Jak legalnie przetwarzać dane osobowe w sieci?

Prowadzenie e-biznesu opartego na aktywnych działaniach pro-klienckich wymaga znajomości i respektowania ustawy o ochronie danych osobowych. Na straży bezpieczeństwa tych informacji stoi GIODO – Generalny Inspektor Ochrony Danych Osobowych.

Jeżeli złamiesz regulacje zawarte w ustawie, zadaniem urzędu jest zawiadomienie organu ścigania o popełnieniu przestępstwa.

Danymi osobowymi są wszelkie te informacje, które identyfikują naszą osobę. Może to być imię, nazwisko, przypisane numery, a także dane o indywidualnych cechach. Bardziej ogólne informacje, np. numer domu czy wartość wynagrodzenia, stają się danymi dopiero w połączeniu z dodatkowymi informacjami. Przykładem pojedynczej informacji, stanowiącej daną osobową, jest numer PESEL. Z kolei nie może nią być samo imię, ponieważ nie umożliwia identyfikacji konkretnej osoby.

[ ( http://static1.money.pl/i/h/31/t95263.jpg ) ] (http://prawo.money.pl/aktualnosci/okiem-eksperta/artykul/w;jaki;sposob;adres;ip;jest;chroniony,237,0,612077.html) W jaki sposób adres IP jest chroniony?
Prowadząc e-biznes na pewno zastanawiasz się, czy adres e-mail stanowi daną osobową. Można to pokazać na prostym przykładzie – _ poziomka123@wp.pl _ to nie dana osobowa, ponieważ adres nie umożliwia identyfikacji jego posiadacza. Inaczej będzie w przypadku skrzynki _ j.kowalski@ogicom.pl _. Dlaczego? Ponieważ z adresu jasno wynika nazwisko użytkownika oraz firma, w której pracuje.

Jak mówi dr inż. Artur Pajkert z Ogicom, firmy specjalizującej się w skutecznych rozwiązaniach dla e-biznesu: - _ Oczywiście, prowadząc zapisy np. na newsletter przedsiębiorca nie wie, w jakiej postaci będą zapisywane adresy. Z tego powodu powinien profilaktycznie założyć, że mogą wśród nich znaleźć się dane osobowe, a co za tym idzie – cały zbiór powinien być traktowany jako zbiór danych osobowych. W razie wątpliwości zawsze lepiej zastosować procedurę, jakby przetwarzane dane były danymi osobowymi _.

Zgoda na przetwarzanie danych jest bardzo istotnym elementem determinującym legalność całego procesu. Nie istnieją szczegółowe zasady formułowania klauzuli zgody, jednak z jej tekstu powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza.

Wiemy już, że dane osobowe może stanowić nawet adres e-mail osoby zapisującej się na firmowy newsletter. W takiej sytuacji konieczne jest stworzenie właściwej, wymaganej prawem dokumentacji potwierdzającej wolę subskrybenta do otrzymywania przesyłek reklamowych. W przeciwnym razie przedsiębiorca może narazić się na kontrolę i karę nałożoną przez GIODO.

Przykładowa klauzula dot. zapisania się na newsletter może brzmieć następująco:

_ Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z e-biznesem, takie jak: dobry hosting, rejestracja domen oraz serwery dedykowane. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie. _

Jednym z podstawowych zadań, jakie nakłada na administratora danych ustawa, jest konieczność rejestracji zbioru. Obowiązek ten nie obejmuje jednak danych, na przykład własnych pracowników, przetwarzanych w związku z ich zatrudnieniem. Aby dokonać rejestracji, należy wysłać odpowiedni wniosek do GIODO.

Administrator czuwa nad bezpieczeństwem danych, chroni je przed udostępnieniem czy zabraniem przez osoby nieupoważnione, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Musi także prowadzić dokumentację opisującą sposób przetwarzania danych oraz podjęte środki bezpieczeństwa. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Nad procesem przetwarzania czuwa Administrator Bezpieczeństwa Informacji.

- _ Osobom mającym dostęp do danych osobowych należy nadać odpowiednie upoważnienia. Ze względu na konieczność prowadzenia ewidencji zezwoleń, powinny one mieć formę pisemną. Muszą zawierać imię i nazwisko osoby upoważniającej, datę nadania i ustania upoważnienia, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym _ – tłumaczy dr inż. Artur Pajkert. Należy również określić zakres danych, do których ma dostęp oraz nazwę zbioru. Osoby upoważnione muszą zachować zawartość bazy w tajemnicy.

_ Ważne! _

_ Administrator danych w rozumieniu przepisów nie ma nic wspólnego z administratorem serwera. Powierzając jakiejkolwiek firmie hostingowej utrzymanie danych nadal pozostajesz administratorem w rozumieniu ustawy i na tobie ciążą ustawowe obowiązki. W technicznym zakresie możesz zlecić ich wykonanie innemu podmiotowi podpisując tzw. umowę powierzenia. _

_ _

źródło: Ogicom