Coraz popularniejszą formą prowadzenia działalności związanej ze sprzedażą jest sprzedaż przez internet z wykorzystaniem sklepów internetowych. Jest to dużo wygodniejsza, a przede wszystkim tańsza forma prowadzenia działalności niż tradycyjna - ale czy bezpieczniejsza? Takie pytanie zadaje sobie jeszcze większość tradycjonalistów.

Prowadząc sklep internetowy, powinniśmy dopełnić wszelkich starań, aby zabezpieczyć dane osobowe naszych klientów. Pierwszą rzeczą, na którą należy zwrócić szczególną uwagę, to odpowiednie zabezpieczenie serwera, na którym będą się znajdowały dane osobowe naszych klientów, przed dostępem do nich osób nieupoważnionych. Jeżeli zdecydujemy się na hosting, musimy pamiętać, że wtedy odpowiednie zabezpieczenia musi nam zagwarantować hostingodawca, z którym zgodnie z Art. 31 UODO musimy podpisać umowę powierzenia przetwarzania danych.

Przy tworzeniu naszego sklepu pamiętajmy, że nasi klienci będą nam przekazywali swoje dane osobowe (do realizacji zakupu lub podczas logowania), a jednym z naszych zadań jest ich zabezpieczenie podczas transmisji. Dobrym rozwiązaniem jest skorzystanie z narzędzia szyfrującego, np. protokołu SSL.

Każdy sklep internetowy powinien posiadać zgodnie z Art. 8 UŚUDE regulamin świadczenia usług drogą elektroniczną, który powinien być dostępny dla każdego klienta. W regulaminie tym powinny się znajdować m.in. zapisy dotyczące rodzaju i zakresu usług, warunki świadczenia usług, zawarcia i rozwiązania umowy oraz tryb postępowania reklamacyjnego.

Zgodnie z UODO każdy podmiot, który przetwarza dane osobowe osób fizycznych, zobowiązany jest również do podjęcia odpowiednich środków nie tylko technicznych, ale również organizacyjnych, czyli stworzyć odpowiednią dokumentację opisującą sposób przetwarzania danych (Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), upoważnić do przetwarzania danych wszystkie osoby, które będą posiadały do nich dostęp, zobowiązać je do zachowania tych danych oraz sposobów ich zabezpieczenia w tajemnicy oraz prowadzić ewidencję takich osób i na bieżąco ją aktualizować.

Tak przygotowany sklep od strony technicznej i organizacyjnej możemy uznać za bezpieczny i zgodny z przepisami UODO oraz UŚUDE, ale żeby móc rozpocząć sprzedaż, musimy się zastanowić nad bardzo ważną kwestią – czy dane będą zbierane wyłącznie w celu realizacji zamówienia, czyli wystawienia faktury, czy również w innym celu (np. rejestracji w sklepie dającej możliwość ponownego zalogowania). Jeżeli tylko w pierwszym przypadku, to zgodnie z Art. 43 UODO nie musimy zgłaszać takiego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Jeżeli jednak również w innym celu będziemy te dane przetwarzać, zobowiązani jesteśmy przed rozpoczęciem przetwarzania tych danych zgłosić GIODO taki zbiór do rejestracji.

Aby zgłosić zbiór, korzystamy z wzoru wniosku zamieszczonego na stronie egiodo.giodo.gov.pl. Pamiętajmy, że zbiorem danych nie będzie baza sklepu internetowego, tylko każdy zestaw posiadający określoną strukturę, dostępny według określonych kryteriów, oddzielnie. Czyli np. właściciel sklepu internetowego może być administratorem takich zbiorów, jak np. klienci sklepu, reklamacje, marketing, newsletter, program lojalnościowy itp. i każdy z nich oddzielnie powinien zostać zgłoszony do rejestracji. We wniosku zostaniemy zapytani o podstawę prawną upoważniającą do przetwarzania danych i w przypadku takich zbiorów, jak marketing, newsletter czy program lojalnościowy, podstawą do ich przetwarzania będzie wyrażenie zgody przez osoby, których dane znajdują się w poszczególnych zbiorach.

Taką zgodę musimy zebrać przed rozpoczęciem przetwarzania tych danych w powyższych celach, więc od razu warto dodać do formularza, za pomocą którego te dane będą pozyskiwane, odpowiednią klauzulę. Klauzula taka powinna zawierać informację, kto będzie administratorem danych (dokładna nazwa i adres siedziby właściciela sklepu), cel, w jakim dane będą przetwarzane, informację o prawie dostępu do treści podanych danych i możliwości ich poprawiania oraz informację o tym, że podanie danych jest dobrowolne. Pamiętajmy jednak, że jeżeli osoba, której dane przetwarzamy, odwoła wcześniej wyrażoną zgodę (np. na przetwarzanie danych w celach marketingowych), musimy to nie tylko uszanować, ale mamy obowiązek zaprzestania dalszego przetwarzania tych danych w określonym celu.

Po takim przygotowaniu naszego sklepu, możemy rozpocząć działalność, pamiętając, że musimy dbać o to, by w przypadku jakiejkolwiek zmiany mającej wpływ na przetwarzany zbiór danych dokonać weryfikacji i ewentualnej aktualizacji wdrożonych środków technicznych oraz organizacyjnych.

Autorką artykułu jest Maria Lothamer, wiceprezes zarządu iSecure Sp.z o.o., firmy zajmującej się profesjonalnym doradztwem z zakresu ochrony danych osobowych, wsparciem dla e-biznesu, doradztwem dla operatorów telekomunikacyjnych i pocztowych w zakresie planów działań w sytuacjach szczególnych zagrożeń, a także działalnością szkoleniową.