Bezpieczeństwo i ochrona danych osobowych w sklepie internetowym

Ochrona danych osobowych jest istotnym elementem bezpieczeństwa i budowania wizerunku profesjonalnego sklepu internetowego. Przetwarzanie danych osobowych w przypadku nieodpowiedniego zabezpieczenia firmy zarówno pod względem technicznym jak i operacyjnym stwarza wysokie ryzyko.

  • Rafał Stępniewski
  • /
  • 29 kwietnia 2016

Ochrona danych osobowych jest istotnym elementem bezpieczeństwa i budowania wizerunku profesjonalnego sklepu internetowego. Przetwarzanie danych osobowych w przypadku nieodpowiedniego zabezpieczenia firmy zarówno pod względem technicznym jak i operacyjnym stwarza wysokie ryzyko. Przypadki podszywania się pod osoby lub zaciągania zobowiązań finansowych, wykorzystując w tym celu dane osobowe innych osób, pojawiają się coraz częściej. Aby uniknąć takich nieprzyjemnych i niebezpiecznych zdarzeń warto zapoznać się z tematyką ochrony danych osobowych. Trudno sobie wyobrazić sklep internetowy, który mógłby działać, nie mając kontaktu z danymi osobowymi klientów. Są one wykorzystywane do wysłania towaru pod właściwy adres lub rozpatrzenia zgłoszonej reklamacji.

Jakie konsekwencje powoduje taki stan rzeczy? Jakie obowiązki należy spełnić aby należycie chronić dane osobowe klientów e-sklepu?

Prawo Przepisy regulujące kwestię ochrony danych osobowych, w szczególności przetwarzanych przez podmioty prowadzące sklepy internetowe zawarte są w:

  • Ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 roku ( Dz. U. z 2014 poz. 1182); (zwana dalej Ustawą);
  • Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745)
  • Rozporządzeniu Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. 2014, poz. 1934)
  • Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)

Przedstawiając w skrócie, jakie kwestie regulują wskazane powyżej akty prawne możemy przyjąć, iż ustawa o ochronie danych osobowych określa:

  • prawa i obowiązki podmiotu przetwarzającego dane osobowe,
  • prawa osób, których dane osobowe są przetwarzane oraz
  • podstawowe zasady dotyczące przetwarzania danych.

Rozporządzenia wraz z załącznikami określają obowiązki, sposób prowadzenia rejestru zbioru danych przez Administratora Danych Osobowych, zasady jego powołania i odwołania, a także zasady przetwarzania danych osobowych przy użyciu urządzeń i systemów informatycznych.

Dane osobowe

Ustawa stanowi, iż za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Jak widać, definicja ustawowa jest szeroka, a niekiedy to, czy konkretna dana będzie stanowiła daną osobową, zależy od kontekstu. Można przyjąć, iż każda informacja, która może istotnie zawęzić krąg osób będzie daną osobową. W praktyce każdy e-sklep ma kontakt z danymi osobowymi klientów.

Imię, nazwisko, adres zamieszkania, numer telefonu, numer NIP czy nawet adres e-mail stanowią kategorie danych osobowych, które powinny być chronione zgodnie z przepisami prawa. Nie ma przy tym znaczenia, jak wiele kategorii danych osobowych przetwarza podmiot prowadzący internetową sprzedaż. Obowiązki wynikające z przepisów są jednakowe dla dużych firm obsługujących tysiące klientów, jak również małych sklepów z niewielkim obrotem.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Przetwarzanie danych osobowych

Pojęcie „przetwarzania” jest przez Ustawę określane bardzo szeroko. Zgodnie z jej brzmieniem wszystkie operacje wykonywane na danych osobowych, m.in. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie stanowią przetwarzanie danych osobowych. W konsekwencji przyjęcia takiej definicji nasuwa się prosty wniosek – właściwie każdy kontakt z danymi osobowymi klienta stanowi ich przetwarzanie, które powinno być dokonywane zgodnie z obowiązującymi przepisami prawa.

Bardzo ważne jest, aby przetwarzać dane osobowe na gruncie odpowiedniej podstawy prawnej. W odniesieniu do sklepu internetowego mówić można o 2 podstawach. Pierwszą jest zgoda osoby, której dane osobowe dotyczą. W przypadku prowadzenia konta klienta w sklepie lub świadczenia na rzecz klienta innych usług drogą elektroniczną podmiot przetwarzający dane powinien uzyskać zgodę danego klienta na przetwarzanie jego danych we wskazanym celu. Najprostszym i zarazem najbardziej powszechnym sposobem na uzyskanie takiej zgody jest zamieszczenie w formularzu rejestracji konta klienta checkbox ‘a o odpowiednej treści.

Drugą podstawą prawną, która ma zastosowanie w przypadku sklepów internetowych jest konieczność ich przetwarzania w celu realizacji umowy, której stroną jest osoba, której dane dotyczą. Innymi słowy – klient nie musi wyrażać zgody na przetwarzanie jego danych osobowych w celu zrealizowania złożonego przez niego zamówienia oraz wysłania towaru, ponieważ te czynności zmierzają do realizacji umowy sprzedaży zawartej pomiędzy podmiotem prowadzącym sklep a klientem.

Istotne jest również, aby usunąć ze zbioru dane osobowe, których cel przetwarzania ustał. Jeżeli inne przepisy prawa nie nakładają obowiązku przechowywania danych osobowych klienta (np. kwestie związane z fakturowaniem), a wszystkie cele przetwarzania tych danych ustały, należy takie dane usunąć ze zbioru. Dalsze przetwarzanie takich danych jest niezgodne z przepisami.

Administrator danych osobowych

Na administratorach danych osobowych spoczywają obowiązki dotyczące przetwarzania danych osobowych wskazane w Ustawie. Zgodnie z art. 7 ust. 4 jest nim organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych. Jak widać, forma prowadzenia działalności jest bez znaczenia, dlatego właściwie każdy podmiot prowadzący sklep internetowy będzie z występował w roli administratora danych osobowych.

Drugim elementem koniecznym do zdefiniowania administratora danych osobowych jest fakt „decydowania o środkach i celach” przetwarzania zgromadzonych danych. Należy przez to rozumieć, iż jeśli podmiot prowadzący sklep podejmuje decyzje dotyczące tego, w jakim celu (np. prowadzenie konta klienta, wysyłka newsletter’a, wysyłka towaru) konkretne kategorie danych będą przetwarzane oraz jakimi środkami to przetwarzanie będzie dokonywane, to spełnia przesłanki potrzebne do bycia administratora danych osobowych.

Warto zauważyć, że administratorem danych osobowych nie jest wskazany pracownik firmy czy osoba z zarządu spółki lecz podmiot prowadzący sklep internetowy jako taki. W przypadku osób fizycznych prowadzących działalność gospodarczą będzie to właściciel firmy, natomiast w przypadku spółek lub jednostek organizacyjnych – sama spółka lub jednostka organizacyjna.

Obowiązki administratora danych osobowych

Na gruncie obowiązujących przepisów wskazać można 2 podstawowe obowiązki administratora danych osobowych prowadzącego sklep internetowy:

  1. Administrator danych na podstawie art. 36 ust. 2 Ustawy ma obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowane przez niego środki techniczne i organizacyjne. Obowiązek ten zostaje spełniony poprzez sporządzanie dwóch dokumentów tj. Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym. Oba dokumenty stanowią wewnętrzną dokumentację przygotowywaną na poziomie całej firmy prowadzącej sklep internetowy. Dokumentacja powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych przetwarzanych przez administratora danych osobowych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem takiej dokumentacji powinno być wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych osobowych w zakresie zabezpieczenia danych osobowych, a jej treść deklaruje zaangażowanie kierownictwa firmy i wyznacza podejście firmy do zarządzania bezpieczeństwem informacji.  
  2. Administrator danych na podstawie art. 40 Ustawy zobowiązany jest do zgłoszenie zbioru danych osobowych do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Rejestracji podlega każdy zbiór danych znajdujący się z firmie, niezależnie od tego, jak dużo kategorii danych osobowych zawiera. Wystarczy, że sklep internetowy posiada np. wyłącznie adresy e-mail klientów, a zgłoszenie zbioru będzie konieczne. Zbiór zgłosić należy przed rozpoczęciem przetwarzania danych, a więc zanim sklep internetowy zacznie zbierać dane osobowe klientów. Administrator danych osobowych powinien zgłosić zbiór, wskazując przewidywane kategorie danych.

Na przestrzeni ostatnich lat nastąpił dynamiczny wzrost liczby rejestracji zbiorów danych osobowych wynikający z coraz większej świadomości przedsiębiorców w zakresie dopełnienia obowiązków formalnych.

Procedura zgłoszenia zbioru danych jest czynnością jednorazową i bezpłatną, a przetwarzanie danych osobowych można rozpocząć niezwłocznie po wysłaniu zgłoszenia. Nie trzeba czekać na dokonanie rejestracji zbioru przez GIODO. Wniosek można wypełnić elektronicznie, korzystając z pomocy platformy internetowej dostępnej pod adresem www.giodo.gov.pl.

Wskazane powyżej podstawowe obowiązki administratora danych osobowych nie są oczywiście jedynymi, natomiast ich analiza powinna być dokonana podczas przygotowywania ww. dokumentacji. Środki zabezpieczeń lub procedur przetwarzania danych osobowych powinny być dostosowane do kategorii zbieranych danych osobowych, ilości klientów, wielkości firmy oraz potencjalnych zagrożeń, które mogą występować.

Administrator Bezpieczeństwa Informacji

Od 1 stycznia 2015 r. zmieniły się przepisy m.in. w zakresie funkcjonowania administratora bezpieczeństwa informacji. Przyjęte rozwiązania mają na celu przygotowanie administratorów danych do unormowań zapowiadanych w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych osobowych) [COM(2012) 11, Dz. Urz. C 102 z dnia 5 kwietnia 2012 r.

Zgodnie w nowymi przepisami, firmy przetwarzające zbiory podlegające zgłoszeniu do GIODO (np. dane Klientów, rejestry korespondencji) będą musiały wybrać wariant wdrożenia systemu ochrony danych z funkcją Administratora Bezpieczeństwa Informacji lub rejestrując zbiory w GIODO.

Administrator Bezpieczeństwa Informacji (ABI) jest to osoba wyznaczona przez Administratora Danych Osobowych do nadzorowania, przestrzegania zasad ochrony danych osobowych, czyli stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

W art. 36a ust. 5 Ustawy określono, iż funkcję ABI może pełnić osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  3. nie była karana za umyślne przestępstwo.

Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Przepisy ustawy nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

Firma może ale nie musi powoływać ABI. Jeżeli ABI zostanie jednak powołany wówczas ADO powinien zgłosić taką osobę w GIODO. Zadania Administratora Bezpieczeństwa Informacji:

Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych (zgodnie z art. 36a ust. 2 pkt 1 Ustawy.), w szczególności przez:

  1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  2. nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
  3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
  4. obowiązek sporządzania cyklicznych raportów (sprawdzeń) dla Administratora Danych Osobowych, które przekazywane są również do GIODO. Administrator bezpieczeństwa informacji w planie sprawdzeń uwzględnia, w szczególności, zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych osobowych oraz konieczność weryfikacji zgodności przetwarzania danych osobowych z obowiązującymi przepisami. Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem.

Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (zgodnie z art. 36a ust. 2 pkt 2 ). Należy zwrócić uwagę, że jeżeli w firmie nie są przetwarzane dane wrażliwe i został powołany ABI (czyli informacje: o pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, stanu zdrowia, kodu genetycznego, nałogów lub życia seksualnego, skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym) to nie ma obowiązku rejestracji zbioru danych osobowych w GIODO.

System informatyczny przetwarzający dane osobowe

Przepisy dotyczące ochrony danych osobowych wprowadzają pojęcie systemu informatycznego służącego do przetwarzania tych danych. Ustawa w art. 7 ust. 2a określa taki system jako zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Trudno sobie wyobrazić działalność sklepu internetowego, który takich systemów nie wykorzystuje. W praktyce systemem informatycznym może być panel administracyjny sklepu, przy pomocy którego pracownicy przetwarzają dane osobowe klientów, a także np. komputery firmowe, które połączone siecią lokalną mają dostęp do bazy danych. Wskazanie konkretnych systemów informatycznych w firmie powinno być dokonane podczas wdrażania w firmie Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym i powinno odpowiadać stanowi faktycznemu przetwarzania danych osobowych w firmie.

Przetwarzanie danych osobowych przy użyciu systemu informatycznego niesie za sobą konieczność spełnienia obowiązków określonych w załączniku do Rozporządzenia z dnia 29 kwietnia 2004 roku, które określają, jak powinien działać system informatyczny oraz jak powinien zostać zabezpieczony przed dostępem osób nieuprawnionych. Warto w tym miejscu wspomnieć o konieczności nadania wszystkich użytkownikom systemu informatycznego (pracownikom sklepu internetowego) unikalnych identyfikatorów, szyfrowania połączenia, podczas którego ma miejsce przekazanie danych osobowych oraz stosowaniu oprogramowania zabezpieczającego system informatyczny przed działaniem szkodliwego oprogramowania (wirusy). Nałożenie na administratora tych obowiązków ma na celu wymuszenie ochrony systemów informatycznych przed zagrożeniami wynikającymi z charakteru pracy przy użyciu tych systemów, które bardzo często połączone są z Internetem, podwyższając dodatkowo poziom zagrożenia bezpieczeństwa danych.

Wybrane wymogi techniczne dotyczące systemu informatycznego

Przepisy nakładają na e-sklepy proceduralny obowiązek stosowania odpowiednio złożonych haseł dostępowych oraz określają częstotliwości ich zmiany. Zasady te dotyczą pracowników firmy mających dostęp do danych osobowych a nie klientów sklepu. Hasło powinno składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. Dodatkowo powinno być zmieniane nie rzadziej niż co 30 dni. Przepisy jednak nie określają, jak należy wykonać te obowiązki, więc to od administratora danych osobowych zależy, jak wymóg zostanie spełniony. Może to się odbywać na zasadzie automatycznej kontroli przez aplikację, która będzie pilnować częstotliwości i złożoności haseł lub za pośrednictwem procedury opisanej w Instrukcji zarządzania systemem informatycznym. Procedura jest oczywiście mniej bezpieczna, ponieważ podatna jest na błędy ludzkie. Przy stosowaniu procedury administrator danych osobowych powinien mieć opracowaną metodę weryfikacji, czy dany pracownik jej przestrzega procedur.

Chcąc spełnić wymogi techniczne związane z systemem informatycznym, sklep powinien w sposób automatyczny rejestrować datę pierwszego wprowadzenia danych osobowych do systemu, źródło danych osobowych oraz identyfikator użytkownika, który wprowadził dane. W branży e-commerce można wydzielić 3 główne sposoby wprowadzania danych osobowych do zbioru:

  1. Klient sklepu sam wprowadza swoje dane osobowe, składając zamówienie, zakładając konto w sklepie lub zapisując się na newsletter za pośrednictwem strony internetowej sklepu.
  2. Złożenie zamówienia przez klienta np. przez telefon. Wówczas pracownik sklepu wprowadza dane klienta do systemu informatycznego w celu ewidencji i realizacji zamówienia.
  3. Trzeci sposób uwzględnia transakcje przeprowadzane poprzez platformy sprzedaży, na których dana firma prezentuje swój towar na sprzedaż. Za pośrednictwem tych platform dochodzi do zawarcia umowy sprzedaży lub wysyłane jest zapytanie o ofertę do sprzedawcy. Dane osobowe klienta są wówczas przekazywane automatycznie przez firmę trzecią w celu realizacji umowy sprzedaży lub udzielenia odpowiedzi na zapytanie.

W każdym z wymienionych wypadków system informatyczny sklepu powinien rejestrować informacje o dacie wprowadzenia tych danych, źródle ich pochodzenia i identyfikatorze użytkownika, który je wprowadził.

Gdy firma udostępnia dane osobowe swoich klientów firmom trzecim, wymagane jest, aby system informatycznych odnotowywał informację, kiedy i komu dane osobowe zostały przekazane. Dotyczy to przede wszystkim sytuacji, gdy firma korzysta z usług wyspecjalizowanych. Dostawców. Przykładowo jeżeli sklep dokonuje wysyłki newsletter’ a za pośrednictwem zewnętrznych narzędzi, przekazuje stronie trzeciej adresy e-mail klientów w celu realizacji wysyłki. Informacja o tym kiedy i komu dane osobowe zostały przekazane powinna być odnotowana.

Często zdarza się również, że pracownicy sklepu przetwarzają dane osobowe za pośrednictwem komputerów, w szczególności laptopów, na których lokalnie przechowują część lub całość zbioru danych osobowych klientów. Cele takich działań mogą być różne, zaczynając od wykonywania różnego rodzaju analiz, przez kwestie księgowe, czy opracowania marketingowe. W takich wypadkach wymogiem technicznym jest konieczność zapewnienia poufności danych osobowych. Jeżeli dane osobowe są przechowywane lokalnie na komputerach, wówczas, aby zapewnić ich bezpieczeństwo, powinny być zastosowane narzędzia szyfrujące katalogi plików lub wręcz całe dyski twarde w tych urządzeniach.

Dodatkowo, jeżeli w firmie przechowuje się kopie danych osobowych np. zapisane dane na płycie DVD lub na pendrivie, nośniki takie powinny być trzymane w bezpiecznym miejscu. Nie ma konieczności stosowania sejfu, ale powinna to być co najmniej szafka zamykana na klucz. Informacja o sposobie przechowywania takich nośników powinna być opisana w dokumentacji, a pracownicy, którzy korzystają z tego typu nośników powinni mieć zapewnione możliwości stosowania się do niej w praktyce – odpowiednio wyposażone stanowisko pracy.

Jeżeli dane osobowe są przechowywane na elektronicznych nośnikach danych, w firmie powinna być opracowana procedura na wypadek konieczności naprawy takich nośników lub w wypadku likwidacji – procedura ich niszczenia. Procedury te powinny być skuteczne, a stosowane narzędzia powinny uniemożliwić odczytanie danych osobowych z tych nośników.

Hosting zewnętrzny

Zdecydowana większość sklepów internetowych nie posiada własnej infrastruktury serwerowej i korzysta z firm hostingowych, które takie zaplecze serwerowe zabezpieczają. Wobec tego na serwerach danej firmy znajdują się zebrane przez sklep dane osobowe klientów. W konsekwencji część obowiązków spoczywających na administratorze danych osobowych wypełnia właśnie ta firma. Przykładem takiego „delegowania” obowiązków jest np. konieczność fizycznego zabezpieczenia serwerów, na których przechowywane są dane osobowe przed dostępem osób nieuprawnionych.

Warto wiedzieć, iż korzystanie z usług firmy hostingowej nie zwalnia administratora danych osobowych z odpowiedzialności za ewentualne uchybienia leżące po stronie firmy hostingowej, dlatego warto podpisać z taką firmą umowę w zakresie odpowiedniego zabezpieczenia danych osobowych. Umowa taka powinna jasno precyzować obowiązki, do których spełnienia zobowiązana jest firma hostingowa, w szczególności dotyczących fizycznego zabezpieczenia danych osobowych klientów sklepu internetowego. Podpisanie takiej umowy może być w wypadku ewentualnych sporów podstawą dochodzenia roszczeń od firmy hostingowej, której zaniedbania narażą administratora danych osobowych na szkodę. Czołowe w Polsce firmy hostingowe dysponują wzorami takich umów i chętnie je podpisują, dlatego tym bardziej warto to zrobić.

Prawa osoby, której dane osobowe dotyczą

Ustawa przyznaje szereg praw osobom fizycznym względem administratora danych osobowych, który przetwarza ich dane osobowe. Zgodnie z przepisami każda osoba ma prawo do szeroko pojętej kontroli przetwarzania danych osobowych, które jej dotyczą. Kontrola przetwarzania danych polega w szczególności na prawie do:

  • uzyskania informacji czy jej dane osobowe znajdują się w zbiorze danych prowadzonych przez administratora danych osobowych;
  • uzyskania wyczerpujących informacji dotyczących administratora danych osobowych – nazwa firmy, adres siedziby;
  • uzyskania informacji o celu, zakresie oraz sposobie przetwarzania danych;
  • uzyskania informacji, od kiedy dane osobowe jej dotyczące są przetwarzane przez administratora danych osobowych;
  • uzyskania informacji o źródle, z którego administrator danych osobowych pozyskał dane;
  • uzyskania informacji o sposobie udostępniania danych innym podmiotom oraz informacji o tych podmiotach;
  • żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Każdy administrator powinien być przygotowany na udzielenie każdej osobie, której dane osobowe przetwarza wyczerpującej informacji o tym, w jaki sposób przetwarzane są one przetwarzane. W tym kontekście istotne jest sprawowanie właściwej kontroli nad pracownikami firmy, którzy przetwarzają dane osobowe oraz wdrożenie odpowiednich procedur w wykorzystywanych systemach informatycznych w taki sposób, aby minimalizować zagrożenie udostępnienia danych osobowych osobom nieupoważnionym.

Przepisy karne

Warto mieć świadomość, iż Ustawa przewiduje konkretne kary za przetwarzanie danych osobowych niezgodnie z przepisami prawa. Najsurowiej karane jest:

  • przetwarzanie danych, których przetwarzanie nie jest dopuszczalne albo do których przetwarzania dany podmiot nie jest uprawniony;
  • świadome udostępnianie danych osobowych osobom nieupoważnionym;
  • udaremnianie lub utrudnianie właściwemu inspektorowi wykonanie czynności kontrolnej.

Powyższe czyny zagrożone są karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku zagrożone jest natomiast:

  • naruszenie choćby nieumyślne obowiązku chronienia danych osobowych przed ich wykradzenie przez osobę nieuprawnioną lub ich uszkodzeniem, zniszczeniem;
  • uchybienie obowiązkowi rejestracji zbioru danych osobowych w GIODO;
  • niedopełnienie obowiązku poinformowania osoby, której dane osobowe są przetwarzane o jej prawach.

Ja widać przetwarzanie danych osobowych niezgodnie z przepisami jest nie tylko narażaniem firmy na utraty zaufania klientów, ale niesie za sobą ryzyko poniesienia bardzo konkretnej odpowiedzialności.

Podsumowanie

Proces opracowania i wdrożenia dokumentacji dotyczącej ochrony danych osobowych oraz procedur przetwarzania tych danych w firmie może wydawać się pracochłonny i trudny do realizacji, zwłaszcza w kontekście opisania procedur w sposób zgodny z przyjętymi standardami bezpieczeństwa. Warto jednak podjąć ten temat i podejść do niego profesjonalnie, a uzyskana w toku prac wiedza z pewnością będzie bardzo przydatna w praktyce prowadzenia sklepu internetowego oraz zapewni bezpieczne jego funkcjonowanie.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie stanowisko pracy przechowywanie rozwiązania e-commerce operacje dokumenty dyski twarde hosting
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!