Klient e-sklepu musi mieć dostęp do danych

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) stanowi, że przetwarzane dane osobowe muszą być adekwatne do celu ich przetwarzania. W związku z tym jeżeli transakcja polega wyłącznie na dokonaniu przez klienta zakupu i wystawieniu rachunku, sklep może przetwarzać dane służące wyłącznie do tego celu, czyli imię i nazwisko, adres i ewentualnie NIP, jeśli ma być wystawiona faktura. Dodatkowo może to być również numer telefonu oraz adres e-mail.

Dokonując transakcji, klient ma zwykle możliwość rejestracji w celu np. ułatwienia i przyspieszenia ponownych zakupów. Wtedy może sam po zalogowaniu kontrolować swoje dane. W innym wypadku sklep powinien np. w regulaminie lub polityce prywatności określić sposób uzyskania informacji na temat przetwarzanych danych, np. poprzez wysłanie zapytania na wskazany adres e-mail. Właściciel sklepu, czyli tzw. administrator danych, ma obowiązek udzielić wyczerpującej informacji bez zbędnej zwłoki.

Właściciel sklepu powinien się zastanowić, czy dane klientów będą zbierane wyłącznie w celu realizacji zamówienia, czyli wystawienia rachunku, czy również w innym celu, np. rejestracji w sklepie dającej możliwość ponownego zalogowania lub w celach marketingowych. Jeżeli tylko w pierwszym przypadku, to zgodnie z art. 43 UODO przedsiębiorca nie musi zgłaszać takiego zbioru do rejestracji GIODO. Jeżeli jednak dane będą przetwarzane również w innym celu, powstanie obowiązek zgłoszenia ich do rejestracji w GIODO.

Taka wiadomość może zawierać dane umożliwiające identyfikację przedsiębiorcy oraz krótką informację, czego proponowana oferta może dotyczyć bez szczegółów mogących zawierać cechy informacji handlowej, np. konkretów asortymentu sklepu czy informacji o promocjach. Taki e-mail powinien się zakończyć prośbą o wyrażenie zgody na przesyłanie informacji handlowej. Wiadomość powinna być zwięzła, przejrzysta i w żaden sposób nie wprowadzać odbiorcy w błąd. Przesłanie oferty handlowej bez wcześniejszego uzyskania zgody jest traktowane jako naruszenie prawa - konsekwencją może być nałożenie grzywny w wysokości nawet 5 tys. zł na mocy art. 24 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (UŚUDE).

Powinien w pierwszej kolejności zwrócić szczególną uwagę na zabezpieczenia serwera, na którym te dane będą się znajdowały. Muszą one zabezpieczać przed dostępem do nich osób nieupoważnionych. Jeżeli przedsiębiorca zdecyduje się na hosting, musi pamiętać, że wtedy odpowiednie zabezpieczenia musi mu zagwarantować hostingodawca, z którym zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) należy podpisać umowę powierzenia przetwarzania danych. Dane osobowe podawane przez klientów powinny zostać również zabezpieczone podczas transmisji za pomocą narzędzia szyfrującego, np. protokołu SSL.

Należy pamiętać również o ochronie komputerów, z których nawiązywane będzie połączenie z bazą portalu/sklepu. Wymagane zabezpieczenia określone zostały w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jest to ważna rzecz, o której zapominają często właściciele firm internetowych. Pierwszym z takich środków organizacyjnych jest stworzenie (zgodnie z art. 8 UŚUDE) regulaminu świadczenia usług drogą elektroniczną, który powinien być dostępny dla każdego klienta i zawierać zapisy odpowiadające wymogom UODO i UŚUDE. W regulaminie powinny znajdować się m. in. zapisy dotyczące rodzaju i zakresu usług, warunki świadczenia usług, zawarcia i rozwiązania umowy oraz tryb postępowania reklamacyjnego. Kolejnymi środkami organizacyjnymi są wymagania określone w UODO, czyli m.in. stworzenie odpowiedniej dokumentacji opisującej sposób przetwarzania danych (polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), upoważnienia do przetwarzania danych dla osób, które będą miały do nich dostęp, oświadczenia o zachowaniu danych oraz sposobów ich zabezpieczeń w tajemnicy i inne procedury. Tak przygotowany sklep od strony technicznej i organizacyjnej możemy uznać za bezpieczny i zgodny z przepisami.

@RY1@i02/2011/053/i02.2011.053.130.004a.001.jpg@RY2@

Fot. Archiwum

Maria Lothamer, wiceprezes zarządu iSecure Sp.z o.o., firmy zajmującej się profesjonalnym doradztwem z zakresu ochrony danych osobowych

ROZMAWIAŁ ADAM MAKOSZ