Sklep internetowy, a ochrona danych osobowych

sklep_internetowyW epoce internetu „jak grzyby po deszczu wyrosły” i dalej „wyrastają” sklepy internetowe. Sprzedaż towarów w ten właśnie sposób jest dość prosta i o wiele tańsza niż za pomocą „konwencjonalnych” sklepów. Właściwie każdy z nas może założyć taki sklep i zacząć sprzedawać jakieś towary. Powstaje jednak pytanie jak stworzyć sklep internetowy, tak aby był on zgodny z ustawą o ochronie danych osobowych?
Myślę, że wiele osób spędziło trochę czasu szukając odpowiedzi na powyższe pytanie. W związku z powyższym postanowiliśmy zebrać niezbędne informacje dotyczące sklepów internetowych w kontekście ustawy o ochronie danych osobowych i aktów wykonawczych wydanych na podstawie tej ustawy.

Zacznijmy od tego, że w odniesieniu do danych osobowych przetwarzanych w związku z prowadzeniem sklepu internetowego należy stosować ustawę o ochronie danych osobowych. W związku z funkcjonowaniem sklepu przetwarzamy dane klientów, kontrahentów itp. Pojawia się więc kwestia kto jest administratorem danych osobowych.
Jeżeli prowadzimy nasz sklep w formie jednoosobowej działalności gospodarczej lub w formie spółki cywilnej, to status administratora danych jest z nami związany bezpośrednio (my jesteśmy administratorem danych). W sytuacji kiedy sklep internetowy jest prowadzony w formie spółki prawa handlowego, to administratorem danych jest właśnie spółka (reprezentowana przez nas).
Odmiennie sytuacja statusu administratora danych wygląda kiedy nasz sklep wykonuje zlecone czynności np. jesteśmy również autoryzowanym serwisem. W takim przypadku podmiot w imieniu, którego dokonujemy napraw posiada status administratora danych, a my jesteśmy wyłącznie procesorem (czyli podmiotem, któremu powierzono przetwarzanie danych osobowych).

Wiemy więc kto jest administratorem danych w sklepie internetowym, teraz należy wskazać obowiązki wynikające z ustawy o ochronie danych osobowych.

Pierwszym z nich jest odpowiednie zabezpieczenie przetwarzanych danych osobowych oraz przygotowanie i wdrożenie niezbędnej dokumentacji tj. Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemami informatycznymi. Wymogi jakie powinny spełniać powyższe dokumenty zostały określone w rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Drugim obowiązkiem jest rejestracja zbiorów danych w GIODO.

Ostatnim elementem jest zapewnienie, aby dane osobowe były przetwarzane legalnie, z zachowaniem zasad wskazanych w ustawie o ochronie danych osobowych.

W kolejnych artykułach szczegółowo omówimy poszczególne obowiązki nałożone ustawą o ochronie danych osobowych w kontekście sklepów internetowych.