Безопасность и защита персональных данных в магазине

  1. Личные данные
  2. Обработка персональных данных
  3. Администратор персональных данных
  4. Обязанности администратора персональных данных
  5. Администратор информационной безопасности
  6. ИТ-система, которая обрабатывает личные данные
  7. Избранные технические требования к ИТ-системе
  8. Внешний хостинг
  9. Права лица, чьи личные данные относятся к
  10. Уголовное обеспечение
  11. суммирование

Автор: - Дата: 29 апреля 2016 г. Автор: - Дата: 29 апреля 2016 г

Защита персональных данных является важным элементом безопасности и формирования имиджа профессионального интернет-магазина. Обработка персональных данных в случае недостаточной безопасности компании с точки зрения как технических, так и операционных рисков представляет собой высокий риск. Случаи олицетворения или принятия финансовых обязательств, использования для этого персональных данных других людей, появляются все чаще и чаще. Чтобы избежать таких неприятных и опасных событий, стоит ознакомиться с темой защиты персональных данных. Трудно представить интернет-магазин, который мог бы работать без контакта с личными данными клиентов . Они используются для отправки товара по правильному адресу или для рассмотрения жалобы.

Каковы последствия такого положения вещей? Какие обязательства должны быть выполнены для адекватной защиты персональных данных клиентов интернет-магазина?

Закон Положения, регулирующие защиту персональных данных, в частности, обрабатываемых организациями, управляющими интернет-магазинами, включены в:

  • Закон о защите личных данных от 29 августа 1997 г. (Законодательный вестник 2014 г., ст. 1182); (далее именуемый Актом);
  • Распоряжение министра администрации и оцифровки от 11 мая 2015 года о порядке и порядке выполнения задач по обеспечению соблюдения положений о защите персональных данных администратором информационной безопасности (Законодательный вестник 2015 года, пункт 745)
  • Распоряжение министра администрации и оцифровки от 11 мая 2015 года о том, как администратор информационной безопасности ведет реестр наборов данных (Законодательный вестник 2015 года, пункт 719)
  • Постановление министра администрации и оцифровки от 10 декабря 2014 года о шаблонах для уведомлений о назначении и увольнении администратора информационной безопасности (Законодательный вестник 2014 года, пункт 1934)
  • Постановление министра внутренних дел и администрации от 29 апреля 2004 года о документировании обработки персональных данных и технических и организационных условиях, которым должны соответствовать устройства и информационные системы, используемые для обработки персональных данных (Законодательный вестник 2004 года № 100, пункт 1024)

Представляя вкратце, какие вопросы регулируются вышеупомянутыми правовыми актами, мы можем предположить, что Закон о защите личных данных определяет:

  • права и обязанности лица, обрабатывающего персональные данные,
  • права лиц, чьи личные данные обрабатываются, и
  • основные правила, касающиеся обработки данных.

В постановлениях и приложениях указываются обязанности, порядок ведения реестра файлов данных Администратором персональных данных, правила его создания и удаления, а также правила обработки персональных данных с использованием оборудования и информационных систем.

Личные данные

Закон предусматривает, что вся личная информация об идентифицированном или идентифицируемом физическом лице считается персональной информацией. Идентифицируемое лицо - это лицо, личность которого может быть идентифицирована прямо или косвенно , в частности, путем ссылки на идентификационный номер или один или несколько конкретных факторов, определяющих его физические, физиологические, психические, экономические, культурные или социальные характеристики. Считается, что информация не позволяет идентифицировать человека, если это потребует чрезмерных затрат, времени или действий.

Как видите, нормативное определение является широким, и иногда вопрос о том, будут ли данные персональными данными, зависит от контекста. Можно предположить, что любая информация, способная существенно сузить круг людей, будет персональной информацией. На практике каждый интернет-магазин имеет контакт с личными данными клиентов.

Имя, фамилия, адрес, номер телефона, налоговый идентификационный номер или даже адрес электронной почты являются категориями персональных данных, которые должны быть защищены в соответствии с законом. Неважно, сколько категорий персональных данных обрабатывает субъект, осуществляющий онлайн-продажи. Обязательства, вытекающие из правил, одинаковы как для крупных компаний, обслуживающих тысячи клиентов, так и для небольших магазинов с низким товарооборотом .

Обработка персональных данных

Термин «обработка» очень широко определен законом. Согласно его формулировке, все операции выполняются с личными данными, в том числе сбор, сохранение, хранение, обработка, изменение, совместное использование и удаление составляют обработку персональных данных. Как следствие, принятие такого определения подразумевает простое применение - фактически любой контакт с личными данными клиента является их обработкой, которая должна осуществляться в соответствии с действующим законодательством.

Очень важно обрабатывать персональные данные на основе соответствующей правовой базы. Применительно к интернет-магазину можно рассказать о 2 основах. Первое - это согласие лица, к которому относятся персональные данные. В случае ведения учетной записи клиента в магазине или предоставления других услуг клиенту в электронном виде, субъект, обрабатывающий данные, должен получить согласие данного клиента на обработку его данных для указанной цели. Самый простой и наиболее распространенный способ получить такое согласие - разместить учетную запись клиента в регистрационной форме с соответствующим содержанием.

Второе правовое основание, которое применяется к интернет-магазинам, заключается в необходимости их обработки для реализации договора, стороной которого является субъект данных. Другими словами - покупатель не обязан давать согласие на обработку своих персональных данных для выполнения своего заказа и отправки товара, поскольку эти действия направлены на выполнение договора купли-продажи, заключенного между оператором магазина и покупателем.

Также важно удалить личные данные из коллекции, обработка которой прекращена. Если другие правовые нормы не налагают обязательство хранить личные данные клиента (например, вопросы, связанные с выставлением счетов), и все цели обработки таких данных прекращаются, такие данные должны быть удалены из коллекции. Дальнейшая обработка таких данных является нарушением закона.

Администратор персональных данных

Администраторы персональных данных несут ответственность за обработку персональных данных, указанных в законе. Согласно ст. 7 пар. 4 - орган, организационная единица, субъект или лицо, принимающее решение о целях и средствах обработки персональных данных. Как видите, форма ведения бизнеса не имеет значения, поэтому практически каждый субъект, управляющий онлайн-магазином, будет выступать в роли администратора личных данных.

Вторым элементом, необходимым для определения администратора персональных данных, является факт «выбора средств и целей» обработки собранных данных. Следует понимать, что если оператор магазина принимает решение относительно того, для какой цели (например, ведение учетной записи клиента, отправка информационного бюллетеня, отправка продукта) будут обрабатываться определенные категории данных и какими средствами будет выполняться эта обработка, он будет удовлетворять предварительным условиям. быть администратором личных данных.

Стоит отметить, что администратор личных данных является не сотрудником компании или лицом из совета директоров, а лицом, управляющим интернет-магазином как таковым. В случае физических лиц, управляющих бизнесом, он будет владельцем компании, а в случае компаний или организационных единиц - самой компании или организационной единицы.

Обязанности администратора персональных данных

На основании применимых положений вы можете указать 2 основные обязанности администратора персональных данных, управляющего интернет-магазином:

  1. Данные администратора основаны на ст. 36 пар. 2 Закона обязан хранить документацию, описывающую метод обработки данных и используемые им технические и организационные меры. Это обязательство выполняется путем создания двух документов: политики безопасности и инструкций по управлению ИТ-системами . Оба документа представляют собой внутреннюю документацию, подготовленную на уровне всей компании, управляющей интернет-магазином.
    Документация должна всесторонне ссылаться на проблему защиты персональных данных, обрабатываемых администратором персональных данных, то есть как для защиты данных, обрабатываемых традиционно, так и данных, обрабатываемых в ИТ-системах. Целью такой документации должно быть указание действий, которые должны быть выполнены, и установление правил и правил поведения, которые должны использоваться для надлежащего выполнения обязанностей администратора персональных данных в области защиты персональных данных, его содержание декларирует приверженность руководства компании и определяет подход компании к управлению информационной безопасностью. ,
  2. Данные администратора основаны на ст. 40 Закона обязан представить набор персональных данных в реестр, который ведет Генеральный инспектор по защите персональных данных (GIODO). Каждый набор данных в компании подлежит регистрации, независимо от того, сколько категорий личных данных он содержит. Достаточно того, что в интернет-магазине есть, например, только адреса электронной почты покупателей, и регистрация коллекции будет необходима. О сборе следует сообщить до начала обработки данных, то есть до того, как интернет-магазин начнет собирать личные данные клиентов. Администратор персональных данных должен предоставить коллекцию с указанием ожидаемых категорий данных.

В последние годы наблюдается динамичное увеличение числа регистраций файлов персональных данных в результате растущей осведомленности предпринимателей о выполнении формальных обязательств.

Процедура подачи набора данных является одноразовой и одноразовой операцией, и обработка персональных данных может быть начата сразу после отправки заявки. Нет необходимости ждать регистрации коллекции GIODO. Заявка может быть заполнена в электронном виде с использованием онлайн-платформы, доступной по адресу www.giodo.gov.pl ,

Указанные выше основные обязанности администратора персональных данных, очевидно, не единственные, но их анализ должен быть выполнен во время подготовки вышеупомянутого. документация. Меры безопасности или процедуры обработки персональных данных должны быть адаптированы к категории собираемых персональных данных, числу клиентов, размеру компании и потенциальным угрозам, которые могут возникнуть.

Администратор информационной безопасности

С 1 января 2015 года условия изменились в области информационной безопасности администратор. Принятые решения предназначены для подготовки контроллеров данных к нормативным актам, объявленным в проекте Регламента Европейского парламента и Совета по защите физических лиц в отношении обработки персональных данных и свободного перемещения таких данных (общее положение о защите персональных данных) [COM (2012) 11, , Офис. С 102 от 5 апреля 2012 г.

В соответствии с новыми правилами компании, обрабатывающие файлы, подлежащие уведомлению в GIODO (например, данные клиентов, реестры корреспонденции), должны будут выбрать вариант реализации системы защиты данных с функцией администратора информационной безопасности или зарегистрировать файлы в GIODO.

Администратор информационной безопасности (ABI) - это лицо, назначенное Администратором персональных данных для контроля и соблюдения принципов защиты персональных данных, то есть использования технических и организационных мер для обеспечения защиты обрабатываемых персональных данных.

В искусстве 36а абзац 5 Закона было указано, что функцию ABI может выполнять лицо, которое:

  1. обладает полной дееспособностью и пользуется полными публичными правами,
  2. имеет соответствующие знания в области защиты персональных данных,
  3. она не была наказана за умышленное преступление.

Предпосылка наличия у ABI соответствующих знаний в области защиты персональных данных оценивается самим контроллером данных. Действуя в своих собственных интересах, он должен назначить человека, который имеет реальные знания о защите данных. Положения Закона не требуют от ABI наличия каких-либо сертификатов, сертификатов о прохождении соответствующего обучения и т. Д. Уровень соответствующих знаний должен быть адаптирован к операциям обработки данных, выполняемым на контроллере, и требованиям их защиты.

Компания может назначать или не назначать ABI. Однако, если ABI назначен, ADO должен сообщить об этом в GIODO. Задачи Администратора информационной безопасности:

Основной задачей ABI является обеспечение соблюдения положений о защите личных данных (в соответствии с пунктом 1 статьи 36a Закона), в частности путем:

  1. проверка соответствия обработки персональных данных положениям о защите персональных данных и подготовка отчета для контролера по этому вопросу,
  2. надзор за разработкой и обновлением документации, описывающей метод обработки данных, а также технические и организационные меры, обеспечивающие защиту обрабатываемых персональных данных в соответствии с угрозами и категориями защищаемых данных, а также соблюдение изложенных в них правил,
  3. обеспечение ознакомления лиц, уполномоченных на обработку персональных данных, с положениями о защите персональных данных.
  4. обязанность готовить регулярные отчеты (проверки) для Администратора персональных данных, которые также передаются в GIODO. Администратор информационной безопасности в плане проверки учитывает, в частности, наборы персональных данных и ИТ-системы, используемые для обработки персональных данных, и необходимость проверки соответствия обработки персональных данных действующим нормативным актам. План проверок составляется администратором информационной безопасности на срок не менее четверти и не более одного года. План проверки должен быть представлен администратору данных не позднее, чем за две недели до начала периода, охватываемого планом.

Дополнительной задачей ABI является ведение реестра наборов данных, обработанных контроллером данных (в соответствии с пунктом 2 статьи 36a). Следует отметить, что если компания не обрабатывает конфиденциальные данные и была назначена ABI (то есть информация: о расовом или этническом происхождении, политических взглядах, религиозных или философских убеждениях, религиозной принадлежности, статусе партии или профсоюза, состоянии здоровья, генетическом коде, зависимостях или половая жизнь, осуждения, наказания и уголовные штрафы, а также другие решения, вынесенные в судебном или административном порядке), нет необходимости регистрировать файл личных данных в GIODO.

ИТ-система, которая обрабатывает личные данные

Положения о защите личных данных вводят понятие ИТ-системы, используемой для обработки этих данных. Акт в ст. 7 пар. 2a определяет такую ​​систему как набор взаимодействующих устройств, программ, процедур обработки информации и программных средств, используемых для обработки данных. Трудно представить деятельность интернет-магазина, который не использует такие системы. На практике ИТ-система может быть панелью администрирования магазина, с помощью которой сотрудники обрабатывают личные данные клиентов, а также, например, компьютеров компании, которые имеют доступ к базе данных, подключенной по локальной сети. Указание конкретных ИТ-систем в компании должно быть сделано во время реализации Политики безопасности в компании и инструкций по управлению ИТ-системой и должно соответствовать фактическому состоянию обработки персональных данных в компании.

Обработка персональных данных с использованием системы ИТ влечет за собой выполнение обязательств, изложенных в Приложении к Постановлению от 29 апреля 2004 года, в котором указано, как должна работать система ИТ и как ее следует защищать от несанкционированного доступа. Стоит упомянуть о необходимости предоставления всем пользователям ИТ-системы (сотрудникам интернет-магазина) уникальных идентификаторов, шифрования соединения, во время которого происходит передача персональных данных, и использования программного обеспечения для защиты ИТ-системы от вредоносного программного обеспечения (вирусов). Наложение этих обязанностей на администратора направлено на то, чтобы принудительно защитить информационные системы от угроз, возникающих в связи с характером работы этих систем, которые очень часто подключаются к Интернету, что повышает уровень риска для безопасности данных.

Избранные технические требования к ИТ-системе

Правила налагают на процедурные интернет-магазины обязанность использовать сложные пароли доступа и определять частоту их изменения. Эти правила применяются к сотрудникам компании, которые имеют доступ к личным данным, а не хранят клиентов. Пароль должен содержать не менее 8 символов, содержать заглавные и строчные буквы, а также цифры или специальные символы. Кроме того, его следует менять как минимум каждые 30 дней. Тем не менее, в правилах не указано, как выполнять эти обязанности, поэтому решение о том, как будет выполнено требование, должен решать контролер персональных данных. Это может быть сделано на основе автоматического управления приложением, которое будет контролировать частоту и сложность паролей, или с помощью процедуры, описанной в руководстве по управлению ИТ-системой. Процедура, очевидно, менее безопасна, потому что она подвержена человеческим ошибкам. При применении процедуры администратор персональных данных должен иметь метод проверки соответствия сотрудника процедурам.

Чтобы соответствовать техническим требованиям, относящимся к ИТ-системе, магазин должен автоматически регистрировать дату первого ввода персональных данных в систему, источник персональных данных и идентификатор пользователя, который ввел данные. В индустрии электронной коммерции вы можете выделить три основных способа ввода личных данных в коллекцию:

  1. Клиент магазина сам вводит свои личные данные, размещая заказ, создавая учетную запись в магазине или подписываясь на рассылку новостей через веб-сайт магазина.
  2. Размещение заказа клиентом, например, по телефону. Затем сотрудник магазина вводит данные клиента в ИТ-систему, чтобы записать и обработать заказ.
  3. Третий способ учитывает транзакции, осуществляемые через торговые площадки, на которых компания представляет свои товары для продажи. Через эти платформы заключается договор купли-продажи или отправляется запрос о предложении продавцу. Персональные данные клиента затем автоматически передаются третьей стороной с целью реализации договора купли-продажи или ответа на запрос.

В каждом из перечисленных случаев ИТ-система магазина должна записывать информацию о дате ввода данных, источнике их происхождения и идентификаторе пользователя, который их ввел.

Когда компания предоставляет персональные данные своих клиентов третьим сторонам, требуется, чтобы ИТ-система записывала информацию о том, когда и кому были предоставлены персональные данные. В основном это касается случаев, когда компания пользуется специализированными услугами. Поставщики. Например, если магазин отправляет новостную рассылку с помощью внешних инструментов, он предоставляет третьей стороне адреса электронной почты клиентов с целью доставки. Информация о том, когда и кому были предоставлены личные данные, должна быть записана.

Часто сотрудники магазина обрабатывают персональные данные с помощью компьютеров, в частности ноутбуков, на которых они локально хранят некоторые или все личные данные клиента. Цели такой деятельности могут быть разными, начиная от проведения различных видов анализа, заканчивая вопросами бухгалтерского учета или маркетинговыми исследованиями. В таких случаях техническим требованием является необходимость обеспечения конфиденциальности персональных данных. Если личные данные хранятся локально на компьютерах, то для обеспечения их безопасности следует использовать инструменты для шифрования файловых каталогов или даже целых жестких дисков на этих устройствах.

Кроме того, если компания хранит копии персональных данных, например, записанные данные на DVD-диске или на USB-накопителе, такие носители следует хранить в надежном месте. Не нужно использовать сейф, но это должен быть как минимум шкафчик. Информация о том, как хранить такие носители, должна быть описана в документации, и работникам, которые используют носители этого типа, должна быть предоставлена ​​возможность их соблюдения на практике - должным образом оборудованная рабочая станция.

Если персональные данные хранятся на электронных носителях, компания должна разработать процедуру для необходимости ремонта таких носителей или в случае ликвидации - процедуру для их уничтожения. Эти процедуры должны быть эффективными, а используемые инструменты должны сделать невозможным считывание личных данных с этих носителей.

Внешний хостинг

Подавляющее большинство интернет-магазинов не имеют собственной серверной инфраструктуры и используют хостинговые компании, которые предоставляют такие серверные услуги. Поэтому на серверах данной компании хранятся личные данные магазина. Вследствие этого часть обязанностей, возложенных на администратора персональных данных, выполняется этой компанией. Примером такого делегирования обязанностей является, например, необходимость физической защиты серверов, на которых хранятся персональные данные, от доступа неуполномоченных лиц.

Стоит знать, что использование хостинговой компании не освобождает администратора персональных данных от ответственности за любые сбои со стороны хостинговой компании, поэтому стоит подписать контракт с такой компанией относительно надлежащей защиты персональных данных. В таком соглашении должны быть четко указаны обязательства, которые хостинговая компания обязана соблюдать, в частности, в отношении физической защиты персональных данных клиентов интернет-магазина. Подписание такого договора может стать основанием для предъявления претензий от хостинговой компании в случае каких-либо споров, небрежность которых подвергнет контролера персональных данных ущербу. Ведущие хостинговые компании в Польше имеют шаблоны для таких договоров и с удовольствием их подписывают, поэтому стоит сделать это.

Права лица, чьи личные данные относятся к

Закон предоставляет ряд прав отдельным лицам администратору персональных данных, который обрабатывает их персональные данные. Согласно регламенту, каждый человек имеет право на общепринятый контроль над обработкой персональных данных, касающихся его. Контроль обработки данных заключается, в частности, в праве:

  • получить информацию о том, находятся ли ее личные данные в наборе данных, хранящемся у администратора личных данных;
  • получить исчерпывающую информацию об администраторе персональных данных - название компании, адрес зарегистрированного офиса;
  • получение информации о назначении, объеме и способе обработки данных;
  • получать информацию о том, когда персональные данные, касающиеся их, обрабатываются контроллером персональных данных;
  • получить информацию об источнике, из которого администратор персональных данных получил данные;
  • получить информацию о способе обмена данными с другими объектами и информацию об этих объектах;
  • запросы о дополнении, обновлении, исправлении персональных данных, временной или постоянной приостановке их обработки или их удаления, если они являются неполными, устаревшими, не соответствуют действительности или были собраны в нарушение Закона или более не нужны для достижения цели, для которой они были собраны.

Каждый администратор должен быть готов предоставить любому лицу, чьи личные данные обрабатываются, исчерпывающую информацию о том, как они обрабатываются. В этом контексте важно осуществлять надлежащий контроль над сотрудниками компании, которые обрабатывают личные данные и внедряют соответствующие процедуры в ИТ-системах, используемых таким образом, чтобы минимизировать риск передачи личных данных посторонним лицам.

Уголовное обеспечение

Следует иметь в виду, что в Законе предусмотрены конкретные меры наказания за обработку персональных данных в нарушение закона. Наиболее суровым наказанием является:

  • обработка данных, обработка которых неприемлема или для которых обработка объекта не разрешена;
  • сознательный обмен личными данными с посторонними лицами;
  • предотвращение или препятствование компетентному инспектору осуществлять контрольную деятельность.

Вышеуказанные действия наказываются штрафом, ограничением свободы или лишением свободы на срок до 2 лет. Однако штраф, ограничение свободы или тюремное заключение на срок до одного года находится под угрозой:

  • нарушение, по крайней мере, непреднамеренного обязательства защищать личные данные от кражи посторонним лицом или их повреждения, уничтожения;
  • не удалось зарегистрировать файл персональных данных в GIODO;
  • неуведомление лица, чьи личные данные обрабатываются, о его правах.

Я вижу, что обработка персональных данных, противоречащая правилам, не только подвергает компанию потере доверия клиентов, но и несет ответственность за весьма специфическую ответственность.

суммирование

Процесс разработки и внедрения документации, касающейся защиты персональных данных, и процедур обработки этих данных в компании может показаться трудоемким и сложным для реализации, особенно в контексте описания процедур в соответствии с принятыми стандартами безопасности. Однако стоит заняться этим вопросом и подойти к нему профессионально, а знания, полученные в ходе работы, безусловно, будут очень полезны в практике работы интернет-магазина и обеспечат его безопасную работу.

Каковы последствия такого положения вещей?
Какие обязательства должны быть выполнены для адекватной защиты персональных данных клиентов интернет-магазина?