Polska jako państwo członkowskie Unii Europejskiej musi przestrzegać dyrektywy 95/47/WE dotyczącej ochrony danych osobowych. W 1997 roku weszła w życie ustawa dotycząca ochrony danych osobowych, ale dopiero w marcu 2011 roku znowelizowano rzeczoną ustawę. Nowelizacja wzmocniła pozycję Generalnego Inspektora Ochrony Danych Osobowych do respektowania tej ustawy od przedsiębiorców. W związku z tym, wdrożenie ochrony danych osobowych we własnym sklepie internetowym powinno być jednym z zadań priorytetowych. To nie tylko działanie mające uchronić nas od kar pieniężnych, ale również sposób na wyróżnienie się na tle konkurencji, która owej ustawy nie przestrzega należycie.
Jak ustawa o ochronie danych osobowych reguluje zobowiązania właścicieli sklepów internetowych? Przede wszystkim wymusza przygotowanie odpowiedniej dokumentacji, która składa się z następujących elementów:
- Polityka Bezpieczeństwa Informacji (PBI), czyli zbiór spójnych procedur i instrukcji dotyczący przetwarzanych danych, środków bezpieczeństwa oraz tego, jak postępować w przypadku ich utraty,
- Instrukcja zarządzania systemem informatycznym, wraz z wyznaczeniem odpowiedniej osoby pełniącej funkcję Administratora Bezpieczeństwa Informacji,
- Ewidencja osób uprawnionych do przetwarzania danych osobowych.
Niezbędne dokumenty wymagane przez GIODO
W tym miejscu skupmy się na pierwszym niezbędnym elemencie dokumentacji wymaganej przez GIODO, czyli Polityce Bezpieczeństwa Informacji.
Można wyróżnić pięć podstawowych składowych tego dokumentu:
- Zbiór miejsc, w których przetwarzane są dane podlegające ochronie. Adres siedziby firmy i jej oddziałów, w których przetwarzane są dane osobowe. Wykaz szczegółowy obejmuje poszczególne pomieszczenia.
- Wykaz zbiorów danych osobowych. Tutaj wymieniamy zarówno klientów, subskrybentów newslettera, jak i np. czytelników naszego bloga oraz wszelkie inne zbiory danych osobowych, które tworzymy w ramach prowadzonej działalności.
- Struktura zbiorów danych. W zależności od zbioru danych osobowych będzie on posiadał różnorodną strukturę. Tak więc zbiór „klienci” może posiadać zarówno imię, nazwisko, e-mail, jak i dane teleadresowe, natomiast zbiór „subskrybenci” wyłącznie imię i adres e-mail.
- Sposób przepływu danych pomiędzy zbiorami. Zarówno czytelnicy bloga, jak i subskrybenci newslettera w przyszłości mają zostać klientami naszej firmy. Od tego, jak dane zbierane na blogu są wykorzystane w działaniach marketingowych sklepu, zależy struktura przepływu informacji pomiędzy zbiorami.
Przykładowy sposób przepływu danych osobowych może wyglądać następująco: formularz zapisu na newsletter (imię, e-mail) -> program do e-mailingu (kampania reklamowa) -> zamówienie w sklepie z wykorzystaniem systemu sklepowego (pełne dane teleadresowe) -> program magazynowo-fakturujący -> program CRM. - Środki techniczne niezbędne dla zapewnienia poufności danych osobowych. W tym miejscu należy przedstawić metody, jakie wykorzystujemy w celu ochrony danych osobowych w firmie. Wykazujemy, w jaki sposób zabezpieczone są nasze pomieszczenia i komputery czy też sieć firmowa. Ważne jest, aby nie podawać pełnych danych zastosowanego oprogramowania czy sprzętu, a jedynie podstawowe informacje, np.
- pomieszczenia: zainstalowany monitoring pomieszczeń, zamki antywłamaniowe, rolety zewnętrzne,
- komputery: program antywirusowy, firewall, dostęp do systemu chroniony hasłem.
Polityka Bezpieczeństwa Informacji to podstawowy dokument wymagany podczas rejestracji przedsiębiorstwa w GIODO. Zamieszczenie w ramach tego dokumentu wymienionych powyżej składowych to nieodłączny element PBI każdego przedsiębiorstwa. Natomiast w zależności od skali realizowanego przedsięwzięcia, poszczególne składowe mogą ulec mniejszym lub większym modyfikacjom i rozszerzeniom.