiązku rejestracji zbioru danych osobowych u danego administratora.
Celem takiego rozwiązania jest stworzenie systemu zapewniającego zgodne z prawem przetwarzanie danych osobowych w każdej firmie.
Sprawdź, jakim obowiązkom podlegasz! Zapytaj o bezpłatny audyt GIODO
Każdy e-sklep musi dbać o to by przetwarzanie danych osobowych np. klientów odbywało się w oparciu o jedną z tzw. przesłanek legalności ich przetwarzania (art. 23 Ustawy o ochronie danych osobowych).
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania
Sklep internetowy musi przestrzegać obowiązku informacyjnego – chodzi o informowanie osoby, od której dane są zbierane, o tym, kto jest ich administratorem, o prawie do wniesienia sprzeciwu wobec przetwarzania jej danych w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.
Zgłoś zbiór do GIODO
E-sklep winien dokonać zgłoszeń rejestracyjnych do Generalnego Inspektora Ochrony Danych Osobowych za pomocą specjalnego wniosku, dostępnego między innymi w serwisie internetowym GIODO.
Zabezpiecz dane osobowe
W każdym przedsiębiorstwie należy zabezpieczać dane osobowe. Zabezpieczenia te można podzielić na fizyczne oraz organizacyjne. W praktyce to właśnie brak należytych zabezpieczeń danych osobowych stanowi najczęstszą przyczynę nakładania kar na przedsiębiorców.
Przygotuj dokumentację z zakresu ochrony danych osobowych
Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
Każdy e-sklep powinien mieć opracowaną i wdrożoną:
Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w szczególności (par. 4):
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
- sposób przepływu danych pomiędzy poszczególnymi systemami
- określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcję Zarządzania Systemem Informatycznym – to dokument bardziej szczegółowym i koncentrującym się na zapewnieniu bezpieczeństwa danych osobowych, przetwarzanych w infrastrukturze informatycznej firmy.
Rozporządzenie wymaga, aby znalazły się w niej w szczególności (par. 5):
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy, przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych;
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
- procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych;
- sposób odnotowywania informacji o odbiorcach danych.
Zawartość tych dokumentów opisuje Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. – jest to minimum, które dokumentacja musi zawierać. Dokumenty te opisują w jaki sposób ADO przetwarza i chroni dane osobowe. Nie trzeba ich jednak dołączać do wniosków rejestracyjnych do GIODO. Są to dokumenty wewnętrzne, jednak należy je aktualizować w miarę potrzeb. Nie należy ich mylić z regulaminem i polityką prywatności zamieszczanymi na stronie! Opisane w dokumentacji zasady należy przede wszystkim wprowadzić w życie.
Ewidencję upoważnień do przetwarzania danych osobowych
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
Upoważnienie musi zawierać:
- imię i nazwisko
- datę nadania
- datę ustania
- zakres upoważnienia – nazwa zbioru bądź elementu zbioru danych.
Wyżej wymienione upoważnienia należy ewidencjonować.
Ewidencja upoważnień powinna zawierać:
- imię i nazwisko osoby upoważnionej;
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
- identyfikator (jeżeli dane są przetwarzane w systemie informatycznym)
Nadzór nad upoważnieniami ułatwi na pewno ich numeracja, którą również warto w ewidencji umieścić.
Po stronie osoby upoważnionej do przetwarzania danych osobowych leży obowiązek zachowania danych, sposobu ich zabezpieczenia toteż w dokumentacji winno znaleźć się również oświadczenie osoby upoważnionej o tym, że została zapoznana z zasadami przetwarzania danych w przedsiębiorstwie i przepisami o ochronie danych osobowych.
Umowy powierzenia przetwarzania danych osobowych
Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu w drodze umowy. Pozwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych.
Najbardziej popularną sytuacją powierzenia danych w przypadku e-sklepu jest korzystanie z usługi hostingu z wykorzystaniem wsparcia technicznego usługodawcy. W takiej sytuacji konieczne jest zawarcie pisemnej umowy powierzenia.
Innym przypadkiem jest np. korzystanie z oprogramowania sklepów internetowych lub aplikacji mailingowych w modelu SaaS. Niezbędnymi elementami tej umowy jest określenie celu, w jakim podmiot, któremu powierzono przetwarzanie danych może je przetwarzać oraz zakresu powierzonych do przetwarzania danych. Podmiot ten może bowiem przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Co z polityką prywatności?
Prawo nie nakazuje posiadania polityki prywatności, lecz z uwagi na to, że każdy administrator danych powinien dopełnić względem swoich użytkowników obowiązków informacyjnych o danych administratora, celu zbierania danych, odbiorcach, prawie dostępu użytkownika do zbierania danych i ich modyfikacji oraz podstawie prawnej obowiązku podania danych, często praktykuje się sporządzanie takiego dokumentu.
Podsumowanie
W każdym e-sklepie dochodzi do przetwarzania danych osobowych, dlatego e-sklep powinien opracować i wdrożyć dokumentację z zakresu ochrony danych osobowych.
Jest to tylko jeden z obowiązków, jaki ciąży na administratorze danych osobowych. Niniejszy artykuł ma na celu wskazanie, jakiego rodzaju dokumenty musi posiadać sklep internetowy by uchronić się przed negatywnymi konsekwencjami w razie ewentualnej kontroli GIODO.
