Masz sklep internetowy? Sprawdź, jak ocenić skutki dla ochrony danych
W określonych przypadkach obowiązkiem administratora danych osobowych jest przeprowadzenie oceny skutków przetwarzania dla ochrony danych. Na obowiązek ten szczególną uwagę powinny zwrócić podmioty prowadzące sklepy internetowe – ze względu na potencjalnie dużą liczbę podmiotów, których dane osobowe są przetwarzane w związku z funkcjonowaniem sklepu. Sprawdź, kiedy i jak przeprowadzić ocenę skutków w sklepie internetowym.
Z tematu tygodnia dowiesz się:
- na czym polega ocena skutków,
- kiedy konieczna jest ocena skutków w sklepie internetowym,
- jak przeprowadzić ocenę skutków w sklepie internetowym,
- jakie działania podjąć przed i po dokonaniu oceny skutków.
Celem przypomnienia
Ocena skutków to proces realizowany w celu opisania przetwarzania danych oraz oceny jego konieczności i proporcjonalności. Ocena ta ma także wspomóc zarządzanie ryzykiem naruszenia praw i wolności praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych i dać możliwość określenia środków pozwalających zaradzić czynnikom ryzyka.
Ocena skutków dla ochrony danych jest podstawowym narzędziem służącym do wykonania obowiązków wynikających z reguły rozliczalności (art. 5 RODO). Dzięki przeprowadzonej ocenie administrator będzie mógł wykazać, że spełnia wymogi określone w RODO, w szczególności, że podejmuje odpowiednie środki w celu zapewnienia przestrzegania przepisów rozporządzenia.
Najpierw przeanalizuj dotychczasowe rozwiązania
Ocena skutków jest dokonywana przed rozpoczęciem operacji przetwarzania w danym zakresie, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO). Dlatego w pierwszej kolejności administrator prowadzący sklep internetowy powinien dokonać analizy, przedmiotem której będzie ustalenie, czy dotychczas stosowane środki ochrony danych wystarczają do zapewnienia bezpieczeństwa ich przetwarzania.
Wymóg przeprowadzenia oceny skutków co do ochrony danych dotyczy również istniejących operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania danych.
Punkt ten oczywiście pomijamy, jeżeli rozważamy inicjację nowych procesów przetwarzania.
Zobacz także: Dowiedz się, na jakiej podstawie przetwarzać dane osobowe, prowadząc sklep internetowy
Ustal, czy musisz przeprowadzać ocenę skutków
Następnie powinniśmy rozważyć czy ocena skutków dla ochrony danych jest konieczna w świetle specyfiki procesów przetwarzania. Kluczowa jest tu regulacja art. 35 ust. 3 RODO, zgodnie z którą dokonanie oceny skutków dla ochrony danych jest konieczne w szczególności:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (zobacz przykład 1);
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (zobacz przykład 2), lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO
Przykład 1
Dokonanie oceny skutków uzasadniają wdrożone w sklepie internetowym procedury automatycznego profilowania klientów w celu oceny ich wiarygodności.
Przykład 2
Sklep internetowy, w związku z oferowanym asortymentem medycznym (szkła kontaktowe), przetwarza szczególne kategorie danych osobowych (informacje o wadzie wzroku). Jeśli informacje te są przetwarzane na dużą skale, wówczas nie obejdzie się bez oceny skutków dla ochrony danych.
Zobacz także:
Oczywiście przepis art. 35 ust. 3 RODO został sformułowany dość ogólnie, przez co może stwarzać wątpliwości interpretacyjne. W związku z tym warto sięgnąć do wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków co do ochrony danych (publikowanego corocznie w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych).
W wykazie opublikowanym w 2019 r. Prezes UODO wskazuje, że dokonanie oceny skutków dla ochrony danych jest konieczne w przypadku:
- sklepów internetowych oferujących usługi - w razie uzależniania możliwości korzystania z danej usługi od informacji w zakresie dochodów, kwoty wydatków miesięcznych i innych wartości zebranych w wyniku profilowania;
- sklepów internetowych oferujących ceny promocyjne dla określonych grup klientów – jeżeli stosują systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych lub automatyczne ustalanie cen promocyjnych w oparciu o profil;
- serwisów subskrypcyjnych z filmami i programami telewizyjnymi dostępnych na urządzeniach z dostępem do Internetu (to także rodzaj sklepu internetowego) – z uwagi na zbieranie szerokiego zakresu danych o przeglądanych stronach internetowych, realizowanych zakupach/ historii zakupów, oglądanych programach telewizyjnych lub radiowych.
Dokonaj oceny skutków
Jeżeli administrator upewni się co do konieczności przeprowadzenia oceny skutków, wówczas powinien podjąć następujące działania:
- ocenić, czy dane operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania (zobacz przykład 3);
- ocenić ryzyko naruszenia praw lub wolności podmiotów danych, w związku z procesami przetwarzania danych osobowych – czyli czy określone operacje na danych osobowych generują ryzyko dla osób, których dane dotyczą, jakie jest prawdopodobieństwo wystąpienia takiego ryzyka, oraz jakie negatywne konsekwencje dla tych osób może spowodować ziszczenie się zidentyfikowanego ryzyka (zobacz przykład 4).
Przykład 3
weryfikacja, czy profilowanie klientów sklepu pod danym kątem jest niezbędne do realizacji założonych celów przetwarzania (m.in. wykonanie umowy sprzedaży, dostawa towaru, marketing bezpośredni)
Przykład 4
ustalenie konsekwencji wycieku danych dotyczących kart kredytowych klientów sklepu internetowego
To jednak nie wszystko. Na tym etapie ocenę należy dokonać uzupełnienia oceny o:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora – chodzi tu o dokładny opis dokonywanych w sklepie internetowym operacji przetwarzania danych osobowych;
- ujęcie środków planowanych w celu zaradzenia ryzyku, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których dany proces dotyczy (zobacz przykład 5).
Przykład 5
Administrator danych, gdy zidentyfikuje zatem konkretne ryzyko wycieku danych osobowych, musi wdrożyć środki ograniczające to ryzyko takie jak procedury postępowania z danymi osobowymi przez pracowników sklepu internetowego, zabezpieczenie serwerów sklepu odpowiednim oprogramowaniem, szyfrowanie danych osobowych, pseudonimizacja danych itp.).
W procesie oceny skutków dla ochrony danych, administrator powinien skonsultować się z inspektorem ochrony danych, jeżeli taki został wyznaczony dla organizacji.
W razie potrzeby – zaktualizuj ocenę
W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków w stosunku do ochrony danych (art. 35 ust. 11 RODO). Jednorazowa ocena skutków może zatem okazać się niewystarczająca. Wszak każda zmiana w zakresie przetwarzania danych osobowych obliguje administratora do przeanalizowania, czy zmiany w zakresie przetwarzanych danych osobowych wiążą się z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Jeśli zaś administrator stwierdzi takie prawdopodobieństwo, wówczas należy dokonać przeglądu dokonanej uprzednio oceny skutków. Innymi słowy należy zweryfikować, czy przetwarzanie dodatkowych kategorii danych osobowych w nowych procesach spełni wymagania oceny skutków co do ochrony danych (zobacz przykład 6).
Przykład 6
Administrator danych osobowych chce rozszerzyć funkcjonalność sklepu internetowego o dodatkowe możliwości polegające na wprowadzeniu opcji zakładania profili klienta i kart lojalnościowych ,które związane są z gromadzeniem dalszych danych osobowych klientów sklepu lub osób odwiedzających sklep. W takim przypadku administrator powinien zbadać związane z tym ryzyko dla podmiotów danych oraz prawdopodobieństwo ich wystąpienia. Gdy ryzyko będzie wysokie, zaś prawdopodobieństwo duże, wówczas konieczne stanie się przeprowadzenie oceny skutków co do ochrony danych.
Aktualizacja oceny może okazać się konieczna także wówczas, gdy administrator stwierdzi wystąpienie naruszenia ochrony danych. W następstwie każdego takiego naruszenia administrator powinien bowiem zweryfikować domyślny system ochrony danych oraz przedsięwziąć dodatkowe środki mające na celu minimalizację ryzyka wystąpienia tego typu naruszeń w przyszłości.
Reasumując …
… aby zadbać o bezpieczeństwo przetwarzania danych w sklepie internetowym, wykonaj następujące kroki:
- Dokonaj analizy w celu uwzględnienia ochrony danych w fazie projektowania i ustalenia domyślnej ochrony danych.
- Jeżeli uznasz, że dany sposób przetwarzania danych z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych,
- skonsultuj się z IOD,
- przeprowadź ocenę skutków dla ochrony danych.
- Jeżeli ocena, o której mowa w kroku 2. potwierdzi możliwość wystąpienia wysokiego ryzyka (gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka), przeprowadź konsultacje z Prezesem Urzędu Ochrony Danych Osobowych.
- Wprowadź ustalone środki ochrony danych osobowych.
- Rozpocznij przetwarzanie danych osobowych w zbadanym zakresie.
- W razie planowanej zmiany w operacjach przetwarzania danych lub wystąpienia incydentu, przeprowadź ponownie cały proces.
Wprowadzenie ustalonych środków ochrony danych osobowych jest możliwe nie wcześniej, niż po:
- przeprowadzeniu analizy w celu uwzględnienia ochrony danych w fazie projektowania i ustalenia domyślnej ochrony danych i uznaniu, że nie jest konieczne dokonanie oceny skutków co do ochrony danych,
- dokonaniu oceny skutków dla ochrony danych i ustaleniu, że nie jest konieczne przeprowadzanie procedury uprzednich konsultacji,
- akceptacji albo uzgodnieniu środków ochrony danych osobowych w wyniku uprzednich konsultacji – jeżeli były one prowadzone.
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
