Każdy, kto prowadzi sklep internetowy, ma styczność z danymi osobowymi co najmniej klientów sklepu. Czy zatem prowadzących e-sklep obowiązują zapisy ustawy o ochronie danych osobowych? Jak wygląda ochrona danych osobowych w sklepie internetowym? Wyjaśniamy poniżej.
Ochrona danych osobowych w sklepie internetowym
Czym są dane osobowe? I jak odróżnić je od innych danych?
To pytanie nurtuje wielu przedsiębiorców, a definicja danych osobowych została zawarta wprost w ustawie:
Art. 6 ustawy o ochronie danych osobowych 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. |
Jakie dane osobowe występują w sklepie internetowym?
Prowadzący e-sklep najczęściej spotykają się z danymi osobowymi typu:
imię i nazwisko klienta oraz jego adres zamieszkania i telefon,
adres e-mail,
nazwy firm osób fizycznych (jednoosobowe działalności gospodarcze oraz spółki cywilne) - mimo ogólnodostępności bazy CEIDG dane te są pod ochroną,
imię i nazwisko oraz adres zamieszkania osób będących odbiorcami towarów (często kupującym jest inna osoba niż ta, której kupujący chce wysłać zakupiony towar).
Wszystkie te dane podlegają szczególnej ochronie, o czym mowa w ustawie o ochronie danych osobowych. Odpowiedzialnym za nią jest administrator danych osobowych w sklepie internetowym? Kto to taki? Wyjaśniamy poniżej.
Administrator danych osobowych w sklepie internetowym
Administrator danych osobowych to organ, jednostka organizacyjna, podmiot lub osoba, która decyduje o celach i środkach przetwarzania danych osobowych. Definicja na pozór dość trudna, w praktyce jednak oznacza, że administratorem danych osobowych, w skrócie zwanym ADO, jest w przypadku sklepu internetowego jego właściciel. A zatem jeżeli sklep prowadzony jest w formie:
jednoosobowej działalności gospodarczej - sam przedsiębiorca jest ADO;
spółki cywilnej - wszyscy wspólnicy są ADO;
spółki kapitałowej (czyli sp. z o.o. lub sp. akcyjna) - spółka jest ADO, a ponieważ spółką zarządzają osoby ją reprezentujące, w praktyce czynności ADO przyjmuje na siebie zarząd spółki.
Administrator danych osobowych może powołać w firmie administratora bezpieczeństwa informacji (tzw. ABI), przenosząc na niego niektóre z obowiązków w zakresie organizacji ochrony danych w firmie.
Uwaga! Powołanie ABI nie zwalnia ADO całkowicie z odpowiedzialności za ochronę danych osobowych w firmie. |
Administrator bezpieczeństwa informacji w sklepie internetowym
Administratorem bezpieczeństwa informacji może zostać np. pracownik firmy lub zewnętrzny podmiot specjalnie do tego powołany. ADO ma 30 dni od powołania ABI na jego rejestrację w GIODO. Minimalny zakres zadań, jakie wykonuje on w imieniu administratora danych osobowych, określa wprost ustawa o ochronie danych osobowych. Do czynności tych należą m.in.:
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
nadzorowanie opracowania i aktualizowania dokumentacji - polityki bezpieczeństwa informacji, instrukcji zarządzania systemem informatycznym,
szkolenie lub nadzorowanie szkoleń osób upoważnionych do przetwarzania danych osobowych;
prowadzenie rejestru zbiorów danych przetwarzanych przez ADO.
Uwaga! Administratorem bezpieczeństwa informacji w sklepie internetowym może zostać osoba, która spełnia łącznie trzy podstawowe wymagania:
Może to być pracownik zajmujący się w firmie również innymi czynnościami, o ile nie narusza to podstawowych zadań ABI, o których mowa powyżej. |
Z uwagi na to, że coraz częściej dane przechowywane są w systemach informatycznych, a już na pewno ma to miejsce w przypadku, gdy w grę wchodzi ochrona danych osobowych w sklepie internetowym, administrator bezpieczeństwa informacji może wspomóc się administratorem systemów informatycznych (tzw. ASI).
Administrator systemów informatycznych w sklepie internetowym
Administrator systemów informatycznych to zwykle osoba o umiejętnościach technicznych i wiedzy informatycznej. Ma on za zadanie nadzorować działanie systemów informatycznych, których używa w zakresie ochrony danych osobowych firma.
Podstawą prawidłowego działania ASI w firmie jest znajomość prawa w zakresie ustawy o ochronie danych osobowych i rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
W praktyce na powołanie ABI i ASI mogą sobie pozwolić firmy zatrudniające przynajmniej kilku pracowników, natomiast początkujący przedsiębiorcy nad tym specyficznym działaniem, jakim jest ochrona danych osobowych w sklepie internetowym sprawują pieczę zwykle samodzielnie lub z pomocą zewnętrznych konsultantów.