Nie warto oszczędzać na ochronie danych

opublikowano: 21-02-2013, 00:00

Prawo na starcie: Konsekwencje wycieku danych osobowych klientów e-sklepu mogą być dotkliwe, szczególnie gdy firma dopiero raczkuje

Przed założeniem sklepu lub serwisu internetowego, którego działalność wymaga gromadzenia informacji o klientach, należy sprawdzić, jakie obowiązki nakłada na przedsiębiorców polskie prawo. Przestroga: za samo niezarejestrowanie bazy danych osobowych lub zaniedbania w jej administrowaniu grozi grzywna od 50 do 200 tys. zł, w szczególnych przypadkach nawet kara pozbawienia wolności do lat dwóch.

Pod szczególną ochroną

Przetwarzanie informacji o klientach podlega regułom ustawy o ochronie danych osobowych. Obejmuje takie operacje, jak zbieranie, utrwalanie, opracowywanie, zmienianie, udostępnianie czy usuwanie.

— Pod tym pojęciem kryje się również samo przechowywanie danych osobowych, co często wywołuje zdziwienie start-upowców, a jest wyjątkowo istotne. Mówimy w końcu o informacjach, które pozwalają zidentyfikować każdego z nas, od nazwiska, numerów identyfikacyjnych, jak PESEL, aż po poglądy polityczne. Uruchamiając biznes w sieci, należy się zatem upewnić, czy wykonywane przy okazji pracy czynności mogą już zostać uznane za przetwarzanie danych osobowych. Czasem lepiej wdrożyć wszystkie procedury profilaktycznie, niż narażać się na możliwość poniesienia sankcji administracyjnych lub karnych — zaznacza Marcin Monterial, aplikant radcowski z FilipiakBabicz Kancelaria Prawna.

A zacząć należy od zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Odbywa się to bezpłatnie, na urzędowym formularzu. Rejestr zbiorów jest udostępniany pod adresem egiodo.giodo.gov.pl — łatwo zatem można sprawdzić, jakie dane są przetwarzane, w jakim celu i kto jest ich administratorem. Rejestracji podlegają niemal wszystkie zbiory danych, poza wyjątkami określonymi w art. 43 Ustawy o ochronie danych osobowych.

— Najważniejszymi z punktu widzenia start-upowca zbiorami zwolnionymi z obowiązku zgłaszania do rejestracji są te, z których dane przetwarza się wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczościfinansowej oraz w związku z zatrudnieniem lub zlecaniem usług na podstawie umów cywilnoprawnych. Na przykład przedsiębiorcy prowadzący sklep internetowy i zatrudniający dwóch pracowników nie muszą zgłaszać do rejestracji zbioru danych pracowników, muszą natomiast zgłosić bazę danych klientów. Ale jeden administrator może być też zobowiązany do zgłoszenia kilku zbiorów danych — tłumaczy dr Patryk Filipiak, adwokat z FilipiakBabicz Kancelaria Prawna. Ustawa różnicuje również moment rozpoczęcia przetwarzania danych, w zależności od ich kategorii.

— Jeżeli nie są to dane sensytywne (szczególnie chronione, wskazane w art. 27 ustawy), przetwarzanie może rozpocząć się od razu po zgłoszeniu zbioru do rejestracji. Jeśli są — przetwarzanie można rozpocząć dopiero po zarejestrowaniu zbioru. Start-upowcy powinni o tym pamiętać, bo rejestracja zbioru trwa od kilku do kilkunastu tygodni — dodaje dr Patryk Filipiak.

Tylko za zgodą klienta

Prowadzenie sklepu lub serwisu internetowego z pewnością będzie wymagało rejestracji bazy danych oraz odpowiedniego administrowania nimi. Wynika to ze specyfiki działalności e-commerce — trudno dokonać obsługi zamówienia złożonego drogą elektroniczną bez uzyskania danych teleadresowych klienta. Sklep stanie się więc administratorem danych osobowych już w chwili złożenia zamówienia przez kupującego.

— W tym momencie użytkownik musi zaakceptować postanowienia regulaminu, zgodzić się na przetwarzanie danych osobowych, a czasem również ich gromadzenie w celach marketingowych. Jednak uzależnianie rejestracji od wyrażenia zgody na przetwarzanie danych osobowych do celów marketingowych jest niezgodne z prawem. Administratorzy często łączą akceptację regulaminu ze zgodą na przetwarzanie danych osobowych. Jest to jednak zupełnie inne działanie, na które musi zostać osobno wyrażona zgoda. Co więcej, zezwolenie na przetwarzanie danych osobowych nie może być domniemane. Użytkownik musi być w pełni świadomy swojej decyzji — wyjaśnia Rafał Stępniewski z RzetelnyRegulamin.pl.

Przedsiębiorca jest więc zobligowany do powiadomienia konsumenta o tym, kto będzie administrował przekazane dane osobowe (wymagane jest podanie nazwy i adresu firmy). W wyraźny sposób musi też poinformować go o możliwości wprowadzania zmian oraz całkowitego usunięcia wpisu z bazy, np. za pośrednictwem specjalnie przygotowanego linka lub wiadomości e-mail.

Procedury do wdrożenia

Konieczne będzie też zabezpieczenie baz danych tak, by osoby nieupoważnione nie miały do nich dostępu. — Przedsiębiorcy już na starcie muszą pomyśleć o odpowiednim zabezpieczeniu serwisów, choćby poprzez wykorzystanie szyfrowania danych, a także miejsc, w których są one archiwizowane (np. serwerowni). Konieczne jest też dokonanie selekcji pracowników, którzy mogą przetwarzać dane osobowe i nadanie im upoważnień do wykonywania takich operacji — tłumaczy Marcin Monterial.

Wymagane jest też opracowanie „polityki bezpieczeństwa”, czyli dokumentu opisującego reguły i procedury stosowane w celu ochrony danych. Wymagają tego zapisy rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dodatkowo, w przypadku przetwarzania danych w infrastrukturze IT, konieczne jest wdrożenie „instrukcji zarządzania systemem informatycznym”. Dokumenty te muszą powstać przed rozpoczęciem przetwarzania danych osobowych i być prowadzone w formie pisemnej.

— „Polityka bezpieczeństwa” musi zawierać wykaz budynków i pomieszczeń, w których dane osobowe są przetwarzane, wykaz zbiorów danych osobowych, opis ich struktur, a także listę instrumentów technicznych i organizacyjnych, które zapewnią poufność przetwarzanych danych. „Instrukcja zarządzania systemem informatycznym” natomiast powinna określać przynajmniej procedury nadawania uprawień do przetwarzania danych osobowych, tworzenia kopii zapasowych zbiorów danych, miejsce i sposób przechowywania takich kopii, a także procedury wykonywania przeglądów i konserwacji systemów, w których dane są przetwarzane — wylicza Marcin Monterial.

Procedury w audycie

Katalog zagadnień, które administrator danych musi opracować, jest dość szeroki, dlatego przygotowanie wymaganej dokumentacji nastręcza przedsiębiorcom wielu trudności.

— Dodatkowo start-upowcy mają dość ograniczony budżet, co nierzadko prowadzi do obniżania kosztów właśnie w obszarach związanych z ochroną danych osobowych. Dane osobowe przechowywane bywają w segregatorach znajdujących się w łatwo dostępnych miejscach, np. sekretariatach, co zwiększa ryzyko pozyskania danych osobowych przez osoby trzecie — zauważa Marcin Monterial.

Ale ustawa dopuszcza możliwość powołania tzw. administratora bezpieczeństwa informacji, który ma nadzorować, czy w przedsiębiorstwie wdrożono wszystkie procedury i czy są one należycie przestrzegane.

— Powołanie administratora nie jest konieczne na początku, kiedy firma dopiero się kształtuje, jednak wraz ze zwiększaniem się ilości osób mających dostęp do danych osobowych jego obecność może być wskazana. Alternatywą dla tworzenia osobnego stanowiska jest zlecanie wykonywania okresowych audytów wyspecjalizowanym podmiotom, co pozwala obniżyć koszty, a przy okazji daje gwarancję należytego przestrzegania prawa — podpowiada dr Patryk Filipiak.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Anna Bełcik

Polecane

Inspiracje Pulsu Biznesu