Czy wiesz, że nawet
adres e-mail może być daną osobową? Jeżeli gromadzisz informacje o klientach,
choćby zapisując ich adresy na newsletter – koniecznie przeczytaj ten artykuł.
Dowiesz się, jak istotnym zagadnieniem jest ochrona danych osobowych w
prowadzeniu e-biznesu.
Nierespektowanie prawa o ochronie danych osobowych może narazić cię
na wiele dotkliwych konsekwencji, włącznie z sankcjami karnymi. Obowiązujące
przepisy restrykcyjnie określają wszystkie niezbędne kroki, jakie należy
pokonać, aby rozpocząć przetwarzanie pozyskanych danych. Nie każdy jednak wie, jaką
rolę pełni dostawca hostingu w zapewnieniu komfortu podczas kontroli GIODO.
Pod czujnym okiem
GIODO
Prowadzenie
e-biznesu opartego na aktywnych działaniach pro-klienckich wymaga znajomości i
respektowania ustawy o ochronie danych osobowych. Na staży bezpieczeństwa tych
informacji stoi GIODO – Generalny Inspektor Ochrony Danych Osobowych. Jeżeli
złamiesz regulacje zawarte w ustawie, zadaniem urzędu jest zawiadomienie organu
ścigania o popełnieniu przestępstwa. I wcale nie trzeba celowo naruszyć
obowiązujących przepisów, żeby narazić się na groźne, prawne konsekwencje. Aby uchronić się przed tym ryzykiem, warto wybrać taką
firmę hostingową, która nie tylko uświadomi w zakresie obowiązków związanych z
obowiązującymi przepisami, ale dodatkowo pomoże je realizować.
Dane osobowe w pigułce
Danymi
osobowymi są wszelkie te informacje, które identyfikują naszą osobę. Może to
być imię, nazwisko, przypisane numery, a także dane o indywidualnych cechach.
Bardziej ogólne informacje, np. numer domu czy wartość wynagrodzenia, stają się
danymi dopiero w połączeniu z dodatkowymi informacjami. Przykładem pojedynczej
informacji, stanowiącej daną osobową, jest numer PESEL. Z kolei nie może nią
być samo imię, ponieważ nie umożliwia identyfikacji konkretnej osoby.
Prowadząc
e-biznes na pewno zastanawiasz się, czy adres e-mail stanowi daną osobową.
Można to pokazać na prostym przykładzie – "
Ten adres e-mail jest ukrywany przed spamerami, włącz obsługę JavaScript w przeglądarce, by go zobaczyć
" to nie
dana osobowa, ponieważ adres nie umożliwia identyfikacji jego posiadacza.
Inaczej będzie w przypadku skrzynki "
Ten adres e-mail jest ukrywany przed spamerami, włącz obsługę JavaScript w przeglądarce, by go zobaczyć
". Dlaczego?
Ponieważ z adresu jasno wynika nazwisko użytkownika oraz firma, w której
pracuje.
Jak
mówi dr inż. Artur Pajkert z Ogicom, firmy specjalizującej się w skutecznych
rozwiązaniach dla e-biznesu: - Oczywiście,
prowadząc zapisy np. na newsletter przedsiębiorca nie wie, w jakiej postaci
będą zapisywane adresy. Z tego powodu powinien profilaktycznie założyć, że mogą
wśród nich znaleźć się dane osobowe, a co za tym idzie – cały zbiór powinien
być traktowany jako zbiór danych osobowych. W razie wątpliwości zawsze lepiej
zastosować procedurę, jakby przetwarzane dane były danymi osobowymi.
Zgoda na przetwarzanie danych jest bardzo istotnym elementem
determinującym legalność całego procesu. Nie istnieją szczegółowe zasady formułowania klauzuli
zgody, jednak z jej tekstu powinno w sposób niebudzący wątpliwości wynikać, w
jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane.
Wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza.
Kto tworzy całą dokumentację?
Wiemy
już, że dane osobowe może stanowić nawet adres e-mail osoby zapisującej się na
firmowy newsletter. W takiej sytuacji konieczne jest stworzenie właściwej,
wymaganej prawem dokumentacji potwierdzającej wolę subskrybenta do otrzymywania
przesyłek reklamowych. W przeciwnym razie przedsiębiorca może narazić się na
kontrolę i karę nałożoną przez GIODO.
Jeżeli szukasz „hostingu zgodnego z GIODO” i uważasz temat za
zakończony z chwilą aktywowania konta hostingowego – jesteś w dużym błędzie. To
właśnie na tobie ciąży obowiązek przygotowania i prowadzenia tej dokumentacji.
Tym bardziej warto starannie wybrać partnera, któremu powierzy się dane. Płacąc
za dobry hosting – możesz jednocześnie kupić dobre doradztwo, a to bardzo ważny
krok do spokojnego snu.
Przykładowa
klauzula dot. zapisania się na newsletter może brzmieć następująco:
Wyrażam zgodę na przetwarzanie
moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania
drogą elektroniczną wiadomości na tematy związane z e-biznesem, takie jak:
dobry hosting, rejestracja domen oraz serwery dedykowane. Oświadczam, że znam
prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych.
Dane podaję dobrowolnie.
Trudna praca administratora danych
Jednym
z podstawowych zadań, jakie nakłada na administratora danych ustawa, jest
konieczność rejestracji zbioru. Obowiązek ten nie obejmuje jednak danych, na
przykład własnych pracowników, przetwarzanych w związku z ich zatrudnieniem.
Aby dokonać rejestracji, należy wysłać odpowiedni wniosek do GIODO.
Administrator
czuwa nad bezpieczeństwem danych, chroni je przed udostępnieniem czy zabraniem
przez osoby nieupoważnione, przetwarzaniem niezgodnie z ustawą oraz zmianą,
utratą, uszkodzeniem lub zniszczeniem. Musi także prowadzić dokumentację
opisującą sposób przetwarzania danych oraz podjęte środki bezpieczeństwa.
Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem
informatycznym. Nad procesem przetwarzania czuwa Administrator Bezpieczeństwa
Informacji.
-
Osobom mającym dostęp do danych osobowych
należy nadać odpowiednie upoważnienia. Ze względu na konieczność prowadzenia
ewidencji zezwoleń, powinny one mieć formę pisemną. Muszą zawierać imię i
nazwisko osoby upoważniającej, datę nadania i ustania upoważnienia, a także
identyfikator, jeśli dane przetwarzane są w systemie informatycznym –
tłumaczy dr inż. Artur Pajkert. Należy również określić zakres danych, do
których ma dostęp oraz nazwę zbioru. Osoby upoważnione muszą zachować zawartość
bazy w tajemnicy.
Ważne!
Administrator
danych w rozumieniu przepisów nie ma nic wspólnego z administratorem serwera. Powierzając
jakiejkolwiek firmie hostingowej utrzymanie danych nadal pozostajesz
administratorem w rozumieniu ustawy i na tobie ciążą ustawowe obowiązki. W
technicznym zakresie możesz zlecić ich wykonanie innemu podmiotowi podpisując tzw.
umowę powierzenia.
Wiele umów nie spełnia wymogów ustawy
o ochronie danych osobowych!
Administrator
nie musi osobiście wykonywać wszystkich czynności związanych z procesem
przetwarzania danych osobowych. Może skorzystać z usług wyspecjalizowanej firmy
zewnętrznej. W tym celu zawiera się umowę powierzenia. Ustawa wymaga, aby umowa
powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel
przetwarzania danych. Naturalnie, w takiej umowie administrator nie może przekazać
zleceniobiorcy więcej praw, niż sam posiada.
Jak ujawniają rozmowy prowadzone przez Ogicom z klientami, wiele umów
proponowanych polskim przedsiębiorcom przez firmy hostingowe nie spełnia
wymogów GIODO, zatem nie zawiera elementów wymienionych w ustawie. Znaczna
część serwisów, choć przetwarza dane, nie zgłasza tego faktu do rejestru
prowadzonego przez GIODO, ponieważ nikt im nie powiedział, że to warunek
konieczny. – Na szczęście są wyjątki i w
umowie podpisywanej z Ogicom znajdują się wszystkie wymagane przez ustawę
elementy - dodaje dr inż. Artur Pajkert.
Trzeba
pamiętać, że podmiot, któremu powierzono dane do przetwarzania nie staje się
ich administratorem. Mimo to jest zobowiązany do podjęcia środków
zabezpieczających informacje oraz do spełnienia wymagań określonych w rozporządzeniu
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych. W tym zakresie ponosi
taką samą odpowiedzialność, jak administrator danych.
Po czym poznać dobrą firmę
hostingową?
Wybierając
dostawcę hostingu musisz zwrócić uwagę na dwa czynniki – musi być to firma,
która nie tylko zgłosiła własne zbiory do GIODO, ale która (co dla ciebie
najważniejsze) umożliwia zawarcie na piśmie umowy powierzenia przetwarzania
danych osobowych. Tylko wówczas procedura będzie zgodna z prawem i gwarantowała
przeniesienie odpowiedzialności wobec tych informacji z klienta na usługodawcę.
Istotne
jest także udostępnienie przez firmę hostingową opisu niezbędnego do
przygotowania własnej polityki bezpieczeństwa. Można również prosić o
udostępnienie wyników kontroli dokonywanych przez GIODO, jeżeli będą pozytywne
będzie to kolejna gwarancja, że firma ta jest godną zaufania. Dobra firma
hostingowa nie unika tematu ochrony danych osobowych, a jej pracownicy potrafią
udzielić wszystkich niezbędnych w tym zakresie informacji.
Podsumowanie
Chociaż przestrzeganie przepisów o ochronie i przetwarzaniu danych
osobowych jest obowiązkiem każdego przedsiębiorcy prowadzącego biznes w
Internecie, rola tego obszaru wciąż jest niedoceniana. Tylko prawidłowe
zarządzanie danymi i prowadzenie odpowiedniej dokumentacji, zgodnie z przepisami
o ochronie danych osobowych, pozwoli na spokojny sen, bez obaw o wyniki
kontroli Generalnego Inspektora Ochrony Danych Osobowych.
Źródło:
Ogicom, www.ogicom.pl
|