Każdy podmiot prowadzący sklep internetowy, z mocy ustawy o ochronie danych osobowych staje się Administratorem Danych Osobowych, który zobowiązany jest do właściwego przetwarzania, a przede wszystkim właściwego zabezpieczenia posiadanych danych osobowych klientów sklepu internetowego.
Ustawodawca określił dwie grupy środków, które powinny zostać zastosowane. Są to środki techniczne i organizacyjne. Środki te powinny zostać przez Administratora Danych Osobowych (ADO) tak dobrane, aby dane osobowe klientów były bezpieczne. Ustawa nie precyzuje dokładnie jakie konkretne środki ADO powinien zastosować, wskazuje jedynie, że ich dobór powinien być odpowiedni do zagrożeń oraz kategorii danych objętych ochroną. ADO opracowuje model zarządzania danymi osobowymi tak, aby dane te były bezpieczne i przetwarzane zgodnie z obowiązującymi przepisami prawnymi.
Środkami organizacyjnymi bez wątpienia będzie pracowanie i wdrożenie Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, które w sposób szczegółowy opisują jak dane osobowe powinny być przetwarzane przez pracowników Administratora. Kolejnym środkiem jest wyznaczenie Administratora Bezpieczeństwa Informacji (ABI) tj. osoby, która nadzoruje w przedsiębiorstwie procesy związane z przetwarzaniem danych osobowych.
Do środków tych powinniśmy także zaliczyć wystawienie przez ADO imiennego upoważnienia do przetwarzania danych osobowych, w którym ADO określa zakres dostępu użytkownika do przetwarzanych danych osobowych. Wszystkie wystawione upoważnienia ADO rejestruje w Ewidencji osób upoważnionych do przetwarzania danych osobowych.
Również sposób ustawienia stanowisk komputerowych, na których przetwarzane są dane osobowe jest środkiem organizacyjnym stosowanym przez ADO – komputery powinny być tak ustawione, aby osoby postronne (nieupoważnione) nie miały wglądu w dane wyświetlane na monitorach.
Kolejną grupą zabezpieczeń są środki techniczne, do których możemy zaliczyć ograniczenie dostępu do komputera poprzez ustawienie haseł dostępowych dla wszystkich użytkowników i określenie ich uprawnień w systemie informatycznym.
Środkiem gwarantującym bezpieczeństwo przetwarzanych danych osobowych jest także nadzór nad legalnością stosowanego oprogramowania, a także dbanie o aktualność baz danych wirusów i prowadzenie regularnych skaningów komputerów podłączonych do sieci.
Oprócz wymienionych powyżej środków, ADO może stosować także inny, które zwiększą bezpieczeństwo danych osobowych.
Kolejnym elementem wymaganych dla Administratorów Danych Osobowych Klientów sklepów internetowych jest określenie właściwej treści klauzuli zgody na przetwarzanie danych osobowych. Zgoda ta jest jedną z przesłanek legalizujących przetwarzanie danych osobowych, przy danych zwykłych nie jest wymagana w formie pisemnej.
W przypadku sklepów internetowych kolejną przesłanką legalizującą przetwarzanie danych osobowych może być ich zbieranie w celu realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, jednakże wtedy ADO nie mógłby przetwarzać danych osobowych do innych celów. W praktyce dane osobowe klientów sklepu internetowego przetwarzane są nie tylko w celu realizacji umowy kupna-sprzedaży, ale także w innych celach np. marketingu usług własnych, przesyłania newslettera lub realizacji reklamacji i zwrotów klientów dlatego zaleca się, aby dane przetwarzane były na podstawie zgody osoby, której dane dotyczą.
Warto także wspomnieć o obowiązku ADO wynikającego z art. 24 ustawy, który nakłada na Administratora obowiązek poinformowania osoby, której dane osobowe są przetwarzane o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku
- w celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych
- prawie dostępu do treści swoich danych oraz ich poprawiania
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
Odpowiednią klauzulę informacyjną można zawrzeć np. w Polityce Prywatności umieszczonej na stronie sprzedawcy.