Prowadzenie sklepu internetowego, czy serwisu internetowego jest  coraz popularniejszą formą prowadzenia handlowej działalności gospodarczej.  Jest to odpowiedź na zapotrzebowanie rynku, który z chęcią korzysta z technologii informacyjnych i komunikacyjnych. Te nowoczesne formy działalności wymagają jednak od przedsiębiorcy spełnienia pewnych obowiązków do których można zaliczyć te związane z danymi osobowymi i Głównym Inspektorem Ochrony Danych Osobowych (GIODO).

Kim jest Generalny Inspektor Ochrony Danych Osobowych i czym się zajmuje?

Główny Inspektor Ochrony Danych Osobowych jest organem państwowym, którego nadrzędnym celem, jak sama nazwa wskazuje, jest ochrona danych osobowych, prowadzeniem odpowiedniej polityki dotyczącej ochrony danych osobowych oraz przeciwdziałanie jakimkolwiek uchybieniom związanym tą ochroną. Wybierany na czteroletnią kadencję, ma za zadanie, przede wszystkim: kontrolować zgodność przetwarzania danych z przepisami o ochronie danych osobowych, wydawać decyzje administracyjne i rozpatrywać skargi w sprawach wykonania przepisów o ochronie danych osobowych. Innym ważnym zadaniem GIODO jest prowadzenie rejestru zbiorów danych osobowych oraz udzielanie informacji o zarejestrowanych zbiorach.

Zobacz także: Podstawowe pojęcia w zakresie ochrony danych osobowych

Jakie ma obowiązki sklepu lub serwis internetowy wobec GIODO?

Obie formy prowadzenia działalności gospodarczej są mocno związane z przetwarzaniem (czyli np. zbieraniem, utrwalaniem, archiwizowaniem itp.) danych osobowych.

Sklep internetowy z reguły przetwarza dane osobowe swoich klientów, które wykorzystuje potem do wysyłania indywidualnych ofert, zawiadamiania o realizacji zamówienia, czy też informacji o zmianach regulaminu używanego przez sklep. Z kolei serwisy internetowe, z zależności od swojego profilu przetwarzają dane osobowe w celu wysyłania newsleterów, informowaniu o nowych treściach czy możliwościach oferowanych przez serwis.

Ze względu na to zarówno sklep, jak i serwis mają w obowiązku zawiadomić Głównego Inspektora Ochrony Danych Osobowych o posiadanym przez siebie zbiorze danych osobowych.

Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 (Dz.U. 1997 Nr 133 poz. 883 z późniejszymi zmianami), w art. 6 stanowi, że dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a takie dane z reguły posiadają sklepy czy serwisy internetowe (imion i nazwiska, adresy, adresy poczty elektronicznej, nicki itp.) co sprawia, że są one zaliczane do katalogu danych osobowych.

Gdy zostanie dopełniony obowiązek zgłoszenia zbioru danych do GIODO, wówczas należy również dopilnować kilku innych rygorów ustawowych, by nie narazić się na sankcje prawne ze strony Inspektora. Jest to przede wszystkim odpowiednie zabezpieczenie, jak również ochrona posiadanych przez sklep lub serwis zbiorów. Ochrona polega przede wszystkim na zabezpieczeniu danych przed ingerencją niepowołanych do tego osób, które mogły by spowodować utratę lub nielegalne przywłaszczenie posiadanego zbioru.

Polityka bezpieczeństwa jako ochrona danych osobowych

Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024),, administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa.

Polityka bezpieczeństwa jest to zbiór reguł, które pomagają zarządzać, chronić i dystrybuować dane osobowe. Za główny cel polityki bezpieczeństwa uważa się ustanowienie reguł i zasad postępowania, które należy stosować, by w sposób właściwy wykonywać obowiązki administratora danych osobowych. Główne elementy, jakie powinna zawierać polityka bezpieczeństwa: definicja, cel i zakres bezpieczeństwa informacji; krótkie wyjaśnienie intencji oraz polityki bezpieczeństwa, to znaczy zasad i standardów, takich jak wykrywanie złośliwego oprogramowania czy konsekwencji naruszenia polityki bezpieczeństwa; wykaz pomieszczeń w których są przetwarzane dane, wykaz posiadanych zbiorów danych osobowych itp.

Instrukcja Zarządzania Systemem Informatycznym

Instrukcja Zarządzania Systemem Informatycznym to zbiór reguł i zasad odnoszący się do zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W instrukcji znajdują się takie informacje jak: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osób odpowiedzialnych za te czynności, metody i środki ich uwierzytelniania, wszelkie procedury rozpoczynania i kończenia ich pracy, sposób przechowywania nośników informacji czy zabezpieczania systemów informatycznych.

Sankcje za niedopełnienie obowiązków wobec GIODO

Przytaczana wcześniej ustawa o ochronie danych osobowych wprowadza sankcje prawne za niedopełnienie obowiązków wobec GIODO stanowiąc, że osoby, które mają w obowiązku zgłosić zbiór danych do rejestracji a nie czynią tego podlegają karze grzywny, ograniczenia wolności albo nawet pozbawienia wolności do roku.

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?