Blog Koksztys
Obowiązki właściciela sklepu internetowego w zakresie ochrony danych osobowych

Obowiązki właściciela sklepu internetowego w zakresie ochrony danych osobowych

Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nakładają na podmioty przetwarzające dane osobowe, w tym na przedsiębiorców prowadzących sklepy internetowe, szereg obowiązków związanych z ochroną tych danych.

1. Przede wszystkim, na administratorze danych osobowych, a więc na właścicielu sklepu internetowego, ciąży obowiązek zgłoszenia prowadzonego zbioru danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych. Zgłoszenia można dokonać, składając wypełniony formularz, stanowiący załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Istnieje również możliwość wypełnienia wniosku online za pośrednictwem platformy e-Giodo i opatrzenia go bezpiecznym podpisem elektronicznym lub wydrukowania takiego wniosku i złożenia go w tradycyjnej formie.

Formularz w formie pisemnej powinien być złożony pod adresem:

Biuro Generalnego Inspektora Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa

2. Obowiązkiem administratora danych jest również przygotowanie w formie pisemnej 2 dokumentów:

Polityki bezpieczeństwa informacji,

Instrukcji zarządzania systemem informatycznym.

Wymagania odnośnie treści powyższych dokumentów określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanego dalej Rozporządzeniem. Polityka bezpieczeństwa informacji zawierać powinna w szczególności:

– wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

– wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

– opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,

– sposób przepływu danych pomiędzy poszczególnymi systemami,

– określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych,

 – informacje o jednostce,

– orzeczenia sądów.

 Instrukcja zarządzania systemem informatycznym, zawierać powinna w szczególności:

– procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,

– stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

– procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,

– procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

– sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych, zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

– sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do Rozporządzenia, tj. oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,

– sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia, zgodnie z którym dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie), system ten zapewniać ma odnotowanie informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,

– procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

 3. Administrator danych osobowych, którym jest właściciel sklepu internetowego, zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

 4. Przepisy przewidują obowiązek ustanowienia tzw. administratora bezpieczeństwa informacji, który winien nadzorować przestrzeganie zasad ochrony, wskazanych w pkt 3 niniejszej porady. Nie ma potrzeby powoływania administratora bezpieczeństwa informacji w przypadku, gdy powyższe obowiązki wypełnia sam administrator danych.

 Z dniem 1 stycznia 2015 r. wejdą w życie przepisy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która zawiera m.in. nowelizację przepisów ustawy o ochronie danych osobowych. Zgodnie z nowymi regulacjami, do zadań administratora bezpieczeństwa informacji należeć będzie:

1.  zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

– sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

– nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych (dokumentację opisującą sposób przetwarzania danych  oraz środki ochrony przetwarzanych danych), oraz przestrzegania zasad w niej określonych,

– zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2.  prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

 Administratorem bezpieczeństwa informacji będzie mogła zostać osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo.

 W przypadku niepowołania administratora bezpieczeństwa informacji zadania w zakresie sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych (dokumentacja opisująca sposób przetwarzania danych  oraz środki ochrony przetwarzanych danych) oraz przestrzegania zasad w niej określonych, a także zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, wykonywać będzie administrator danych.

 5. Administratorzy danych osobowych zobowiązani są również do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ewidencja powinna zawierać: imię i nazwisko osoby upoważnionej oraz datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, a także identyfikator (dostęp do danych przetwarzanych w systemie informatycznym powinien być możliwy dopiero po wprowadzeniu identyfikatora, przypisanego do danej osoby).

Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia.

 6. Właścicieli sklepów internetowych obciążają również obowiązki związane z zachowaniem środków bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Z uwagi na fakt, iż urządzenia systemu informatycznego, służące do przetwarzania danych osobowych klientów sklepów internetowych, połączone są z siecią publiczną, właściciele sklepów zobowiązani są  do stosowania środków bezpieczeństwa na poziomie wysokim, określonych w części C załącznika do Rozporządzenia.

Nadto, konieczne jest stosowanie na poziomie wysokim wymogów, określonych dla środków bezpieczeństwa na poziomie podstawowym i podwyższonym, o ile zasady ustanowione dla ochrony na poziomie wysokim nie stanowią inaczej.

Agnieszka Przybylska
Prawnik Kancelarii Koksztys

Powrót

Kalendarium

Rok 2018

Rok 2017

Rok 2016

Rok 2015

Rok 2014

Rok 2013

Rok 2012