iSecure logo
  • pl
  • en
    • Blog

    Dlaczego firma działająca w obszarze retail i ecommerce powinna mieć swojego specjalistę ds. ochrony danych osobowych?

    Michał Sztąberek
    Kategorie

    Na wstępie może krótko tylko wyjaśnię, dlaczego wskazałem, że firma działająca w interesującej mnie branży powinna mieć specjalistę ds. ochrony danych osobowych a nie inspektora ochrony danych (IOD). Tak po prawdzie to sporo zależy od skali działalności. Jeśli organizacja jest duża to spokojnie może mieć zarówno IOD jak i specjalną jednostkę organizacyjną np. dział ochrony danych w której tacy specjaliści będą wykonywać swoje obowiązki – niejako niezależnie od IOD.

    A co z mniejszymi firmami? Tu sprawa jest już mniej oczywista, a to głównie za sprawą lansowanego od grubo ponad roku stanowiska UODO, które w sposób znaczący ogranicza aktywną rolę IOD – głównie w obszarze kreacji procedur i ich wdrażania (a także choćby obsługi incydentów i naruszeń). Innymi słowy – jeśli nie chcemy mieć niepotrzebnego problemu i konieczności udowadniania, że IOD nie popadł w konflikt interesów, lepiej zaangażujmy w tematy RODO specjalistę ds. ochrony danych osobowych.

    Czas zatem na wskazanie konkretnych argumentów przemawiających wręcz za koniecznością zaangażowania ww. specjalisty.

    Obsługa dużych wolumenów danych osobowych klientów

    • Firmy działające w obszarze retail i e-commerce przetwarzają codziennie tysiące danych: imiona i nazwiska, adresy, dane kontaktowe, dane płatnicze, historie zakupów. Już to stanowi solidny argument za tym, by ktoś dbał o to, by cały ten proces przetwarzania danych odbywał się zgodnie z RODO.
    • Warto też zwrócić uwagę na to, że niemal każdy błąd w „obsłudze” tych danych to ryzyko wycieku lub niezgodności z przepisami, co może wiązać się z kontrolą ze strony UODO, a w konsekwencji nawet z nałożeniem na firmę administracyjnej kary finansowej.
    • Już na wstępie wskazałem, że specjalista ds. ochrony danych osobowych – co najmniej bez ryzyka w obszarze konfliktu interesu IOD – zapewnia odpowiednie procedury i ich bieżące dostosowanie do obowiązujących przepisów prawa.

    Złożone procesy przetwarzania danych – sklepy fizyczne + online

    • Obecnie mamy do czynienia z bardzo różnymi kanałami sprzedaży, jeśli chodzi o retail / ecommerce: zamówienia online, programy lojalnościowe, click & collect, aplikacje mobilne – wszystko to tworzy mocno złożoną sieć przetwarzania danych (różne kanały ich pozyskiwania).
    • Specjalista ds. ochrony danych będzie mógł przeprowadzić dokładne mapowanie procesów, a robiąc to skupi się też na wykrywaniu potencjalnych niezgodności i optymalizacji ryzyk.

    Bezpieczeństwo danych transakcyjnych i płatniczych

    • Truizmem będzie stwierdzenie, że ecommerce wiąże się z przetwarzaniem danych kart płatniczych, kont bankowych, logów transakcyjnych. Co prawda informacje te nie stanowią danych wrażliwych w rozumieniu RODO, ale klienci postrzegają je zdecydowanie jako newralgiczne. Poza tym takie dane zwiększają współczynnik ryzyka np. gdy dokonujemy oceny naruszenia i jego wpływu na sytuację osoby poszkodowanej.
    • Specjalista ds. ochrony danych osobowych bez problemu współpracuje z działami IT i bezpieczeństwa, by spełnić wymagania RODO oraz np. PCI DSS (standardy bezpieczeństwa danych kart płatniczych).

    Skuteczne reagowanie na incydenty i wycieki

    • Wiemy już, że IOD nie może – z uwagi na ryzyko konfliktu interesów – dokonywać zgłoszeń naruszeń. Co więcej – nie bardzo nawet może aktywnie uczestniczyć w aktywnej ocenie incydentu. Ograniczenia te nie mają zastosowania do specjalisty. A wiadomo, że branża ecommerce i retail są częstym celem ataków hakerskich (phishing, ransomware).
    • Specjalista ds. ochrony danych osobowych opracuje procedurę obsługi naruszeń, a w przypadku ich wystąpienia zajmie się jego obsługą: koordynacja, zgodne z prawem działania, w tym zgłoszenie do UODO i poinformowanie klientów objętych naruszeniem.

    Optymalizacja działań marketingowych pod kątem RODO

    • Sklepy często wykorzystują newslettery, personalizację ofert, remarketing – co wiąże się z koniecznością uzyskania świadomych zgód i ich dokumentowania. To także kolejny proces przetwarzania danych, który dodatkowo komplikuje sprawne zarządzanie całością procesów związanych z gromadzeniem danych w firmach działających w obszarze retail / ecommerce.
    • Specjalista ds. ochrony danych osobowych pomaga w zgodnym z prawem zarządzaniu zgodami marketingowymi (przygotuje je, wskaże, gdzie zamieścić itd.), unikając problemów związanych ze spamem lub profilowaniem bez podstawy prawnej.

    Przygotowanie firmy na kontrole i audyty

    • Organy nadzoru (UODO) mogą skontrolować firmę w zakresie ochrony danych – szczególnie gdy dochodzi do incydentu lub skargi klienta. Specjalista ds. ochrony danych osobowych przygotowuje dokumentację, rejestry czynności przetwarzania, polityki – wszystko, co niezbędne, by pozytywnie przejść tak kontrolę jak i audyt.

    Dane osobowe to dziś prawdziwa waluta zaufania – zadbaj o nie profesjonalnie. W świecie retailu i e-commerce, gdzie niemal każda interakcja z klientem opiera się na danych, specjalista ds. ochrony danych osobowych to nie tylko gwarancja zgodności z RODO, ale realna przewaga konkurencyjna. To partner, który pomaga budować lojalność, zwiększać bezpieczeństwo i wspierać rozwój zdecydowanie ograniczając ryzyka. Zainwestuj w bezpieczeństwo, które pracuje na Twój wizerunek i zaufanie klientów – każdego dnia.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maria Lothamer

    Dane osobowe w sklepie stacjonarnym – jak je chronić?

    Ochrona danych osobowych w sklepie stacjonarnym jest istotnym aspektem, szczególnie w kontekście przestrzegania przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO). Zdecydowana większość poradników skupia się na zabezpieczeniu danych osobowych w środowisku cyfrowym co powoduje, że zapominamy, że dużą część danych przetwarzamy w formie tradycyjnej. Oto kilka kroków, które pomogą Ci chronić dane osobowe w […]

    Czytaj więcej
    Marcin Stryszko

    Retencja danych w sklepach online

    Polacy pokochali zakupy online. Stały się one nierozłączną częścią codziennego życia większości z nas. Świadczą o tym zarówno przeprowadzane badania, jak i tempo rozwoju firm zajmujących się dostarczaniem przesyłek. Według różnych raportów nawet około 80% użytkowników Internetu dokonuje zakupów za pomocą sklepów internetowych. Cenimy sobie wygodę i oszczędność czasu, możliwość łatwego porównania cen czy zapoznania […]

    Czytaj więcej
    Michał Sztąberek

    Korzyści z korzystania z privacy by design przy tworzeniu aplikacji webowych

    Podejście „privacy by design” (ochrona danych osobowych w fazie projektowania), o którym mowa w art. 25 ust. 1 RODO oznacza wbudowanie mechanizmu ochrony prywatności w cały proces projektowania i rozwoju aplikacji webowej od samego początku jej tworzenia, zamiast dodawania jej później jako dodatkowej funkcji (co niestety ma bardzo często miejsce…). Najważniejszą korzyścią z takiego podejścia […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki