Jak chronić dane osobowe klientów?

Jak chronić dane osobowe klientów?

Polska jako państwo członkowskie Unii Europejskiej musi przestrzegać dyrektywy 95/47/WE dotyczącej ochrony danych osobowychW 1997 roku weszła w życie ustawa dotycząca ochrony danych osobowych, ale dopiero w marcu 2011 roku znowelizowano rzeczoną ustawę. Nowelizacja wzmocniła pozycję Generalnego Inspektora Ochrony Danych Osobowych do respektowania tej ustawy od przedsiębiorców. W związku z tym, wdrożenie ochrony danych osobowych we własnym sklepie internetowym powinno być jednym z zadań priorytetowych. To nie tylko działanie mające uchronić nas od kar pieniężnych, ale również sposób na wyróżnienie się na tle konkurencji, która owej ustawy nie przestrzega należycie.

Jak ustawa o ochronie danych osobowych reguluje zobowiązania właścicieli sklepów internetowych? Przede wszystkim wymusza przygotowanie odpowiedniej dokumentacji, która składa się z następujących elementów:

  • Polityka Bezpieczeństwa Informacji (PBI), czyli zbiór spójnych procedur i instrukcji dotyczący przetwarzanych danych, środków bezpieczeństwa oraz tego, jak postępować w przypadku ich utraty,
  • Instrukcja zarządzania systemem informatycznym, wraz z wyznaczeniem odpowiedniej osoby pełniącej funkcję Administratora Bezpieczeństwa Informacji,
  • Ewidencja osób uprawnionych do przetwarzania danych osobowych.

Niezbędne dokumenty wymagane przez GIODO

W tym miejscu skupmy się na pierwszym niezbędnym elemencie dokumentacji wymaganej przez GIODO, czyli Polityce Bezpieczeństwa Informacji.

Można wyróżnić pięć podstawowych składowych tego dokumentu:

  1. Zbiór miejsc, w których przetwarzane są dane podlegające ochronie. Adres siedziby firmy i jej oddziałów, w których przetwarzane są dane osobowe. Wykaz szczegółowy obejmuje poszczególne pomieszczenia.
  2. Wykaz zbiorów danych osobowych. Tutaj wymieniamy zarówno klientów, subskrybentów newslettera, jak i np. czytelników naszego bloga oraz wszelkie inne zbiory danych osobowych, które tworzymy w ramach prowadzonej działalności.
  3. Struktura zbiorów danych. W zależności od zbioru danych osobowych będzie on posiadał różnorodną strukturę. Tak więc zbiór „klienci” może posiadać zarówno imię, nazwisko, e-mail, jak i dane teleadresowe, natomiast zbiór „subskrybenci” wyłącznie imię i adres e-mail.
  4. Sposób przepływu danych pomiędzy zbiorami. Zarówno czytelnicy bloga, jak i subskrybenci newslettera w przyszłości mają zostać klientami naszej firmy. Od tego, jak dane zbierane na blogu są wykorzystane w działaniach marketingowych sklepu, zależy struktura przepływu informacji pomiędzy zbiorami.
    Przykładowy sposób przepływu danych osobowych może wyglądać następująco: formularz zapisu na newsletter (imię, e-mail) -> program do e-mailingu (kampania reklamowa) -> zamówienie w sklepie z wykorzystaniem systemu sklepowego (pełne dane teleadresowe) -> program magazynowo-fakturujący -> program CRM.
  5. Środki techniczne niezbędne dla zapewnienia poufności danych osobowych. W tym miejscu należy przedstawić metody, jakie wykorzystujemy w celu ochrony danych osobowych w firmie. Wykazujemy, w jaki sposób zabezpieczone są nasze pomieszczenia i komputery czy też sieć firmowa. Ważne jest, aby nie podawać pełnych danych zastosowanego oprogramowania czy sprzętu, a jedynie podstawowe informacje, np.
    • pomieszczenia: zainstalowany monitoring pomieszczeń, zamki antywłamaniowe, rolety zewnętrzne,
    • komputery: program antywirusowy, firewall, dostęp do systemu chroniony hasłem.

Polityka Bezpieczeństwa Informacji to podstawowy dokument wymagany podczas rejestracji przedsiębiorstwa w GIODO. Zamieszczenie w ramach tego dokumentu wymienionych powyżej składowych to nieodłączny element PBI każdego przedsiębiorstwa. Natomiast w zależności od skali realizowanego przedsięwzięcia, poszczególne składowe mogą ulec mniejszym lub większym modyfikacjom i rozszerzeniom.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *