Skip to main content

Ocena skutków – na przykładzie sklepu internetowego

Jednym  z obowiązków Administratora (Danych) w przypadkach określonych przez Grupę Roboczą art.29 jest prowadzenie oceny skutków co do ochrony danych. Należy się zatem zastanowić na kim personalnie spoczywa obowiązek, czy na samym Administratorze (Danych), czy na Inspektorze Ochrony Danych.

Wytyczne Grupy Roboczej art. 29, które dotyczą procedury oceny skutków z zakresie ochrony danych osobowych wskazują, że sama już ocena jest procesem, dzięki któremu można opisać przetwarzanie danych oraz ocenić jego konieczność i proporcjonalność a celem jest wspomaganie w procesie zarządzania ryzykiem by nie doszło do naruszenia praw i wolności osób fizycznych.podczas przetwarzania danych osobowych oraz aby dobrze wykonać ocenę ryzyka i skutecznie określić środki pozwalające zradzić na zidentyfikowane czynniki ryzyka.

Istota oceny skutków

Ocena skutków jest bardzo ważnym narzędziem. które pozwala na wykazanie rozliczalności przez Administratora (Danych) względem wymogów określonych w Rozporządzeniu RODO oraz udokumentowanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów Rozporządzenia RODO. Jest to więc proces budowania procedur bezpieczeństwa i wykazywania zgodności z przepisami prawa.

W związku z tym, że każdy Administrator (Danych) ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzanych danych osobowych zachodzi potrzeba przeanalizowania czy wprowadzone do tej pory środki ochrony są wystarczające do zapewnienia odpowiedniego bezpieczeństwa przy procesach przetwarzania danych osobowych. Głównie gdy w grę wchodzą nowe technologie lub gdy rodzaj przetwarzania, który ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Administrator (Danych) przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji (procesów) przetwarzania by skutecznie zadbać o bezpieczeństwo danych osobowych, które przetwarza.

Sklep internetowy – kiedy konieczna jest ocena skutków

Na stronie UODO (Urzędu Ochrony Danych Osobowych) został ogłoszony wykaż rodzajów przetwarzania dla których wymagane jest przeprowadzenie oceny skutków co do ochrony danych osobowych. W przypadku sklepu internetowego, gdzie dane osobowe będą lub są przetwarzane za pośrednictwem publicznej sieci globalnej (internetu) przeprowadzenie oceny skutków jest konieczne gdy:

  • w sklepie internetowym został wdrożony system za pomocą którego można profilować klientów by można było zidentyfikować ich preferencje zakupowe lub gdy można na bazie profilu ustalać ceny promocyjne. Taka sytuacja występuje w sklepach internetowych, które oferują ceny promocyjne dla określonych grup lub kategorii klientów;
  • w sklepie internetowym został wdrożony system, który pozwala na profilowanie osób, które odwiedzają sklep internetowy w celu wysłania im niezamawianej korespondencji;
  • w sklepie internetowym został wdrożony system pozwalający na monitorowanie skłonności zakupowych (tj. alkohol, słodycze) w ramach programów lojalnościowych, które zawierają elementy profilowania osób;
  • w sklepie internetowym tworzone są profile klientów ze zbiorów danych, które pochodzą z innych źródeł;
  • w sklepie internetowym zbierane są informacje w zakresie dochodów, kwot wydatków miesięcznych i inne wartości zebrane w wyniku profilowania.