Czy twój sklep internetowy potrzebuje inspektora ochrony danych?

Jeżeli chciałbyś znaleźć odpowiedź, w rozporządzeniu o ochronie danych (RODO), czy potrzebujesz inspektora ochrony danych w sklepie internetowym, to niestety nie znajdziesz jej.

RODO w tym zakresie jest mało precyzyjne i jeżeli szukasz krótkiej odpowiedzi „tak” lub „nie” to jej nie uzyskasz. Przynajmniej na początku.

Kiedy musisz mieć inspektora ochrony danych

W ramach szybkiego przypomnienia, obowiązek ustanowienia IOD spoczywa na podmiocie:

1. który jest organem lub podmiotem publicznym, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2. którego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3. którego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Tyle w temacie ma RODO do powiedzenia. Sam przyznasz, że na pierwszy rzut oka, można mieć wątpliwości. Zatem kilka podpowiedzi poniżej.

Jeżeli nie jesteś organem lub podmiotem publicznym, czyli np. NBP, instytutem badawczym, urzędem, szkołą, a prowadzisz działalność gospodarczą to zapewne przesłanka z punktu pierwszego (1) ciebie nie dotyczy.

Regularne monitorowanie osób

Przejdę zatem do następnej z przesłanek, która ma dla ciebie największe znaczenie i właściwe jej rozumienie i przeanalizowanie może skutkować obowiązkiem powołania inspektora ochrony danych.

Zawiera ona kilka warunków, które muszą być spełnione łącznie:

1. monitorowanie osób, których dane dotyczą;
2. dokonywanie tego na dużą skalę;
3. robienie tego w sposób systematyczny i regularny.

Pisząc o monitorowanie mam na myśli monitorowanie klientów w sklepie, ich zachowań w Internecie, preferencji zakupowych, najczęściej stosowanych form płatności, liczba wyświetleń produktu, grupy wiekowe osób kupujących dany produkt itd. Czyli to wszystko, co zbierasz, aby stworzyć później profile zakupowe konkretnych klientów w celu dopasowania do nich kampanii reklamowej.

Przypomnij sobie, jak czasami w sklepach wyświetlają się informacje: Podobni klienci wybrali także to… Inni klienci kupili także to ..(i pokazane zdjęcie produktu, że oprócz sukienki osoby kupiły jeszcze buty).

Jednak, poza monitorowaniem danych musi być to robione systematycznie i regularnie. Nie jest systematycznym działaniem jednorazowa akcja, albo okazjonalne wydarzenie.

I ostatnim element, który musi być spełniony łącznie z wcześniejszymi to monitorowanie na dużą skalę.

Dla ustalenia wielkości warto zastanowić się nad:

1. liczbą osób, których dane regularnie przetwarzasz;
2. zakresem tego przetwarzania;
3. okresem przechowywania danych;
4. zakresem geograficznym przetwarzania.

Przetwarzanie danych szczególnych

Ostatnia, trzecia przesłanka mówi o przetwarzaniu na dużą skalę szczególnych kategorii.

Do szczególnej kategorii danych zaliczają się m.in. dane o pochodzeniu rasowym, poglądach politycznych, przynależności do związków zawodowych, czy dane dotyczące zdrowia, seksualności.

Jeżeli w ramach sklepu przetwarzasz takie dane i to na duża skalę (analiza „dużej skali” – patrz powyżej) to także masz obowiązek powołania inspektor ochrony danych.

Z reguły jednak sklepu internetowe nie gromadzą danych osobowych szczególnych, dlatego najczęściej występującą przesłanką będzie druga z omówionych.

Seria wpisów o RODO:

1. Koszt wdrożenia RODO
2. RODO a publikowanie wizerunku
3. 5 kroków do RODO. Must have dostosowania się do nowej rzeczywistości
4. Jak RODO reguluje zgodę dziecka na przetwarzanie jego danych osobowych
5. Czy fotografię prasową i reporterską obowiązuje RODO?
6. RODO oczami klienta
7. RODO w mailingu

Pakiet zapewniający kompletne wdrożenie RODO przepisów o ochronie danych osobowych przez twórców internetowych, blogerów, przedsiębiorców działających w e-commerce, blogerów.