Ochrona danych osobowych jest istotnym elementem bezpieczeństwa i budowania wizerunku firmy w sieci. Nadchodzące zmiany przepisów w postaci rozporządzenia UE dodatkowo zaostrzą nie tylko same wymogi w tym obszarze ale i konsekwencje względem przedsiębiorców za niezgodne z prawem przetwarzanie danych.
Wpis powstał przy współpracy z naszym partnerem Rzetelna Grupa Sp. z o.o.
Trudno sobie wyobrazić sklep lub serwis internetowy, który mógłby prowadzić swoją działalność, nie mając kontaktu z danymi osobowymi klientów. Są one wykorzystywane najczęściej przy wysyłaniu towaru pod właściwy adres, rozpatrywaniu zgłoszonej reklamacji czy przy świadczeniu usług drogą elektroniczną. Ustawa o ochronie danych osobowych określa prawa i obowiązki przedsiębiorcy przetwarzającego dane osobowe, prawa osób, których dane osobowe są przetwarzane oraz podstawowe zasady dotyczące przetwarzania danych. Rozporządzenia wraz z załącznikami określają obowiązki, sposób prowadzenia rejestru zbioru danych przez Administratora Danych Osobowych (ADO), zasady powołania i odwołania Administratora Bezpieczeństwa Informacji (ABI), a także zasady przetwarzania danych osobowych przy użyciu urządzeń i systemów informatycznych.
Czym są dane osobowe?
Ustawa stanowi, iż za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio.
Definicja ustawowa jest bardzo szeroka, często uznanie konkretnej informacji za dane osobowe będzie zależeć od kontekstu. Przyjmuje się, iż każda informacja, która może istotnie zawęzić krąg osób, będzie danymi osobowymi. Imię, nazwisko, adres zamieszkania, numer telefonu, numer NIP czy nawet adres e-mail stanowią kategorie danych osobowych, które powinny być chronione zgodnie z przepisami prawa.
Nie ma przy tym znaczenia, jak wiele kategorii danych osobowych przetwarza podmiot prowadzący internetową działalność. Obowiązki wynikające z przepisów są jednakowe dla dużych firm obsługujących setki tysięcy klientów, jak również małych firm z niewielkim obrotem.
Kogo dotyczą przepisy
Z punktu widzenia ustawy, każdy przedsiębiorca, który przetwarza dane osobowe powinien stosować się do wskazanych w niej wymogów i przepisów. Bez względu na to czy prowadzi on sprzedaż internetową, serwis świadczący usługi drogą elektroniczną, czy też prowadzi działalność całkowicie poza internetem, obowiązują go takie same przepisy.
Każdy przedsiębiorca przetwarza dane osobowe swoich klientów w celu wystawienia faktury lub obsługi reklamacji. W sprzedaży internetowej zakres ten jest dodatkowo powiększony o konieczność realizacji zamówienia klienta, tj. rejestracji zamówienia, przyjmowanie płatności, np. przez zewnętrzny system płatności elektronicznych, kończąc na przekazaniu danych osobowych do firmy realizującej dostawy towarów. Ponadto przy sprzedaży internetowej często mamy do czynienia z marketingiem internetowym w formie subskrypcji newslettera.
W przypadku serwisów internetowych świadczących usługi również mamy do czynienia z danymi osobowymi, ponieważ sam adres e-mail można zaliczyć jako dane osobowe. Jeżeli serwis świadczy usługi odpłatne, wówczas powinien on wystawić dowód przyjęcia płatności wykorzystując przy tym dane osobowe klienta.
Obowiązki Administratora Danych Osobowych
Na gruncie obowiązujących przepisów wskazać można dwa podstawowe obowiązki administratora danych osobowych. Administrator danych na podstawie art. 36 ust. 2 ustawy ma obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowane przez niego środki techniczne i organizacyjne. Obowiązek ten zostaje spełniony poprzez sporządzanie dwóch dokumentów: Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym. Oba dokumenty stanowią wewnętrzną dokumentację przygotowywaną na poziomie całej firmy.
Dokumentacja powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych przetwarzanych przez ADO, do zabezpieczenia danych przetwarzanych tradycyjnie w formie dokumentów oraz danych przetwarzanych w systemach informatycznych. Celem takiej dokumentacji powinno być wskazanie działań jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, aby właściwie realizować obowiązki w zakresie zabezpieczenia danych osobowych. Treść dokumentacji deklaruje zaangażowanie kierownictwa firmy oraz wyznacza jej podejście do kwestii zarządzania bezpieczeństwem informacji.
Administrator danych na podstawie art. 40 ustawy zobowiązany jest do zgłoszenia zbioru danych osobowych do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Rejestracji podlega każdy zbiór danych znajdujący się w firmie, niezależnie od tego, jak dużo kategorii danych osobowych zawiera. Wyjątek – nie dotyczy to zbiorów danych osobowych pracowników oraz zbiorów danych gromadzonych tylko w celu wystawienia faktury, który dotyczy jedynie firm sprzedających w sklepie stacjonarnym.
Pamiętaj – jeżeli sklep internetowy posiada wyłącznie adresy e-mail klientów, wówczas i tak musi zgłosić zbiór danych. Musi tego dokonać przed rozpoczęciem przetwarzania danych.
Kim w praktyce jest ABI?
Od 1 stycznia 2015 r. zmieniły się przepisy m.in. w zakresie funkcjonowania Administratora Bezpieczeństwa Informacji (ABI). Przyjęte rozwiązania mają na celu przygotowanie administratorów danych do unormowań zapowiadanych w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych.
Zgodnie w nowymi przepisami, firmy przetwarzające zbiory, podlegające zgłoszeniu do GIODO (np. dane klientów, rejestry korespondencji) muszą wybrać wariant wdrożenia systemu ochrony danych z funkcją Administratora Bezpieczeństwa Informacji lub rejestrując zbiory w GIODO.
Administrator Bezpieczeństwa Informacji (ABI) to osoba wyznaczona przez Administratora Danych Osobowych do nadzorowania, przestrzegania zasad ochrony danych osobowych, czyli stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
Wybrane wymogi techniczne dotyczące systemu informatycznego
Przepisy nakładają na e-biznes proceduralny obowiązek stosowania odpowiednio złożonych haseł dostępowych oraz określają częstotliwości ich zmiany. Zasady te dotyczą pracowników firmy mających dostęp do danych osobowych, a nie klientów. Hasło powinno składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Dodatkowo powinno być zmieniane nie rzadziej niż co 30 dni.
Przepisy jednak nie określają, jak należy wykonać te obowiązki, więc to od ADO zależy, jak wymóg zostanie spełniony. Może to się odbywać na zasadzie automatycznej kontroli przez aplikację, która będzie pilnować częstotliwości i złożoności haseł lub za pośrednictwem procedury opisanej w Instrukcji zarządzania systemem informatycznym. Procedura jest oczywiście mniej bezpieczna, ponieważ podatna jest na błędy ludzkie. Przy stosowaniu procedury, administrator danych osobowych powinien mieć opracowaną metodę weryfikacji, czy dany pracownik jej przestrzega.
Chcąc spełnić wymogi techniczne związane z systemem informatycznym, sklep lub serwis internetowy powinien w sposób automatyczny rejestrować datę pierwszego wprowadzenia danych osobowych do systemu, źródło danych osobowych oraz identyfikator użytkownika, który wprowadził dane. W branży e-commerce można wydzielić trzy główne sposoby wprowadzania danych osobowych do zbioru:
- klient sklepu/serwisu sam wprowadza swoje dane osobowe, składając zamówienie, zakładając konto w sklepie/serwisie lub zapisując się na newsletter za pośrednictwem strony internetowej,
- złożenie zamówienia przez klienta np. przez telefon – pracownik sklepu/serwisu wprowadza dane klienta do systemu informatycznego w celu ewidencji i realizacji zamówienia,
- transakcje przeprowadzane poprzez platformy sprzedaży, na których dana firma prezentuje swój towar na sprzedaż – za pośrednictwem tych platform dochodzi do zawarcia umowy sprzedaży lub wysyłane jest zapytanie o ofertę do sprzedawcy; dane osobowe klienta są wówczas przekazywane automatycznie przez firmę trzecią w celu realizacji umowy sprzedaży lub udzielenia odpowiedzi na zapytanie;
W każdym z wymienionych wypadków system informatyczny powinien rejestrować informacje o dacie wprowadzenia tych danych, źródle ich pochodzenia oraz identyfikatorze użytkownika, który je wprowadził.
Gdy firma udostępnia dane osobowe swoich klientów firmom trzecim, wymagane jest, aby system informatyczny odnotowywał informację, kiedy i komu dane osobowe zostały przekazane. Dotyczy to przede wszystkim sytuacji, gdy firma korzysta z usług wyspecjalizowanych dostawców. Przykładowo, jeżeli sklep dokonuje wysyłki newslettera za pośrednictwem zewnętrznych narzędzi, przekazuje stronie trzeciej adresy e-mail klientów w celu realizacji wysyłki, informacja o tym, kiedy i komu dane osobowe zostały przekazane, powinna być odnotowana.
Często zdarza się również, że pracownicy sklepu przetwarzają dane osobowe za pośrednictwem komputerów, w szczególności laptopów, na których lokalnie przechowują część lub całość zbioru danych osobowych klientów. Cele takich działań mogą być różne, zaczynając od wykonywania różnego rodzaju analiz, przez kwestie księgowe, czy opracowania marketingowe. W takich wypadkach wymogiem technicznym jest konieczność zapewnienia poufności danych osobowych. Jeżeli dane osobowe są przechowywane lokalnie na komputerach, wówczas, aby zapewnić ich bezpieczeństwo, powinny być zastosowane narzędzia szyfrujące katalogi plików lub wręcz całe dyski twarde w tych urządzeniach.
Dodatkowo, jeżeli w firmie przechowuje się kopie danych osobowych np. zapisane dane na płycie DVD lub na dyskach zewnętrznych, nośniki takie powinny być trzymane w bezpiecznym miejscu. Nie ma konieczności stosowania sejfu, ale powinna to być co najmniej szafka zamykana na klucz. Informacja o sposobie przechowywania takich nośników powinna być opisana w dokumentacji, a pracownicy którzy korzystają z tego typu nośników powinni mieć zapewnione możliwości stosowania się do niej w praktyce – odpowiednio wyposażone stanowisko pracy.
Jeżeli dane osobowe są przechowywane na elektronicznych nośnikach danych, w firmie powinna być opracowana procedura na wypadek konieczności naprawy takich nośników lub, w przypadku likwidacji, procedura ich niszczenia. Procedury te powinny być skuteczne, a stosowane narzędzia powinny uniemożliwić odczytanie danych osobowych z tych nośników.
Hosting zewnętrzny
Zdecydowana większość e-przedsiębiorców nie posiada własnej infrastruktury serwerowej i korzysta z firm hostingowych, które takie zaplecze serwerowe zabezpieczają. Wobec tego na serwerach danej firmy znajdują się zebrane przez sklep lub serwis internetowy dane osobowe klientów. W konsekwencji, część obowiązków spoczywających na ADO wypełnia właśnie ta firma. Przykładem takiego delegowania obowiązków jest np. konieczność fizycznego zabezpieczenia serwerów, na których przechowywane są dane osobowe przed dostępem osób nieuprawnionych.
Warto wiedzieć, iż korzystanie z usług firmy hostingowej nie zwalnia ADO z odpowiedzialności za ewentualne uchybienia leżące po stronie firmy hostingowej. Dlatego warto wybierać firmy, które zapewniają odpowiedni poziom bezpieczeństwa w tym zakresie i są świadome obowiązków jakie spoczywają na przedsiębiorcach. Usługi oferowane przez home.pl zapewniają poziom bezpieczeństwa danych osobowych na równi z instytucjami finansowymi, takimi jak banki i firmy ubezpieczeniowe – firma stosuje standard ISO/IEC 27001:2013, czyli taki sami, jaki jest wymagany od w/w instytucji finansowych.
Proces opracowania i wdrożenia dokumentacji dotyczącej ochrony danych osobowych oraz procedur przetwarzania tych danych w firmie może wydawać się pracochłonny i trudny do realizacji, zwłaszcza w kontekście opisania procedur w sposób zgodny z przyjętymi standardami bezpieczeństwa. Warto jednak podjąć ten temat i podejść do niego profesjonalnie, a uzyskana w toku prac wiedza z pewnością będzie przydatna w praktyce prowadzenia e-biznesu oraz zapewni bezpieczne jego funkcjonowanie.
Firma Rzetelna Grupa w ramach współpracy partnerskiej oferuje klientom home.pl pełne wsparcie merytoryczne w zakresie opracowania dedykowanej dokumentacji oraz wdrożenia procedur polityki ochrony danych osobowych. Oferta specjalna przeznaczona jest dla abonentów sklepów internetowych Click Shop – https://home.pl/sklepy-internetowe/