Wartością każdego e-sklepu nie jest jego asortyment, czy też jego szata graficzna, ale jego klienci. Bez nich e-sklep nie będzie istniał, nie będzie generował sprzedaży, a sama firma nie będzie się rozwijać. Ochrona danych osobowych klientów e-sklepu, jest wymagana przepisami prawa, ale śmiało można stwierdzić, że ważniejszym motywatorem do ich przestrzegania nie powinny być przepisy same w sobie, ale bezpieczeństwo biznesowe e-sklepu.
Dzisiaj przedsiębiorców, którzy przetwarzają dane osobowe obowiązuje ustawa o ochronie danych osobowych wraz z rozporządzeniem MSWiA w tym zakresie. Przepisy te wiążą się z koniecznością spełnienia szeregu wymagań nie tylko prawnych. Ustawa wymaga od właścicieli e-sklepów nie tylko uzyskania zgód na przetwarzanie danych osobowych, ale precyzyjnie określa m.in. aspekty operacyjne oraz aspekty techniczne.
Dodatkowo w maju 2016 r. zostało opublikowane rozporządzenie UE w zakresie ochrony danych osobowych. Mimo, że przepisy będą obowiązywać przedsiębiorców od maja 2018 r., warto już dzisiaj zapoznać się z nimi dostosowując swoją firmę w niektórych obszarach do nowych wymogów. Dzięki takim działaniom budowaną dzisiaj bazę marketingową będzie można wykorzystywać po wejściu w życie nowych przepisów, bez konieczności dopełniania obowiązków informacyjnych i uzyskiwania dodatkowych zgód, co może mieć znaczący wpływ na przyszłość firmy i jej przewagę konkurencyjną.
Jakie dokumenty należy przygotować?
Pierwszym i najważniejszym dokumentem regulującym zasady przetwarzania danych osobowych w e-sklepie jest polityka bezpieczeństwa. Dodatkowo należy też przygotować instrukcję zarządzania systemem informatycznym. Polityka bezpieczeństwa ma za zadanie opisać, w sposób szczegółowy, procesy dotyczące administracji, przetwarzania oraz ochrony danych. Wspomniane rozporządzenie MSWiA stawia natomiast szereg innych wymogów natury technicznej oraz organizacyjnej. Należy pamiętać, że polityka bezpieczeństwa jest tworzona na potrzeby całej firmy, a nie pojedynczego zbioru. Opracowując dokumentację należy tworzyć praktyczne procedury, które nie będą utrudniać pracy operacyjnej, ale zagwarantują spełnienie wymogów prawnych oraz zagwarantują bezpieczeństwo biznesowe.
Ważnym aspektem ochrony danych osobowych jest nie tylko posiadanie dokumentacji, ale jej praktyczne wdrożenie. Przestrzeganie przez przedsiębiorcę, a w szczególności przez jego pracowników, określonych procedur ma być swoistą gwarancją, że najcenniejsza wartość e-sklepu, tj. dane osobowe klientów, jest odpowiednio zabezpieczona. Dodatkowo sama dokumentacja powinna być przez przedsiębiorcę aktualizowana w kontekście zmian jakie zachodzą w jego firmie, zarówno pod względem organizacyjnych jak i technicznym oraz technologicznym.
Kolejnym z obowiązków jakie musi spełnić przedsiębiorca jest dokonanie zgłoszenia w GIODO.
Co należy zgłosić do GIODO?
W styczniu 2015 r. zmianie uległy przepisy w zakresie danych osobowych. Wraz ze zmianą przedsiębiorcy mają wybór odnośnie tego, czy będą rejestrować zbiory danych osobowych, czy powołają w swojej firmie Administratora Bezpieczeństwa Informacji (tzw. ABI) i zamiast zbiorów zgłoszą osobę odpowiedzialną za ochronę danych osobowych w swojej firmie.
Jeżeli firma nie powołuje ABI’ego wówczas ADO powinien wykonywać wszystkie zadania jakie określa ustawa w kontekście kompetencji ABI. Jedyną różnicą jest to, że w przypadku gdy firma posiada ABI, GIODO może zwrócić się do niego z prośbą dokonania sprawdzenia i przedstawienia GIODO raportu z tych czynności. Z drugiej strony korzyścią posiadania ABI’ego jest to, że nie ma obowiązku zgłaszania zbiorów do GIODO oraz fakt, że w firmie jest osoba, która na co dzień zajmuje się obszarem danych osobowych i jest za te działania odpowiedzialna.
W przypadku, gdy ABI nie zostanie powołany wówczas jest obowiązek rejestracji zbiorów w GIODO. Typowa firma prowadząca sklep internetowy posiada bazę pracowników, bazę klientów składających zamówienia, bazę klientów posiadających zarejestrowane konto, bazę dotyczącą reklamacji oraz, w niektórych przypadkach, bazę osób zapisanych do newslettera. Spośród w/w zbiorów zwolniony z rejestracji w GIODO jest jedynie zbiór pracowników. Pozostałe zbiory trzeba zarejestrować. Należy pamiętać o tym, że każdy zbiór bez względu na to, czy go zgłaszamy, czy jest zwolniony z obowiązku rejestracji powinien być odpowiednio opisany w dokumentacji, a pracownicy powinni mieć odpowiednie upoważnienia w zakresie jego przetwarzania.
Czy zgoda na przetwarzanie jest potrzebna?
Podstawy prawne na bazie, których przetwarzane są dane osobowe w sklepie internetowym są dwie. Pierwszą z nich jest przetwarzanie danych osobowych w celu realizacji umowy, natomiast drugą jest zgoda na przetwarzanie udzielona przez klienta sklepu.
Jeżeli klient składa jednorazowe zamówienie w sklepie internetowym sprzedawca nie musi zbierać od takiego klienta zgody na przetwarzanie danych osobowych w celu realizacji zamówienia, ponieważ dane osobowe są przetwarzane w celu realizacji umowy sprzedaży. Inaczej kształtują się te wymogi, jeżeli przykładowo w procesie składania zamówienia klient ma możliwość zapisania się na newsletter albo ma możliwość dodatkowo założenie konta w sklepie. W tym przypadku sprzedawca powinien odpowiednio uzyskać zgodę na przetwarzanie danych osobowych w określonym celu. Wymagania odnośnie treści zgody określa ustawa. Przede wszystkim należy udostępnić informacje o nazwie firmy, wskazać w jakim celu są gromadzone dane oraz poinformować użytkowników do prawie do wglądu, poprawiania i usuwania. Niedozwolone jest natomiast łączenie kilku zgód w jednym zapisie, a także domniemanie zgody poprzez akceptację przez użytkownika np. regulaminu lub domyślne zaznaczenie pola w formularzu rejestracyjnym.
Bezpieczeństwo w praktyce
Kolejne wymagania dotyczące polityki bezpieczeństwa dotyczą jej praktycznego zastosowania. Przedsiębiorca zobowiązany jest prowadzić rejestr osób upoważnionych do przetwarzania, organizować dla nich specjalne szkolenia, a także dokonywać przeglądów zabezpieczeń i integralności zbiorów. Edukacja pracowników w kontekście danych osobowych jest o tyle kluczowa, że to właśnie oni na co dzień mają do czynienia z danymi osobowymi. Przedsiębiorca musi również zadbać o pomieszczenia, w których przechowuje dane osobowe (w tym o same komputery). Do jego obowiązków należy również określenie wewnętrznego harmonogramu sprawozdań i raportów, które warto prowadzić regularnie np. raz na pół roku, a w większych firmach nawet częściej.
Trochę techniki
Ustawodawca przygotował też szczegółowe wymagania techniczne odnośnie zabezpieczenia danych osobowych. Wśród nich wymienia konieczność szyfrowania połączenia między komputerem klienta, a sklepem internetowym, podczas którego przesyłane są dane osobowe. W praktyce wymóg ten można spełnić stosując certyfikat SSL do szyfrowania formularzy w sklepie internetowym.
Hasła dostępu dla pracowników, którzy administrują i przetwarzają dane osobowe powinny mieć minimum 8 znaków, wśród których powinny znaleźć się małe i wielkie liter, cyfry, a także znaki specjalne. Należy je zmieniać nie rzadziej niż raz na 30 dni. Warto zautomatyzować ten proces i wprowadzić odpowiednią funkcję do e-sklepu. W przeciwnym razie koniecznym będzie opisanie w dokumentacji odpowiedniej procedury wraz z określeniem metody jej weryfikacji. System obsługujący e-sklep powinien też rejestrować informacje o tym, kto i kiedy wprowadzał dane osobowy lub je edytował. W przypadku komputerów przenośnych, przedsiębiorca musi zastosować narzędzia szyfrujące dysk twardy, jeżeli przechowywane są na nim dane osobowe.
Kto jeszcze przetwarza dane osobowe z baz sklepu?
Do danych osobowych mają dostęp nie tylko pracownicy e-sklepu, ale również firmy trzecie. W typowym sklepie możemy mieć do czynienia z firmą księgą oraz firmą hostingową. Ta ostatnia odgrywa znaczącą rolę. Należy pamiętać, że administratorem danych osobowych jest przedsiębiorca prowadzący sklep i to on odpowiada za z kim współpracuje. Wybierając firmę hostingową należy kierować się przede wszystkim aspektami bezpieczeństwa oraz standardami jakie są w niej wdrożone. Jest to ważne ponieważ w przypadku firmy hostingowej mamy do czynienia z powierzeniem danych osobowych, czyli oddelegowaniem części obowiązków ustawowych jakie spoczywają na przedsiębiorcy, na firmę trzecią.
Firma hostingowa powinna zapewnić nas, że spełnia szereg wymagań ustawowych dotyczących zabezpieczeń fizycznych i logicznych. Powinna mieć wdrożoną politykę wykonywania i przechowywania kopii bezpieczeństwa, a także niszczenia nieprzydatnych już nośników. Obowiązek spełnienia tych rygorystycznych wymogów można np. określić w umowie powierzenia danych osobowych, gdzie firma zobowiąże się do przestrzegania wymogów ustawowych.
Analogicznie jest w przypadku firmy księgowej, która co do zasady przechowuje dokumenty pracowników oraz klientów w postaci faktur.
W przypadku firm odpowiadających za dostawy towaru lub obsługę płatności elektronicznych mamy do czynienia z udostępnieniem danych osobowych w celu realizacji umowy. Tu również nie bez znaczenia jest renoma firmy i standardy bezpieczeństwa jakich przestrzega.
Zakres czynności, do których zobowiązana jest firma zarządzająca sklepem internetowym może wydawać się bardzo szeroki. Jednak dobrze przygotowana dokumentacja i automatyzacja pewnych procesów pozwoli zminimalizować czasochłonność tych działań. Powyższe wymagania zostały opisane na przykładzie sklepu internetowego, ale dotyczą one każdego przedsiębiorcy, który posiada zbiory danych osobowych. W tym również właścicieli serwisów internetowych, firm organizujących konkursy oraz przedsiębiorców korzystających np. z systemu CRM.
Autorem wpisu jest Rafał Stępniewski z firmy Rzetelna Grupa Sp. z.o.o. – firmy świadczącej kompleksowe usługi doradcze w zakresie prawa gospodarczego, prawa spółek handlowych, prawa konsumenckiego, praw autorskich oraz ochrony danych osobowych.
Szukasz pomocy prawnej do regulaminu swojego serwisu lub sklepu? Skorzystaj z unikalnych warunków Rzetelnej grupy, tylko dla klientów home.pl: