15 kw. Incydenty w e-commerce
Incydent, a właściwie naruszenie ochrony danych osobowych, oznacza naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
W praktyce, aby można było stwierdzić wystąpienie incydentu, muszą więc zaistnieć dwie przesłanki:
– naruszenie bezpieczeństwa,
– inne negatywne zdarzenie np. nieuprawnione udostępnienie danych, wynikające z takiego naruszenia.
Do incydentu może dojść oczywiście w każdym przedsiębiorstwie, niezależnie od jego wielkości, skali działalności czy ilości przetwarzanych danych. Biorąc jednak pod uwagę model działalności e-commerce, a także to, że jej nieodłącznym elementem są codzienne operacje na danych osobowych (od zakładania kont i składania zamówień, przez przekazywanie danych kurierom, do tworzenia spersonalizowanych ofert i reklam) – sklepy internetowe są często znacznie bardziej narażone na wystąpienie incydentu.
Jakie są najczęstsze incydenty w branży e-commerce?
Do jednych z najczęstszych incydentów w branży e-commerce należą błędy związane z doręczaniem przesyłek. Zdarza się, że do paczki dostarczonej jednemu klientowi załączone zostają potwierdzenie czy faktura zawierające dane innego klienta. Taka, wydawałoby się, drobna pomyłka prowadzi do nieuprawnionego ujawnienia danych osobowych, a tym samym spełnia przesłanki uznania jej za naruszenie ochrony danych.
Do innych, równie często występujących i klasyfikowanych jako incydent, błędów należy wysyłka newslettera lub innych elektronicznych materiałów marketingowych do grupy odbiorców z ujawnieniem ich adresów e-mail.
Wśród pozostałych naruszeń, na jakie narażeni są przedsiębiorcy, zdarzyć się mogą m.in. utrata nośnika danych (np. dokumentu, płyty CD czy pendrive’a), przypadkowe usunięcie danych, cyberataki, ale również tak zwane „incydenty wewnętrzne” – należy bowiem pamiętać, że nie wszystkie osoby zatrudnione w spółce powinny mieć dostęp do wszystkich przetwarzanych przez nią danych osobowych.
Co zrobić w razie wystąpienia incydentu?
W przypadku stwierdzenia, że doszło do incydentu, kluczowy jest czas reakcji. Przede wszystkim, przedsiębiorca powinien zacząć od oceny stopnia ryzyka naruszenia praw lub wolności osób fizycznych w związku z zaistnieniem incydentu.
Jeśli takie ryzyko jest średnie, przedsiębiorca powinien zgłosić incydent do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego stwierdzenia.
Jeśli ryzyko jest wysokie, wymagane jest zarówno zgłoszenie incydentu w powyższym terminie, jak i niezwłoczne zawiadomienie o incydencie osób, których dane dotyczą.
Dodatkowo, niezależnie od stopnia zidentyfikowanego ryzyka, przedsiębiorca powinien wpisać każdy incydent do prowadzonego w tym celu rejestru.
Więcej szczegółów dotyczących działań związanych z wystąpieniem incydentu znajduje się w artykule Naruszenie ochrony danych – obowiązek notyfikacji.
