Jeżeli chciałbyś znaleźć odpowiedź, w rozporządzeniu o ochronie danych (RODO), czy potrzebujesz inspektora ochrony danych w sklepie internetowym, to niestety nie znajdziesz jej.

RODO w tym zakresie jest mało precyzyjne i jeżeli szukasz krótkiej odpowiedzi „tak” lub „nie” to jej nie uzyskasz. Przynajmniej na początku.

 

Kiedy musisz mieć inspektora ochrony danych

W ramach szybkiego przypomnienia, obowiązek ustanowienia IOD spoczywa na podmiocie:

  1. który jest organem lub podmiotem publicznym, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. którego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. którego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Podstawa prawna: art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Tyle w temacie ma RODO do powiedzenia. Sam przyznasz, że na pierwszy rzut oka, można mieć wątpliwości. Zatem kilka podpowiedzi poniżej.

Jeżeli nie jesteś organem lub podmiotem publicznym, czyli np. NBP, instytutem badawczym, urzędem, szkołą, a prowadzisz działalność gospodarczą to zapewne przesłanka z punktu pierwszego (1) ciebie nie dotyczy.

Regularne monitorowanie osób

Przejdę zatem do następnej z przesłanek, która ma dla ciebie największe znaczenie i właściwe jej rozumienie i przeanalizowanie może skutkować obowiązkiem powołania inspektora ochrony danych.

Zawiera ona kilka warunków, które muszą być spełnione łącznie:

  1. monitorowanie osób, których dane dotyczą;
  2. dokonywanie tego na dużą skalę;
  3. robienie tego w sposób systematyczny i regularny.

Pisząc o monitorowanie mam na myśli monitorowanie klientów w sklepie, ich zachowań w Internecie, preferencji zakupowych, najczęściej stosowanych form płatności, liczba wyświetleń produktu, grupy wiekowe osób kupujących dany produkt itd. Czyli to wszystko, co zbierasz, aby stworzyć później profile zakupowe konkretnych klientów w celu dopasowania do nich kampanii reklamowej.

Przypomnij sobie, jak czasami w sklepach wyświetlają się informacje: Podobni klienci wybrali także to… Inni klienci kupili także to ..(i pokazane zdjęcie produktu, że oprócz sukienki osoby kupiły jeszcze buty).

Jednak, poza monitorowaniem danych musi być to robione systematycznie i regularnie. Nie jest systematycznym działaniem jednorazowa akcja, albo okazjonalne wydarzenie.

 

Przykładowo, regularnie możesz profilować dane uczestników programów lojalnościowych lub osób odwiedzających twój sklep internetowy.

I ostatnim element, który musi być spełniony łącznie z wcześniejszymi to monitorowanie na dużą skalę.

Dla ustalenia wielkości warto zastanowić się nad:

  1. liczbą osób, których dane regularnie przetwarzasz;
  2. zakresem tego przetwarzania;
  3. okresem przechowywania danych;
  4. zakresem geograficznym przetwarzania.

Problemem jest precyzyjne określenie skali przetwarzanych danych. Jednak będąc właścicielem firmy masz o tym większą wiedzę niż specjalista z zewnątrz.

Przetwarzanie danych szczególnych

Ostatnia, trzecia przesłanka mówi o przetwarzaniu na dużą skalę szczególnych kategorii.

Do szczególnej kategorii danych zaliczają się m.in. dane o pochodzeniu rasowym, poglądach politycznych, przynależności do związków zawodowych, czy dane dotyczące zdrowia, seksualności.

Jeżeli w ramach sklepu przetwarzasz takie dane i to na duża skalę (analiza „dużej skali” – patrz powyżej) to także masz obowiązek powołania inspektor ochrony danych.

Z reguły jednak sklepu internetowe nie gromadzą danych osobowych szczególnych, dlatego najczęściej występującą przesłanką będzie druga z omówionych.