Ochrona danych osobowych w e-Commerce
Upcoming SlideShare
Loading in...5
×
 

Ochrona danych osobowych w e-Commerce

on

  • 893 views

Ochrona danych osobowych w e-Commerce

Ochrona danych osobowych w e-Commerce
GIODO, Newsletter

Statistics

Views

Total Views
893
Views on SlideShare
892
Embed Views
1

Actions

Likes
6
Downloads
15
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Ochrona danych osobowych w e-Commerce Ochrona danych osobowych w e-Commerce Presentation Transcript

  • Ochrona danych osobowych w e-commerce Marcin Engelmann mengelmann@imagin.pl, IMAGIN Sp. z o.o.
  • Agenda  Klient przestaje być anonimowy  Dane osobowe w sklepach internetowych ◦ Jakie dane osobowe, w jakich zbiorach ◦ Kiedy wolno przetwarzać ◦ O czym poinformować osobę  Ochrona danych ◦ Dlaczego, przed czym i w jaki sposób chronić dane osobowe ◦ Wymagania techniczne i organizacyjne ◦ Co warto zrobić ponad wymagania ustawy  Outsourcing usług a dane osobowe 2
  • Klient nie jest anonimowy  Tradycyjny handel nie wymaga pozyskiwania danych osobowych ◦ Dowodem zakupu może być paragon „na okaziciela”  E-Commerce wymaga pozyskiwania danych ◦ Dane adresowe (adres dostawy), numer telefonu (kontakt przy dostawie), adres e-mail (potwierdzenie zamówienia)  E-Commerce sprzyja pozyskiwaniu nadmiernej ilości danych ◦ Łatwo zbierać i analizować dodatkowe informacje – to kusi  E-commerce udostępnia dane osobowe wielu innym podmiotom ◦ powszechny outsourcing usług  Klient przestaje być anonimowy w stosunku do sprzedawcy 3 View slide
  • Ustawa o ochronie danych osobowych  Ustawa o ochronie danych osobowych ◦ obowiązuje od 1997 roku ◦ Pewne niedopasowanie do postępu technologicznego (cloud computing, outsourcing, wymiana danych między serwisami, szybkie akcje marketingowe na platformach społecznościowych) ◦ Pojawiają się „nieintuicyjne” interpretacje przepisów  Nadzór nad przestrzeganiem przepisów sprawuje Generalny Inspektor Ochrony Danych Osobowych (GIODO)  Ustawie podlegają osoby fizyczne i prawne, jeśli przetwarzają dane osobowe w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów statutowych 4 View slide
  • Dane osobowe to nie tylko imię i nazwisko 1/3  Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a identyfikacja nie wymaga nadmiernych kosztów lub działań ◦ Imię i nazwisko oraz adres dostawy, numer PESEL, adres e-mail  Danymi osobowymi nie są pojedyncze, ogólne informacje, niepowiązane z danymi osobowymi ◦ Nazwa ulicy i numer budynku wielorodzinnego (mieszka wiele osób), wartość zakupów (wiele osób mogło zrobić zakupy na tę samą, konkretną kwotę), informacja o cenach towarów 5
  • Dane osobowe to nie tylko imię i nazwisko 2/3  Typowe dane osobowe w sklepie internetowym – realizacja zamówienia ◦ Imię i nazwisko klienta ◦ Adres dostawy zamówionego produktu ◦ Numer telefonu oraz adres e-mail, który zawiera imię i nazwisko lub w łatwy sposób pozwala określić tożsamość jego posiadacza  Typowe dane osobowe w sklepie internetowym – newsletter ◦ Adres e-mail, który zawiera imię i nazwisko lub w łatwy sposób pozwala określić tożsamość jego posiadacza 6
  • Dane osobowe to nie tylko imię i nazwisko 3/3  Decyduje kontekst, powiązania między danymi, czy posiadacz tych informacji może przy ich pomocy określić tożsamość osoby fizycznej  Dane, które same w sobie nie są danymi osobowymi, powiązane z danymi osobowymi stają się ich częścią ◦ Informacja o tytule książki, liczbie sztuk i cenie – nie jest daną osobową ◦ Informacja o tytule książki, liczbie sztuk i cenie powiązana z imieniem i nazwiskiem klienta staje się daną osobową  W efekcie duża część bazy danych sklepu internetowego może stanowić zbiór danych osobowych w rozumieniu ustawy o ochronie danych osobowych 7
  • Zbiory danych osobowych  Zbiór danych osobowych to zestaw danych dostępnych według określonych kryteriów ◦ Jeden zbiór danych może składać się z kilku baz danych w rozumieniu „informatycznym” ◦ Jedna „SQLowa” baza danych może zawierać w sobie wiele zbiorów danych w rozumieniu przepisów prawa  Zbiory danych podlegają obowiązkowi zgłoszenia i rejestracji w GIODO ◦ Kilka wyjątków, ale w przypadku typowego e-commerce raczej nie będzie możliwości skorzystania ze zwolnienia z rejestracji 8
  • Typowe zbiory danych w e-commerce  Zbiór danych klientów ◦ Osoby, które założyły konto w sklepie i podały swoje dane (niekoniecznie musiały coś zamówić)  Zbiór danych odbiorców newslettera ◦ Osoby zainteresowane ofertą sklepu, ale niekoniecznie będące już klientem  Zbiór danych uczestników konkursu ◦ Osoby biorące udział w konkursie, które nie muszą być klientami ani nie wyraziły zgody na otrzymywanie informacji handlowych  W firmie jest też wiele innych zbiorów danych osobowych ◦ Pracownicy, dziennik korespondencji 9
  • Przetwarzanie danych osobowych  Przetwarzanie danych osobowych to wszelkie operacje (czynności) wykonywane na danych ◦ Zbieranie, tworzenie, utrwalanie ◦ Przechowywanie – posiadanie, gromadzenie, archiwizacja ◦ Opracowywanie – zmiana, uzupełnienie ◦ Udostępnianie – innym podmiotom ◦ Wykorzystanie – kontakt telefoniczny z klientem, realizacja zamówienia, wysłanie newslettera ◦ Usunięcie – zniszczenie, anonimizacja 10
  • Ochrona interesów osób  Należy dołożyć szczególnej staranności w celu ochrony interesów osób, których dane są przetwarzane ◦ Zgodnie z prawem – podstawa prawna do przetwarzania, respektowanie praw osób (informowanie, zaprzestanie przetwarzania na żądanie), zabezpieczenie danych ◦ W określonym celu – nie można zmieniać go w trakcie ◦ Nie dłużej niż jest to potrzebne – po realizacji celu przetwarzania należy dane usunąć ◦ Dane merytoryczne są poprawne i adekwatne – nie należy przetwarzać danych, które nie są niezbędne dla realizacji celu 11
  • Aktualność 25.10: Rejestr klauzul niedozwolonych  Rejestr klauzul niedozwolonych prowadzony przez Urząd Ochrony Konkurencji i Konsumentów (UOKiK)  25 października nowa klauzula niedozwolona dotycząca przekazywania danych klienta do serwisów zbierających opinię o usługach i produktach ◦ „Klient dokonujący zakupu wyraża zgodę na przekazanie swojego adresu e-mail do ………….. z siedzibą w …………. oraz przetwarzanie przez sklep oraz …………….. swoich danych osobowych w celu wypełnienia ankiety z opinią o dokonanej transakcji w sklepie zgodnie z przepisami ustawy o ochronie danych osobowych z dnia 29.08.1997 r.”  Trzeba pozyskać niezależną zgodę na przekazanie danych innemu podmiotowi, zgoda nie może być domniemana 12
  • Zgoda na przetwarzanie, ale nie tylko  Przetwarzanie danych najczęściej na podstawie jednej z poniższych przesłanek  Zgoda osoby, której dane dotyczą – „uniwersalne”  Jest to konieczne do realizacji umowy, której osoba jest stroną lub jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby – sprzedaż nie wymaga pozyskiwania zgody  Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych i nie narusza to praw i wolności osoby – marketing bezpośredni własnych produktów lub usług oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej 13
  • Obowiązek informacyjny  Osoba, która przekazuje swoje dane osobowe powinna zostać powiadomiona o: ◦ Adresie siedziby i pełnej nazwie firmy, która jest właścicielem sklepu ◦ Celu zbierania danych oraz o odbiorach danych, którym te dane będą przekazywane ◦ Prawie dostępu do treści swoich danych oraz ich poprawiania ◦ Dobrowolności albo obowiązku podania danych (wtedy należy również podać podstawę prawną) 14
  • Dlaczego należy chronić dane osobowe 1/2  Powody biznesowe ◦ Dane osobowe to istotny zasób, bez którego sklep internetowy w ogóle może nie działać lub działa w ograniczonym zakresie ◦ Uniknięcie problemów wynikających z utraty danych ◦ Ochrona reputacji, która mogłaby ucierpieć w przypadku niepoprawnego przetwarzania danych lub ich utraty ◦ Zapewnienie prawidłowego działania firmy po wystąpieniu incydentu bezpieczeństwa (awaria dysku twardego, utrata dokumentów, włamanie) 15
  • Dlaczego należy chronić dane osobowe 2/2  Odpowiedzialność wynikająca z ustawy ◦ Karna – grzywna do 50-200 tysięcy złotych, kara ograniczenia oraz kara pozbawienia wolności do lat 3 ◦ Administracyjna – wymóg poprawienia błędów, a nawet usunięcia zgromadzonych danych ◦ Dyscyplinarna – dotyczy pracowników  Odpowiedzialność odszkodowawcza ◦ Odszkodowanie w przypadku naruszenia praw osoby lub wyrządzenia szkody majątkowej lub krzywdy 16
  • Wycieki danych osobowych       listopad – LOT – dane innych osób widziane przy rezerwacji biletów październik – Adobe – dane 3 milionów klientów (identyfikator, email, hash hasła) październik – Ministerstwo Gospodarki – skany paszportów, dostęp do skrzynek pocztowych, dokumenty) październik – Hyperion – dane 400 tys. abonentów (imię i nazwisko, adres, numer telefonu, NIP, PESEL, numer rachunku bankowego saldo rozliczeń) październik – Ekiosk.pl – próba nieautoryzowanego dostępu do bazy danych (e-mail, nazwa użytkownika, hash hasła) lipiec – OVH – włamanie (imię, nazwisko, identyfikator NIC, adres zamieszkania, telefon, hash hasła) 17
  • Zagrożenia dla danych 1/2  Losowe (niezamierzone) ◦ Zewnętrzne – pożar, zalanie, katastrofa budowlana, awaria zasilania, problemy z łącznością między serwerami, niewłaściwe parametry środowiskowe (temperatura, wilgotność, zasilanie) dla pracy sprzętu elektronicznego ◦ Wewnętrzne – pomyłkowe usunięcie lub zniszczenie danych, awarie oprogramowania, serwerów, komputerów, zgubienie dokumentów, laptopa, pendrive’a, przypadkowe wyrzucenie dokumentów lub nośników danych na śmietnik, pozostawienie ich na serwerze, który jest „zwalniany”, udostępnienie danych osobom nieupoważnionym 18
  • Zagrożenia dla danych 2/2  Umyślne ◦ Włamanie do biura lub innych pomieszczeń, w których znajdują się dokumenty i serwery ◦ Włamanie do systemu informatycznego ◦ Kradzież dokumentów, komputerów, nośników danych ◦ Zniszczenie danych przez atakującego (włamywacza) lub pracownika ◦ Ujawnienie danych osobom nieupoważnionym, wyciek informacji poza firmę 19
  • Zaufanie do pracowników  Tym, którym ufamy dajemy największe uprawnienia, sprawiające, że powinniśmy ich bardziej pilnować  Pracownicy: ◦ mają dostęp do wewnętrznych systemów (księgowych, magazynowych) ◦ znają hasła do zewnętrznych systemów (płatności online, bankowe, dostawcy) ◦ mogą nieświadomie doprowadzić do zagrożenia bezpieczeństwa informacji i całej firmy  Każdy uzyskuje taki poziom uprawnień, który jest niezbędny do realizacji powierzonych mu zadań 20
  • W jaki sposób chronić dane  Zastosować środki techniczne i organizacyjne zabezpieczające dane osobowe przed: ◦ Udostępnieniem osobom nieupoważnionym ◦ Zabraniem przez osoby nieuprawnione ◦ Przetwarzaniem z naruszeniem ustawy (szerokie) ◦ Zmianą ◦ Utratą, uszkodzeniem, zniszczeniem 21
  • Wymagana dokumentacja  Ustawa wymaga sporządzenia pisemnej dokumentacji, która określa sposób przetwarzania danych oraz opisuje środku techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych ◦ Polityka bezpieczeństwa danych osobowych ◦ Instrukcja zarządzania systemem informatycznym ◦ Ewidencja osób upoważnionych do przetwarzania  Zawartość dokumentów jest opisana w rozporządzeniu do ustawy (minimum, które dokumentacja musi zawierać)  Procedury należy wdrożyć i stosować, a nie jedynie spisać 22
  • Polityka bezpieczeństwa danych osobowych  Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe  Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych  Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi  Sposób przepływu danych pomiędzy poszczególnymi systemami  Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 23
  • Instrukcja zarządzania systemem informatycznym       Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania Sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 24
  • Wymagania dla systemów informatycznych 1/3  Oprogramowanie sklepu internetowego wraz z serwerem, na którym działa tworzą system informatyczny  Wymagania ustawy nie zależą od rodzaju oprogramowania i obowiązują każdy sklep internetowy, niezależnie od tego czy korzysta z: ◦ Oprogramowania komercyjnego lub darmowego ◦ Gotowych pakietów i programów stworzonych lub dostosowywanych do indywidualnych potrzeb sklepu ◦ Platform hostujących sklepy internetowe 25
  • Wymagania dla systemów informatycznych 2/3  Zapewnienie kontroli dostępu – system musi wymagać podania identyfikatora użytkownika i hasła (lub inna metoda identyfikacji i uwierzytelnienia)  Każdy użytkownik musi posiadać indywidualny identyfikator – nie wolno korzystać ze wspólnego konta (np. „admin” w panelu do zarządzania)  Wymuszenie zmiany hasła co określoną liczbę dni oraz poziomu jego skomplikowania (zalecane)  Odnotowywanie informacji o wprowadzonych danych osobowych  Zabezpieczenie przed zagrożeniami pochodzącymi z Internetu (aktualizowanie oprogramowania, firewall) 26
  • Wymagania dla systemów informatycznych 3/3  Zabezpieczenie transmisji przez Internet – szyfrowane połączenie HTTPS i certyfikat SSL powinny być wykorzystywane co najmniej dla zabezpieczenia logowania, ale zaleca się szyfrowanie również obsługi koszyka oraz panelu użytkownika i panelu administracyjnego sklepu  Wykonywanie kopii zapasowych – należy przechowywać je w innej lokalizacji (budynku) niż znajdują się serwery oraz zapewnić co najmniej taki sam poziom bezpieczeństwa jak dla systemu sklepu oraz skutecznie usunąć, kiedy nie są już potrzebne 27
  • Dane tylko dla osób upoważnionych  Do danych osobowych dostęp mogą mieć wyłącznie osoby imiennie upoważnione ◦ Niezależnie od rodzaju umowy na podstawie której współpracują z właścicielem sklepu internetowego ◦ Zobowiązanie do zachowania w tajemnicy danych osobowych ◦ Każda osoba powinna zostać wpisana do Ewidencji osób upoważnionych  Szkolenia dla osób przetwarzających dane osobowe są zalecane w celu uświadomienia zagrożeń oraz potrzeby zabezpieczenia danych osobowych 28
  • Oprócz wymagań ustawy 1/2  Wymagania nakładane przez ustawę warto traktować jako wyjściowe i uzupełnić o dodatkowe procedury i zasady ◦ Postępowania w przypadku naruszenia bezpieczeństwa ◦ Udzielenia odpowiedzi osobie, której dane są przetwarzane (kilka przypadków, w zależności od trybu żądania) ◦ Udostępnienia danych innym podmiotom ◦ Powierzenia przetwarzania danych (outsourcing) ◦ Wykonywania przeglądów systemów informatycznych ◦ Korzystania z Internetu, poczty elektronicznej i komunikatorów 29
  • Oprócz wymagań ustawy 2/2  Szkolenia dla osób, które przetwarzają dane osobowe! ◦ Posługiwać się wyłącznie swoim identyfikatorem użytkownika ◦ Blokować dostęp do komputera, kiedy się go nie używa ◦ Nie przesyłać danych przez Internet bez ich zaszyfrowania (uwaga na przesyłanie mailem) ◦ Ostrożnie korzystać z poczty elektronicznej (pomyłka w adresie odbiorcy) ◦ Używać niszczarek dokumentów ◦ Hasła powinny być raczej długie i łatwe do zapamiętania, niż krótkie i skomplikowane (jednocześnie mogą być skomplikowane) Złe: bhPUT4!H Lepsze: niebieski wagon wesoly zajac ◦ Zwracać uwagę na wszelkie niestandardowe sytuacje 30
  • Outsourcing usług a dane osobowe 1/2  Z outsourcingiem może wiązać się powierzenie przetwarzania danych osobowych firmie świadczącej outsource’owaną usługę ◦ Hostingi współdzielone, serwery wirtualne, przetwarzanie w chmurze, na serwerach firm zewnętrznych ◦ Firma świadcząca usługi programistyczne i tworząca sklep ◦ Zewnętrzna platforma wysyłająca newslettery i mailingi ◦ Obsługa księgowa (biuro rachunkowe) ◦ Obsługa IT sprzętu komputerowego (pogotowie komputerowe)  Obowiązek zawarcia pisemnej umowy powierzenia przetwarzania danych osobowych wynika z ustawy, umowa musi określać ◦ Cel powierzenia ◦ Zakres powierzonych danych 31
  • Outsourcing usług a dane osobowe 2/2  Umowa powierzenia przetwarzania danych osobowych nakłada na współpracującą firmę obowiązek ochrony powierzonych danych osobowych ◦ Odpowiedzialność firmy świadczącej usługę jest taka sama jak odpowiedzialność powierzającego (administratora danych)  To właściciel sklepu (administrator danych osobowych) odpowiada za właściwy wybór podmiotu, któremu powierzył przetwarzanie danych osobowych ◦ Musi dochować szczególnej staranności – obowiązek ustawowy 32
  • Polska, Europa, świat – serwery 1/2  Wybierając serwer, na którym będzie działał sklep internetowy warto zwrócić uwagę na jego fizyczną lokalizację w kontekście przepisów o ochronie danych osobowych ◦ Obawa o przekazywanie danych osobowych do państw, które mogą nie zapewniać gwarancji ochrony danych osobowych w stopniu takim jak w Polsce  Przekazywanie danych osobowych i bez ograniczeń ◦ Polska i kraje Europejskiego Obszaru Gospodarczego (państwa Unii Europejskiej, Norwegia, Islandia i Lichtenstein) 33
  • Polska, Europa, świat – serwery 2/2  Przekazywanie danych osobowych bez ograniczeń c.d. ◦ Kraje nie należące do EOG, ale zapewniające wystarczający poziom ochrony danych osobowych (decyzja Komisji Europejskiej), w tej chwili 10 państw ◦ Kanada i Szwajcaria – bez ograniczeń ◦ Stany Zjednoczone Ameryki – bez ograniczeń, jeśli firma amerykańska przystąpiła do programu „Bezpieczna przystań” (ang. Safe Harbour) 34
  • Warto chronić nie tylko dane osobowe  Dane osobowe nie są jedynymi informacjami, które należy (lub co najmniej warto) zabezpieczyć przed utratą, modyfikacją lub uzyskaniem dostępu przez osoby niepowołane  Informacje poufne, handlowe, finansowe, które mogą stanowić przewagę konkurencyjną przedsiębiorcy (cenniki, rabaty, informacje o dostawcach, dane dostępowe do integracji z zewnętrznymi systemami, np. obsługa płatności online, dostarczanie przesyłek)  Wdrażając zasady ochrony danych osobowych jednocześnie poprawiamy zabezpieczenie innych informacji 35
  • Ustawy i rozporządzenie  Najważniejsze przepisy dotyczące danych osobowych ◦ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. 2002 nr 101 poz. 926 z późn. zm.) ◦ Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204) ◦ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024) 36
  • Dziękuję za uwagę!   Pytania? Marcin Engelmann mengelmann@imagin.pl, IMAGIN Sp. z o.o. 37