Autorem poniższego wpisu jest Marcin Engelmann z firmy IMAGIN profesjonalnie zajmującej się tematyką bezpieczeństwa informacji – w tym audytami i sporządzaniem dokumentacji danych osobowych. Artykuł pochodzi z książki Technologia w eCommerce która wkrótce ukaże się nakładem wydawnictwa Helion.

Klient sklepu internetowego nie jest anonimowy

Szczególna troska o dane osobowe wynika z istotnej różnicy między prowadzeniem sprzedaży detalicznej w normalnym sklepie a sprzedażą przez Internet, jaką jest utrata przez klienta anonimowości. W pierwszym przypadku sprzedawca zwykle nie pozyskuje danych osobowych kupującego, jedynym dowodem zakupu jest paragon „na okaziciela”.

Przy sprzedaży na odległość niezbędne jest uzyskanie przynajmniej danych adresowych potrzebnych do dostarczenia produktów, a często gromadzone są również dane pomocnicze takie jak adres e–mail, numer telefonu czy różnego rodzaju informacje o preferencjach zakupowych klienta.

Dane osobowe to nie tylko imię i nazwisko

W myśl definicji z ustawy o ochronie danych osobowych danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a więc takiej osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Istotne jest dodatkowe założenie, że informacji nie uważa się za umożliwiającą określenia tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów lub działań.

Typowymi danymi osobowymi, które mogą pojawić się w sklepie internetowym będą na przykład:

  • imię i nazwisko,
  • adres zamieszkania, adres dostawy zamówionych produktów,
  • numer telefonu oraz adres e–mail, który zawiera imię i nazwisko lub jednoznacznie pozwala określić tożsamość jego posiadacza.

Dane, które same w sobie nie są danymi osobowymi, w powiązaniu z typowymi danymi osobowymi stają się ich częścią. Najczęstszy przypadek to lista zamówionych przez klienta towarów:

  • informacja o tytule książki, liczbie sztuk i cenie nie jest daną osobową,
  • informacja o tytule książki, liczbie sztuk i cenie powiązana z imieniem i nazwiskiem klienta wraz z adresem dostawy staje się daną osobową.

W efekcie, może się okazać, że duża część bazy danych sklepu internetowego stanowi zbiór danych osobowych w rozumieniu ustawy o ochronie danych osobowych. Zwłaszcza jeśli między poszczególnymi tabelami występują powiązania typowe dla relacyjnej bazy danych SQL.

Zbiór danych osobowych a baza danych w systemie informatycznym

Zbiór danych osobowych to, zgodnie z definicją z ustawy o ochronie danych osobowych, zestaw danych dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W sklepie internetowym zbiorami danych osobowych będą na przykład: klienci, odbiorcy newslettera (nie trzeba być klientem, żeby dostawać newsletter), uczestnicy promocji lub konkursu.

Jeden zbiór danych może tworzyć kilka baz danych w rozumieniu „informatycznym” i odwrotnie – jedna „SQLowa” baza danych może zawierać w sobie wiele zbiorów danych w rozumieniu przepisów prawa. Jeden zbiór danych może być również przetwarzany w kilku różnych systemach informatycznych.

Z zasady każdy zbiór danych osobowych podlega obowiązkowi rejestracji w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Od tego obowiązku jest jednak 14 wyjątków określonych w ustawie. W większości przypadków sklepów internetowych nie będzie jednak możliwości skorzystania ze zwolnienia z rejestracji.

Należy jednak pamiętać, że zwolnienie z obowiązku rejestracji zbioru w GIODO nie zwalnia przedsiębiorcy z przestrzegania pozostałych przepisów ustawy o ochronie danych osobowych, w szczególności tych dotyczących zabezpieczenia danych.

0 Comments

Leave a reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*