Blog Koksztys
Obowiązki właściciela sklepu internetowego w zakresie ochrony danych osobowych

Obowiązki właściciela sklepu internetowego w zakresie ochrony danych osobowych

Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nakładają na podmioty przetwarzające dane osobowe, w tym na przedsiębiorców prowadzących sklepy internetowe, szereg obowiązków związanych z ochroną tych danych.

1. Przede wszystkim, na administratorze danych osobowych, a więc na właścicielu sklepu internetowego, ciąży obowiązek zgłoszenia prowadzonego zbioru danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych. Zgłoszenia można dokonać, składając wypełniony formularz, stanowiący załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Istnieje również możliwość wypełnienia wniosku online za pośrednictwem platformy e-Giodo i opatrzenia go bezpiecznym podpisem elektronicznym lub wydrukowania takiego wniosku i złożenia go w tradycyjnej formie.

Formularz w formie pisemnej powinien być złożony pod adresem:

Biuro Generalnego Inspektora Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa

2. Obowiązkiem administratora danych jest również przygotowanie w formie pisemnej 2 dokumentów:

Polityki bezpieczeństwa informacji,

Instrukcji zarządzania systemem informatycznym.

Wymagania odnośnie treści powyższych dokumentów określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanego dalej Rozporządzeniem. Polityka bezpieczeństwa informacji zawierać powinna w szczególności:

– wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

– wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

– opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,

– sposób przepływu danych pomiędzy poszczególnymi systemami,

– określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,

 – informacje o jednostce,

– orzeczenia sądów.

 Instrukcja zarządzania systemem informatycznym, zawierać powinna w szczególności:

– procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,

– stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

– procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,

– procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

– sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych, zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

– sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do Rozporządzenia, tj. oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,

– sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia, zgodnie z którym dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie), system ten zapewniać ma odnotowanie informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,

– procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

 3. Administrator danych osobowych, którym jest właściciel sklepu internetowego, zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

 4. Przepisy przewidują obowiązek ustanowienia tzw. administratora bezpieczeństwa informacji, który winien nadzorować przestrzeganie zasad ochrony, wskazanych w pkt 3 niniejszej porady. Nie ma potrzeby powoływania administratora bezpieczeństwa informacji w przypadku, gdy powyższe obowiązki wypełnia sam administrator danych.

 Z dniem 1 stycznia 2015 r. wejdą w życie przepisy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która zawiera m.in. nowelizację przepisów ustawy o ochronie danych osobowych. Zgodnie z nowymi regulacjami, do zadań administratora bezpieczeństwa informacji należeć będzie:

1.  zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

– sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

– nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych (dokumentację opisującą sposób przetwarzania danych  oraz środki ochrony przetwarzanych danych), oraz przestrzegania zasad w niej określonych,

– zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2.  prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

 Administratorem bezpieczeństwa informacji będzie mogła zostać osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo.

 W przypadku niepowołania administratora bezpieczeństwa informacji zadania w zakresie sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych (dokumentacja opisująca sposób przetwarzania danych  oraz środki ochrony przetwarzanych danych) oraz przestrzegania zasad w niej określonych, a także zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, wykonywać będzie administrator danych.

 5. Administratorzy danych osobowych zobowiązani są również do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ewidencja powinna zawierać: imię i nazwisko osoby upoważnionej oraz datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator (dostęp do danych przetwarzanych w systemie informatycznym powinien być możliwy dopiero po wprowadzeniu identyfikatora, przypisanego do danej osoby).

Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia.

 6. Właścicieli sklepów internetowych obciążają również obowiązki związane z zachowaniem środków bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Z uwagi na fakt, iż urządzenia systemu informatycznego, służące do przetwarzania danych osobowych klientów sklepów internetowych, połączone są z siecią publiczną, właściciele sklepów zobowiązani są  do stosowania środków bezpieczeństwa na poziomie wysokim, określonych w części C załącznika do Rozporządzenia.

Nadto, konieczne jest stosowanie na poziomie wysokim wymogów, określonych dla środków bezpieczeństwa na poziomie podstawowym i podwyższonym, o ile zasady ustanowione dla ochrony na poziomie wysokim nie stanowią inaczej.

Agnieszka Przybylska
Prawnik Kancelarii Koksztys

Powrót

Kalendarium

Rok 2017

Rok 2016

Rok 2015

Rok 2014

Rok 2013

Rok 2012