Skala sankcji nakładanych na przedsiębiorców może się jeszcze zwiększyć w niedalekiej przyszłości. Obecnie trwają prace nad podniesieniem kary grzywny do 1 mln euro dla przedsiębiorców ze wszystkich krajów wspólnoty. Przedsiębiorcy chcąc uniknąć nieprzyjemnych konsekwencji, powinni już na etapie wdrożenia sklepu internetowego uwzględnić ciążące na nich wymagania prawne. Dotyczy to również firm i podmiotów korzystających z gotowych platform e-commerce. Ustawa o ochronie danych osobowych wymaga od nich nie tylko uzyskania zgód na ich przetwarzanie. Precyzyjnie określa m.in. aspekty operacyjne, dotyczące prowadzenia rejestrów oraz organizowania szkoleń dla pracowników. Ważne są również aspekty techniczne, takie jak: konieczność stosowania certyfikatów SSL, częstotliwości zmieniania oraz złożoność haseł administratorów. O wprowadzaniu niektórych z nich do mechanizmów e-sklepu warto pomyśleć już na etapie projektowania. Pozwoli to zaoszczędzić czas w przyszłości.
Jakie dokumenty należy przygotować?
Pierwszym i najważniejszym dokumentem regulującym zasady przetwarzania danych osobowych w e-sklepie jest polityka bezpieczeństwa. Dodatkowo należy też przygotować instrukcję zarządzania systemem informatycznym. Takie obowiązki nakłada na przedsiębiorców rozporządzenie wydane przez MSWiA.– Polityka bezpieczeństwa ma za zadanie opisać, w sposób szczegółowy, procesy dotyczące administracji, przetwarzania oraz ochrony danych. Wspomniane rozporządzenie stawia natomiast szereg innych wymogów natury technicznej oraz organizacyjnej. Polityka bezpieczeństwa jest jednak tworzona na potrzeby całej firmy, a nie pojedynczego zbioru – tłumaczy Rafał Stępniewski, ekspert z RzetelnyRegulamin.pl.
Co należy zgłosić do GIODO?
Typowa firma prowadząca sklep internetowy posiada bazę pracowników, bazę klientów dokonujących jednorazowego zamówienia, bazę klientów posiadających zarejestrowane konto, bazę dotyczącą reklamacji oraz, w niektórych przypadkach, bazę osób zapisanych do newslettera. Spośród wymienionych spisów należy zarejestrować u GIODO bazę klientów, posiadających konto oraz bazę subskrybentów newslettera. Pozostałe zbiory są zwolnione z tego obowiązku, należy je jednak uwzględnić w polityce bezpieczeństwa.
Jak uzyskać zgodę użytkownika?
Zbierając dane osobowe należy pamiętać o uzyskaniu zgodny na ich przetwarzanie. Wymagania odnośnie jej treści są również szczegółowo określone w ustawie. Przede wszystkim należy udostępnić informacje kontaktowe do sklepu, wskazać w jakim celu są gromadzone dane oraz poinformować użytkowników do prawie do wglądu i korekty. Niedozwolone jest natomiast łączenie kilku zgód w jednym zapisie, a także domniemanie zgody poprzez akceptację przez użytkownika np. regulaminu lub domyślne zaznaczenie pola w formularzu rejestracyjnym.
Bezpieczeństwo w praktyce
Kolejne wymagania dotyczące polityki bezpieczeństwa dotyczą jej praktycznego zastosowania. Sklep internetowy zobowiązany jest prowadzić rejestry administratorów danych osobowych, organizować dla nich specjalne szkolenia, a także dokonywać przeglądów zabezpieczeń i integralności zbiorów. Przedsiębiorca musi również zadbać o pomieszczenia, w których przechowuje dane osobowe (w tym o same komputery). Do jego obowiązków należy również określenie wewnętrznego harmonogramu sprawozdań i raportów, które muszą powstawać nie rzadziej niż raz w roku.
Trochę techniki
Ustawodawca przygotowała też szczegółowe wymagania techniczne odnośnie zabezpieczenia danych osobowych. Wśród nich wymienia konieczność szyfrowania formularzy, służących do ich przesyłania, protokołem SSL. Natomiast hasła dostępu dla pracowników, którzy nimi administrują i przetwarzają dane osobowe powinny mieć minimum 8 znaków, wśród których powinny znaleźć się małe i wielkie liter, cyfry, a także znaki specjalne. Należy je zmieniać minimum raz na 30 dni. – Warto zautomatyzować ten proces i wprowadzić odpowiednią funkcję do e-sklepu. W przeciwnym razie, będziemy musieli opisać w dokumentacji procedury i wymagania oraz określić dla ABI (Administratora Bezpieczeństwa Informacji) procedurę weryfikacji. System obsługujący e-sklep powinien też rejestrować informacje o tym, kto i kiedy wprowadzał dane osobowy lub je edytował. Zautomatyzowanie tego procesu będzie pomocne, gdy do firmy zgłosi się użytkownik z prośbą o wykaz, kto i kiedy manipulował jego danymi osobowymi – mówi Rafał Stępniewski z RzetelnyRegulamin.pl. W przypadku komputerów przenośnych natomiast, przedsiębiorca musi zastosować narzędzia szyfrujące dysk twardy.
Kto jeszcze przetwarza dane osobowe z baz sklepu?
Do danych osobowych mają dostęp nie tylko pracownicy e-sklepu, ale również podwykonawcy odpowiadający za stworzenie oprogramowania, księgowi oraz np. firma hostingowa. Ta ostatnia odgrywa znaczącą rolę. Należy pamiętać, że administratorem danych osobowych jest przedsiębiorca prowadzący sklep i to on odpowiada za to jakimi podwykonawcami się posługuje. Firma hostingowa powinna zapewnić nas, że spełnia szereg wymagań ustawowych dotyczących zabezpieczeń fizycznych i logicznych. Powinna mieć wdrożoną politykę wykonywania i przechowywania kopii bezpieczeństwa, a także niszczenia nieprzydatnych już nośników. Obowiązek spełnienia tych rygorystycznych wymogów można np. określić w umowie powierzenia danych osobowych.
Zakres czynności, do których zobowiązana jest firma zarządzająca sklepem internetowym może wydawać się bardzo szeroki. Jednak dobrze przygotowana dokumentacja i automatyzacja procesów pozwoli zminimalizować czasochłonność tych działań. Powyższe wymagania zostały opisane na przykładzie sklepu internetowego, ale dotyczą one każdego przedsiębiorcy, który posiada zbiory danych osobowych. W tym również właścicieli serwisów internetowych, firm organizujących konkursy oraz przedsiębiorców korzystających np. z systemu CRM.