Ochrona danych osobowych w sklepie internetowym

3 powody, dla których każdy sprzedawca powinien zainteresować się tematem ochrony danych osobowych

Autor: Piotr Jarosz, Prezes Zarządu Safe Buy Sp. z o.o.
Redaktor naczelny raportów "eHandel Polska", współautor raportów "eCommerce" dla IDG Poland SA, inicjator Polskiego Forum Handlu Elektronicznego promującego kodeks dobrych praktyk w eCommerce.

Każdy przedsiębiorca prowadzący sklep internetowy powinien dbać o swoją reputację i dobre imię, gdyż w przypadku sprzedaży na odległość zaufanie to jeden z jego najważniejszych atutów. Jednak nie tylko z powodów wizerunkowych, ale także karnych, każdy sprzedawca ma co najmniej 3 istotne powody, aby na poważnie zainteresować się zagadnieniami związanymi z ochroną danych osobowych:

DANE OSOBOWE

Każdy sklep internetowy zbiera dane osobowe swoich klientów, jak ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dane te podlegają ochronie, dlatego na sprzedawcy ciąży obowiązek należytego ich zabezpieczenia.

Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

POWIERZENIE DANYCH

Sprzedawcy, którzy dzierżawią oprogramowanie sklepu lub korzystają z usług kuriera albo integratora płatności i udostępniają dane osobowe swoich klientów, powinni zobowiązać swoich kontrahentów do należytego zabezpieczenia tych danych. Jeśli umowa świadczenia usług zawarta z kontrahentem sklepu internetowego nie reguluje kwestii ochrony danych osobowych to sprzedawca powinien zawrzeć odrębną umowę powierzenia przetwarzania danych osobowych.

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

OBOWIĄZEK REJESTRACJI

Dane klientów zbierane przez sklep internetowy stanowią zbiór danych w rozumieniu ustawy o ochronie danych osobowych. W związku z tym, że dane klientów nie są zbierane wyłącznie w celu wystawienia faktury, ale przede wszystkim w celu realizacji umowy sprzedaży, sprzedawca jest zobowiązany zarejestrować taki zbiór u Generalnego Inspektora Danych Osobowych.

Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Obowiązki sprzedawcy jako administratora danych

Oprócz oczywistego obowiązku ochrony danych osobowych, realizowanego poprzez zapewnienie odpowiednich warunków technicznych i organizacyjnych, na administratorze danych osobowych, którym w przypadku sklepu internetowego lub sprzedawcy Allegro jest firma prowadząca sprzedaż, ciąży szereg innych zobowiązań.

Na pierwszy rzut oka wydaje się, że obowiązków tych jest ponad miarę dla małego lub średniego przedsiębiorcy, jednak postaramy się pokazać, że większość z nich jest banalnie prosta, a inne nie wymagają nadmiernych wysiłków. W szczególności w przypadku jednoosobowej działalności gospodarczej, w ramach której nie ma zatrudnionych pracowników, nie ma potrzeby wyznaczania Administratora Bezpieczeństwa Informacji ani prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych.

Każdy administrator danych osobowych musi wykonać:

GIODO

Zgłoszenie zbioru danych osobowych do GIODO (art. 40 UODO).

Zgłoszenia zbioru danych osobowych do GIODO odbywa się poprzez przesłanie do urzędu należycie wypełnionego formularza zgłoszeniowego. W związku z tym, że formularz ten zawiera specyficzne określenia i jest bardzo ogólny, gdyż na przykład służy także do zgłaszania zbiorów przetwarzanych w formie papierowej w jednym segregatorze, to jego wypełnienie nie jest zadaniem łatwym. W związku z tym, że od lat działamy w branży eCommerce i doskonale znamy specyfikę sklepów oraz aspekty techniczne i prawne związane z ochroną danych osobowych, dlatego specjalnie dla uczestników programu eCommerce Fair Play przygotowaliśmy prosty w obsłudze generator wniosku zgłoszenia zbioru danych osobowych. Generator został opracowany na potrzeby sklepów internetowych z uwzględnieniem ich specyfiki działania, dlatego nie zawiera niepotrzebnych pytań, a te które w nim występują są sformułowane w sposób jasny i zrozumiały z punktu widzenia sprzedawców. Korzystanie z generatora przez uczestników programu eCommerce Fair Play jest bezpłatne.

ABI

Wyznaczenie Administratora Bezpieczeństwa Informacji (art. 36 UODO).

Administrator Bezpieczeństwa Informacji (w skrócie nazywany ABI) jest to osoba zarządzająca ochroną danych osobowych w ramach organizacji. Osobą tą może być wyznaczony do tych zadań pracownik firmy lub zewnętrzy podwykonawca, który posiada wystarczającą wiedzę z zakresu ochronnych danych osobowych. Uwaga, od 1 stycznia 2015 nie ma obowiązku wyznaczania ABI: dowiedz się więcej

DOKUMENTACJA

Opracowanie i wdrożenie Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym (art. 36 i 39a UODO, § 3. RDPDO).

Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym to dość obszerne dokumenty, których zakres szczegółowo opisuje rozporządzenie ministra spraw wewnętrznych, dlatego ich opracowanie warto zlecić firmie świadczącej takie usługi. Koszt takiego opracowania jest uzależniony od wielkości organizacji jakiej dotyczy oraz od złożoności procesów związanych z ochroną danych osobowych, jednak w przypadku małego lub średniego sklepu internetowego nie powinien być większy niż kilkaset złotych. Przy okazji opracowywania dokumentacji warto rozważyć zlecenie wykonania audytu bezpieczeństwa przetwarzania danych osobowych w firmie, gdyż taka usługa wykonana w pakiecie zapewnia lepsze efekty realne.

EWIDENCJA OSÓB

Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 39 UODO).

Ewidencja osób upoważnionych do przetwarzania danych osobowych to zwykła tabela zawierająca numer upoważnienia, imię i nazwisko osoby, która otrzymała upoważnienie, datę udzielenia upoważnienia i ewentualnie jego wygaśnięcia, nazwę zbioru którego dotyczy upoważnienie, zakres upoważnienia, uwagi.

UMOWA POWIERZENIA

Zawarcie odrębnych umów o powierzenie przetwarzania danych z dostawcami usługi jeśli zawarte z nimi umowy nie regulują kwestii ochrony danych osobowych (art. 31 UODO).

Umowa o powierzenie przetwarzania danych osobowych to dokument w najprostszym przypadku zawierający informacje, jakie dane i w jakim celu są przekazywane kontrahentom oraz zapisy zobowiązujące ich do należytej ochrony tych danych. Sprzedawcy uczestniczący w programie eCommerce Fair Play mają dostęp do wzorca takiej umowy i korzystanie z niego jest bezpłatne.

Niniejszy artykuł nie stanowi porady prawnej i wyraża jedynie prywatne opinie autora, dlatego każdy użytkownik podejmuje decyzje na własne ryzyko.

Wsparcie dla sklepów w ramach Programu Safe Buy

Misją serwisu SafeBuy.pl są przyjazne zakupy internetowe, czego nie można osiągnąć bez odpowiedniej edukacji i wsparcia małych i średnich sprzedawców. Dlatego pakiet niezbędnych dokumentów prawnych dla sklepu, w tym regulamin i wypełniony wniosek do GIODO są bezpłatne dla uczestników Programu. Ponadto sprzedawcy wyróżnieni są w rejestrze Safe Buy, na łamach portalu Sklepy24.pl, a ich sklep opatrzony klikalnym znakiem Safe Buy, który zwiększa zaufanie klienta.

Ty też działasz fair play w eCommerce
i chcesz dołączyć do uczestników Programu?
Podstawy prawne:
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2014 r. poz. 1182) http://www.giodo.gov.pl/144/id_art/386/j/pl/
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz. 1536) http://www.giodo.gov.pl/144/id_art/2546/j/pl/
  • Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) http://www.giodo.gov.pl/144/id_art/1002/j/pl/