Polityka bezpieczeństwa sklepu internetowego – co powinna zawierać?

Czy polityka bezpieczeństwa informacji sklepu internetowego jest obowiązkowa i co powinno się w niej zawierać? Przed odpowiedzią na te pytania stoją właściciele sklepów internetowych.

Zakupy w sieci bez wychodzenia z domu zyskują coraz większą popularność nic dziwnego zatem, że coraz więcej sklepów internetowych z różnym asortymentem zaczyna pojawiać się w sieci. E-commerce jest jedną z coraz szybciej rozwijających się domen. Poza sprzedażą różnego rodzaju produktów e-commerce zaczyna wchodzić także do branży usługowej, na przykład z dziedziny ochrony zdrowia. 

Właściciele sklepów internetowych powinni pamiętać, że działanie w branży e-commerce wiąże się ze spełnianiem obowiązków mających na celu zapewnienie odpowiedniego bezpieczeństwa osobom korzystającym z ich usług.

Jakie dane przetwarza sklep internetowy?

Omawiana branża na co dzień na styczność z bardzo dużymi zasobami danych. Można mówić o danych klientów, subskrybentów, lub osób kontaktujących się bezpośrednio przez stronę internetową czy też formularz. Takie informacje jak imię, nazwisko, adres korespondencyjny, numer telefonu czy adres mailowy to podstawowe informacje, które sklepy internetowe przetwarzają nieustannie. 

Rozporządzenie o ochronie danych osobowych( RODO) nałożyło na administratorów danych, czyli w omawianym przypadku właścicieli sklepów internetowych, obowiązek przekazania osobom, których dane osobowe są zbierane, określonego pakietu informacji. Dobrym rozwiązaniem jest zebranie wszelkich wymaganych informacji w jeden dokument.

Informacje te powinny zostać podane w takiej formie by były przystępne i zrozumiałe dla użytkownika lub klienta. Gdzie zatem umieścić te informacje?

Powinny znajdować się w miejscu łatwo dostępnym dla użytkownika tak, aby mógł on zapoznać się z materiałem w prosty sposób oraz by mógł do niego wracać. Najczęstszym rozwiązaniem jest zamieszczenie dokumentu w oddzielnej zakładce na stronie internetowej. Jeśli strona zawiera formularz kontaktowy lub checkboxy ze zgodami, na przykład na dostarczanie newslettera, link do zakładki z informacjami o przetwarzaniu danych oraz możliwości cofnięcia wyrażonej zgody powinien zostać umieszczony pod chcecboxem lub formularzem.

Polityka prywatności sklepu internetowego, określana często jako polityka bezpieczeństwa sklepu internetowego, nie jest obowiązkowym dokumentem, którego utworzenie wynikać będzie wprost z przepisów Rozporządzenia RODO. Jest to natomiast dobra praktyka pozwalająca na wypełnianie obowiązków wynikających z art. 13 RODO.

Często zdarza się, że polityka bezpieczeństwa sklepu internetowego zawiera część poświęconą plikom cookies. Takie połączenie nie jest błędem i często się sprawdza. 

Co powinna zawierać polityka bezpieczeństwa sklepu internetowego?

Polityka bezpieczeństwa sklepu internetowego powinna zawierać wszystkie cele przetwarzania danych. Powinna uwzględniać czy platforma posiada formularze kontaktowe i jakie dane zbiera za ich pośrednictwem. Ważnym elementem będzie także określenie celu zbieranych zgód, jeśli mamy do czynienia ze zgodami marketingowymi to konieczne będzie określenie zakresu zbieranych danych tak, aby zgodny był on z zasadą minimalizacji.

Poniżej przedstawiono podstawowe elementy jakie powinny znaleźć się w polityce sklepu internetowego.

1. Określenie tożsamości danych kontaktowych administratora.

Dokładne określenie kto jest administratorem danych osobowych użytkowników lub klientów platformy nie powinno sprawiać problemów. Dla wyjaśnienia wskazać należy, że administratorem będzie firma, instytucja, fundacja lub stowarzyszenie, które decydować będzie o sposobach przetwarzania danych. Administratorem można określić także osobę fizyczną prowadzącą jednoosobową działalność gospodarczą działającą w przestrzeni e-commerce.

2. Informacje o gromadzonych danych i celach przetwarzania

Przy każdej usłudze oferowanej przez platformę powinno zostać określone z jakim zamiarem konkretne dane będą wykorzystywane. Przykładowo, jeśli sklep internetowy oferuje swoim klientom możliwość wysyłki newslettera, w polityce powinno zostać określone, że w tym celu zbierany jest adres mailowy oraz- w przypadku chęci spersonalizowania newslettera- płeć klienta. 

Ponadto, administrator powinien pamiętać, że gromadzone dane spełniają zasady minimalizacji, tzn. powinien być zbierany minimalny zakres danych pozwalający na realizację określonego zamierzonego celu. Dane nie powinny być zbierane na zapas.  

3. Informacje o czasie przetwarzania danych

Polityka bezpieczeństwa sklepu internetowego powinna zawierać informacje o długości przetwarzania danych, czyli tak zwane okresy retencji, które zależeć będą od celów przetwarzania danych osobowych. Dane mogą być zbierane na przykład na czas realizacji zamówienia złożonego w sklepie. Czas ten  może być przedłużony o okres przedawnienia wzajemnych roszczeń. Okresy retencji mogą być również określone przez szczegółowe przepisy prawa. 

Jeśli podstawą przetwarzania jest zgoda, dane powinny być przetrzymywane i przetwarzane w pierwotnym celu do czasu jej wycofania. 

4. Informacja o przekazywaniu danych innych podmiotom

Sklepy internetowe, tak jak wiele innych podmiotów, w dużej mierze korzystają z pomocy dostawców niektórych produktów i usług. Przykładem może być wsparcie informatyczne czy zewnętrzna obsługa księgowa. Wspomniane podmioty w celu realizacji umowy łączącej ją z administratorem muszą mieć dostęp do określonych danych. Informacje o przekazywaniu takich danych określonym podmiotom powinny również znaleźć się w polityce informacji.

5. Pozostałe informacje wymagane potencjalnie na podstawie art. 13-14 RODO – w zależności od specyfiki danego sklepu internetowego i potrzeb jego polityki bezpieczeństwa. 

Jednym z podstawowych błędów popełnianych w  związku z tworzeniem polityki bezpieczeństwa jest używanie niedopasowanych do profilu działalności oraz danej platformy, wzorów dokumentacji.

Polityka bezpieczeństwa sklepu internetowego, czyli tak zwana polityka prywatności jest niezwykle ważna natomiast nie jest jedynym aspektem RODO, nad którym należy się pochylić. Istnieje bowiem szereg dodatkowych zobowiązań, jak chociażby regulamin sklepu internetowego czy też właściwie sformułowane zgody. Prowadzenie zgodnego z prawem biznesu w sferze e-commerce możliwe jest tylko dzięki odpowiedniemu dopasowaniu dokumentacji. 

 

Polityka bezpieczeństwa sklepu – pytania i odpowiedzi

Faktem jest, że każdy sklep internetowy przetwarza dane osobowe. Nie jest bowiem możliwym zrealizowanie zamówienia bez danych kupującego. Stąd też przedsiębiorcy prowadzący działalność gospodarczą za pomocą Internetu muszą wdrożyć odpowiednie narzędzia do ochrony danych osobowych swoich kontrahentów, w tym przygotować odpowiednią dokumentację. Jaki jest cel opracowania dokumentacji opisującej sposób i zasady przechowywania danych osobowych? Na to oraz na inne pytania uzyskasz odpowiedź w dalszej części artykułu.

Czy sklep internetowy jest administratorem danych osobowych?

Administratorem danych osobowych jest każda osoba fizyczna lub prawna, organ publiczny, bądź inna jednostka lub podmiot, który samodzielnie lub wspólnie z innymi administratorami ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych osobowych jest więc również przedsiębiorca prowadzący sklep internetowy.

Z uwagi na szeroki zakres przetwarzanych danych osobowych, właściciele sklepów internetowych powinni ze szczególną starannością wprowadzić w swojej firmie narzędzia do ich ochrony.

Każdy przedsiębiorca musi indywidualnie ustalić jakie dane będzie przetwarzał oraz w jaki sposób, uwzględniając przy tym charakter prowadzonej działalności. Następnie właściciel sklepu internetowego powinien przygotować między innymi takie dokumenty jak:

• regulamin sklepu internetowego,
• politykę prywatności,
• politykę bezpieczeństwa,
• politykę dotyczącą plików cookies,
• instrukcję zarządzania systemem informatycznym,
• rejestr czynności przetwarzania danych osobowych,
• rejestr incydentów związanych z naruszeniami danych osobowych,
• rejestr osób upoważnionych do przetwarzania danych osobowych,
• upoważnienia do przetwarzania danych osobowych,
• wzór oświadczenia o udzieleniu zgody na przetwarzanie danych osobowych.

Wiele osób może zadawać sobie pytanie, po co przygotowywać tyle dokumentów dotyczących przepisów RODO. Pierwszym celem jest przedstawienie pracownikom, w jaki sposób powinni postępować z danymi osobowymi klientów. Z kolei drugim celem jest obowiązek informacyjny względem klienta o sposobie i celu przetwarzania jego danych osobowych. 

Jak napisać politykę prywatności sklepu internetowego?

Polityka prywatności jest dokumentem ogólnie dostępnym na stronie internetowej sklepu. Każdy zainteresowany może się z nią zapoznać w każdej chwili. Polityka prywatności powinna zawierać wszystkie informacje dotyczące przetwarzania dany osobowy klientów sklepu internetowego,  między innymi takie jak:

• dane administratora danych osobowych,  
• cel zbierania danych,
• zakres zbieranych danych,
• sposób przechowywania danych,
• okres przetwarzania danych,
• prawa przysługujące klientom w związku z przetwarzaniem danych osobowych, tj. prawo dostępu do swoich danych, do przenoszenia danych, do poprawiania i sprostowania danych, do usunięcia danych, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do organu nadzorczego, bycia zapomnianym,
• czy dane osobowe klientów będą profilowane.

Jak napisać politykę bezpieczeństwa sklepu internetowego?

Polityka bezpieczeństwa to dokument regulujący metody, narzędzia i zasady, których należy używać i stosować w celu zapewnienia bezpieczeństwa przetwarzania informacji danego przedsiębiorcy. Celem opracowania polityki jest wykonanie obowiązku udokumentowania używanych przez administratora danych środków technicznych i organizacyjnych zapewniających odpowiedni poziom ochrony przetwarzania danych osobowych. 

Polityka bezpieczeństwa powinna zawierać między innymi: wykaz zabezpieczeń fizycznych i technicznych, wykaz budynków oraz pomieszczeń gdzie odbywa się przetwarzanie danych osobowych, wykaz zbiorów danych, wykaz programów, które biorą udział w procesie przetwarzania danych, informacje dotyczące przepływu danych pomiędzy systemami.

Podkreślić należy, że polityka bezpieczeństwa jest dokumentem wewnętrznym i nie powinno się jej udostępniać osobom trzecim.