Ochrona danych osobowych w e-Commerce
37
description
Ochrona danych osobowych w e-Commerce GIODO, Newsletter
Transcript of Ochrona danych osobowych w e-Commerce
Klient przestaje być anonimowy
Dane osobowe w sklepach internetowych
◦ Jakie dane osobowe, w jakich zbiorach
◦ Kiedy wolno przetwarzać
◦ O czym poinformować osobę
Ochrona danych
◦ Dlaczego, przed czym i w jaki sposób chronić dane osobowe
◦ Wymagania techniczne i organizacyjne
◦ Co warto zrobić ponad wymagania ustawy
Outsourcing usług a dane osobowe
2
Agenda
Tradycyjny handel nie wymaga pozyskiwania danych osobowych
◦ Dowodem zakupu może być paragon „na okaziciela”
E-Commerce wymaga pozyskiwania danych
◦ Dane adresowe (adres dostawy), numer telefonu (kontakt przy dostawie),
adres e-mail (potwierdzenie zamówienia)
E-Commerce sprzyja pozyskiwaniu nadmiernej ilości danych
◦ Łatwo zbierać i analizować dodatkowe informacje – to kusi
E-commerce udostępnia dane osobowe wielu innym podmiotom
◦ powszechny outsourcing usług
Klient przestaje być anonimowy w stosunku do sprzedawcy
3
Klient nie jest anonimowy
Ustawa o ochronie danych osobowych
◦ obowiązuje od 1997 roku
◦ Pewne niedopasowanie do postępu technologicznego (cloud computing,
outsourcing, wymiana danych między serwisami, szybkie akcje
marketingowe na platformach społecznościowych)
◦ Pojawiają się „nieintuicyjne” interpretacje przepisów
Nadzór nad przestrzeganiem przepisów sprawuje Generalny
Inspektor Ochrony Danych Osobowych (GIODO)
Ustawie podlegają osoby fizyczne i prawne, jeśli przetwarzają
dane osobowe w związku z prowadzoną działalnością
zarobkową, zawodową lub dla realizacji celów statutowych
4
Ustawa o ochronie danych osobowych
Dane osobowe to wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej, a identyfikacja nie wymaga nadmiernych kosztów lub
działań
◦ Imię i nazwisko oraz adres dostawy, numer PESEL, adres e-mail
Danymi osobowymi nie są pojedyncze, ogólne informacje,
niepowiązane z danymi osobowymi
◦ Nazwa ulicy i numer budynku wielorodzinnego (mieszka wiele osób),
wartość zakupów (wiele osób mogło zrobić zakupy na tę samą,
konkretną kwotę), informacja o cenach towarów
5
Dane osobowe to nie tylko imię i nazwisko 1/3
Typowe dane osobowe w sklepie internetowym – realizacja
zamówienia
◦ Imię i nazwisko klienta
◦ Adres dostawy zamówionego produktu
◦ Numer telefonu oraz adres e-mail, który zawiera imię i nazwisko lub
w łatwy sposób pozwala określić tożsamość jego posiadacza
Typowe dane osobowe w sklepie internetowym – newsletter
◦ Adres e-mail, który zawiera imię i nazwisko lub w łatwy sposób pozwala
określić tożsamość jego posiadacza
6
Dane osobowe to nie tylko imię i nazwisko 2/3
Decyduje kontekst, powiązania między danymi, czy posiadacz
tych informacji może przy ich pomocy określić tożsamość
osoby fizycznej
Dane, które same w sobie nie są danymi osobowymi,
powiązane z danymi osobowymi stają się ich częścią
◦ Informacja o tytule książki, liczbie sztuk i cenie – nie jest daną osobową
◦ Informacja o tytule książki, liczbie sztuk i cenie powiązana z imieniem
i nazwiskiem klienta staje się daną osobową
W efekcie duża część bazy danych sklepu internetowego może
stanowić zbiór danych osobowych w rozumieniu ustawy
o ochronie danych osobowych
7
Dane osobowe to nie tylko imię i nazwisko 3/3
Zbiór danych osobowych to zestaw danych dostępnych według
określonych kryteriów
◦ Jeden zbiór danych może składać się z kilku baz danych w rozumieniu
„informatycznym”
◦ Jedna „SQLowa” baza danych może zawierać w sobie wiele zbiorów
danych w rozumieniu przepisów prawa
Zbiory danych podlegają obowiązkowi zgłoszenia i rejestracji
w GIODO
◦ Kilka wyjątków, ale w przypadku typowego e-commerce raczej nie będzie
możliwości skorzystania ze zwolnienia z rejestracji
8
Zbiory danych osobowych
Zbiór danych klientów
◦ Osoby, które założyły konto w sklepie i podały swoje dane (niekoniecznie
musiały coś zamówić)
Zbiór danych odbiorców newslettera
◦ Osoby zainteresowane ofertą sklepu, ale niekoniecznie będące już
klientem
Zbiór danych uczestników konkursu
◦ Osoby biorące udział w konkursie, które nie muszą być klientami ani nie
wyraziły zgody na otrzymywanie informacji handlowych
W firmie jest też wiele innych zbiorów danych osobowych
◦ Pracownicy, dziennik korespondencji
9
Typowe zbiory danych w e-commerce
Przetwarzanie danych osobowych to wszelkie operacje
(czynności) wykonywane na danych
◦ Zbieranie, tworzenie, utrwalanie
◦ Przechowywanie – posiadanie, gromadzenie, archiwizacja
◦ Opracowywanie – zmiana, uzupełnienie
◦ Udostępnianie – innym podmiotom
◦ Wykorzystanie – kontakt telefoniczny z klientem, realizacja zamówienia,
wysłanie newslettera
◦ Usunięcie – zniszczenie, anonimizacja
10
Przetwarzanie danych osobowych
Należy dołożyć szczególnej staranności w celu ochrony
interesów osób, których dane są przetwarzane
◦ Zgodnie z prawem – podstawa prawna do przetwarzania,
respektowanie praw osób (informowanie, zaprzestanie przetwarzania na
żądanie), zabezpieczenie danych
◦ W określonym celu – nie można zmieniać go w trakcie
◦ Nie dłużej niż jest to potrzebne – po realizacji celu przetwarzania
należy dane usunąć
◦ Dane merytoryczne są poprawne i adekwatne – nie należy
przetwarzać danych, które nie są niezbędne dla realizacji celu
11
Ochrona interesów osób
Rejestr klauzul niedozwolonych prowadzony przez Urząd
Ochrony Konkurencji i Konsumentów (UOKiK)
25 października nowa klauzula niedozwolona dotycząca
przekazywania danych klienta do serwisów zbierających opinię
o usługach i produktach
◦ „Klient dokonujący zakupu wyraża zgodę na przekazanie swojego adresu e-mail do …………..
z siedzibą w …………. oraz przetwarzanie przez sklep oraz …………….. swoich danych
osobowych w celu wypełnienia ankiety z opinią o dokonanej transakcji w sklepie zgodnie z
przepisami ustawy o ochronie danych osobowych z dnia 29.08.1997 r.”
Trzeba pozyskać niezależną zgodę na przekazanie danych
innemu podmiotowi, zgoda nie może być domniemana
12
Aktualność 25.10: Rejestr klauzul niedozwolonych
Przetwarzanie danych najczęściej na podstawie jednej z poniższych
przesłanek
Zgoda osoby, której dane dotyczą – „uniwersalne”
Jest to konieczne do realizacji umowy, której osoba jest stroną
lub jest to niezbędne do podjęcia działań przed zawarciem umowy
na żądanie tej osoby – sprzedaż nie wymaga pozyskiwania zgody
Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych
celów realizowanych przez administratora danych i nie narusza
to praw i wolności osoby – marketing bezpośredni własnych
produktów lub usług oraz dochodzenie roszczeń z tytułu
prowadzonej działalności gospodarczej
13
Zgoda na przetwarzanie, ale nie tylko
Osoba, która przekazuje swoje dane osobowe powinna zostać
powiadomiona o:
◦ Adresie siedziby i pełnej nazwie firmy, która jest właścicielem sklepu
◦ Celu zbierania danych oraz o odbiorach danych, którym te dane będą
przekazywane
◦ Prawie dostępu do treści swoich danych oraz ich poprawiania
◦ Dobrowolności albo obowiązku podania danych (wtedy należy również
podać podstawę prawną)
14
Obowiązek informacyjny
Powody biznesowe
◦ Dane osobowe to istotny zasób, bez którego sklep internetowy
w ogóle może nie działać lub działa w ograniczonym zakresie
◦ Uniknięcie problemów wynikających z utraty danych
◦ Ochrona reputacji, która mogłaby ucierpieć w przypadku
niepoprawnego przetwarzania danych lub ich utraty
◦ Zapewnienie prawidłowego działania firmy po wystąpieniu incydentu
bezpieczeństwa (awaria dysku twardego, utrata dokumentów, włamanie)
15
Dlaczego należy chronić dane osobowe 1/2
Odpowiedzialność wynikająca z ustawy
◦ Karna – grzywna do 50-200 tysięcy złotych, kara ograniczenia oraz kara
pozbawienia wolności do lat 3
◦ Administracyjna – wymóg poprawienia błędów, a nawet usunięcia
zgromadzonych danych
◦ Dyscyplinarna – dotyczy pracowników
Odpowiedzialność odszkodowawcza
◦ Odszkodowanie w przypadku naruszenia praw osoby lub wyrządzenia
szkody majątkowej lub krzywdy
16
Dlaczego należy chronić dane osobowe 2/2
listopad – LOT – dane innych osób widziane przy rezerwacji biletów
październik – Adobe – dane 3 milionów klientów (identyfikator, e-
mail, hash hasła)
październik – Ministerstwo Gospodarki – skany paszportów,
dostęp do skrzynek pocztowych, dokumenty)
październik – Hyperion – dane 400 tys. abonentów (imię i
nazwisko, adres, numer telefonu, NIP, PESEL, numer rachunku
bankowego saldo rozliczeń)
październik – Ekiosk.pl – próba nieautoryzowanego dostępu do
bazy danych (e-mail, nazwa użytkownika, hash hasła)
lipiec – OVH – włamanie (imię, nazwisko, identyfikator NIC, adres
zamieszkania, telefon, hash hasła)
17
Wycieki danych osobowych
Losowe (niezamierzone)
◦ Zewnętrzne – pożar, zalanie, katastrofa budowlana, awaria zasilania,
problemy z łącznością między serwerami, niewłaściwe parametry
środowiskowe (temperatura, wilgotność, zasilanie) dla pracy sprzętu
elektronicznego
◦ Wewnętrzne – pomyłkowe usunięcie lub zniszczenie danych, awarie
oprogramowania, serwerów, komputerów, zgubienie dokumentów,
laptopa, pendrive’a, przypadkowe wyrzucenie dokumentów lub nośników
danych na śmietnik, pozostawienie ich na serwerze, który jest
„zwalniany”, udostępnienie danych osobom nieupoważnionym
18
Zagrożenia dla danych 1/2
Umyślne
◦ Włamanie do biura lub innych pomieszczeń, w których znajdują się
dokumenty i serwery
◦ Włamanie do systemu informatycznego
◦ Kradzież dokumentów, komputerów, nośników danych
◦ Zniszczenie danych przez atakującego (włamywacza) lub pracownika
◦ Ujawnienie danych osobom nieupoważnionym, wyciek informacji
poza firmę
19
Zagrożenia dla danych 2/2
Tym, którym ufamy dajemy największe uprawnienia,
sprawiające, że powinniśmy ich bardziej pilnować
Pracownicy:
◦ mają dostęp do wewnętrznych systemów (księgowych, magazynowych)
◦ znają hasła do zewnętrznych systemów (płatności online, bankowe,
dostawcy)
◦ mogą nieświadomie doprowadzić do zagrożenia bezpieczeństwa
informacji i całej firmy
Każdy uzyskuje taki poziom uprawnień, który jest niezbędny do
realizacji powierzonych mu zadań
20
Zaufanie do pracowników
Zastosować środki techniczne i organizacyjne zabezpieczające
dane osobowe przed:
◦ Udostępnieniem osobom nieupoważnionym
◦ Zabraniem przez osoby nieuprawnione
◦ Przetwarzaniem z naruszeniem ustawy (szerokie)
◦ Zmianą
◦ Utratą, uszkodzeniem, zniszczeniem
21
W jaki sposób chronić dane
Ustawa wymaga sporządzenia pisemnej dokumentacji, która
określa sposób przetwarzania danych oraz opisuje środku
techniczne i organizacyjne zapewniające ochronę przetwarzanych
danych osobowych
◦ Polityka bezpieczeństwa danych osobowych
◦ Instrukcja zarządzania systemem informatycznym
◦ Ewidencja osób upoważnionych do przetwarzania
Zawartość dokumentów jest opisana w rozporządzeniu do
ustawy (minimum, które dokumentacja musi zawierać)
Procedury należy wdrożyć i stosować, a nie jedynie spisać
22
Wymagana dokumentacja
Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących
obszar, w którym przetwarzane są dane osobowe
Wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych
Opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi
Sposób przepływu danych pomiędzy poszczególnymi systemami
Określenie środków technicznych i organizacyjnych niezbędnych do
zapewnienia poufności, integralności i rozliczalności
przetwarzanych danych
23
Polityka bezpieczeństwa danych osobowych
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
Sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
24
Instrukcja zarządzania systemem informatycznym
Oprogramowanie sklepu internetowego wraz z serwerem, na
którym działa tworzą system informatyczny
Wymagania ustawy nie zależą od rodzaju oprogramowania
i obowiązują każdy sklep internetowy, niezależnie od tego czy
korzysta z:
◦ Oprogramowania komercyjnego lub darmowego
◦ Gotowych pakietów i programów stworzonych lub dostosowywanych do
indywidualnych potrzeb sklepu
◦ Platform hostujących sklepy internetowe
25
Wymagania dla systemów informatycznych 1/3
Zapewnienie kontroli dostępu – system musi wymagać podania
identyfikatora użytkownika i hasła (lub inna metoda identyfikacji
i uwierzytelnienia)
Każdy użytkownik musi posiadać indywidualny identyfikator –
nie wolno korzystać ze wspólnego konta (np. „admin” w panelu do
zarządzania)
Wymuszenie zmiany hasła co określoną liczbę dni oraz poziomu
jego skomplikowania (zalecane)
Odnotowywanie informacji o wprowadzonych danych osobowych
Zabezpieczenie przed zagrożeniami pochodzącymi z Internetu
(aktualizowanie oprogramowania, firewall)
26
Wymagania dla systemów informatycznych 2/3
Zabezpieczenie transmisji przez Internet – szyfrowane
połączenie HTTPS i certyfikat SSL powinny być wykorzystywane co
najmniej dla zabezpieczenia logowania, ale zaleca się szyfrowanie
również obsługi koszyka oraz panelu użytkownika i panelu
administracyjnego sklepu
Wykonywanie kopii zapasowych – należy przechowywać je w
innej lokalizacji (budynku) niż znajdują się serwery oraz zapewnić
co najmniej taki sam poziom bezpieczeństwa jak dla systemu
sklepu oraz skutecznie usunąć, kiedy nie są już potrzebne
27
Wymagania dla systemów informatycznych 3/3
Do danych osobowych dostęp mogą mieć wyłącznie osoby
imiennie upoważnione
◦ Niezależnie od rodzaju umowy na podstawie której współpracują
z właścicielem sklepu internetowego
◦ Zobowiązanie do zachowania w tajemnicy danych osobowych
◦ Każda osoba powinna zostać wpisana do Ewidencji osób upoważnionych
Szkolenia dla osób przetwarzających dane osobowe są
zalecane w celu uświadomienia zagrożeń oraz potrzeby
zabezpieczenia danych osobowych
28
Dane tylko dla osób upoważnionych
Wymagania nakładane przez ustawę warto traktować jako
wyjściowe i uzupełnić o dodatkowe procedury i zasady
◦ Postępowania w przypadku naruszenia bezpieczeństwa
◦ Udzielenia odpowiedzi osobie, której dane są przetwarzane (kilka
przypadków, w zależności od trybu żądania)
◦ Udostępnienia danych innym podmiotom
◦ Powierzenia przetwarzania danych (outsourcing)
◦ Wykonywania przeglądów systemów informatycznych
◦ Korzystania z Internetu, poczty elektronicznej i komunikatorów
29
Oprócz wymagań ustawy 1/2
Szkolenia dla osób, które przetwarzają dane osobowe!
◦ Posługiwać się wyłącznie swoim identyfikatorem użytkownika
◦ Blokować dostęp do komputera, kiedy się go nie używa
◦ Nie przesyłać danych przez Internet bez ich zaszyfrowania (uwaga na
przesyłanie mailem)
◦ Ostrożnie korzystać z poczty elektronicznej (pomyłka w adresie odbiorcy)
◦ Używać niszczarek dokumentów
◦ Hasła powinny być raczej długie i łatwe do zapamiętania, niż krótkie
i skomplikowane (jednocześnie mogą być skomplikowane)
Złe: bhPUT4!H
Lepsze: niebieski wagon wesoly zajac
◦ Zwracać uwagę na wszelkie niestandardowe sytuacje
30
Oprócz wymagań ustawy 2/2
Z outsourcingiem może wiązać się powierzenie przetwarzania
danych osobowych firmie świadczącej outsource’owaną
usługę
◦ Hostingi współdzielone, serwery wirtualne, przetwarzanie w chmurze, na
serwerach firm zewnętrznych
◦ Firma świadcząca usługi programistyczne i tworząca sklep
◦ Zewnętrzna platforma wysyłająca newslettery i mailingi
◦ Obsługa księgowa (biuro rachunkowe)
◦ Obsługa IT sprzętu komputerowego (pogotowie komputerowe)
Obowiązek zawarcia pisemnej umowy powierzenia
przetwarzania danych osobowych wynika z ustawy, umowa musi
określać
◦ Cel powierzenia
◦ Zakres powierzonych danych
31
Outsourcing usług a dane osobowe 1/2
Umowa powierzenia przetwarzania danych osobowych nakłada
na współpracującą firmę obowiązek ochrony powierzonych
danych osobowych
◦ Odpowiedzialność firmy świadczącej usługę jest taka sama jak
odpowiedzialność powierzającego (administratora danych)
To właściciel sklepu (administrator danych osobowych)
odpowiada za właściwy wybór podmiotu, któremu powierzył
przetwarzanie danych osobowych
◦ Musi dochować szczególnej staranności – obowiązek ustawowy
32
Outsourcing usług a dane osobowe 2/2
Wybierając serwer, na którym będzie działał sklep internetowy
warto zwrócić uwagę na jego fizyczną lokalizację w kontekście
przepisów o ochronie danych osobowych
◦ Obawa o przekazywanie danych osobowych do państw, które mogą nie
zapewniać gwarancji ochrony danych osobowych w stopniu takim jak
w Polsce
Przekazywanie danych osobowych i bez ograniczeń
◦ Polska i kraje Europejskiego Obszaru Gospodarczego (państwa Unii
Europejskiej, Norwegia, Islandia i Lichtenstein)
33
Polska, Europa, świat – serwery 1/2
Przekazywanie danych osobowych bez ograniczeń c.d.
◦ Kraje nie należące do EOG, ale zapewniające wystarczający poziom
ochrony danych osobowych (decyzja Komisji Europejskiej), w tej chwili
10 państw
◦ Kanada i Szwajcaria – bez ograniczeń
◦ Stany Zjednoczone Ameryki – bez ograniczeń, jeśli firma amerykańska
przystąpiła do programu „Bezpieczna przystań” (ang. Safe Harbour)
34
Polska, Europa, świat – serwery 2/2
Dane osobowe nie są jedynymi informacjami, które należy
(lub co najmniej warto) zabezpieczyć przed utratą, modyfikacją
lub uzyskaniem dostępu przez osoby niepowołane
Informacje poufne, handlowe, finansowe, które mogą stanowić
przewagę konkurencyjną przedsiębiorcy (cenniki, rabaty, informacje
o dostawcach, dane dostępowe do integracji z zewnętrznymi
systemami, np. obsługa płatności online, dostarczanie przesyłek)
Wdrażając zasady ochrony danych osobowych jednocześnie
poprawiamy zabezpieczenie innych informacji
35
Warto chronić nie tylko dane osobowe
Najważniejsze przepisy dotyczące danych osobowych
◦ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst
jedn. Dz.U. 2002 nr 101 poz. 926 z późn. zm.)
◦ Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
(Dz.U. 2002 nr 144 poz. 1204)
◦ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia
29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024)
36
Ustawy i rozporządzenie
