SlideShare a Scribd company logo

Ochrona danych osobowych w e-Commerce

Divante
Divante

Ochrona danych osobowych w e-Commerce GIODO, Newsletter

Education
1 of 37
Download to read offline
Ochrona danych osobowych w e-commerce Marcin Engelmann mengelmann@imagin.pl, IMAGIN Sp. z o.o.
Agenda  Klient przestaje być anonimowy  Dane osobowe w sklepach internetowych ◦ Jakie dane osobowe, w jakich zbiorach ◦ Kiedy wolno przetwarzać ◦ O czym poinformować osobę  Ochrona danych ◦ Dlaczego, przed czym i w jaki sposób chronić dane osobowe ◦ Wymagania techniczne i organizacyjne ◦ Co warto zrobić ponad wymagania ustawy  Outsourcing usług a dane osobowe 2
Klient nie jest anonimowy  Tradycyjny handel nie wymaga pozyskiwania danych osobowych ◦ Dowodem zakupu może być paragon „na okaziciela”  E-Commerce wymaga pozyskiwania danych ◦ Dane adresowe (adres dostawy), numer telefonu (kontakt przy dostawie), adres e-mail (potwierdzenie zamówienia)  E-Commerce sprzyja pozyskiwaniu nadmiernej ilości danych ◦ Łatwo zbierać i analizować dodatkowe informacje – to kusi  E-commerce udostępnia dane osobowe wielu innym podmiotom ◦ powszechny outsourcing usług  Klient przestaje być anonimowy w stosunku do sprzedawcy 3
Ustawa o ochronie danych osobowych  Ustawa o ochronie danych osobowych ◦ obowiązuje od 1997 roku ◦ Pewne niedopasowanie do postępu technologicznego (cloud computing, outsourcing, wymiana danych między serwisami, szybkie akcje marketingowe na platformach społecznościowych) ◦ Pojawiają się „nieintuicyjne” interpretacje przepisów  Nadzór nad przestrzeganiem przepisów sprawuje Generalny Inspektor Ochrony Danych Osobowych (GIODO)  Ustawie podlegają osoby fizyczne i prawne, jeśli przetwarzają dane osobowe w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów statutowych 4
Dane osobowe to nie tylko imię i nazwisko 1/3  Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a identyfikacja nie wymaga nadmiernych kosztów lub działań ◦ Imię i nazwisko oraz adres dostawy, numer PESEL, adres e-mail  Danymi osobowymi nie są pojedyncze, ogólne informacje, niepowiązane z danymi osobowymi ◦ Nazwa ulicy i numer budynku wielorodzinnego (mieszka wiele osób), wartość zakupów (wiele osób mogło zrobić zakupy na tę samą, konkretną kwotę), informacja o cenach towarów 5
Dane osobowe to nie tylko imię i nazwisko 2/3  Typowe dane osobowe w sklepie internetowym – realizacja zamówienia ◦ Imię i nazwisko klienta ◦ Adres dostawy zamówionego produktu ◦ Numer telefonu oraz adres e-mail, który zawiera imię i nazwisko lub w łatwy sposób pozwala określić tożsamość jego posiadacza  Typowe dane osobowe w sklepie internetowym – newsletter ◦ Adres e-mail, który zawiera imię i nazwisko lub w łatwy sposób pozwala określić tożsamość jego posiadacza 6
Dane osobowe to nie tylko imię i nazwisko 3/3  Decyduje kontekst, powiązania między danymi, czy posiadacz tych informacji może przy ich pomocy określić tożsamość osoby fizycznej  Dane, które same w sobie nie są danymi osobowymi, powiązane z danymi osobowymi stają się ich częścią ◦ Informacja o tytule książki, liczbie sztuk i cenie – nie jest daną osobową ◦ Informacja o tytule książki, liczbie sztuk i cenie powiązana z imieniem i nazwiskiem klienta staje się daną osobową  W efekcie duża część bazy danych sklepu internetowego może stanowić zbiór danych osobowych w rozumieniu ustawy o ochronie danych osobowych 7
Zbiory danych osobowych  Zbiór danych osobowych to zestaw danych dostępnych według określonych kryteriów ◦ Jeden zbiór danych może składać się z kilku baz danych w rozumieniu „informatycznym” ◦ Jedna „SQLowa” baza danych może zawierać w sobie wiele zbiorów danych w rozumieniu przepisów prawa  Zbiory danych podlegają obowiązkowi zgłoszenia i rejestracji w GIODO ◦ Kilka wyjątków, ale w przypadku typowego e-commerce raczej nie będzie możliwości skorzystania ze zwolnienia z rejestracji 8
Typowe zbiory danych w e-commerce  Zbiór danych klientów ◦ Osoby, które założyły konto w sklepie i podały swoje dane (niekoniecznie musiały coś zamówić)  Zbiór danych odbiorców newslettera ◦ Osoby zainteresowane ofertą sklepu, ale niekoniecznie będące już klientem  Zbiór danych uczestników konkursu ◦ Osoby biorące udział w konkursie, które nie muszą być klientami ani nie wyraziły zgody na otrzymywanie informacji handlowych  W firmie jest też wiele innych zbiorów danych osobowych ◦ Pracownicy, dziennik korespondencji 9
Przetwarzanie danych osobowych  Przetwarzanie danych osobowych to wszelkie operacje (czynności) wykonywane na danych ◦ Zbieranie, tworzenie, utrwalanie ◦ Przechowywanie – posiadanie, gromadzenie, archiwizacja ◦ Opracowywanie – zmiana, uzupełnienie ◦ Udostępnianie – innym podmiotom ◦ Wykorzystanie – kontakt telefoniczny z klientem, realizacja zamówienia, wysłanie newslettera ◦ Usunięcie – zniszczenie, anonimizacja 10
Ochrona interesów osób  Należy dołożyć szczególnej staranności w celu ochrony interesów osób, których dane są przetwarzane ◦ Zgodnie z prawem – podstawa prawna do przetwarzania, respektowanie praw osób (informowanie, zaprzestanie przetwarzania na żądanie), zabezpieczenie danych ◦ W określonym celu – nie można zmieniać go w trakcie ◦ Nie dłużej niż jest to potrzebne – po realizacji celu przetwarzania należy dane usunąć ◦ Dane merytoryczne są poprawne i adekwatne – nie należy przetwarzać danych, które nie są niezbędne dla realizacji celu 11
Aktualność 25.10: Rejestr klauzul niedozwolonych  Rejestr klauzul niedozwolonych prowadzony przez Urząd Ochrony Konkurencji i Konsumentów (UOKiK)  25 października nowa klauzula niedozwolona dotycząca przekazywania danych klienta do serwisów zbierających opinię o usługach i produktach ◦ „Klient dokonujący zakupu wyraża zgodę na przekazanie swojego adresu e-mail do ………….. z siedzibą w …………. oraz przetwarzanie przez sklep oraz …………….. swoich danych osobowych w celu wypełnienia ankiety z opinią o dokonanej transakcji w sklepie zgodnie z przepisami ustawy o ochronie danych osobowych z dnia 29.08.1997 r.”  Trzeba pozyskać niezależną zgodę na przekazanie danych innemu podmiotowi, zgoda nie może być domniemana 12
Zgoda na przetwarzanie, ale nie tylko  Przetwarzanie danych najczęściej na podstawie jednej z poniższych przesłanek  Zgoda osoby, której dane dotyczą – „uniwersalne”  Jest to konieczne do realizacji umowy, której osoba jest stroną lub jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby – sprzedaż nie wymaga pozyskiwania zgody  Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych i nie narusza to praw i wolności osoby – marketing bezpośredni własnych produktów lub usług oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej 13
Obowiązek informacyjny  Osoba, która przekazuje swoje dane osobowe powinna zostać powiadomiona o: ◦ Adresie siedziby i pełnej nazwie firmy, która jest właścicielem sklepu ◦ Celu zbierania danych oraz o odbiorach danych, którym te dane będą przekazywane ◦ Prawie dostępu do treści swoich danych oraz ich poprawiania ◦ Dobrowolności albo obowiązku podania danych (wtedy należy również podać podstawę prawną) 14
Dlaczego należy chronić dane osobowe 1/2  Powody biznesowe ◦ Dane osobowe to istotny zasób, bez którego sklep internetowy w ogóle może nie działać lub działa w ograniczonym zakresie ◦ Uniknięcie problemów wynikających z utraty danych ◦ Ochrona reputacji, która mogłaby ucierpieć w przypadku niepoprawnego przetwarzania danych lub ich utraty ◦ Zapewnienie prawidłowego działania firmy po wystąpieniu incydentu bezpieczeństwa (awaria dysku twardego, utrata dokumentów, włamanie) 15
Dlaczego należy chronić dane osobowe 2/2  Odpowiedzialność wynikająca z ustawy ◦ Karna – grzywna do 50-200 tysięcy złotych, kara ograniczenia oraz kara pozbawienia wolności do lat 3 ◦ Administracyjna – wymóg poprawienia błędów, a nawet usunięcia zgromadzonych danych ◦ Dyscyplinarna – dotyczy pracowników  Odpowiedzialność odszkodowawcza ◦ Odszkodowanie w przypadku naruszenia praw osoby lub wyrządzenia szkody majątkowej lub krzywdy 16
Wycieki danych osobowych       listopad – LOT – dane innych osób widziane przy rezerwacji biletów październik – Adobe – dane 3 milionów klientów (identyfikator, email, hash hasła) październik – Ministerstwo Gospodarki – skany paszportów, dostęp do skrzynek pocztowych, dokumenty) październik – Hyperion – dane 400 tys. abonentów (imię i nazwisko, adres, numer telefonu, NIP, PESEL, numer rachunku bankowego saldo rozliczeń) październik – Ekiosk.pl – próba nieautoryzowanego dostępu do bazy danych (e-mail, nazwa użytkownika, hash hasła) lipiec – OVH – włamanie (imię, nazwisko, identyfikator NIC, adres zamieszkania, telefon, hash hasła) 17
Zagrożenia dla danych 1/2  Losowe (niezamierzone) ◦ Zewnętrzne – pożar, zalanie, katastrofa budowlana, awaria zasilania, problemy z łącznością między serwerami, niewłaściwe parametry środowiskowe (temperatura, wilgotność, zasilanie) dla pracy sprzętu elektronicznego ◦ Wewnętrzne – pomyłkowe usunięcie lub zniszczenie danych, awarie oprogramowania, serwerów, komputerów, zgubienie dokumentów, laptopa, pendrive’a, przypadkowe wyrzucenie dokumentów lub nośników danych na śmietnik, pozostawienie ich na serwerze, który jest „zwalniany”, udostępnienie danych osobom nieupoważnionym 18
Zagrożenia dla danych 2/2  Umyślne ◦ Włamanie do biura lub innych pomieszczeń, w których znajdują się dokumenty i serwery ◦ Włamanie do systemu informatycznego ◦ Kradzież dokumentów, komputerów, nośników danych ◦ Zniszczenie danych przez atakującego (włamywacza) lub pracownika ◦ Ujawnienie danych osobom nieupoważnionym, wyciek informacji poza firmę 19
Zaufanie do pracowników  Tym, którym ufamy dajemy największe uprawnienia, sprawiające, że powinniśmy ich bardziej pilnować  Pracownicy: ◦ mają dostęp do wewnętrznych systemów (księgowych, magazynowych) ◦ znają hasła do zewnętrznych systemów (płatności online, bankowe, dostawcy) ◦ mogą nieświadomie doprowadzić do zagrożenia bezpieczeństwa informacji i całej firmy  Każdy uzyskuje taki poziom uprawnień, który jest niezbędny do realizacji powierzonych mu zadań 20
W jaki sposób chronić dane  Zastosować środki techniczne i organizacyjne zabezpieczające dane osobowe przed: ◦ Udostępnieniem osobom nieupoważnionym ◦ Zabraniem przez osoby nieuprawnione ◦ Przetwarzaniem z naruszeniem ustawy (szerokie) ◦ Zmianą ◦ Utratą, uszkodzeniem, zniszczeniem 21
Wymagana dokumentacja  Ustawa wymaga sporządzenia pisemnej dokumentacji, która określa sposób przetwarzania danych oraz opisuje środku techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych ◦ Polityka bezpieczeństwa danych osobowych ◦ Instrukcja zarządzania systemem informatycznym ◦ Ewidencja osób upoważnionych do przetwarzania  Zawartość dokumentów jest opisana w rozporządzeniu do ustawy (minimum, które dokumentacja musi zawierać)  Procedury należy wdrożyć i stosować, a nie jedynie spisać 22
Polityka bezpieczeństwa danych osobowych  Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe  Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych  Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi  Sposób przepływu danych pomiędzy poszczególnymi systemami  Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 23
Instrukcja zarządzania systemem informatycznym       Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania Sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 24
Wymagania dla systemów informatycznych 1/3  Oprogramowanie sklepu internetowego wraz z serwerem, na którym działa tworzą system informatyczny  Wymagania ustawy nie zależą od rodzaju oprogramowania i obowiązują każdy sklep internetowy, niezależnie od tego czy korzysta z: ◦ Oprogramowania komercyjnego lub darmowego ◦ Gotowych pakietów i programów stworzonych lub dostosowywanych do indywidualnych potrzeb sklepu ◦ Platform hostujących sklepy internetowe 25
Wymagania dla systemów informatycznych 2/3  Zapewnienie kontroli dostępu – system musi wymagać podania identyfikatora użytkownika i hasła (lub inna metoda identyfikacji i uwierzytelnienia)  Każdy użytkownik musi posiadać indywidualny identyfikator – nie wolno korzystać ze wspólnego konta (np. „admin” w panelu do zarządzania)  Wymuszenie zmiany hasła co określoną liczbę dni oraz poziomu jego skomplikowania (zalecane)  Odnotowywanie informacji o wprowadzonych danych osobowych  Zabezpieczenie przed zagrożeniami pochodzącymi z Internetu (aktualizowanie oprogramowania, firewall) 26
Wymagania dla systemów informatycznych 3/3  Zabezpieczenie transmisji przez Internet – szyfrowane połączenie HTTPS i certyfikat SSL powinny być wykorzystywane co najmniej dla zabezpieczenia logowania, ale zaleca się szyfrowanie również obsługi koszyka oraz panelu użytkownika i panelu administracyjnego sklepu  Wykonywanie kopii zapasowych – należy przechowywać je w innej lokalizacji (budynku) niż znajdują się serwery oraz zapewnić co najmniej taki sam poziom bezpieczeństwa jak dla systemu sklepu oraz skutecznie usunąć, kiedy nie są już potrzebne 27
Dane tylko dla osób upoważnionych  Do danych osobowych dostęp mogą mieć wyłącznie osoby imiennie upoważnione ◦ Niezależnie od rodzaju umowy na podstawie której współpracują z właścicielem sklepu internetowego ◦ Zobowiązanie do zachowania w tajemnicy danych osobowych ◦ Każda osoba powinna zostać wpisana do Ewidencji osób upoważnionych  Szkolenia dla osób przetwarzających dane osobowe są zalecane w celu uświadomienia zagrożeń oraz potrzeby zabezpieczenia danych osobowych 28
Oprócz wymagań ustawy 1/2  Wymagania nakładane przez ustawę warto traktować jako wyjściowe i uzupełnić o dodatkowe procedury i zasady ◦ Postępowania w przypadku naruszenia bezpieczeństwa ◦ Udzielenia odpowiedzi osobie, której dane są przetwarzane (kilka przypadków, w zależności od trybu żądania) ◦ Udostępnienia danych innym podmiotom ◦ Powierzenia przetwarzania danych (outsourcing) ◦ Wykonywania przeglądów systemów informatycznych ◦ Korzystania z Internetu, poczty elektronicznej i komunikatorów 29
Oprócz wymagań ustawy 2/2  Szkolenia dla osób, które przetwarzają dane osobowe! ◦ Posługiwać się wyłącznie swoim identyfikatorem użytkownika ◦ Blokować dostęp do komputera, kiedy się go nie używa ◦ Nie przesyłać danych przez Internet bez ich zaszyfrowania (uwaga na przesyłanie mailem) ◦ Ostrożnie korzystać z poczty elektronicznej (pomyłka w adresie odbiorcy) ◦ Używać niszczarek dokumentów ◦ Hasła powinny być raczej długie i łatwe do zapamiętania, niż krótkie i skomplikowane (jednocześnie mogą być skomplikowane) Złe: bhPUT4!H Lepsze: niebieski wagon wesoly zajac ◦ Zwracać uwagę na wszelkie niestandardowe sytuacje 30
Outsourcing usług a dane osobowe 1/2  Z outsourcingiem może wiązać się powierzenie przetwarzania danych osobowych firmie świadczącej outsource’owaną usługę ◦ Hostingi współdzielone, serwery wirtualne, przetwarzanie w chmurze, na serwerach firm zewnętrznych ◦ Firma świadcząca usługi programistyczne i tworząca sklep ◦ Zewnętrzna platforma wysyłająca newslettery i mailingi ◦ Obsługa księgowa (biuro rachunkowe) ◦ Obsługa IT sprzętu komputerowego (pogotowie komputerowe)  Obowiązek zawarcia pisemnej umowy powierzenia przetwarzania danych osobowych wynika z ustawy, umowa musi określać ◦ Cel powierzenia ◦ Zakres powierzonych danych 31
Outsourcing usług a dane osobowe 2/2  Umowa powierzenia przetwarzania danych osobowych nakłada na współpracującą firmę obowiązek ochrony powierzonych danych osobowych ◦ Odpowiedzialność firmy świadczącej usługę jest taka sama jak odpowiedzialność powierzającego (administratora danych)  To właściciel sklepu (administrator danych osobowych) odpowiada za właściwy wybór podmiotu, któremu powierzył przetwarzanie danych osobowych ◦ Musi dochować szczególnej staranności – obowiązek ustawowy 32
Polska, Europa, świat – serwery 1/2  Wybierając serwer, na którym będzie działał sklep internetowy warto zwrócić uwagę na jego fizyczną lokalizację w kontekście przepisów o ochronie danych osobowych ◦ Obawa o przekazywanie danych osobowych do państw, które mogą nie zapewniać gwarancji ochrony danych osobowych w stopniu takim jak w Polsce  Przekazywanie danych osobowych i bez ograniczeń ◦ Polska i kraje Europejskiego Obszaru Gospodarczego (państwa Unii Europejskiej, Norwegia, Islandia i Lichtenstein) 33
Polska, Europa, świat – serwery 2/2  Przekazywanie danych osobowych bez ograniczeń c.d. ◦ Kraje nie należące do EOG, ale zapewniające wystarczający poziom ochrony danych osobowych (decyzja Komisji Europejskiej), w tej chwili 10 państw ◦ Kanada i Szwajcaria – bez ograniczeń ◦ Stany Zjednoczone Ameryki – bez ograniczeń, jeśli firma amerykańska przystąpiła do programu „Bezpieczna przystań” (ang. Safe Harbour) 34
Warto chronić nie tylko dane osobowe  Dane osobowe nie są jedynymi informacjami, które należy (lub co najmniej warto) zabezpieczyć przed utratą, modyfikacją lub uzyskaniem dostępu przez osoby niepowołane  Informacje poufne, handlowe, finansowe, które mogą stanowić przewagę konkurencyjną przedsiębiorcy (cenniki, rabaty, informacje o dostawcach, dane dostępowe do integracji z zewnętrznymi systemami, np. obsługa płatności online, dostarczanie przesyłek)  Wdrażając zasady ochrony danych osobowych jednocześnie poprawiamy zabezpieczenie innych informacji 35
Ustawy i rozporządzenie  Najważniejsze przepisy dotyczące danych osobowych ◦ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. 2002 nr 101 poz. 926 z późn. zm.) ◦ Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204) ◦ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024) 36
Dziękuję za uwagę!   Pytania? Marcin Engelmann mengelmann@imagin.pl, IMAGIN Sp. z o.o. 37

Recommended

Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych3camp
 
Cognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieCognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieSzkoleniaCognity
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
ABI - teraźniejszość i przyszłość
ABI - teraźniejszość i przyszłośćABI - teraźniejszość i przyszłość
ABI - teraźniejszość i przyszłośćWyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieFundacja Rozwoju Branży Internetowej Netcamp
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Krzysztof Sługocki
 
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrCognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrSzkoleniaCognity
 
Odo03a 20150821
Odo03a 20150821Odo03a 20150821
Odo03a 20150821Krzysztof Sługocki
 

Recommended

Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych3camp
 
Cognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieCognity - Ochrona Danych Osobowych w Firmie
Cognity - Ochrona Danych Osobowych w FirmieSzkoleniaCognity
 
Prezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychPrezentacja o ochronie danych osobowych
Prezentacja o ochronie danych osobowychSzkoleniaCognity
 
ABI - teraźniejszość i przyszłość
ABI - teraźniejszość i przyszłośćABI - teraźniejszość i przyszłość
ABI - teraźniejszość i przyszłośćWyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Netcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieNetcamp #12 - Ochrona danych osobowych w Internecie
Netcamp #12 - Ochrona danych osobowych w InternecieFundacja Rozwoju Branży Internetowej Netcamp
 
Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Ochrona danych osobowych (ODO2013)
Ochrona danych osobowych (ODO2013)Krzysztof Sługocki
 
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrCognity Szkolenia - Ochrona danych osobowych w działach HR i kadr
Cognity Szkolenia - Ochrona danych osobowych w działach HR i kadrSzkoleniaCognity
 
Odo03a 20150821
Odo03a 20150821Odo03a 20150821
Odo03a 20150821Krzysztof Sługocki
 
Ochrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLOchrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLŁukasz Cieniak
 
Konferencja sare
Konferencja sareKonferencja sare
Konferencja sareguest01a5a3
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018ngopl
 
Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Krzysztof Sługocki
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejngopl
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowengopl
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCOGNITY Szkolenia
 
Dane osobowe w data center
Dane osobowe w data centerDane osobowe w data center
Dane osobowe w data centerAgata Kowalska
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowychRK Legal
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych3camp
 
RODO - co nas czeka?
RODO - co nas czeka?RODO - co nas czeka?
RODO - co nas czeka?RK Legal
 
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...ngopl
 
Obowiazek informacyjny
Obowiazek informacyjnyObowiazek informacyjny
Obowiazek informacyjnyWyższa Szkoła Biznesu w Dąbrowie Górniczej
 
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykiWebinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykingopl
 
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...PwC Polska
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychSpodek 2.0
 
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...ngopl
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PROIDEA
 
Dane osobowe nowe możliwosci i zagrozenia
Dane osobowe nowe możliwosci i zagrozeniaDane osobowe nowe możliwosci i zagrozenia
Dane osobowe nowe możliwosci i zagrozeniaMarta Pacyga
 
PLNOG15: Personal data - new opportunities and threats - Agata Kowalska
PLNOG15: Personal data - new opportunities and threats - Agata KowalskaPLNOG15: Personal data - new opportunities and threats - Agata Kowalska
PLNOG15: Personal data - new opportunities and threats - Agata KowalskaPROIDEA
 
Dam ipada za dane osobowe
Dam ipada za dane osoboweDam ipada za dane osobowe
Dam ipada za dane osoboweiSecure2010
 

More Related Content

What's hot

Ochrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLOchrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLŁukasz Cieniak
 
Konferencja sare
Konferencja sareKonferencja sare
Konferencja sareguest01a5a3
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018ngopl
 
Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Krzysztof Sługocki
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOngopl
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejngopl
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowengopl
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCOGNITY Szkolenia
 
Dane osobowe w data center
Dane osobowe w data centerDane osobowe w data center
Dane osobowe w data centerAgata Kowalska
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowychRK Legal
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych3camp
 
RODO - co nas czeka?
RODO - co nas czeka?RODO - co nas czeka?
RODO - co nas czeka?RK Legal
 
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...ngopl
 
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykiWebinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykingopl
 
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...PwC Polska
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychSpodek 2.0
 
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...ngopl
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PROIDEA
 

What's hot (19)

Ochrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PLOchrona danych osobowych RBDO.PL
Ochrona danych osobowych RBDO.PL
 
Konferencja sare
Konferencja sareKonferencja sare
Konferencja sare
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w NGO w-2018
 
Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015Zmiany w prawie ochrony danych osobowych od 01.01.2015
Zmiany w prawie ochrony danych osobowych od 01.01.2015
 
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODOWebinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
Webinarium SCWO/portal ngo.pl 2018: 4 rzeczy o RODO
 
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowejWebinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
Webinarium SCWO/portal ngo.pl 2017: Dane osobowe w organizacji pozarządowej
 
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osoboweWebinarium SCWO/portal ngo.pl 2018: Dane osobowe
Webinarium SCWO/portal ngo.pl 2018: Dane osobowe
 
Cognity Ochrona Danych Osobowych
Cognity Ochrona Danych OsobowychCognity Ochrona Danych Osobowych
Cognity Ochrona Danych Osobowych
 
Dane osobowe w data center
Dane osobowe w data centerDane osobowe w data center
Dane osobowe w data center
 
10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych10 najważniejszych zmian w ochronie danych osobowych
10 najważniejszych zmian w ochronie danych osobowych
 
Ochrona danych osobowych
Ochrona danych osobowychOchrona danych osobowych
Ochrona danych osobowych
 
RODO - co nas czeka?
RODO - co nas czeka?RODO - co nas czeka?
RODO - co nas czeka?
 
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...
Webinarium SCWO/portal ngo.pl 2021: Promujesz organizację? Chroń dane osobowe...
 
Obowiazek informacyjny
Obowiazek informacyjnyObowiazek informacyjny
Obowiazek informacyjny
 
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktykiWebinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
Webinarium SCWO/BORIS 2018: RODO – dobre i złe praktyki
 
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...
DPO Talks - Rola Inspektora Ochrony Danych w realizacji praw podmiotów danych...
 
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowychObowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych
 
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...
Webinarium SCWO/portal ngo.pl 2020: RODO a zatrudnienie w organizacji pozarzą...
 
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
PLNOG14: Zmiany w prawie konsumenckim i ochronie prywatności w 2015 r. - Artu...
 

Similar to Ochrona danych osobowych w e-Commerce

Dane osobowe nowe możliwosci i zagrozenia
Dane osobowe nowe możliwosci i zagrozeniaDane osobowe nowe możliwosci i zagrozenia
Dane osobowe nowe możliwosci i zagrozeniaMarta Pacyga
 
PLNOG15: Personal data - new opportunities and threats - Agata Kowalska
PLNOG15: Personal data - new opportunities and threats - Agata KowalskaPLNOG15: Personal data - new opportunities and threats - Agata Kowalska
PLNOG15: Personal data - new opportunities and threats - Agata KowalskaPROIDEA
 
Dam ipada za dane osobowe
Dam ipada za dane osoboweDam ipada za dane osobowe
Dam ipada za dane osoboweiSecure2010
 
Dam iPada za dane osobowe
Dam iPada za dane osoboweDam iPada za dane osobowe
Dam iPada za dane osoboweiSecure2010
 
Dam i pada za dane osobowe
Dam i pada za dane osoboweDam i pada za dane osobowe
Dam i pada za dane osoboweiSecure2010
 
Dam ipada za dane osobowe
Dam ipada za dane osoboweDam ipada za dane osobowe
Dam ipada za dane osoboweiSecure2010
 
Najważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODO
Najważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODONajważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODO
Najważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODOiSecure
 
PLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPROIDEA
 
GDPR/RODO w rekrutacji
GDPR/RODO w rekrutacjiGDPR/RODO w rekrutacji
GDPR/RODO w rekrutacjiTRAFFIT
 
IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...
IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...
IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...ecommerce poland expo
 
Prawny niezbędnik internetowego start-up'u
Prawny niezbędnik internetowego start-up'uPrawny niezbędnik internetowego start-up'u
Prawny niezbędnik internetowego start-up'uTomasz Zalewski
 
WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.
WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.
WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.PushPushGO
 
Prawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowskaPrawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowskaJakub Dabkowski
 
Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...
Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...
Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...Eversheds Sutherland Wierzbowski
 
Afc module 2 pl
Afc module 2 plAfc module 2 pl
Afc module 2 plSoniaNaiba
 
Podpis elektroniczny
Podpis elektronicznyPodpis elektroniczny
Podpis elektronicznyAnna Rzepka
 
Cała prawda o RODO w praktyce
Cała prawda o RODO w praktyceCała prawda o RODO w praktyce
Cała prawda o RODO w praktycePwC Polska
 

Similar to Ochrona danych osobowych w e-Commerce (20)

Dane osobowe nowe możliwosci i zagrozenia
Dane osobowe nowe możliwosci i zagrozeniaDane osobowe nowe możliwosci i zagrozenia
Dane osobowe nowe możliwosci i zagrozenia
 
PLNOG15: Personal data - new opportunities and threats - Agata Kowalska
PLNOG15: Personal data - new opportunities and threats - Agata KowalskaPLNOG15: Personal data - new opportunities and threats - Agata Kowalska
PLNOG15: Personal data - new opportunities and threats - Agata Kowalska
 
Dam ipada za dane osobowe
Dam ipada za dane osoboweDam ipada za dane osobowe
Dam ipada za dane osobowe
 
Dam iPada za dane osobowe
Dam iPada za dane osoboweDam iPada za dane osobowe
Dam iPada za dane osobowe
 
Dam i pada za dane osobowe
Dam i pada za dane osoboweDam i pada za dane osobowe
Dam i pada za dane osobowe
 
Dam ipada za dane osobowe
Dam ipada za dane osoboweDam ipada za dane osobowe
Dam ipada za dane osobowe
 
Najważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODO
Najważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODONajważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODO
Najważniejsze informacje o Rozporządzeniu o Ochronie Danych, czyli RODO
 
PLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacyPLNOG 13: Artur Piechocki: Protection of privacy
PLNOG 13: Artur Piechocki: Protection of privacy
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
 
GDPR/RODO w rekrutacji
GDPR/RODO w rekrutacjiGDPR/RODO w rekrutacji
GDPR/RODO w rekrutacji
 
IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...
IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...
IV Kongres eHandlu, Michał Bienias (Kancelaria Traple Konarski Podrecki i Wsp...
 
Ceo kurs pl 7
Ceo kurs pl 7Ceo kurs pl 7
Ceo kurs pl 7
 
Prawny niezbędnik internetowego start-up'u
Prawny niezbędnik internetowego start-up'uPrawny niezbędnik internetowego start-up'u
Prawny niezbędnik internetowego start-up'u
 
WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.
WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.
WEBINAR | Jak działać zgodnie z przepisami? Prawne aspekty marketingu online.
 
Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)Rodo prezentacja dla_pracownikow (1)
Rodo prezentacja dla_pracownikow (1)
 
Prawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowskaPrawo cookies i dane osobowe ochrona a.wenskowska
Prawo cookies i dane osobowe ochrona a.wenskowska
 
Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...
Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...
Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powin...
 
Afc module 2 pl
Afc module 2 plAfc module 2 pl
Afc module 2 pl
 
Podpis elektroniczny
Podpis elektronicznyPodpis elektroniczny
Podpis elektroniczny
 
Cała prawda o RODO w praktyce
Cała prawda o RODO w praktyceCała prawda o RODO w praktyce
Cała prawda o RODO w praktyce
 

More from Divante

How to spin off the product from the agency
How to spin off the product from the agencyHow to spin off the product from the agency
How to spin off the product from the agencyDivante
 
I love-marketing - Technologie w ktore warto inwestowac w eCommerce
I love-marketing - Technologie w ktore warto inwestowac w eCommerceI love-marketing - Technologie w ktore warto inwestowac w eCommerce
I love-marketing - Technologie w ktore warto inwestowac w eCommerceDivante
 
Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce
Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce
Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce Divante
 
Sprzedaż rozwiązuje wszystkie problemy
Sprzedaż rozwiązuje wszystkie problemySprzedaż rozwiązuje wszystkie problemy
Sprzedaż rozwiązuje wszystkie problemyDivante
 
Wejście do Omnichannel - 5 czynników sukcesu
Wejście do Omnichannel - 5 czynników sukcesuWejście do Omnichannel - 5 czynników sukcesu
Wejście do Omnichannel - 5 czynników sukcesuDivante
 
Wysoka skalowalność systemu e-commerce na przykładzie magento
Wysoka skalowalność systemu e-commerce na przykładzie magentoWysoka skalowalność systemu e-commerce na przykładzie magento
Wysoka skalowalność systemu e-commerce na przykładzie magentoDivante
 
Wzorce projektowe w Magento
Wzorce projektowe w MagentoWzorce projektowe w Magento
Wzorce projektowe w MagentoDivante
 
Agregacja i analiza logów
Agregacja i analiza logówAgregacja i analiza logów
Agregacja i analiza logówDivante
 
Code review
Code reviewCode review
Code reviewDivante
 
CDP.pl - tech case study by Divante
CDP.pl - tech case study by DivanteCDP.pl - tech case study by Divante
CDP.pl - tech case study by DivanteDivante
 
Kongres eHandlu - Przyszłość e-Commerce
Kongres eHandlu - Przyszłość e-CommerceKongres eHandlu - Przyszłość e-Commerce
Kongres eHandlu - Przyszłość e-CommerceDivante
 
Jak mierzyć e-Commerce - Big Data w e-Commerce
Jak mierzyć e-Commerce - Big Data w e-CommerceJak mierzyć e-Commerce - Big Data w e-Commerce
Jak mierzyć e-Commerce - Big Data w e-CommerceDivante
 
Sprzeda zagraniczna case study funmedia-bart-omiej postek
Sprzeda zagraniczna case study funmedia-bart-omiej postekSprzeda zagraniczna case study funmedia-bart-omiej postek
Sprzeda zagraniczna case study funmedia-bart-omiej postekDivante
 
Sprzeda zagraniczna case study divante-tomasz karwatka
Sprzeda zagraniczna case study divante-tomasz karwatkaSprzeda zagraniczna case study divante-tomasz karwatka
Sprzeda zagraniczna case study divante-tomasz karwatkaDivante
 
Sprzeda saa s via facebook-catvertiser_mi-osz belter
Sprzeda saa s via facebook-catvertiser_mi-osz belterSprzeda saa s via facebook-catvertiser_mi-osz belter
Sprzeda saa s via facebook-catvertiser_mi-osz belterDivante
 
Saa s sales funnel brand24_mick griffin
Saa s sales funnel brand24_mick griffinSaa s sales funnel brand24_mick griffin
Saa s sales funnel brand24_mick griffinDivante
 
Predictable revenue w praktyce usability tools_jakub królikowski
Predictable revenue w praktyce usability tools_jakub królikowskiPredictable revenue w praktyce usability tools_jakub królikowski
Predictable revenue w praktyce usability tools_jakub królikowskiDivante
 
Jak eskportuj polskie spó-ki technol right-hello_bartosz majewski
Jak eskportuj polskie spó-ki technol right-hello_bartosz majewskiJak eskportuj polskie spó-ki technol right-hello_bartosz majewski
Jak eskportuj polskie spó-ki technol right-hello_bartosz majewskiDivante
 
10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...
10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...
10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...Divante
 
Quick Wins w e-Commerce
Quick Wins w e-CommerceQuick Wins w e-Commerce
Quick Wins w e-CommerceDivante
 

More from Divante (20)

How to spin off the product from the agency
How to spin off the product from the agencyHow to spin off the product from the agency
How to spin off the product from the agency
 
I love-marketing - Technologie w ktore warto inwestowac w eCommerce
I love-marketing - Technologie w ktore warto inwestowac w eCommerceI love-marketing - Technologie w ktore warto inwestowac w eCommerce
I love-marketing - Technologie w ktore warto inwestowac w eCommerce
 
Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce
Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce
Zaskakujące czynniki porażek we wdrażaniu Omnichanel i eCommerce
 
Sprzedaż rozwiązuje wszystkie problemy
Sprzedaż rozwiązuje wszystkie problemySprzedaż rozwiązuje wszystkie problemy
Sprzedaż rozwiązuje wszystkie problemy
 
Wejście do Omnichannel - 5 czynników sukcesu
Wejście do Omnichannel - 5 czynników sukcesuWejście do Omnichannel - 5 czynników sukcesu
Wejście do Omnichannel - 5 czynników sukcesu
 
Wysoka skalowalność systemu e-commerce na przykładzie magento
Wysoka skalowalność systemu e-commerce na przykładzie magentoWysoka skalowalność systemu e-commerce na przykładzie magento
Wysoka skalowalność systemu e-commerce na przykładzie magento
 
Wzorce projektowe w Magento
Wzorce projektowe w MagentoWzorce projektowe w Magento
Wzorce projektowe w Magento
 
Agregacja i analiza logów
Agregacja i analiza logówAgregacja i analiza logów
Agregacja i analiza logów
 
Code review
Code reviewCode review
Code review
 
CDP.pl - tech case study by Divante
CDP.pl - tech case study by DivanteCDP.pl - tech case study by Divante
CDP.pl - tech case study by Divante
 
Kongres eHandlu - Przyszłość e-Commerce
Kongres eHandlu - Przyszłość e-CommerceKongres eHandlu - Przyszłość e-Commerce
Kongres eHandlu - Przyszłość e-Commerce
 
Jak mierzyć e-Commerce - Big Data w e-Commerce
Jak mierzyć e-Commerce - Big Data w e-CommerceJak mierzyć e-Commerce - Big Data w e-Commerce
Jak mierzyć e-Commerce - Big Data w e-Commerce
 
Sprzeda zagraniczna case study funmedia-bart-omiej postek
Sprzeda zagraniczna case study funmedia-bart-omiej postekSprzeda zagraniczna case study funmedia-bart-omiej postek
Sprzeda zagraniczna case study funmedia-bart-omiej postek
 
Sprzeda zagraniczna case study divante-tomasz karwatka
Sprzeda zagraniczna case study divante-tomasz karwatkaSprzeda zagraniczna case study divante-tomasz karwatka
Sprzeda zagraniczna case study divante-tomasz karwatka
 
Sprzeda saa s via facebook-catvertiser_mi-osz belter
Sprzeda saa s via facebook-catvertiser_mi-osz belterSprzeda saa s via facebook-catvertiser_mi-osz belter
Sprzeda saa s via facebook-catvertiser_mi-osz belter
 
Saa s sales funnel brand24_mick griffin
Saa s sales funnel brand24_mick griffinSaa s sales funnel brand24_mick griffin
Saa s sales funnel brand24_mick griffin
 
Predictable revenue w praktyce usability tools_jakub królikowski
Predictable revenue w praktyce usability tools_jakub królikowskiPredictable revenue w praktyce usability tools_jakub królikowski
Predictable revenue w praktyce usability tools_jakub królikowski
 
Jak eskportuj polskie spó-ki technol right-hello_bartosz majewski
Jak eskportuj polskie spó-ki technol right-hello_bartosz majewskiJak eskportuj polskie spó-ki technol right-hello_bartosz majewski
Jak eskportuj polskie spó-ki technol right-hello_bartosz majewski
 
10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...
10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...
10 b -dów przy wprowadzaniu e commerce na rynki zagr-goralewicz.co_bartosz gó...
 
Quick Wins w e-Commerce
Quick Wins w e-CommerceQuick Wins w e-Commerce
Quick Wins w e-Commerce
 

Ochrona danych osobowych w e-Commerce

  • 1. Ochrona danych osobowych w e-commerce Marcin Engelmann mengelmann@imagin.pl, IMAGIN Sp. z o.o.
  • 2. Agenda  Klient przestaje być anonimowy  Dane osobowe w sklepach internetowych ◦ Jakie dane osobowe, w jakich zbiorach ◦ Kiedy wolno przetwarzać ◦ O czym poinformować osobę  Ochrona danych ◦ Dlaczego, przed czym i w jaki sposób chronić dane osobowe ◦ Wymagania techniczne i organizacyjne ◦ Co warto zrobić ponad wymagania ustawy  Outsourcing usług a dane osobowe 2
  • 3. Klient nie jest anonimowy  Tradycyjny handel nie wymaga pozyskiwania danych osobowych ◦ Dowodem zakupu może być paragon „na okaziciela”  E-Commerce wymaga pozyskiwania danych ◦ Dane adresowe (adres dostawy), numer telefonu (kontakt przy dostawie), adres e-mail (potwierdzenie zamówienia)  E-Commerce sprzyja pozyskiwaniu nadmiernej ilości danych ◦ Łatwo zbierać i analizować dodatkowe informacje – to kusi  E-commerce udostępnia dane osobowe wielu innym podmiotom ◦ powszechny outsourcing usług  Klient przestaje być anonimowy w stosunku do sprzedawcy 3
  • 4. Ustawa o ochronie danych osobowych  Ustawa o ochronie danych osobowych ◦ obowiązuje od 1997 roku ◦ Pewne niedopasowanie do postępu technologicznego (cloud computing, outsourcing, wymiana danych między serwisami, szybkie akcje marketingowe na platformach społecznościowych) ◦ Pojawiają się „nieintuicyjne” interpretacje przepisów  Nadzór nad przestrzeganiem przepisów sprawuje Generalny Inspektor Ochrony Danych Osobowych (GIODO)  Ustawie podlegają osoby fizyczne i prawne, jeśli przetwarzają dane osobowe w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów statutowych 4
  • 5. Dane osobowe to nie tylko imię i nazwisko 1/3  Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a identyfikacja nie wymaga nadmiernych kosztów lub działań ◦ Imię i nazwisko oraz adres dostawy, numer PESEL, adres e-mail  Danymi osobowymi nie są pojedyncze, ogólne informacje, niepowiązane z danymi osobowymi ◦ Nazwa ulicy i numer budynku wielorodzinnego (mieszka wiele osób), wartość zakupów (wiele osób mogło zrobić zakupy na tę samą, konkretną kwotę), informacja o cenach towarów 5
  • 6. Dane osobowe to nie tylko imię i nazwisko 2/3  Typowe dane osobowe w sklepie internetowym – realizacja zamówienia ◦ Imię i nazwisko klienta ◦ Adres dostawy zamówionego produktu ◦ Numer telefonu oraz adres e-mail, który zawiera imię i nazwisko lub w łatwy sposób pozwala określić tożsamość jego posiadacza  Typowe dane osobowe w sklepie internetowym – newsletter ◦ Adres e-mail, który zawiera imię i nazwisko lub w łatwy sposób pozwala określić tożsamość jego posiadacza 6
  • 7. Dane osobowe to nie tylko imię i nazwisko 3/3  Decyduje kontekst, powiązania między danymi, czy posiadacz tych informacji może przy ich pomocy określić tożsamość osoby fizycznej  Dane, które same w sobie nie są danymi osobowymi, powiązane z danymi osobowymi stają się ich częścią ◦ Informacja o tytule książki, liczbie sztuk i cenie – nie jest daną osobową ◦ Informacja o tytule książki, liczbie sztuk i cenie powiązana z imieniem i nazwiskiem klienta staje się daną osobową  W efekcie duża część bazy danych sklepu internetowego może stanowić zbiór danych osobowych w rozumieniu ustawy o ochronie danych osobowych 7
  • 8. Zbiory danych osobowych  Zbiór danych osobowych to zestaw danych dostępnych według określonych kryteriów ◦ Jeden zbiór danych może składać się z kilku baz danych w rozumieniu „informatycznym” ◦ Jedna „SQLowa” baza danych może zawierać w sobie wiele zbiorów danych w rozumieniu przepisów prawa  Zbiory danych podlegają obowiązkowi zgłoszenia i rejestracji w GIODO ◦ Kilka wyjątków, ale w przypadku typowego e-commerce raczej nie będzie możliwości skorzystania ze zwolnienia z rejestracji 8
  • 9. Typowe zbiory danych w e-commerce  Zbiór danych klientów ◦ Osoby, które założyły konto w sklepie i podały swoje dane (niekoniecznie musiały coś zamówić)  Zbiór danych odbiorców newslettera ◦ Osoby zainteresowane ofertą sklepu, ale niekoniecznie będące już klientem  Zbiór danych uczestników konkursu ◦ Osoby biorące udział w konkursie, które nie muszą być klientami ani nie wyraziły zgody na otrzymywanie informacji handlowych  W firmie jest też wiele innych zbiorów danych osobowych ◦ Pracownicy, dziennik korespondencji 9
  • 10. Przetwarzanie danych osobowych  Przetwarzanie danych osobowych to wszelkie operacje (czynności) wykonywane na danych ◦ Zbieranie, tworzenie, utrwalanie ◦ Przechowywanie – posiadanie, gromadzenie, archiwizacja ◦ Opracowywanie – zmiana, uzupełnienie ◦ Udostępnianie – innym podmiotom ◦ Wykorzystanie – kontakt telefoniczny z klientem, realizacja zamówienia, wysłanie newslettera ◦ Usunięcie – zniszczenie, anonimizacja 10
  • 11. Ochrona interesów osób  Należy dołożyć szczególnej staranności w celu ochrony interesów osób, których dane są przetwarzane ◦ Zgodnie z prawem – podstawa prawna do przetwarzania, respektowanie praw osób (informowanie, zaprzestanie przetwarzania na żądanie), zabezpieczenie danych ◦ W określonym celu – nie można zmieniać go w trakcie ◦ Nie dłużej niż jest to potrzebne – po realizacji celu przetwarzania należy dane usunąć ◦ Dane merytoryczne są poprawne i adekwatne – nie należy przetwarzać danych, które nie są niezbędne dla realizacji celu 11
  • 12. Aktualność 25.10: Rejestr klauzul niedozwolonych  Rejestr klauzul niedozwolonych prowadzony przez Urząd Ochrony Konkurencji i Konsumentów (UOKiK)  25 października nowa klauzula niedozwolona dotycząca przekazywania danych klienta do serwisów zbierających opinię o usługach i produktach ◦ „Klient dokonujący zakupu wyraża zgodę na przekazanie swojego adresu e-mail do ………….. z siedzibą w …………. oraz przetwarzanie przez sklep oraz …………….. swoich danych osobowych w celu wypełnienia ankiety z opinią o dokonanej transakcji w sklepie zgodnie z przepisami ustawy o ochronie danych osobowych z dnia 29.08.1997 r.”  Trzeba pozyskać niezależną zgodę na przekazanie danych innemu podmiotowi, zgoda nie może być domniemana 12
  • 13. Zgoda na przetwarzanie, ale nie tylko  Przetwarzanie danych najczęściej na podstawie jednej z poniższych przesłanek  Zgoda osoby, której dane dotyczą – „uniwersalne”  Jest to konieczne do realizacji umowy, której osoba jest stroną lub jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby – sprzedaż nie wymaga pozyskiwania zgody  Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych i nie narusza to praw i wolności osoby – marketing bezpośredni własnych produktów lub usług oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej 13
  • 14. Obowiązek informacyjny  Osoba, która przekazuje swoje dane osobowe powinna zostać powiadomiona o: ◦ Adresie siedziby i pełnej nazwie firmy, która jest właścicielem sklepu ◦ Celu zbierania danych oraz o odbiorach danych, którym te dane będą przekazywane ◦ Prawie dostępu do treści swoich danych oraz ich poprawiania ◦ Dobrowolności albo obowiązku podania danych (wtedy należy również podać podstawę prawną) 14
  • 15. Dlaczego należy chronić dane osobowe 1/2  Powody biznesowe ◦ Dane osobowe to istotny zasób, bez którego sklep internetowy w ogóle może nie działać lub działa w ograniczonym zakresie ◦ Uniknięcie problemów wynikających z utraty danych ◦ Ochrona reputacji, która mogłaby ucierpieć w przypadku niepoprawnego przetwarzania danych lub ich utraty ◦ Zapewnienie prawidłowego działania firmy po wystąpieniu incydentu bezpieczeństwa (awaria dysku twardego, utrata dokumentów, włamanie) 15
  • 16. Dlaczego należy chronić dane osobowe 2/2  Odpowiedzialność wynikająca z ustawy ◦ Karna – grzywna do 50-200 tysięcy złotych, kara ograniczenia oraz kara pozbawienia wolności do lat 3 ◦ Administracyjna – wymóg poprawienia błędów, a nawet usunięcia zgromadzonych danych ◦ Dyscyplinarna – dotyczy pracowników  Odpowiedzialność odszkodowawcza ◦ Odszkodowanie w przypadku naruszenia praw osoby lub wyrządzenia szkody majątkowej lub krzywdy 16
  • 17. Wycieki danych osobowych       listopad – LOT – dane innych osób widziane przy rezerwacji biletów październik – Adobe – dane 3 milionów klientów (identyfikator, email, hash hasła) październik – Ministerstwo Gospodarki – skany paszportów, dostęp do skrzynek pocztowych, dokumenty) październik – Hyperion – dane 400 tys. abonentów (imię i nazwisko, adres, numer telefonu, NIP, PESEL, numer rachunku bankowego saldo rozliczeń) październik – Ekiosk.pl – próba nieautoryzowanego dostępu do bazy danych (e-mail, nazwa użytkownika, hash hasła) lipiec – OVH – włamanie (imię, nazwisko, identyfikator NIC, adres zamieszkania, telefon, hash hasła) 17
  • 18. Zagrożenia dla danych 1/2  Losowe (niezamierzone) ◦ Zewnętrzne – pożar, zalanie, katastrofa budowlana, awaria zasilania, problemy z łącznością między serwerami, niewłaściwe parametry środowiskowe (temperatura, wilgotność, zasilanie) dla pracy sprzętu elektronicznego ◦ Wewnętrzne – pomyłkowe usunięcie lub zniszczenie danych, awarie oprogramowania, serwerów, komputerów, zgubienie dokumentów, laptopa, pendrive’a, przypadkowe wyrzucenie dokumentów lub nośników danych na śmietnik, pozostawienie ich na serwerze, który jest „zwalniany”, udostępnienie danych osobom nieupoważnionym 18
  • 19. Zagrożenia dla danych 2/2  Umyślne ◦ Włamanie do biura lub innych pomieszczeń, w których znajdują się dokumenty i serwery ◦ Włamanie do systemu informatycznego ◦ Kradzież dokumentów, komputerów, nośników danych ◦ Zniszczenie danych przez atakującego (włamywacza) lub pracownika ◦ Ujawnienie danych osobom nieupoważnionym, wyciek informacji poza firmę 19
  • 20. Zaufanie do pracowników  Tym, którym ufamy dajemy największe uprawnienia, sprawiające, że powinniśmy ich bardziej pilnować  Pracownicy: ◦ mają dostęp do wewnętrznych systemów (księgowych, magazynowych) ◦ znają hasła do zewnętrznych systemów (płatności online, bankowe, dostawcy) ◦ mogą nieświadomie doprowadzić do zagrożenia bezpieczeństwa informacji i całej firmy  Każdy uzyskuje taki poziom uprawnień, który jest niezbędny do realizacji powierzonych mu zadań 20
  • 21. W jaki sposób chronić dane  Zastosować środki techniczne i organizacyjne zabezpieczające dane osobowe przed: ◦ Udostępnieniem osobom nieupoważnionym ◦ Zabraniem przez osoby nieuprawnione ◦ Przetwarzaniem z naruszeniem ustawy (szerokie) ◦ Zmianą ◦ Utratą, uszkodzeniem, zniszczeniem 21
  • 22. Wymagana dokumentacja  Ustawa wymaga sporządzenia pisemnej dokumentacji, która określa sposób przetwarzania danych oraz opisuje środku techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych ◦ Polityka bezpieczeństwa danych osobowych ◦ Instrukcja zarządzania systemem informatycznym ◦ Ewidencja osób upoważnionych do przetwarzania  Zawartość dokumentów jest opisana w rozporządzeniu do ustawy (minimum, które dokumentacja musi zawierać)  Procedury należy wdrożyć i stosować, a nie jedynie spisać 22
  • 23. Polityka bezpieczeństwa danych osobowych  Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe  Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych  Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi  Sposób przepływu danych pomiędzy poszczególnymi systemami  Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 23
  • 24. Instrukcja zarządzania systemem informatycznym       Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania Sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 24
  • 25. Wymagania dla systemów informatycznych 1/3  Oprogramowanie sklepu internetowego wraz z serwerem, na którym działa tworzą system informatyczny  Wymagania ustawy nie zależą od rodzaju oprogramowania i obowiązują każdy sklep internetowy, niezależnie od tego czy korzysta z: ◦ Oprogramowania komercyjnego lub darmowego ◦ Gotowych pakietów i programów stworzonych lub dostosowywanych do indywidualnych potrzeb sklepu ◦ Platform hostujących sklepy internetowe 25
  • 26. Wymagania dla systemów informatycznych 2/3  Zapewnienie kontroli dostępu – system musi wymagać podania identyfikatora użytkownika i hasła (lub inna metoda identyfikacji i uwierzytelnienia)  Każdy użytkownik musi posiadać indywidualny identyfikator – nie wolno korzystać ze wspólnego konta (np. „admin” w panelu do zarządzania)  Wymuszenie zmiany hasła co określoną liczbę dni oraz poziomu jego skomplikowania (zalecane)  Odnotowywanie informacji o wprowadzonych danych osobowych  Zabezpieczenie przed zagrożeniami pochodzącymi z Internetu (aktualizowanie oprogramowania, firewall) 26
  • 27. Wymagania dla systemów informatycznych 3/3  Zabezpieczenie transmisji przez Internet – szyfrowane połączenie HTTPS i certyfikat SSL powinny być wykorzystywane co najmniej dla zabezpieczenia logowania, ale zaleca się szyfrowanie również obsługi koszyka oraz panelu użytkownika i panelu administracyjnego sklepu  Wykonywanie kopii zapasowych – należy przechowywać je w innej lokalizacji (budynku) niż znajdują się serwery oraz zapewnić co najmniej taki sam poziom bezpieczeństwa jak dla systemu sklepu oraz skutecznie usunąć, kiedy nie są już potrzebne 27
  • 28. Dane tylko dla osób upoważnionych  Do danych osobowych dostęp mogą mieć wyłącznie osoby imiennie upoważnione ◦ Niezależnie od rodzaju umowy na podstawie której współpracują z właścicielem sklepu internetowego ◦ Zobowiązanie do zachowania w tajemnicy danych osobowych ◦ Każda osoba powinna zostać wpisana do Ewidencji osób upoważnionych  Szkolenia dla osób przetwarzających dane osobowe są zalecane w celu uświadomienia zagrożeń oraz potrzeby zabezpieczenia danych osobowych 28
  • 29. Oprócz wymagań ustawy 1/2  Wymagania nakładane przez ustawę warto traktować jako wyjściowe i uzupełnić o dodatkowe procedury i zasady ◦ Postępowania w przypadku naruszenia bezpieczeństwa ◦ Udzielenia odpowiedzi osobie, której dane są przetwarzane (kilka przypadków, w zależności od trybu żądania) ◦ Udostępnienia danych innym podmiotom ◦ Powierzenia przetwarzania danych (outsourcing) ◦ Wykonywania przeglądów systemów informatycznych ◦ Korzystania z Internetu, poczty elektronicznej i komunikatorów 29
  • 30. Oprócz wymagań ustawy 2/2  Szkolenia dla osób, które przetwarzają dane osobowe! ◦ Posługiwać się wyłącznie swoim identyfikatorem użytkownika ◦ Blokować dostęp do komputera, kiedy się go nie używa ◦ Nie przesyłać danych przez Internet bez ich zaszyfrowania (uwaga na przesyłanie mailem) ◦ Ostrożnie korzystać z poczty elektronicznej (pomyłka w adresie odbiorcy) ◦ Używać niszczarek dokumentów ◦ Hasła powinny być raczej długie i łatwe do zapamiętania, niż krótkie i skomplikowane (jednocześnie mogą być skomplikowane) Złe: bhPUT4!H Lepsze: niebieski wagon wesoly zajac ◦ Zwracać uwagę na wszelkie niestandardowe sytuacje 30
  • 31. Outsourcing usług a dane osobowe 1/2  Z outsourcingiem może wiązać się powierzenie przetwarzania danych osobowych firmie świadczącej outsource’owaną usługę ◦ Hostingi współdzielone, serwery wirtualne, przetwarzanie w chmurze, na serwerach firm zewnętrznych ◦ Firma świadcząca usługi programistyczne i tworząca sklep ◦ Zewnętrzna platforma wysyłająca newslettery i mailingi ◦ Obsługa księgowa (biuro rachunkowe) ◦ Obsługa IT sprzętu komputerowego (pogotowie komputerowe)  Obowiązek zawarcia pisemnej umowy powierzenia przetwarzania danych osobowych wynika z ustawy, umowa musi określać ◦ Cel powierzenia ◦ Zakres powierzonych danych 31
  • 32. Outsourcing usług a dane osobowe 2/2  Umowa powierzenia przetwarzania danych osobowych nakłada na współpracującą firmę obowiązek ochrony powierzonych danych osobowych ◦ Odpowiedzialność firmy świadczącej usługę jest taka sama jak odpowiedzialność powierzającego (administratora danych)  To właściciel sklepu (administrator danych osobowych) odpowiada za właściwy wybór podmiotu, któremu powierzył przetwarzanie danych osobowych ◦ Musi dochować szczególnej staranności – obowiązek ustawowy 32
  • 33. Polska, Europa, świat – serwery 1/2  Wybierając serwer, na którym będzie działał sklep internetowy warto zwrócić uwagę na jego fizyczną lokalizację w kontekście przepisów o ochronie danych osobowych ◦ Obawa o przekazywanie danych osobowych do państw, które mogą nie zapewniać gwarancji ochrony danych osobowych w stopniu takim jak w Polsce  Przekazywanie danych osobowych i bez ograniczeń ◦ Polska i kraje Europejskiego Obszaru Gospodarczego (państwa Unii Europejskiej, Norwegia, Islandia i Lichtenstein) 33
  • 34. Polska, Europa, świat – serwery 2/2  Przekazywanie danych osobowych bez ograniczeń c.d. ◦ Kraje nie należące do EOG, ale zapewniające wystarczający poziom ochrony danych osobowych (decyzja Komisji Europejskiej), w tej chwili 10 państw ◦ Kanada i Szwajcaria – bez ograniczeń ◦ Stany Zjednoczone Ameryki – bez ograniczeń, jeśli firma amerykańska przystąpiła do programu „Bezpieczna przystań” (ang. Safe Harbour) 34
  • 35. Warto chronić nie tylko dane osobowe  Dane osobowe nie są jedynymi informacjami, które należy (lub co najmniej warto) zabezpieczyć przed utratą, modyfikacją lub uzyskaniem dostępu przez osoby niepowołane  Informacje poufne, handlowe, finansowe, które mogą stanowić przewagę konkurencyjną przedsiębiorcy (cenniki, rabaty, informacje o dostawcach, dane dostępowe do integracji z zewnętrznymi systemami, np. obsługa płatności online, dostarczanie przesyłek)  Wdrażając zasady ochrony danych osobowych jednocześnie poprawiamy zabezpieczenie innych informacji 35
  • 36. Ustawy i rozporządzenie  Najważniejsze przepisy dotyczące danych osobowych ◦ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. 2002 nr 101 poz. 926 z późn. zm.) ◦ Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204) ◦ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024) 36
  • 37. Dziękuję za uwagę!   Pytania? Marcin Engelmann mengelmann@imagin.pl, IMAGIN Sp. z o.o. 37