Ochrona Danych Osobowych, sklep internetowy i RODO

Ochrona Danych Osobowych, a na co to komu? Jak się okazuje, jest to bardzo potrzebne! Każdy sklep internetowy przetwarza dane osobowe i jest to fakt, którego nie da się uniknąć – jednak jak prawnie zadbać o dane osobowe w sklepie internetowym?

Wdrożenie pod kątem prawnym sklepu internetowego nie jest proste, gdyż tak jak zwykły, stacjonarny sklep należy dostosować sklep do wielu regulacji prawnych takie jak regulaminy, polityka prywatności, czy właśnie ochroną danych osobowych. Wiele sklepów internetowych nie zadbało szczególnie o bezpieczeństwo sklepu i wielokrotnie można było być świadkiem, gdy dane osobowe klientów, lista tych klientów, czy nawet numery kart zwyczajnie wyciekły.

Właściciel sklepu ma obowiązek poinformować klientów, że przetwarza ich dane osobowe. Wydaje się to normalne, ale moim zdaniem to coś normalnego, gdyż ciężko dostarczyć paczkę do klienta, którego się nie wie kim jest i gdzie mieszka, jednak regulacje powodują, że trzeba o tym informować. Dane osobowe i ich przetwarzanie jest konieczne w sklepie internetowym, ale to też nie koniec obowiązków prawnych właściciela sklepu.

Czym są dane osobowe i co to znaczy Ochrona Danych Osobowych?

Są to dane, które pozwolą do jednoznacznego zidentyfikowania osoby fizycznej, takie jak imię, nazwisko, czy adres zamieszkania.

Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Stosownie do ust. 3 powołanego przepisu, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań.

Jak widać, dane osobowe to coś, co pozwoli nam zidentyfikować konkretną osobę i nie będzie to wymagać dużej ilości pracy (cokolwiek to znaczy).

Administrator danych osobowych

Kto zatem odpowiada za piękne słowo „Ochrona danych osobowych”? Nikt inny jak Administrator Danych Osobowych, czyli osobie/organie, który decyduje o celach i sposobach w jaki przetwarza się dane osobowe. Zazwyczaj jest nim właściciel sklepu. Oczywiście, właściciel sklepu nie musi się tym zajmować i może przenieść obowiązki przenieść na Administratora Bezpieczeństwa Informacji, który może być po prostu pracownikiem lub firmą/specjalistą z zewnątrz. Niezależnie kto się zajmie obowiązkami, one są niezmienne.

Administrator bezpieczeństwa informacji

Więc jakie czynności można na niego zrzucić?

  • weryfikowanie, czy sposób przetwarzania danych osobowych jest zgodny z przepisami wspomnianej ustawy, a także tworzenie w tym zakresie raportów dla ADO,
  • prowadzenie rejestru zbiorów danych, za które odpowiada ADO,
  • kontrolowanie sporządzania i aktualizowania dokumentów, dotyczących polityki bezpieczeństwa informacji czy zarządzania systemem informatycznym,
  • prowadzenie szkoleń (lub ich nadzorowanie) dla pracowników uprawnionych do przetwarzania danych osobowych.

Sam ABI może z kolei korzystać z pomocy administratora (systemów informatycznych), a jego już zadaniami jest sprawowanie nadzoru nad działaniem systemu informatycznego (systemu, aplikacji, etc) związane bezpośrednio ze sklepem.

Zezwolenia na przetwarzanie danych osobowych

Skoro już trzeba dane przetwarzać, to jak wiadomo – trzeba mieć na wszystko pozwolenie. Są to głównie wszelkie regulaminy i zgody na przetwarzanie danych osobowych. Kto z nas nie zgodził się na przetwarzanie marketingowe? Albo nie zaakceptował regulaminu, by się gdzieś zarejestrować? A jak tam ten mały druczek w CV na końcu? To są wszystko zgody na przetwarzanie danych osobowych! Oczywiście, muszą mieć charakter dobrowolny, więc by nikt się nie przyczepił – dodajmy checkbox do zaznaczenia, zamiast chamskiego wpisu „Rejestrując się, zgadzasz się na regulamin, bla bla bla…”

Zgłoszenie do GIODO

No i największa moim zdaniem bolączka. Co zbieramy trzeba sklasyfikować, spisać, udokumentować i zgłosić. Każdy zbiór danych wymaga osobnego zgłoszenia do GIODO, dlatego przetwarzając zamówienia i newsletter, trzeba te dwa zbiory osobno zgłosić, bo mają inny charakter i cel. Na więcej pytań odpowie sam Generalny Inspektorat tutaj.

Umowy o powierzenie danych osobowych

Mało jakiego właściciela sklepu stać na własną serwerownię, więc wynajmują serwery/hosting od innej firmy. W takim wypadku należy z tą firmą podpisać umowę. Co ważne, każdy podmiot przetwarzający dane osobowe musi spełnić warunki określone w ustawach i rozporządzeniach MSWiA kryteria, które dotyczą m.in. kwestii technicznych, organizacyjnych i bezpieczeństwa. Te informacje muszą być zawarte w takiej umowie.

Dane osobowe przechowuje hostingodawca (chyba, że jesteś tak bogaty, by mieć dobre łącze, agregat, serwery, UPSy i to wszystko w przydomowym bunkrze), który jest odpowiedzialny za udostępnienie serwera i bazy danych. Niemniej jednak umowa dotyczy też usług marketingowych, usług płatności internetowych, czy sług dostawczych. Z każdym takim podmiotem również trzeba podpisać umowę o powierzenie danych w zakresie ich przechowywania.

Wewnętrzna dokumentacja

Pod tym enigmatycznym pojęciem mam na myśli politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi, oczywiście w kontekście przetwarzania danych osobowych. Konieczność takiej dokumentacji wymusza na nas ustawa, a treść dokumentów jest ściśle uregulowana. Mimo, że absurdalne, to niestety konieczne.

Co dalej?

Właściciele większych sklepów, z wieloma pracownikami muszą zadbać o odpowiednie umowy z pracownikami, wdrożenie procedur przetwarzania danych, prowadzenie szkoleń w ich zakresie, czy nadanie upoważnień kto i co może przetwarzać. Trzeba też mieć rękę na pulsie, gdyż prawo się ciągle zmienia, tak jak nadchodzące RODO. A to tylko początek drogi w celu utworzenia sklepu. Na razie prawne. Dalej, czyli ile kosztuje utworzenie sklepu możecie przeczytać w moim wpisie o tutaj.

Ecommerce