Sklep internetowy a ochrona danych osobowych
2011-04-14 13:17
Przeczytaj także: Sklep internetowy a dane osobowe i prawa autorskie
Decydując się na taką formę działalności powinniśmy się „zaprzyjaźnić” z przepisami prawa, a w szczególności z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) oraz ustawą z dnia 18 lipca 2002 r o świadczeniu usług drogą elektroniczną (UŚUDE). Obie ustawy określają szereg wymagań, jakie powinniśmy spełnić przed przystąpieniem do przetwarzania danych osobowych.Prowadząc sklep internetowy, powinniśmy dopełnić wszelkich starań, aby zabezpieczyć dane osobowe naszych klientów. Pierwszą rzeczą, na którą należy zwrócić szczególną uwagę to odpowiednie zabezpieczenie serwera, na którym będą się znajdowały dane osobowe naszych klientów, przed dostępem do nich osób nieupoważnionych. Jeżeli zdecydujemy się na hosting, musimy pamiętać, że wtedy odpowiednie zabezpieczenia musi nam zagwarantować hostingodawca, z którym zgodnie z Art. 31 UODO musimy podpisać umowę powierzenia przetwarzania danych.
Przy tworzeniu naszego sklepu pamiętajmy, że nasi klienci będą nam przekazywali swoje dane osobowe (do realizacji zakupu lub podczas logowania), a jednym z naszych zadań jest ich zabezpieczenie podczas transmisji. Dobrym rozwiązaniem jest skorzystanie z narzędzia szyfrującego np. protokołu SSL.
Każdy sklep internetowy powinien posiadać zgodnie z Art. 8 UŚUDE regulamin świadczenia usług drogą elektroniczną, który powinien być dostępny dla każdego klienta. W regulaminie tym powinny się znajdować m. In. zapisy dotyczące rodzaju i zakresu usług, warunki świadczenia usług, zawarcia i rozwiązania umowy oraz tryb postępowania reklamacyjnego.
Zgodnie z UODO, każdy podmiot, który przetwarza dane osobowe osób fizycznych, zobowiązany jest również do podjęcia odpowiednich środków nie tylko technicznych, ale również organizacyjnych, czyli stworzyć odpowiednią dokumentację opisującą sposób przetwarzania danych (Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), upoważnić do przetwarzania danych wszystkie osoby, które będą posiadały do nich dostęp oraz zobowiązać je do zachowania ich oraz sposobów ich zabezpieczeń w tajemnicy oraz prowadzić ewidencję tych osób i na bieżąco ją aktualizować.
Tak przygotowany sklep od strony technicznej i organizacyjnej możemy uznać za bezpieczny i zgodny z przepisami UODO oraz UŚUDE, ale żeby móc rozpocząć sprzedaż, musimy się zastanowić nad bardzo ważną kwestią – czy dane będą zbierane wyłącznie w celu realizacji zamówienia, czyli wystawienia faktury, czy również w innym celu (np. rejestracji w sklepie dającej możliwość ponownego zalogowania). Jeżeli tylko w pierwszym przypadku, to zgodnie z Art. 43 UODO, nie musimy zgłaszać takiego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).
Jeżeli jednak również w innym celu będziemy te dane przetwarzać, zobowiązani jesteśmy przed rozpoczęciem przetwarzania tych danych, zgłosić GIODO taki zbiór do rejestracji. Aby zgłosić zbiór, korzystamy z wzoru wniosku zamieszczonego na stronie http://egiodo.giodo.gov.pl/. Pamiętajmy, że zbiorem danych nie będzie baza sklepu internetowego, tylko każdy zestaw posiadający określoną strukturę, dostępny według określonych kryteriów, oddzielnie. Czyli np. właściciel sklepu internetowego może być administratorem takich zbiorów, jak np. klienci sklepu, reklamacje, marketing, newsletter, program lojalnościowy, itp. i każdy z nich oddzielnie powinien zostać zgłoszony do rejestracji. We wniosku zostaniemy zapytani o podstawę prawną upoważniającą do przetwarzania danych i w przypadku takich zbiorów jak marketing, newsletter czy program lojalnościowy, podstawą do ich przetwarzania będzie wyrażenie zgody przez osoby, których dane znajdują się w poszczególnych zbiorach.
Taką zgodę musimy zebrać przed rozpoczęciem przetwarzania tych danych w powyższych celach, więc od razu warto dodać do formularza, za pomocą którego te dane będą pozyskiwane, odpowiednią klauzulę. Klauzula taka powinna zawierać informację, kto będzie administratorem danych (dokładna nazwa i adres siedziby właściciela sklepu), cel w jakim dane będą przetwarzane, informację o prawie dostępu do treści podanych danych i możliwości ich poprawiania oraz informację o tym, że podanie danych jest dobrowolne. Pamiętajmy jednak, że jeżeli osoba, której dane przetwarzamy, odwoła wcześniej wyrażoną zgodę (np. na przetwarzanie danych w celach marketingowych), musimy to nie tylko uszanować, ale mamy obowiązek zaprzestania dalszego przetwarzania tych danych w określonym celu.
Po takim przygotowaniu naszego sklepu, możemy rozpocząć działalność pamiętając, że musimy dbać o to, by w przypadku jakiejkolwiek zmiany mającej wpływ na przetwarzany zbiór danych dokonać weryfikacji i ewentualnej aktualizacji wdrożonych środków technicznych oraz organizacyjnych.
oprac. : Maria Lothamer / iSecure