Zapewnienie bezpieczeństwa danym osobowym to obowiązek każdego przedsiębiorcy. Dane przetwarzane w Internecie wymagają szczególnej ochrony, dla tego zwłaszcza e-przedsiębiorcy powinni dbać o wysoki poziom bezpieczeństwa danych swoich kontrahentów, klientów, a także pracowników.
Szereg obowiązków nakładanych na przedsiębiorców w tej kwestii wynika z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz aktów wykonawczych.
Potrzebne pojęcia:
Przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych
- art. 7 pkt 2 ustawy z dnia 29 sierpnia o ochronie danych osobowych
Administrator danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych
- art. 7 pkt 4 ustawy z dnia 29 sierpnia o ochronie danych osobowych
W związku z przetwarzaniem danych osobowych na każdym przedsiębiorcy, jako na administratorze danych osobowych, spoczywają liczne obowiązki.
Posiadanie odpowiedniej dokumentacji
Każdy przedsiębiorca ma obowiązek opracowania i wdrożenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, na którą składają się:
-
Polityka bezpieczeństwa,
-
Instrukcja zarządzania systemem informatycznym.
Polityka bezpieczeństwa zawiera w szczególności:
-
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
-
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
-
opis struktury zbiorów danych i powiązań między nimi,
-
sposób przepływu danych pomiędzy poszczególnymi systemami,
-
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja zarządzania systemem informatycznym powinna opisywać w szczególności:
-
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
-
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
-
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
-
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
-
sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
-
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
-
procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Szukasz gotowych rozwiązań? Sprawdź:
Wzór kompletnej dokumentacji: https://www.e-regulaminy.pl/dla-sklepow/wzor-polityki-bezpieczenstwa-sklepu-internetowego/
Dokumentacja sporządzona wedle indywidualnych potrzeb: https://www.e-regulaminy.pl/dla-sklepow/polityka-bezpieczenstwa-sklepu-internetowego/
Umowa powierzenia
Każdy e-przedsiębiorca ma obowiązek zawarcia stosownej umowy w przypadku, gdy powierza dane osobowe innemu podmiotowi w celu przetwarzania ich na swoją rzecz i w swoim imieniu.
Z powierzeniem będziemy zatem mieli najczęściej do czynienia w przypadku korzystania z usług:
-
hostingodawcy,
-
zewnętrznego biura rachunkowego,
-
firmy obsługującej mailing czy newsletter.
Należy zaznaczyć, że powierzenie danych osobowych jest możliwe i nie będzie naruszać przepisów o ochronie danych osobowych tylko wtedy, gdy nastąpi w drodze umowy zawartej na piśmie.
Czytaj więcej -----> https://www.e-regulaminy.pl/biuletyn/umowa-powierzenia/
Rejestracja zbiorów danych osobowych
Przydatne pojęcie:
Zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie
- art. 7 pkt 1 ustawy z dnia 29 sierpnia o ochronie danych osobowych
Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych. Dotyczy właściwie wszystkich przedsiębiorców, a ewentualne wyłączenia zawarte są w art. 43 ust. 1 i 1a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jedno z takich wyłączeń dotyczy danych przetwarzanych w związku z zatrudnieniem, a więc nie istnieje obowiązek rejestracji zbioru danych pracowników. Z takiego obowiązku także zatem zwolniony przedsiębiorca, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji. Zwolnienie to nie będzie obejmowało przypadku rejestracji zbioru tzw. danych wrażliwych.
Jedne z najczęściej spotykanych zbiorów danych osobowych, zwłaszcza w branży e-commerce, dotyczą:
-
klientów,
-
klientów, którzy zgłosili reklamację,
-
osób, które zapisały się na newsletter,
-
osób, które skorzystały z formularzy kontaktowych dostępnych na stronie.
Szukasz gotowych rozwiązań? Sprawdź:
Instrukcja zgłoszenia zbiorów w rejestrze GIODO: https://www.e-regulaminy.pl/dane-osobowe/instrukcja-zg%C5%82oszenia-do-GIODO/
Zgłoszenie zbiorów do rejestru GIODO: https://www.e-regulaminy.pl/dane-osobowe/zgloszenie-zbioru-do-GIODO/
Zgłoszenie powołania i odwołania ABI
Obowiązek ten zaistnieje oczywiście jedynie wówczas, gdy przedsiębiorca zdecyduje się na powołanie administratora bezpieczeństwa informacji. Każdy przedsiębiorca będący administratorem danych osobowych ma do tego prawo. Do administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych w danym przedsiębiorstwie w szczególności poprzez:
-
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
-
nadzorowanie opracowania i aktualizowania dokumentacji (Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym) oraz przestrzegania zasad w niej określonych,
-
zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych (pracowników) z przepisami o ochronie danych osobowych.
Na administratorze bezpieczeństwa informacji, potocznie zwanym ABIm spoczywa także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, wobec czego jeżeli zdecydujemy się na jego powołanie, nie mamy obowiązku zgłaszać GIODO do rejestracji zbiorów danych "zwykłych".
Odpowiednie informowanie osób, których dane są przetwarzane
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę w szczególności o:
-
adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
-
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
-
prawie dostępu do treści swoich danych oraz ich poprawiania,
-
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Pola informacyjne powinny znaleźć się w odpowiednich miejscach strony internetowej, np. w obszarze pola aktywacyjnego usługi newsletter. W wypełnieniu tego obowiązku może ponadto pomóc odpowiednio skonstruowana Polityka prywatności.
Szukasz gotowych rozwiązań? Sprawdź:
Polityka prywatności i plików cookies: https://www.e-regulaminy.pl/dla-sklepow/polityka-prywatnosci-i-cookies-sklepu-internetowego/
Kompleksowy audyt strony internetowej pod kątem spełnienia obowiązków informacyjnych: https://www.e-regulaminy.pl/dla-sklepow/audyt-prawny-sklepu-internetowego/
Konsekwencje niedopełnienia obowiązków
Niezapewnienie odpowiedniego poziomu bezpieczeństwa i przetwarzanie danych osobowych z naruszeniem przepisów o ochronie danych osobowych wiąże się z dotkliwymi sankcjami. Przepisy karne zawarte zostały w rozdziale 8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Zatem na mocy przepisu art. 51 ust. 1, np. w przypadku, gdy przedsiębiorca nie zawrze odpowiedniej umowy powierzenia, a przekaże dane osobowe innemu podmiotowi, wówczas grozi mu w najlepszym przypadku kara grzywny, zaś w najgorszym – do 2 lat pozbawienia wolności. Taki podmiot bowiem bez odpowiedniej umowy nie posiada podstawy do przetwarzania danych.
Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Nakładane kary finansowe za nieprzestrzeganie przepisów o ochronie danych osobowych mogą wynosić do 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą oraz do 50 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej. W przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może przekraczać odpowiednio 50 tys. zł oraz 200 tys. zł.
Zobacz również
Kiedy formalnie musimy założyć działalność gospodarczą?Prowadzenie działalności gospodarczej wiąże się z wypełnianiem szeregu obowiązków wynikających z przepisów prawa. Podejmując pewien rodzaj aktywności należy zastanowić się w jakim momencie będziemy zobligowani do zarejestrowania działalności, co będzie wiązało się między innymi z koniecznością odprowadzania podatku. Wyjaśnienie tej kwestii jest …
Reklamacja/zwrot a paragon i fakturaCzy sprzedawca ma prawo żądać od klienta faktury lub paragonu w przypadku zwrotu towaru bądź reklamacji? W praktyce można spotkać się z żądaniem ze strony sprzedawcy, aby do odsyłanego towaru dołączyć paragon lub fakturę, którą otrzymaliśmy wraz z zakupem. Po części jest to zrozumiałe, gdyż sprzedawca chce mieć pewność, że zwracany lub reklamowany …
Znaki ochronne ®, ©, TM, SM – co oznaczają?W obrocie gospodarczym możemy spotkać się z wykorzystywaniem przez przedsiębiorców kilku różnych oznaczeń, umieszczanych zazwyczaj obok logotypu, nazwy firmy lub marki produktu. Jakie korzyści wynikają z ich używania? Czy każdy może użyć tych oznaczeń w odniesieniu do swojego znaku towarowego? Czym się różnią od siebie najpopularniejsze oznaczenia …
Darmowy biuletyn
i praktyczny przewodnik dla e-przedsiębiorcy