Ochrona danych osobowych w polskich e-sklepach nie stoi na najwyższym poziomie. Jedynie 2 proc. wszystkich sklepów zadeklarowało pełną lub prawie pełną zgodność z przepisami ustawy o ochronie danych osobowych - mówi w rozmowie z Dziennikiem Gazetą Prawną Marcin Engelmann, dyrektor Departamentu Bezpieczeństwa Informacji firmy Dotcom River, która prowadzi działalność badawczą i usługową na rynku handlu internetowego.
*Przebadaliście państwo ponad 600 e-sklepów pod kątem spełniania przez nie wymogów bezpieczeństwa, jakie nakłada ustawa o ochronie danych osobowych. Jak wyglądają wyniki?
MARCIN ENGELMANN
Nie można powiedzieć, żeby ochrona danych osobowych w polskich e-sklepach stała na najwyższym poziomie. Jedynie 2 proc. wszystkich sklepów biorących udział w badaniu zadeklarowało pełną lub prawie pełną zgodność z przepisami ustawy. Nie można jednak powiedzieć, że wszystkie pozostałe sklepy na pewno łamią prawo. W konkretnych przypadkach może nie być wymagana rejestracja zbioru danych w GIODO, a zbieranie dodatkowych informacji o kliencie może być podyktowane wymaganiami innych przepisów prawa lub zgodą klienta.
Reklama
W jakich przypadkach sklepy nie przestrzegają prawa?
Tylko nieco ponad połowa sklepów usuwa dane osobowe klienta, kiedy ten rezygnuje z usług i wyda dyspozycję usunięcia konta. Jedynie niecałe 36 proc. e-sklepów zabezpiecza swoje strony za pomocą bezpiecznego, szyfrowanego połączenia HTTPS i certyfikatów SSL. Oznacza to, że informacje przesyłane między komputerem klienta a serwerem, na którym działa sklep, mogą zostać podsłuchane (np. hasło do konta) lub zmodyfikowane (np. adres dostawy, numer rachunku bankowego, na który należy dokonać wpłaty) bez wiedzy zarówno klienta, jak i sklepu. To zastanawiające, bo podstawowy certyfikat SSL to koszt zaledwie 10 zł miesięcznie, jest więc niski w porównaniu z kosztami nawet jednego udanego wyłudzenia w roku. Tylko niecałe 10 proc. sklepów deklaruje, że zarejestrowało zbiory danych osobowych w rejestrze Generalnego Inspektora Ochrony Danych Osobowych, podczas gdy aż 40 proc. zadeklarowało, że wykorzystuje je do celów marketingowych. Niecałe 26 proc. sklepów prowadzi dokumentację, którą powinna prowadzić każda firma, która przetwarza jakiekolwiek dane osobowe.
Skąd klient ma wiedzieć, że e-sklep odpowiednio chroni jego dane?
Najprostszym do sprawdzenia kryterium jest posiadanie przez sklep certyfikatu SSL i stosowanie szyfrowanego połączenia. Sklepy posiadające certyfikat SSL wypadają lepiej w pozostałych obszarach ochrony danych niż sklepy bez certyfikatu. Badanie potwierdza też, że sklepy prowadzące sprzedaż w internecie od ponad pięciu lat (informacje o wieku większości e-sklepów znaleźć można np. w serwisie Sklepy24.pl) gwarantują wyższe standardy bezpieczeństwa niż sklepy z krótszym stażem. W wyższym stopniu chronią również przetwarzane dane osobowe. Taką samą zależność można zaobserwować w przypadku sklepów dużych, generujących wysoki miesięczny obrót.
*Badanie przeprowadzono na potrzeby raportu e-Handel Polska 2009, którego publikacja nastąpić ma 15 grudnia 2009 r. w serwisie Sklepy24.pl.