Henkilötietojen suojaaminen verkkokaupassa, osa 1 - peruskäsitteet

Palveluliiketoiminta

Jokaisella verkkokauppaa pitävällä on yhteys ainakin kaupan asiakkaiden henkilötietoihin. Sitovatko siis verkkokaupan ylläpitäjät henkilötietolain säännökset? Miltä henkilötietojen suoja verkkokaupassa näyttää? Selitämme alla.

Henkilötietojen suojaaminen verkkokaupassa

Mitä henkilötiedot ovat? Ja miten erottaa ne muista tiedoista?

Tämä kysymys vaivaa monia yrittäjiä, ja henkilötietojen määritelmä on sisällytetty suoraan lakiin:

Henkilötietolain 6 §

1. Lain mukaan henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.

2. Tunnistettava henkilö on henkilö, joka voidaan tunnistaa suoraan tai epäsuorasti erityisesti tunnistenumeron tai yhden tai useamman hänen fyysisille, fysiologisille, henkisille, taloudellisille, kulttuurisille tai sosiaalisille ominaispiirteilleen ominaisten seikkojen perusteella.

3. Tietojen ei katsota mahdollistavan henkilön tunnistamista, jos se vaatisi kohtuuttomia kustannuksia, aikaa tai toimintaa.

Mitä henkilötietoja verkkokaupassa on?

Verkkokaupan ylläpitäjät kohtaavat useimmiten henkilötietoja, kuten:

  • asiakkaan etu- ja sukunimi sekä kotiosoite ja puhelinnumero,

  • sähköpostiosoite,

  • luonnollisten henkilöiden yritysten nimet (yksityiset yritykset ja siviilioikeudelliset yhtiöt) - huolimatta julkisesta pääsystä CEIDG-tietokantaan nämä tiedot ovat suojattuja,

  • tavaran vastaanottajan etu- ja sukunimi ja osoite (usein ostajana on joku muu henkilö kuin se, jolle ostaja haluaa lähettää ostamansa tavarat).

Kaikki nämä tiedot ovat henkilötietolain mukaisen erityisen suojan alaisia. Onko siitä vastuussa verkkokaupan henkilötietojen ylläpitäjä? Kuka tuo on? Selitämme alla.

Verkkokaupan henkilötietojen ylläpitäjä

Henkilötietojen ylläpitäjä on elin, organisaatioyksikkö, yhteisö tai henkilö, joka päättää henkilötietojen käsittelyn tarkoituksesta ja keinoista. Määritelmä on näennäisesti melko vaikea, mutta käytännössä se tarkoittaa, että henkilötietojen ylläpitäjä, lyhenne ADO, on verkkokaupan tapauksessa sen omistaja. Joten, jos kauppaa pidetään muodossa:

  • yksityinen elinkeinonharjoittaja - yrittäjä itse on ADO;

  • siviilikumppanuus - kaikki kumppanit ovat ADO:ta;

  • pääomayhtiön (eli sp.z o.o. tai osakeyhtiö) - yhtiö on ADO, ja koska yhtiötä johtavat sitä edustavat henkilöt, käytännössä ADO:n toiminnan hoitaa yhtiön hallitus.

Henkilötietojen ylläpitäjä voi nimetä yritykseen tietoturvavastaavan (ns. ABI), joka siirtää hänelle osan tietosuojan järjestämiseen liittyvistä velvoitteista yrityksessä.

Huomio!

ABI:n nimittäminen ei vapauta ADO:ta täysin vastuusta henkilötietojen suojasta yrityksessä.

Verkkokaupan tietoturvavastaava

Tietoturvan valvojana voi olla esimerkiksi yrityksen työntekijä tai tähän tarkoitukseen nimetty ulkopuolinen taho. ADO:lla on 30 päivää aikaa ABI:n nimeämisestä rekisteröidä se GIODOssa. Sen tehtävien vähimmäismäärä, joita se suorittaa henkilötietojen ylläpitäjän puolesta, on määritelty suoraan henkilötietolaissa. Näihin toimiin kuuluvat, mutta eivät rajoitu niihin:

  • tarkastaa henkilötietojen käsittelyn henkilötietojen suojaa koskevien säännösten mukaisuus ja laatia asiasta selvityksen rekisterinpitäjälle,

  • valvoa dokumentaation kehittämistä ja päivitystä - tietoturvapolitiikka, tietojärjestelmän hallintaohjeet,

  • henkilötietojen käsittelyyn valtuutettujen henkilöiden koulutus tai koulutuksen valvonta;

  • pitää rekisteriä ADO:n käsittelemistä tiedostoista.

Huomio!

Verkkokaupan tietoturvan ylläpitäjänä voi olla henkilö, joka täyttää yhteensä kolme perusvaatimusta:

  • hänellä on täysi oikeuskelpoisuus ja kaikki julkiset oikeudet;

  • hänellä on asianmukaiset tiedot henkilötietojen suojasta verkkokaupassa;

  • häntä ei tuomittu tahallisesta rikoksesta.

Kyseessä voi olla työntekijä, joka harjoittaa myös muuta toimintaa yrityksessä, mikäli tämä ei riko edellä mainittuja ABI:n perustehtäviä.


Koska tietoja tallennetaan yhä useammin IT-järjestelmiin, ja näin on varmasti verkkokaupan henkilötietojen suojassa, tietoturvavastaava voi auttaa tietojärjestelmän ylläpitäjää (ns. nimeltä ASI).

IT-järjestelmänvalvoja verkkokaupassa

IT-järjestelmänvalvoja on tyypillisesti henkilö, jolla on tekniset taidot ja tietotekniikan osaaminen. Sen tehtävänä on valvoa niiden tietojärjestelmien toimintaa, joita yritys käyttää henkilötietojen suojaamiseen.

ASI:n oikean toiminnan perusta yhtiössä on henkilötietojen suojasta annetun lain ja sisä- ja hallintoministerin 29.4.2004 antaman määräyksen henkilötietojen dokumentoinnista alan lain tuntemus. Tietojen käsittelyyn liittyvät tekniset ja organisatoriset ehdot, jotka henkilötietojen käsittelyyn käytettävien laitteiden ja tietojärjestelmien on täytettävä (Lakilehti 2004, nro 100, kohta 1024).

Käytännössä ABI:n ja ASI:n perustamiseen on varaa vähintään muutaman työntekijän työllistävillä yrityksillä, kun taas aloittelevat yrittäjät yleensä valvovat tätä erityistä toimintaa, eli henkilötietojen suojaa verkkokaupassa, joko yksin tai yrityksen avulla. ulkopuoliset konsultit.