Obowiązki właściciela sklepu internetowego w zakresie ochrony danych osobowych
Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nakładają na podmioty przetwarzające dane osobowe, w tym na przedsiębiorców prowadzących sklepy internetowe, szereg obowiązków związanych z ochroną tych danych.
1. Przede wszystkim, na administratorze danych osobowych, a więc na właścicielu sklepu internetowego, ciąży obowiązek zgłoszenia prowadzonego zbioru danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych. Zgłoszenia można dokonać, składając wypełniony formularz, stanowiący załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Istnieje również możliwość wypełnienia wniosku online za pośrednictwem platformy e-Giodo i opatrzenia go bezpiecznym podpisem elektronicznym lub wydrukowania takiego wniosku i złożenia go w tradycyjnej formie.
Formularz w formie pisemnej powinien być złożony pod adresem:
Biuro Generalnego Inspektora Ochrony Danych Osobowych ul. Stawki 2 00-193 Warszawa
2. Obowiązkiem administratora danych jest również przygotowanie w formie pisemnej 2 dokumentów:
Polityki bezpieczeństwa informacji,
Instrukcji zarządzania systemem informatycznym.
Wymagania odnośnie treści powyższych dokumentów określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanego dalej Rozporządzeniem. Polityka bezpieczeństwa informacji zawierać powinna w szczególności:
– wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
– wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
– opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
– sposób przepływu danych pomiędzy poszczególnymi systemami,
– określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,
– informacje o jednostce,
– orzeczenia sądów.
Instrukcja zarządzania systemem informatycznym, zawierać powinna w szczególności:
– procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
– stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
– procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
– procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
– sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych, zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
– sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do Rozporządzenia, tj. oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
– sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia, zgodnie z którym dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie), system ten zapewniać ma odnotowanie informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
– procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
3. Administrator danych osobowych, którym jest właściciel sklepu internetowego, zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
4. Przepisy przewidują obowiązek ustanowienia tzw. administratora bezpieczeństwa informacji, który winien nadzorować przestrzeganie zasad ochrony, wskazanych w pkt 3 niniejszej porady. Nie ma potrzeby powoływania administratora bezpieczeństwa informacji w przypadku, gdy powyższe obowiązki wypełnia sam administrator danych.
Z dniem 1 stycznia 2015 r. wejdą w życie przepisy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która zawiera m.in. nowelizację przepisów ustawy o ochronie danych osobowych. Zgodnie z nowymi regulacjami, do zadań administratora bezpieczeństwa informacji należeć będzie:
1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
– sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
– nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych (dokumentację opisującą sposób przetwarzania danych oraz środki ochrony przetwarzanych danych), oraz przestrzegania zasad w niej określonych,
– zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
Administratorem bezpieczeństwa informacji będzie mogła zostać osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.
W przypadku niepowołania administratora bezpieczeństwa informacji zadania w zakresie sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych (dokumentacja opisująca sposób przetwarzania danych oraz środki ochrony przetwarzanych danych) oraz przestrzegania zasad w niej określonych, a także zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, wykonywać będzie administrator danych.
5. Administratorzy danych osobowych zobowiązani są również do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ewidencja powinna zawierać: imię i nazwisko osoby upoważnionej oraz datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator (dostęp do danych przetwarzanych w systemie informatycznym powinien być możliwy dopiero po wprowadzeniu identyfikatora, przypisanego do danej osoby).
Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia.
6. Właścicieli sklepów internetowych obciążają również obowiązki związane z zachowaniem środków bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Z uwagi na fakt, iż urządzenia systemu informatycznego, służące do przetwarzania danych osobowych klientów sklepów internetowych, połączone są z siecią publiczną, właściciele sklepów zobowiązani są do stosowania środków bezpieczeństwa na poziomie wysokim, określonych w części C załącznika do Rozporządzenia.
Nadto, konieczne jest stosowanie na poziomie wysokim wymogów, określonych dla środków bezpieczeństwa na poziomie podstawowym i podwyższonym, o ile zasady ustanowione dla ochrony na poziomie wysokim nie stanowią inaczej.
Agnieszka Przybylska Prawnik Kancelarii NK Legal
]]>