Ochrona danych osobowych w sklepie internetowym – co trzeba wiedzieć?

Prawne wdrożenie e-sklepu nie jest prostą sprawą. Wymaga dostosowania się do licznych regulacji związanych z jego regulaminem, polityką prywatności czy też ochroną danych osobowych klientów. Sprawdź, jak zapanować nad danymi osobowymi w sklepie internetowym i co trzeba wiedzieć, by odbyło się to w zgodzie z literą prawa.

Właściciele sklepów internetowych powiadamiają swoich klientów o przetwarzaniu danych osobowych na potrzeby realizacji zamówienia. Informują również o możliwości wyrażenia zgody na ich przetwarzanie w celach: marketingowym, otrzymywania informacji handlowych czy zapisania się na newsletter. To najbardziej oczywiste, ale nie jedyne obowiązki spoczywające na przedsiębiorcach prowadzących e-sklepy. Zanim omówimy kolejne, przyjrzyjmy się bliżej temu, czym właściwie są dane osobowe, a także które z nich muszą być chronione i kto właściwie za to odpowiada.

Jakie dane to dane osobowe?

O tym, czym są dane osobowe informuje dokładnie art. 6 ustawy o ochronie danych osobowych. Brzmi on następująco:

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Z treści powyższego artykułu można wywnioskować, które spośród danych występujących w sklepach internetowych muszą być chronione przez jego właściciela. Dla porządku wspomnijmy, że są to: imię i nazwisko klienta; adres zamieszkania; numer telefonu oraz adres e-mail klienta; nazwy firm osób fizycznych (czyli spółek cywilnych i jednoosobowych działalności gospodarczych).

Ponadto, ochronie muszą podlegać też dane dotyczące osób, które nie składały osobiście zamówienia, lecz są odbiorcami zakupionych towarów. W ich przypadku również chodzi o takie dane jak: imię i nazwisko, adres zamieszkania czy dane kontaktowe.

Organ odpowiedzialny za ochronę danych

Odpowiedzialność za ochronę danych osobowych spoczywa na tzw. administratorze danych osobowych (ADO), czyli organie decydującym o celach i sposobach ich przetwarzania. W praktyce mowa tutaj o samym właścicielu sklepu internetowego, za którego – w zależności od formy prawnej działalności – uznaje się:

• przedsiębiorcę prowadzącego jednoosobową działalność gospodarczą,
• wszystkich wspólników spółki cywilnej,
• zarząd spółki kapitałowej (spółki akcyjnej bądź spółki z o.o.).

Co istotne, właściciel sklepu internetowego oczywiście nie musi zajmować się osobiście wszystkimi zadaniami, związanymi z procesem ochrony danych. Odpowiedzialność za większość pojawiających się w tym zakresie czynności i obowiązków może przenieść na administratora bezpieczeństwa informacji (ABI). Takim administratorem ma prawo ustanowić zarówno swojego pracownika, jak i specjalistę z podmiotu zewnętrznego. Niezależnie od wybranej opcji, minimalny zakres zadań wykonywanych przez ABI jest taki sam, gdyż kwestię tę szczegółowo regulują przepisy ustawy o ochronie danych osobowych.

Pomoc w ochronie danych osobowych

W myśl ustawy o ochronie danych osobowych, właściciel sklepu internetowego może powierzyć administratorowi bezpieczeństwa informacji takie czynności jak:

• weryfikowanie, czy sposób przetwarzania danych osobowych jest zgodny z przepisami wspomnianej ustawy, a także tworzenie w tym zakresie raportów dla ADO,
• prowadzenie rejestru zbiorów danych, za które odpowiada ADO,
• kontrolowanie sporządzania i aktualizowania dokumentów, dotyczących polityki bezpieczeństwa informacji czy zarządzania systemem informatycznym,
• prowadzenie szkoleń (lub ich nadzorowanie) dla pracowników uprawnionych do przetwarzania danych osobowych.

Sam administrator bezpieczeństwa informacji może z kolei skorzystać dodatkowo ze wsparcia administratora systemów informatycznych (ASI). Rolą tego ostatniego, jak sama nazwa wskazuje, jest sprawowanie nadzoru nad działaniem systemów informatycznych, powiązanych z ochroną danych osobowych przetwarzanych przez sklep.

W praktyce jednak wielu spośród tych przedsiębiorców, którzy dopiero rozpoczynają przygodę z prowadzeniem sklepu internetowego, nie może pozwolić sobie na luksus w postaci współpracy z ABI czy ASI. Dlatego też wszelkimi kwestiami związanymi z ochroną danych osobowych zajmują się albo samodzielnie, albo przy wsparciu zewnętrznych konsultantów. Przyjrzyjmy się zatem bliżej temu, o jakie dokładnie aspekty muszą zadbać.

Organizacja procesu zbierania zezwoleń na przetwarzanie danych osobowych

Jak już wcześniej zasygnalizowano, właściciel sklepu internetowego musi zadbać przede wszystkim o zebranie zgód na przetwarzanie danych osobowych. Co ważne, zgody te – czyli zgody na wiadomości marketingowe, newsletter i informacje handlowe – powinny być zbierane oddzielnie. Inaczej mówiąc, należy do nich przypisać trzy osobne checkboxy.

Ponadto, ponieważ wspomniane zgody mają charakter dobrowolny, nie powinno się wymuszać na kliencie sklepu ich udzielania. Dobrym rozwiązaniem będzie tutaj zatem pozostawienie checkboxów domyślnie niezaznaczonych.

Identyfikacja zbiorów danych osobowych i zgłoszenie ich do GIODO

Kolejną istotną kwestię stanowi konieczność odpowiedniego zidentyfikowania i wyodrębnienia występujących zbiorów danych. To o tyle istotne, że wpływa na treść wewnętrznej dokumentacji ochrony danych (będzie jeszcze o niej mowa w dalszej części tekstu), na związane z nią procedury, a także na sam proces zgłaszania zbiorów do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Wart podkreślenia jest fakt, że według GIODO jeden zbiór danych może dotyczyć tylko jednego celu przetwarzania danych osobowych. Dlatego też, podobnie jak w przypadku checkboxów, należy rozdzielić kwestie odnoszące się np. do realizacji zamówienia i do newslettera.

Formalnym obowiązkiem każdego właściciela sklepu internetowego jest zgłoszenie wyodrębnionych zbiorów danych osobowych do GIODO. Może on dokonać tego osobiście albo poprzez wspomnianego już administratora bezpieczeństwa informacji.

Zawarcie umów o powierzenie danych

Gromadzone przez sklep internetowy dane osobowe, są zwykle przetwarzane przez kilka różnych podmiotów.

Co ważne, każdy podmiot przetwarzający dane musi spełniać określone w ustawach i rozporządzeniach MSWiA kryteria, dotyczące spraw technicznych, organizacyjnych i z zakresu bezpieczeństwa. O tym, że te kryteria spełnia, informuje w zawartej z właścicielem e-sklepu umowie o powierzenie danych.

Dane osobowe przechowuje przede wszystkim hostingodawca, odpowiedzialny za umożliwienie dostępu do serwera i bazy danych. Niemniej jednak powierzenie danych osobowych często dotyczy również:

• usług marketingowych – podmiot jest odpowiedzialny m.in. za wysyłkę newslettera na adresy e-mail klientów,
• usług płatności internetowych – firmy realizujące tego typu usługi nierzadko pobierają dane z baz e-sklepu,
• usług dostawczych – przykładowo, w modelu tzw. dropshippingu, to nie sklep internetowy, lecz dostawca odpowiada za dostarczenie towaru.

By zapewnić danym osobowym klientów odpowiednie bezpieczeństwo, należy z każdym z takich podmiotów (o ile oczywiście nawiązywana jest z nim współpraca) zawrzeć umowę o powierzenie danych w zakresie ich przechowywania.

Wdrożenie wewnętrznej dokumentacji ochrony danych

Pod pojęciem wewnętrznej dokumentacji ochrony danych należy rozumieć: politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi (w zakresie związanym z ochroną danych osobowych).

Konieczność wdrożenia takiej dokumentacji narzuca ustawa o ochronie danych osobowych. Treść tych dokumentów jest ściśle uregulowana przez rozporządzenie wykonawcze i – nawet jeśli wydaje się ona absurdalna – należy się do niej dostosować.

Co jeszcze warto wiedzieć?

Właściciele większych, zatrudniających wielu pracowników, sklepów internetowych powinni również zadbać o wdrożenie odpowiednich procedur dotyczących przetwarzania danych osobowych. Chodzi tutaj o to, aby te procedury – szczegółowo opisane w dokumentacji wewnętrznej – były rzeczywiście stosowane. Będzie wymagało to m.in. organizacji szkoleń dla pracowników czy nadania im odpowiednich upoważnień do przetwarzania danych.

Internetowy przedsiębiorca powinien pamiętać również o tym, że prawo wciąż się zmienia. Należy zatem być na bieżąco z tematyką ochrony danych osobowych. Jedna, dość istotna, zmiana w tym zakresie będzie miała miejsce jeszcze w tym roku – mowa tu o RODO. Rozporządzenie o ochronie danych osobowych (RODO) to unijny, wiążący akt prawny, który wszedł w życie 24 maja 2016 roku i zacznie obowiązywać od 25 maja br. Nowe przepisy dotyczą wszystkich podmiotów, które na terenie Unii Europejskiej przetwarzają dane w sposób zautomatyzowany.

Jak widać, obowiązków związanych z ochroną danych osobowych jest całkiem sporo. By uniknąć w przyszłości niepotrzebnego stresu i kłopotów, dobrze jest poświęcić im należytą uwagę jeszcze przed uruchomieniem  sklepu internetowego.