RODO: Inspektor ochrony danych
Czy agencje reklamowe powinny wyznaczyć inspektora danych osobowych według przepisów RODO?
Agencje reklamowe mogą powoływać inspektora danych osobowych według RODO. Ponieważ ta rola wymaga zbyt dużej pracy i wiedzy fachowej to warto brać pod uwagę współpracę z firmami wyspecjalizowanymi w tym temacie. Trzeba wziąć pod uwagę występowanie konfliktu interesów z obowiązkami dotyczącymi zajmowania się analityką internetową i reklamą internetową.
Jaka jest podstawa prawna do wyznaczenia inspektora danych osobowych ?
Z dokumentu Wytyczne dotyczące inspektorów ochrony danych podano motyw 25 RODO, który dotyczy analityki internetowej wobec administratora
„Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.”
W tych wytycznych napisano wyraźnie stwierdzenie: „Należy podkreślić, iż nawet jeśli administrator spełnia warunki wyznaczenia DPO, to podmiot przetwarzający na rzecz tego administratora takiego obowiązku mieć nie musi.„
Jako przykład podano że agencje reklamowe raczej powinny powoływać inspektora danych osobowych:
„ Mała rodzinna firma dystrybuująca artykuły gospodarstwa domowego na terenie jednego miasta korzysta z usług podmiotu przetwarzającego, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej oraz jej klienci nie generują przetwarzania danych „na dużą skalę”, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone. działania. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, zbiorczo kwalifikują się jako przetwarzanie „na dużą skalę”. W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia DPO.”
Jakie są argumenty za wyznaczeniem przez agencję inspektora danych osobowych ?
Za argumentem powołania przez agencję interaktywną inspektora danych osobowych są następująca sytuacja w której dane osobowe mogą być użyte do profilowania przez Facebook i przez Google, a agencja interaktywna odpowiada za poprawne wdrożenie procedur na stronach internetowych i w kampaniach reklamowych. Przede wszystkim kluczowy jest artykuł 3(2)(b) RODO, który podaje pojęcie „monitorowanie ich zachowania” z pojęciem z art. 37(1)(b) RODO, „regularne i systematyczne monitorowanie”.
Wygląda na to, że agencje marketingowe bazujące na reklamie internetowej podpadają pod obowiązek przygotowania oceny skutków ochrony danych osobowych.
W artykule 37(1) RODO wskazuje na obowiązek wyznaczenia inspektora w następujących przypadkach:
1 przetwarzania dokonują organ lub podmiot publiczny
2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych dotyczy to co z art. 9 są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Jakie są przykłady działalności które wymagają powołania inspektora ochrony danych?
Występują działalności, których dokonuje podmiot przetwarzający lub administrator i wtedy jest konieczność powołania inspektora. Przykłady działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą:
- obsługa sieci telekomunikacyjnej;
- świadczenie usług telekomunikacyjnych;
- przekierowywanie poczty elektronicznej;
- działania marketingowe oparte na danych;
- profilowanie i ocenianie dla celów oceny ryzyka;
- śledzenie lokalizacji, na przykład przez aplikacje mobilne;
- programy lojalnościowe;
- reklama behawioralna;
- monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych;
- monitoring wizyjny;
- urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.
Jaka jest rola skryptów i ciasteczek Google czy Facebook?
Z strony GDPR wynika że to Google czy Facebook jest współadministratorem ponieważ usługi jak świadczy dla stron internetowych de facto oznaczają zarządzanie danymi osobowymi klienta. Agencja internetowa czy reklamowa zarządzająca w imieniu klienta kontem Google Analytics czy Facebooka staje się procesorem danych osobowych. W praktyce to oznacza, że właściciel strony internetowej jest administratorem danych osobowych. Google, Facebook czy HotJar stają się współadministratorami, bo ich skrypty zbierają dane i ustawiają cookie.
Czy firma reklamowa, agencja internetowa jest zobowiązana do obowiązku informacyjnego na stronach internetowych których przetwarza ?
Nie bo obowiązek informacyjny odpowiada administrator i publiczne informowanie, że ktoś jest inspektorem danych osobowych nie jest wskazane, bo w większości inspektorem będzie osoba z zewnątrz (głównie to będą specjaliści, którzy będą wykonywać konsultacje na rzecz firm branży interaktywnej). W tym przypadku trzeba podać do informacji, że administrator na wniosek zainteresowanego może udzielić informacji o tym kto jest inspektorem danych.
Firmy reklamowe, agencje internetowe, freelancerzy z marketingu są podmiotami, którzy przetwarzają duże ilości danych osobowych (skryptów i ciasteczek) czyli stają się procesorami i na nich spoczywa zalecenie powołania inspektora danych osobowych.
Czy analityk internetowy i badacz danych oraz ktoś kto zajmuje się reklamą internetową bezpośrednio może zostać inspektorem danych osobowych?
Z zasady stanowiska związane z marketingiem raczej uniemożliwiają wyznaczenie roli inspektora, bo artykuł 38(6) umożliwia inspektorowi wykonywanie „innych zadań i obowiązków”. Dalej w artykule widnieje zapis, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.” Oznacza to, że inspektor nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.
Przykładowe sytuacje w których inspektor danych mógłby mieć problem z określeniem sposobów przetwarzania danych
– ustawianie kampanii remarketingowych
– ustawianie skryptów Google Analytics czy Google Tag Manager
– podejmowanie decyzji o wdrożeniu takiej a nie innej technologii marketingowej
– pisanie i tworzenie parserów zbierających dane osobowe z internetu (i w tym dane o firmach)
– pisanie skryptów z machine learning i modeli biznesowych