E-commerce: chroń dane osobowe swoich klientów

Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu czy serwisu internetowego, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też odpowiedniego zabezpieczenia i zarządzania bazą. Mogliśmy się w ostatnim czasie kilkakrotnie przekonać, jakie są konsekwencje wycieku wrażliwych danych z baz dużych firm. Miało to negatywny wpływ zarówno na ich wizerunek, jak również wiązało się z karami finansowymi. W Polsce kary za błędy bądź niedopatrzenia mogą być bardzo wysokie.  Najsurowsze to 200 tysięcy złotych, a nawet pozbawienie wolności do lat 2.

Obecnie obowiązujące w Polsce przepisy w zakresie ochrony danych osobowych są bardzo restrykcyjne. W przypadku wykrycia naruszeń prawa w tym zakresie, odpowiedzialność spoczywa nie tylko na firmie, ale też na pracowniku odpowiedzialnym za zarządzanie takim zbiorem – administratorze danych osobowych. – Pieczę nad danymi osobowymi w Polsce sprawuje Generalny Inspektor Ochrony Danych Osobowych (GIODO), który jest odpowiedzialny m.in. za ewidencję baz danych oraz kontrolę administrowania nimi. GIODO może nakazać firmie konkretne działanie w przypadku wykrycia naruszeń, a nawet skierować sprawę do sądu. Za niezarejestrowanie zbioru danych osobowych lub niewłaściwe nim administrowanie, można otrzymać grzywnę w wysokości od 50 do 200 tysięcy złotych, a w szczególnych przypadkach nawet karę pozbawienia wolności do lat dwóch – tłumaczy Rafał Stępniewski, ekspert z RzetelnyRegulamin.pl.

Kiedy trzeba rejestrować zbiory danych osobowych?

Przedsiębiorca musi zgłosić wszystkie zbiory danych osobowych, których wykorzystanie wykracza poza załatwianie drobnych spraw z życia codziennego. Ta ogólna definicja dotyczy sytuacji, w której wykorzystujemy bazę jedynie w codziennych obowiązkach i kontaktach służbowych. W przypadku wykorzystania jej do innych celów np. marketingowo-handlowych, należy zarejestrować bazę w GIODO. Wyjątki od konieczności takiego zgłoszenia opisane są szczegółowo w ustawie o ochronie danych osobowych, w artykule 43.

Obowiązki administratora danych osobowych

W przypadku sklepów i serwisów internetowych, obowiązek rejestracji bazy danych oraz odpowiednie administrowanie nią wynika już z samego charakteru prowadzonej działalności tj.  handlu, obsługi zamówień, a także prowadzenia działań marketingowych. Już w momencie składania zamówienia przez kupującego, nadawany jest mu numer rejestracyjny, a sklep staje się administratorem jego danych osobowych. – W tym momencie użytkownik musi zaakceptować postanowienia regulaminu, zgodzić się na przetwarzanie danych osobowych, a czasem również ich gromadzenie w celach marketingowych. Jednak uzależnianie rejestracji od wyrażenia zgody na przetwarzanie danych osobowych do celów marketingowych, jest niezgodne z prawem. Administratorzy często łączą akceptację regulaminu ze zgodą na przetwarzanie danych osobowych. Jest to jednak zupełnie inne działanie, na które musi zostać osobno wyrażona zgoda. Co więcej, zezwolenie na przetwarzanie danych osobowych nie może być domniemane. Użytkownik musi być w pełni świadomy swojej decyzji – wyjaśnia Rafał Stępniewski z RzetelnyRegulamin.pl. Sklep lub serwis zobowiązany jest do poinformowania, kto jest administratorem danych, podając pełną nazwę firmy oraz jej dokładny adres. Należy też dołączyć informację o możliwości wprowadzania zmian oraz całkowitego usunięcia takiego wpisu z bazy. Można to zrobić np. poprzez kliknięcie w specjalnie przygotowany link lub za pośrednictwem wiadomości e-mail, z prośbą o rezygnację z subskrypcji lub zaprzestanie wykorzystywania danych osobowych. Na życzenie użytkownika powinny zostać udostępnione informacje o tym, w jaki sposób firma weszła w posiadanie danych osobowych użytkownika, od kiedy nimi dysponuje oraz kto i kiedy je modyfikował.

Dbaj o powierzone dane

Firma gromadząca i przetwarzająca informacje teleadresowe, oprócz obowiązku zgłoszenia bazy, musi ją odpowiednio zabezpieczyć. Wynika to także z zapisów ustawy. Konieczne jest stworzenie tzw. polityki bezpieczeństwa, czyli dokumentu opisującego reguły, procedury oraz procesy stosowane w celu ochrony danych wrażliwych. W celu spełnienia wymogu, z rozporządzenia MSWiA w zakresie ochrony danych osobowych, należy stosować szyfrowanie SSL w formularzach, za pośrednictwem których przesyłane są dane osobowe. Ta metoda jest obecnie już standardem, a jej użycie wpływa pozytywnie na wizerunek stosującej ją firmy. Zwiększa to dodatkowo zaufanie klientów.

Dane osobowe to obecnie bardzo wrażliwa kwestia, także w przypadku prowadzenia sklepu lub serwisu internetowego. Coraz większa świadomość internautów w kwestii ochrony swoich danych powoduje, że przy dokonywaniu zakupów w sieci i rejestrowaniu się w serwisach, zwracają uwagę na kwestie zabezpieczeń takich danych. Nie można więc tej kwestii bagatelizować. Nieświadomość lub celowe niestosowanie się do wymogów prawnych, może wiązać się nie tylko z utratą bardziej świadomych klientów, ale również z innymi poważnymi konsekwencjami.