wróć do listy
banery-blog-poradnik-początki sklepu

Bezpieczeństwo i ochrona danych klientów sklepu internetowego – co warto wiedzieć?

Ochrona danych klientów sklepu internetowego to dla pracodawców nie tylko obowiązek. Zadbanie o pełne bezpieczeństwo sprawi, że klient będzie mógł poczuć się u nas bezpiecznie. Można więc z tego pozornie żmudnego obowiązku zrobić czynnik, który skutecznie umocni wizerunek marki. Trzeba jednak skrupulatnie zapoznać się z kilkoma ważnymi w tej kwestii sprawami.

Bezpieczeństwo serwisu internetowego – audyt

Nie będąc ekspertem w budowaniu systemów bezpieczeństwa, zapewnienie pełnej ochrony danych osobowych klientów może być trudne. Należy zlecić audyt serwisu internetowego. Pozwoli on na pełną analizę poziomu zabezpieczeń w firmie. Wówczas powinno się uzyskać odpowiedź na pytania:

Po przeprowadzeniu audytu można przejść do konstruowania polityki bezpieczeństwa. Jednak odpowiedź na pytania dotyczące polityki prywatności i obowiązku informacyjnego można uzyskać jeszcze przed wykonaniem audytu, zapoznając się z artykułem Co zrobić, aby polityka prywatności i formularz kontaktowy były zgodne z prawem?

Polityki bezpieczeństwa i instrukcja zarządzania systemem informatycznym

Sklepy internetowe powinny prowadzić odpowiednią dokumentację, opisującą sposób przetwarzania danych osobowych. Wskazać muszą również środki techniczne i organizacyjne zapewniające tę ochronę. Mogą tego dokonać przez prawidłowe skonstruowanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym.

Obowiązujące w polskim prawie przepisy zalecają, co powinna zawierać polityka bezpieczeństwa m.in.:

W przypadku instrukcji zarządzania systemem informatycznym należy zwrócić uwagę na:

Zapoznanie pracowników z zasadami przetwarzania danych

Wdrożenie polityki bezpieczeństwa w sklepie internetowym to jednak nie wszystko. Na ochronę przechowywania i przetwarzania danych osobowych składa się jeszcze odpowiednia wiedza i świadomość pracowników. Dlatego istotne jest, by kadra dokładnie zapoznała się z firmową dokumentacją dotyczącą baz danych firmy. Duże przedsiębiorstwa często decydują się na  specjalne szkoleniach w tym zakresie.

Warto również przedstawić pracownikom zagadnienia związane z poziomami bezpieczeństwa ochrony danych  w systemie informatycznym. Wyróżnia się 3 poziomy:

  1. podstawowy – stosowany, gdy w systemie informatycznym nie są przetwarzane dane, a urządzenie nie jest podłączone do sieci publicznej,
  2. podwyższony – stosowany, gdy w systemie informatycznym są przetwarzane dane, ale urządzenie nie jest podłączone do sieci publicznej,
  3. wysoki – stosowany, gdy w systemie informatycznym są przetwarzane dane i urządzenie jest podłączone do sieci publicznej.

Umowy powierzenia przetwarzania danych osobowych

Każdy administrator danych osobowych (w tym sklep internetowy) może powierzyć drugiej stronie ich przetwarzanie. Dane dostarcza się zazwyczaj dostawcom usług kurierskich, outsourcingowych, kadrowo-płacowych czy hostingowych. Podczas przekazywania tych danych administrator ma obowiązek zapewnić ich pełne bezpieczeństwo. Najlepszym rozwiązaniem dla takiej sytuacji jest podpisanie umowy powierzenia przetwarzania danych osobowych.

Dokument powinien zawierać przede wszystkim tak podstawowe informacje, jak zakres przetwarzania danych oraz jego cel. Ponadto administrator powinien oświadczyć, że ma pełne prawo do przetwarzania danych. Z kolei zleceniobiorca, że spełnia wszelkie warunki techniczne i organizacyjne. Pomocne może okazać się zastosowanie dodatkowych klauzul dotyczących np.:

Podsumowanie

Zapewnienie bezpieczeństwa ochrony danych osobowych klientów w sklepie internetowym to kwestia, na którą składa się wiele etapów. Zacząć należy od audytu serwisu internetowego. Po szczegółowej analizie należy przejść do skonstruowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym zgodnie z przepisami prawa. Istotne jest również praktyczne podejście – to oznacza odpowiednie przeszkolenie kadry pracowniczej. Dodatkowo warto zwrócić uwagę na kwestię umów powierzenia przetwarzania danych osobowych.