Kiekvienos elektroninės parduotuvės savininkas yra ir duomenų valdytojas. Pagrindinę jo renkamų ir tvarkomų asmens duomenų dalį sudaro jo klientų asmens duomenys: vardai, pavardės, el. pašto adresai, fiziniai adresai, pirkimo istorija, kartais net gimimo datos ar mokėjimų informacija. El. parduotuvė turi užtikrinti asmens duomenų saugumą: nustatyti prieigos teises, duomenis šifruoti ir laiku naikinti, turėti aiškias tvarkas ir kt. Valstybinė duomenų apsaugos inspekcija (VDAI), atlikusi internetinių parduotuvių stebėseną, paskelbė 5 rekomendacijas, kurios turi padėti el. parduotuvėms užtikrinti duomenų saugumą ir laikytis BDAR (Bendrojo duomenų apsaugos reglamento) reikalavimų. Šias rekomendacijas aptaria intelektinės nuosavybės ir e-komercijos advokatė Giedrė Rimkūnaitė-Manke.

. 1. Prieiga prie klientų duomenų – tik tiems, kam reikia

VDAI sako: Užtikrinti privilegijuotųjų prieigos teisių valdymo kontrolę.

Tai reiškia: Ne kiekvienas komandos narys turi matyti klientų duomenis. Prieigą turėtų turėti tik tie darbuotojai, kuriems tai būtina jų darbo funkcijoms atlikti.

Pavyzdys: Turite žmogų, kuris rūpinasi užsakymų suruošimu, siuntų pakavimu ir išsiuntimu? Jam visiškai nebūtina matyti kliento pirkimo istorijos, gimimo datos, kitų siuntos pristatymui nereikalingų duomenų. O štai klientų aptarnavimo specialistas – priešingai, turi turėti prieigą prie didesnio kiekio informacijos, kad galėtų atsakyti į klientų užklausas.

Ką daryti?

• Atlikite darbuotojų prieigos auditą, tai yra pasitikrinkite, kurie darbuotojai kokias teises turi.
• Nustatykite aiškias prieigos prie asmens duomenų taisykles. Aprašykite jas, supažindinkite su jomis darbuotojus.
• Įdiekite technines priemones, kurios padės užtikrinti, kad duomenis gautų tik tie darbuotojai, kuriems jų reikia. Tai galėtų būti naudotojų teisių valdymo sprendimai (role-based access control), kelių faktorių autentifikacija (MFA) ir kt.
• Įdiekite techninius sprendimus, skirtus veiksmų su duomenimis stebėjimui ir fiksavimui, kurios padėtų užfiksuoti, kas ir kada prieina prie duomenų, aptikti neteisėtą ar įtartiną elgesį, turėti įrodymus patikrinimo ar incidento atveju. Tokios priemonės galėtų būti prisijungimų ir veiksmų žurnalai (logai), specialūs auditavimo įrankiai, skirti jūsų naudojamai platformai (Woocommerce, Shopify ar kt.) ir kt.

2. Duomenų naikinimas laiku ir automatizuotai

VDAI sako: Sukurti ir įgyvendinti efektyvius asmens duomenų naikinimo procesus.

Tai reiškia: Laikykitės duomenų saugojimo terminų ir naikinkite tai, kas nereikalinga. Viena pagrindinių BDAR taisyklių – asmens duomenis reikia saugoti tik tiek, kiek būtina. Pasibaigus saugojimo terminui, jie turi būti laiku ir saugiai sunaikinti.

Pavyzdys: Klientas pirko prekę prieš 3 metus, prekės garantijos terminas pasibaigė, su klientu nebuvote susisiekę nuo to laiko. Jo duomenys vis dar jūsų sistemoje? Laikas juos pašalinti. Žinoma, duomenys, kurie yra sąskaitoje, bus saugomi tol, kol pagal teisės aktus turite saugoti sąskaitas, tai yra 10 metų.

Ką daryti?

• Įvertinkite, kiek laiko ir kokiu tikslu objektyviai jums reikalingi klientų duomenys. Nustatykite saugojimo terminus, juos aprašykite elektroninės parduotuvės privatumo politikoje ir vidiniuose dokumentuose, supažindinkite darbuotojus.
• Automatizuokite duomenų šalinimą. Įdiekite automatinius duomenų šalinimo sprendimus tiek el. parduotuvės valdymo sistemoje, tiek kitose naudojamose sistemose, pvz., naujienlaiškių siuntimo ir automatizacijos sprendimuose.

3. Šifravimas

VDAI sako: Naudoti pažangias šifravimo priemones duomenų saugumui užtikrinti.

Tai reiškia: Naudokite duomenų šifravimą – tiek siunčiant, tiek saugant duomenis. Jeigu duomenys bus tinkamai šifruoti, net ir patekę į netinkamas rankas, jie bus nepanaudojami.

Pavyzdys: Ar jūsų svetainėje yra įdiegtas SSL sertifikatas, t. y., „https“? Jei ne – vartotojo duomenys keliauja per tinklą be apsaugos.

Ką daryti?

• Svetainei naudokite SSL sertifikatą.
• Naudokite svetainės duomenų bazes šifruojančius sprendimus – patikrinkite, ar juos siūlo jūsų naudojamos platformos, o gal reikia įsidiegti papildomai.
• Reguliariai peržiūrėkite naudojamas priemones ir, jeigu reikia, atnaujinkite.

4. Pakeitimai sistemoje – tik pagal aiškią tvarką

VDAI sako: Tobulinti pakeitimų valdymo procesus.

Tai reiškia: Kiekvienas technologinis pakeitimas, prieš jį įgyvendinant, turi būti įvertintas iš duomenų apsaugos pusės.

Pavyzdys: Ketinate pradėti naudoti naujienlaiškius ar įdiegti el. laiškų automatizaciją? Turite įvertinti, ar tai atitinka BDAR reikalavimus, ir ko turite imtis, kad nepažeistumėte duomenų apsaugos reikalavimų.

Ką daryti?

• Prieš įgyvendindami pakeitimą, atlikite duomenų apsaugos vertinimą.
• Įtraukite pokyčius į dokumentus: atspindėkite juos el. parduotuvėje skelbiamoje privatumo politikoje, vidiniuose duomenų apsaugos dokumentuose.
• Įvertinkite, kokius informacinius tekstus el. parduotuvės svetainėje reikia parengti ar pakeisti.
• Imkitės veiksmų, kurių reikia, pvz., įdiekite sutikimų rinkimą, užtikrinkite, kad laiškai būtų siunčiami tik tiems asmenims, kurių sutikimus turite (jeigu jie reikalingi).

5. Duomenų apsaugos politika – gyvas dokumentas

VDAI sako: Reguliariai peržiūrėti ir atnaujinti duomenų apsaugos politiką.

Tai reiškia: Jūsų el. parduotuvėje skelbiama privatumo politika ir vidiniai asmens duomenų tvarkymo dokumentai turi būti nuolat peržiūrimi ir atnaujinami – jie turi atspindėti realią situaciją.

Pavyzdys: Jeigu įdiegiate pokytį, turite jį tinkamai atspindėti dokumentuose. Jeigu tai yra vidinis procesų pokytis (pavyzdžiui, įdiegiate prieigos teisių pokyčius), tai atsispindės tik vidiniuose dokumentuose. Jeigu pokyčiai susiję su klientais (pavyzdžiui, pradėsite siųsti naujienlaiškius), tai turės atsispindėti ir privatumo politikoje.

Ką daryti?

• Peržiūrėkite dokumentus bent kartą per metus.
• Atspindėkite realius procesus.

6. Keli papildomi patarimai

Papildant VDAI rekomendacijas, dar keli susiję patarimai:

• Rinkite tik tiek duomenų, kiek jų iš tiesų reikia. Pavyzdžiui, jeigu neturite jokio aiškaus ir pagrįsto tikslo, neprašykite klientų pateikti gimimo datą.
• Organizuokite reguliarius darbuotojų mokymus, užtikrinkite, kad jie būtų realūs, ne „popieriniai“.
• Su visais darbuotojais pasirašykite konfidencialumo susitarimus ir geras darbo sutartis.
• Pasitikrinkite, ar turite BDAR reikalavimus atitinkančią privatumo politiką, ir jeigu reikia, susikurkite ją Doko pagalba.

Versle duomenų apsauga nėra tik biurokratinė našta. Tai – klientų pasitikėjimo pagrindas. El. parduotuvės, kurios atsakingai žiūri į duomenų tvarkymą, kuria patikimo prekių ženklo įvaizdį, išvengia baudų, o dažnai – ir duomenų nutekėjimo ar reputacijos krizių. Pasirūpinkite duomenų apsauga šiandien – nes tai ne tik reikalavimas, bet ir investicija į jūsų verslo saugumą bei augimą.