Dane osobowe w serwisie internetowym

Ochrona danych osobowych to zagadnienie, które zawsze warto mieć na uwadze prowadząc e-biznes. Obowiązujące przepisy nakazują podjęcie specjalnych kroków zanim zaczniesz przetwarzać dane osobowe, pozyskując je np. z formularza kontaktowego. Prowadzenie serwisu i aktywne działania pro-klienckie w Sieci niemal zawsze oznaczają, że musisz brać pod uwagę przepisy o ochronie danych osobowych. Przeczytaj, aby nie obawiać się kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Maria Misztal, Artur Pajkert

  dr inż. Artur Pajkert - ekspert w zakresie e-marketingu, Ogicom

Czym są dane osobowe?


Danymi osobowymi są wszelkie informacje na temat osoby fizycznej, dzięki którym można ją zidentyfikować bez użycia nadmiernych sił i środków. Zalicza się do nich np. imię, nazwisko i adres, ale również przypisane osobie numery i dane o jej cechach.


 

Definicja danych osobowych

  Bardziej ogólne informacje, np. nr domu czy wartość wynagrodzenia, stają się danymi w połączeniu z dodatkowymi informacjami. Przykładem pojedynczej informacji, stanowiącej daną osobową, jest nr PESEL. Samo imię nie jest z kolei daną osobową, ponieważ nie umożliwia identyfikacji konkretnej osoby.

Jako prowadzący e-biznes na pewno zastanawiasz się, czy adres e-mail stanowi daną osobową. Wyobraź sobie sytuację, w której ktoś podaje adres w rodzaju: poziomka123@wp.pl – taki adres nie stanowi danej osobowej, ponieważ nie umożliwia identyfikacji jego posiadacza. Jednak adres j.kowalski@ogicom.pl jest daną osobową, wynika z niego wprost nazwisko i firma, w której pracuje dana osoba.

Oczywiście, prowadząc zapisy np. na newsletter nie wiesz, w jakiej postaci będą zapisywane adresy. Dlatego właśnie powinieneś ostrożnie założyć, że mogą wśród nich znaleźć się dane osobowe, a co za tym idzie – cały zbiór traktuj jak zbiór danych osobowych. W razie wątpliwości zawsze stosuj procedurę, jakby przetwarzane dane były danymi osobowymi.

 

  Prawne podstawy przetwarzania danych osobowych

   

  Zasady przetwarzania danych osobowych oraz prawa osób, których dane mogą podlegać przetwarzaniu określają Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych oraz wydane na jej podstawie trzy rozporządzenia Ministra Spraw Wewnętrznych i Administracji:

  Rozporządzenie z dnia 22 kwietnia 2004 roku w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych,

  Rozporządzenie z dnia 24 kwietnia 2004 roku sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,

  Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

   

   Zgoda na przetwarzanie danych osobowych

    

   Zgodę na przetwarzanie danych konkretnej osoby stanowi oświadczenie woli, w którego treści jest taka zgoda zawarta. Nie istnieją szczegółowe zasady formułowania klauzuli zgody, ale z jej tekstu powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza. Ustawa nie nakazuje pisemnej formy wyrażenie zgody.Wg Ustawy zbierający dane osobowe ma obowiązek poinformować osobę, której dane te dotyczą o:

   adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,

   celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

   prawie dostępu do treści swoich danych oraz ich poprawiania,

   dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

   Przykładowa klauzula dot. zapisania się na newsletter:

   Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z e-biznesem, takie jak: dobry hosting, rejestracja domen oraz serwery dedykowane. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.

    

   Administrator danych

    

   Administrator danych w rozumieniu przepisów nie ma nic wspólnego z administratorem serwera. Powierzając jakiejkolwiek firmie hostingowej utrzymanie Twoich danych – wciąż to Ty jesteś administratorem w rozumieniu Ustawy i na Tobie przede wszystkim ciążą ustawowe obowiązki. W technicznym zakresie możesz ich wykonanie zlecić innemu podmiotowi, przy pomocy umowy powierzenia, o której przeczytasz w dalszej części.

    

   Obowiązki administratora

     Jednym z podstawowych zadań, jakie nakłada na administratora danych Ustawa jest obowiązek rejestracji zbioru. Z obowiązku tego jesteś zwolniony w odniesieniu do niektórych rodzajów danych, na przykład danych własnych pracowników, przetwarzanych w związku z ich zatrudnieniem w Twojej Firmie. Wciąż musisz jednak mieć przygotowaną odpowiednią dokumentację, zgodnie z informacjami w dalszej części artykułu. Rejestracji zbiorów dokonujesz przez wysłanie odpowiedniego wniosku rejestracyjnego do GIODO.

   Administrator zobowiązany jest do zapewnienia ochrony danych, przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Musi także prowadzić dokumentację opisującą sposób przetwarzania danych oraz podjęte środki bezpieczeństwa. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Nad procesem przetwarzania czuwać ma Administrator Bezpieczeństwa Informacji.Osobom mającym dostęp do danych osobowych należy nadać odpowiednie upoważnienia.

   Ze względu na konieczność prowadzenia ewidencji zezwoleń, powinny one mieć formę pisemną. Muszą zawierać imię i nazwisko osoby upoważniającej, datę nadania i ustania upoważnienia, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym. Należy również określić zakres danych, do których ma dostęp oraz nazwę zbioru. Osoby upoważnione muszą zachować zawartość bazy w tajemnicy. Ważnym obowiązkiem jest także kontrola nad rodzajem i czasem wprowadzania danych. Ważne jest przez kogo zostały do zbioru dodane oraz gdzie są przekazywane. Sposób sprawowania tej kontroli określa administrator danych, uwzględniając przede wszystkim podjęte środki organizacyjne i techniczne.

    

   Niezbędna dokumentacja

    

   Przetwarzanie jakichkolwiek danych osobowych (nawet danych Twoich pracowników!) wymaga prowadzenia odpowiedniej dokumentacji. Należy do niej m.in. polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

   Polityka bezpieczeństwa jest dokumentem ogólnym, który opisuje zbiory danych i metody ich przetwarzania. Instrukcja na charakter roboczy. Ponadto niezbędne będzie stworzenie odpowiednich upoważnień dla wszystkich, którzy będą przetwarzać dane osobowe.

   Instrukcja zarządzania systemem informatycznym z kolei jest dokumentem o charakterze proceduralnym, który reguluje takie kwestie, jak np. odpowiednie ustawienie ekranu komputera, stosowanie wygaszaczy ekran itp. Kolejny ważny dokument, to umowa powierzenia, którą trzeba mieć w formie pisemnej. Poświęcamy jej więcej uwagi w dalszej części artykułu.

   W profesjonalnych firmach, zajmujących się wspieraniem e-biznesu, tworzenie stron internetowych i hosting nigdy nie ogranicza się do ich technicznego wykonania. Dlatego właśnie w Ogicom znajdziesz profesjonalne doradztwo, obejmujące przygotowanie niezbędnej dokumentacji i pomoc w zgłoszeniu zbiorów, dzięki któremu nasi Klienci z powodzeniem przechodzą kontrole GIODO.


   Umowa powierzenia

    

   Administrator nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może skorzystać z usług wyspecjalizowanej firmy zewnętrznej. W tym celu zawiera umowę powierzenia. Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Naturalnie, w takiej umowie administrator nie może przekazać zleceniobiorcy więcej praw, niż sam posiada.

   Kiedy prowadzisz serwis internetowy i wykorzystujesz go do przetwarzania danych osobowych, powinieneś zadbać o stosowną umowę na piśmie. 90% umów proponowanych przez firmy hostingowe w polskich firmach nie spełnia wymogów GIODO, a wiele z nich sama nie jest zgłoszona do rejestru prowadzonego przez ten organ. Jednym z nielicznych wyjątków jest Ogicom, który oczywiście ma przygotowaną odpowiednią dokumentację. Dysponuje wzorem stosownej umowy, która zawiera wszystkie wymagane ustawą elementy i może być załącznikiem do umowy hostingu na serwerach zarówno współdzielonych, jak i dedykowanych. Co więcej, w zdecydowanej większości przypadków, umowa taka nie wymaga wniesienia dodatkowych opłat.

    

   Nawet prawidłowe powierzenie przetwarzania danych w zakresie utrzymania serwera nie zwalnia Cię z obowiązku uzyskiwania odpowiedniej zgody i prowadzenia kompletnej dokumentacji, związanej z przetwarzaniem danych.

   Podmiot, któremu powierzono dane do przetwarzania nie staje się ich administratorem. Mimo to jest zobowiązany do podjęcia środków zabezpieczających informacje oraz do spełnienia wymagań określonych w Rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W tym zakresie ponosi taką odpowiedzialność jak administrator danych. Czyli w wypadku firmy utrzymującej dane odpowiada ona na gruncie przepisów o ochronie danych osobowych m.in. za zabezpieczenie w warstwie oprogramowania systemowego czy też fizycznego bezpieczeństwa serwera i nośników danych.

    


    

   Podsumowanie

   Chociaż przestrzeganie przepisów o ochronie i przetwarzaniu danych osobowych jest obowiązkiem każdego przedsiębiorcy prowadzącego biznes w Internecie, rola tego obszaru wciąż jest niedoceniana. Zarządzanie danymi zgodnie z wymogami Generalnego Inspektora Ochrony Danych Osobowych uchroni Cię przed karą w razie kontroli. Wielu z naszych Klientów pomyślnie przeszło już kontrolę GIODO.

    

   Dobrą firmę hostingową można poznać m.in. po tym, że nie unika tematu ochrony danych osobowych. Nasi klienci mogą liczyć na profesjonalizm doradców: Pomagamy w stworzeniu niezbędnej dokumentacji dla GIODO, abyś spał spokojnie wiedząc, że dane osobowe są przetwarzane nie tylko sprawnie i wydajnie, ale także zgodnie z regulacjami w tym zakresie.

   Jeszcze dziś zgłoś się do Ogicom po bezpłatną konsultację w tym zakresie!

   Tags: , , , ,