Pytanie:
Firma sprzedaje suplementy diety. W tym celu gromadzi takie dane klientów, jak imię i nazwisko, wiek (potrzebne do analiz ciała) oraz telefon do kontaktu. W firmie planowany jest znaczny przyrost klientów – do ok. 1000 osób. Czy firma powinna wyznaczyć inspektora ochrony danych?
Odpowiedź: Tak, jeżeli w istocie dojdzie do wskazanego przyrostu klientów.
Kiedy należy wyznaczyć IOD
Przepisy nie precyzują liczby osób, od której konieczne jest powołanie inspektora ochrony danych, mowa jest jedynie o "dużej skali" (art. 37 ust. 1 RODO).
UwagaAby odpowiedzieć na pytanie, czy w danym przypadku owa duża skala występuje, należy określić nie tylko liczbę osób, których dane są przetwarzane ale także:
-
rodzaj danych osobowych - jeśli wśród danych znajdują się np. dane o stanie zdrowia, to jest to wskazanie do powołania inspektora,
- okres przetwarzania - im jest dłuższym, tym większa potrzeba powołania inspektora,
- terytorium z jakiego pochodzą, czy jest to jedno miasto, województwo, kraj - im większe, tym większa potrzeba powołania inspektora,
- liczba odbiorców danych osobowych - jw.
Nie tylko liczba klientów ale i rodzaj danych
Wśród zbieranych danych "potrzebnych do analiz ciała" są dane o zdrowiu wielu osób. Jeżeli firma zanotuje wspomniany przyrost liczby klientów, to wyznaczenie IOD stanie się uzasadnione ze względu na rodzaj przetwarzanych danych i liczbę podmiotów danych.
Autor: Michał Koralewski
radca prawny specjalizujący się w ochronie danych osobowych, prawie handlowym i cywilnym. Absolwent studiów doktoranckich na Uniwersytecie Gdańskim, trener, publicysta prawniczy, autor kilkunastu książek z zakresu prawa
