Czy wiesz, że nawet adres e-mail może być daną osobową? Jeżeli gromadzisz informacje o klientach, choćby zapisując ich adresy na newsletter – koniecznie przeczytaj ten artykuł. Dowiesz się, jak istotnym zagadnieniem jest ochrona danych osobowych w prowadzeniu e-biznesu.
Nierespektowanie prawa o ochronie danych osobowych może narazić cię na wiele dotkliwych konsekwencji, włącznie z sankcjami karnymi. Obowiązujące przepisy restrykcyjnie określają wszystkie niezbędne kroki, jakie należy pokonać, aby rozpocząć przetwarzanie pozyskanych danych. Nie każdy jednak wie, jaką rolę pełni dostawca hostingu w zapewnieniu komfortu podczas kontroli GIODO.
Pod czujnym okiem GIODO
Prowadzenie e-biznesu opartego na aktywnych działaniach pro-klienckich wymaga znajomości i respektowania ustawy o ochronie danych osobowych. Na staży bezpieczeństwa tych informacji stoi GIODO – Generalny Inspektor Ochrony Danych Osobowych. Jeżeli złamiesz regulacje zawarte w ustawie, zadaniem urzędu jest zawiadomienie organu ścigania o popełnieniu przestępstwa. I wcale nie trzeba celowo naruszyć obowiązujących przepisów, żeby narazić się na groźne, prawne konsekwencje. Aby uchronić się przed tym ryzykiem, warto wybrać taką firmę hostingową, która nie tylko uświadomi w zakresie obowiązków związanych z obowiązującymi przepisami, ale dodatkowo pomoże je realizować.
Dane osobowe w pigułce
Danymi osobowymi są wszelkie te informacje, które identyfikują naszą osobę. Może to być imię, nazwisko, przypisane numery, a także dane o indywidualnych cechach. Bardziej ogólne informacje, np. numer domu czy wartość wynagrodzenia, stają się danymi dopiero w połączeniu z dodatkowymi informacjami. Przykładem pojedynczej informacji, stanowiącej daną osobową, jest numer PESEL. Z kolei nie może nią być samo imię, ponieważ nie umożliwia identyfikacji konkretnej osoby.
Prowadząc e-biznes na pewno zastanawiasz się, czy adres e-mail stanowi daną osobową. Można to pokazać na prostym przykładzie – „poziomka123@wp.pl” to nie dana osobowa, ponieważ adres nie umożliwia identyfikacji jego posiadacza. Inaczej będzie w przypadku skrzynki „j.kowalski@ogicom.pl”. Dlaczego? Ponieważ z adresu jasno wynika nazwisko użytkownika oraz firma, w której pracuje.
Jak mówi dr inż. Artur Pajkert z Ogicom, firmy specjalizującej się w skutecznych rozwiązaniach dla e-biznesu: – Oczywiście, prowadząc zapisy np. na newsletter przedsiębiorca nie wie, w jakiej postaci będą zapisywane adresy. Z tego powodu powinien profilaktycznie założyć, że mogą wśród nich znaleźć się dane osobowe, a co za tym idzie – cały zbiór powinien być traktowany jako zbiór danych osobowych. W razie wątpliwości zawsze lepiej zastosować procedurę, jakby przetwarzane dane były danymi osobowymi.
Zgoda na przetwarzanie danych jest bardzo istotnym elementem determinującym legalność całego procesu. Nie istnieją szczegółowe zasady formułowania klauzuli zgody, jednak z jej tekstu powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza.
Kto tworzy całą dokumentację?
Wiemy już, że dane osobowe może stanowić nawet adres e-mail osoby zapisującej się na firmowy newsletter. W takiej sytuacji konieczne jest stworzenie właściwej, wymaganej prawem dokumentacji potwierdzającej wolę subskrybenta do otrzymywania przesyłek reklamowych. W przeciwnym razie przedsiębiorca może narazić się na kontrolę i karę nałożoną przez GIODO.
Jeżeli szukasz „hostingu zgodnego z GIODO” i uważasz temat za zakończony z chwilą aktywowania konta hostingowego – jesteś w dużym błędzie. To właśnie na tobie ciąży obowiązek przygotowania i prowadzenia tej dokumentacji. Tym bardziej warto starannie wybrać partnera, któremu powierzy się dane. Płacąc za dobry hosting – możesz jednocześnie kupić dobre doradztwo, a to bardzo ważny krok do spokojnego snu.
Przykładowa klauzula dot. zapisania się na newsletter może brzmieć następująco:
Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z e-biznesem, takie jak: dobry hosting, rejestracja domen oraz serwery dedykowane. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.
Trudna praca administratora danych
Jednym z podstawowych zadań, jakie nakłada na administratora danych ustawa, jest konieczność rejestracji zbioru. Obowiązek ten nie obejmuje jednak danych, na przykład własnych pracowników, przetwarzanych w związku z ich zatrudnieniem. Aby dokonać rejestracji, należy wysłać odpowiedni wniosek do GIODO.
Administrator czuwa nad bezpieczeństwem danych, chroni je przed udostępnieniem czy zabraniem przez osoby nieupoważnione, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Musi także prowadzić dokumentację opisującą sposób przetwarzania danych oraz podjęte środki bezpieczeństwa. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Nad procesem przetwarzania czuwa Administrator Bezpieczeństwa Informacji.
– Osobom mającym dostęp do danych osobowych należy nadać odpowiednie upoważnienia. Ze względu na konieczność prowadzenia ewidencji zezwoleń, powinny one mieć formę pisemną. Muszą zawierać imię i nazwisko osoby upoważniającej, datę nadania i ustania upoważnienia, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym – tłumaczy dr inż. Artur Pajkert. Należy również określić zakres danych, do których ma dostęp oraz nazwę zbioru. Osoby upoważnione muszą zachować zawartość bazy w tajemnicy.
Ważne!
Administrator danych w rozumieniu przepisów nie ma nic wspólnego z administratorem serwera. Powierzając jakiejkolwiek firmie hostingowej utrzymanie danych nadal pozostajesz administratorem w rozumieniu ustawy i na tobie ciążą ustawowe obowiązki. W technicznym zakresie możesz zlecić ich wykonanie innemu podmiotowi podpisując tzw. umowę powierzenia.
Wiele umów nie spełnia wymogów ustawy o ochronie danych osobowych!
Administrator nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może skorzystać z usług wyspecjalizowanej firmy zewnętrznej. W tym celu zawiera się umowę powierzenia. Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Naturalnie, w takiej umowie administrator nie może przekazać zleceniobiorcy więcej praw, niż sam posiada.
Jak ujawniają rozmowy prowadzone przez Ogicom z klientami, wiele umów proponowanych polskim przedsiębiorcom przez firmy hostingowe nie spełnia wymogów GIODO, zatem nie zawiera elementów wymienionych w ustawie. Znaczna część serwisów, choć przetwarza dane, nie zgłasza tego faktu do rejestru prowadzonego przez GIODO, ponieważ nikt im nie powiedział, że to warunek konieczny. – Na szczęście są wyjątki i w umowie podpisywanej z Ogicom znajdują się wszystkie wymagane przez ustawę elementy – dodaje dr inż. Artur Pajkert.
Trzeba pamiętać, że podmiot, któremu powierzono dane do przetwarzania nie staje się ich administratorem. Mimo to jest zobowiązany do podjęcia środków zabezpieczających informacje oraz do spełnienia wymagań określonych w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W tym zakresie ponosi taką samą odpowiedzialność, jak administrator danych.
Po czym poznać dobrą firmę hostingową?
Wybierając dostawcę hostingu musisz zwrócić uwagę na dwa czynniki – musi być to firma, która nie tylko zgłosiła własne zbiory do GIODO, ale która (co dla ciebie najważniejsze) umożliwia zawarcie na piśmie umowy powierzenia przetwarzania danych osobowych. Tylko wówczas procedura będzie zgodna z prawem i gwarantowała przeniesienie odpowiedzialności wobec tych informacji z klienta na usługodawcę.
Istotne jest także udostępnienie przez firmę hostingową opisu niezbędnego do przygotowania własnej polityki bezpieczeństwa. Można również prosić o udostępnienie wyników kontroli dokonywanych przez GIODO, jeżeli będą pozytywne będzie to kolejna gwarancja, że firma ta jest godną zaufania. Dobra firma hostingowa nie unika tematu ochrony danych osobowych, a jej pracownicy potrafią udzielić wszystkich niezbędnych w tym zakresie informacji.
Podsumowanie
Chociaż przestrzeganie przepisów o ochronie i przetwarzaniu danych osobowych jest obowiązkiem każdego przedsiębiorcy prowadzącego biznes w Internecie, rola tego obszaru wciąż jest niedoceniana. Tylko prawidłowe zarządzanie danymi i prowadzenie odpowiedniej dokumentacji, zgodnie z przepisami o ochronie danych osobowych, pozwoli na spokojny sen, bez obaw o wyniki kontroli Generalnego Inspektora Ochrony Danych Osobowych.