ANALIZA  dotycząca ochrony danych osobowych  w sklepach internetowych 

1.Podstawy prawne: 

Przedmiotowa analiza opracowana została z uwzględnieniem następujących aktów prawnych: 

1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679  z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku  z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz.U.UE.L.2016.119.1; dalej: „RODO”) 

1. Traktatu o funkcjonowaniu Unii Europejskiej (Dz.U.2004.90.864/2, dalej: „TFUE”) 

1. Ustawy z 23.04.1964 r. Kodeks cywilny (t.j. Dz.U.2022.1360; dalej: „Kodeks cywilny”) 

1. Ustawy z 26.06.1974 r. Kodeks pracy (t.j. Dz.U.2022.1510; dalej: „Kodeks pracy”) 

1. Ustawy z 10.05.2018 r. o ochronie danych osobowych (t.j. Dz.U.2019.1782, dalej: „UODO”) 

1. Przedmiot analizy 

Analiza oparta została na stanie prawnym obowiązującym na dzień 6.06.2023 r. Jej przedmiotem jest udzielenie odpowiedzi na następujące pytania: 

1. Czy przedsiębiorcy prowadzący działalność gospodarczą w zakresie sprzedaży detalicznej, w tym sprzedaży detalicznej prowadzonej przez domy sprzedaży wysyłkowej lub przez Internet, zobowiązani są do wdrożenia i przestrzegania zasad ochrony danych osobowych wynikających z RODO?  Jeżeli tak, to jakie są ich podstawowe obowiązki wynikające z RODO? 

1. Czy wskazani przedsiębiorcy mają obowiązek wyznaczenia inspektora ochrony danych na gruncie RODO? Jeżeli nie mają takiego obowiązku, to czy mogą to uczynić fakultatywnie lub czy mogą wówczas wyznaczyć specjalistę ds. ochrony danych osobowych i jakie korzyści niesie wyznaczenie takiego podmiotu dla przedsiębiorcy? 

1. Analiza 

1. Zakres zastosowania – podmioty zobowiązane do przestrzegania RODO 

Zakres zastosowania RODO wyznaczają jego art. 2 i art. 3. W myśl art. 2 ust. 1 RODO akt ten ma zastosowanie do przetwarzania danych osobowych  w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić cześć zbioru danych. Dekodując treść tego przepisu, należy wskazać, że: 

1. zgodnie z art. 4 pkt 1 RODO dane osobowe to wszelkie informacje
   o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (…), 

1. zgodnie z art. 4 pkt 2 RODO przetwarzanie to operacje lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (…).  

Przetwarzanie danych osobowych ma charakter zautomatyzowany w całości lub części, gdy operacje przetwarzania danych lub ich część wykonywane są za pomocą urządzeń pozwalających na automatyczne działanie, zaś typowym przykładem takiego przetwarzania jest przetwarzanie danych osobowych  z wykorzystywaniem systemów/programów informatycznych, a także sieci internetowej 1. W przypadku stwierdzenia, że mamy do czynienia  z przynajmniej częściowo zautomatyzowanym przetwarzaniem danych, nie ma znaczenia czy odbywa się ono w zbiorze danych osobowych.  

Bez wątpienia przetwarzanie danych osobowych, które odbywa się w ramach przedsiębiorstw świadczących usługi sprzedaży wysyłkowej ma charakter przetwarzania zautomatyzowanego,  a zatem mieści się ono w zakresie materialnym obowiązywania RODO, o którym mowa w ww. przepisie.

Z tego powodu w niniejszej analizie pominę kwestie związane z niezautomatyzowanym przetwarzaniem danych osobowych.  

Prawodawca unijny wprowadził wyjątki od ww. zasady obowiązywania RODO, wskazując w art. 2 ust. 2 RODO, że nie ma ono zastosowania do przetwarzania danych osobowych: 

1. w ramach działalności nieobjętej prawem Unii – które to wyłącznie nie może znaleźć zastosowania w stosunku do przedsiębiorców prowadzących sprzedaż na terenie UE, bowiem Unia Europejska ma kompetencje w dziedzinie rynku wewnętrznego, co wynika z art. 3 ust. 1 lit. b oraz
   art. 4 ust. 2 lit. a TFUE, 

1. przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdziału 2 TUE, czyli dotyczących wspólnej polityki zagranicznej i bezpieczeństwa UE, 

1. przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze – przesłanka ta nie znajdzie zastosowania  w przedmiotowej sprawie, gdyż celem działania przedsiębiorcy prowadzącego sprzedaż wysyłkową jest osiąganie zysku, a jego działalność ma charakter zawodowy. To zaś wyklucza możliwość zastosowania ww. wyłączenia, nawet gdyby działalność taka była wykonywana przez osobę fizyczną2 

1. przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. 

Terytorialny zakres zastosowania przepisów RODO wyznaczony został w art. 3.  W najprostszym ujęciu wskazać należy, że akt ten stosuje się do przetwarzania danych osobowych przez przedsiębiorców prowadzących działalność w państwie Unii Europejskiej, przetwarzającego dane na terenie Unii lub oferującego towary lub usługi osobom przebywającym w państwie członkowskim Unii Europejskiej. 

Powyższe przesądza, że przetwarzanie danych osobowych przez przedsiębiorcę prowadzącego sprzedaż detaliczną za pomocą domów sprzedaży wysyłkowej lub przez Internet na terenie UE lub na rzecz obywateli państwa członkowskiego UE, mieści się  w materialnym i terytorialnym zakresie stosowania RODO.  

RODO nie wprowadza wyłączeń w jego stosowaniu dla osób fizycznych prowadzących działalność gospodarczą, jak też dla mikro czy małych przedsiębiorców. Za wyłączenie stosowania RODO w stosunku do takich podmiotów nie może być uznany art. 30 ust. 5, który przewiduje, że do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób nie stosuje się obowiązku prowadzenia rejestru czynności przetwarzania danych osobowych lub rejestru kategorii czynności przetwarzania danych osobowych. Po pierwsze, obowiązek prowadzenia takiego rejestru jest jednym z wielu obowiązków, które przepisy RODO nakładają na administratora danych. Po drugie, ustawodawca w tym samym przepisie przewidział szereg wyjątków od możliwości nieprowadzenia takiego rejestru wskazując, że obowiązek jego prowadzenia nie ma zastosowania, chyba że przetwarzanie, którego dokonuje przedsiębiorca/podmiot: 

1. może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą – niewątpliwie prowadzenie działalności gospodarczej w zakresie sprzedaży, a w szczególności sprzedaży internetowej, powoduje ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Przetwarzanie danych w takich procesach odbywa się w sposób zautomatyzowany, a zakres gromadzonych danych jest szeroki. Praktyka pokazuje też, że działalność taka narażona jest na wycieki danych, czego przykładem może być sytuacja opisana w decyzji Prezesa Urzędu Ochrony Danych Osobowych z 10.09.2019 r. ZSPR.421.2.20193, 

1. nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych – nie powinno budzić wątpliwości, że przetwarzanie danych osobowych przez przedsiębiorcę zajmującego się sprzedażą towarów klientom detalicznym wiąże się ze stałym przetwarzaniem danych osobowych. Podobnie rozpatrywać należy przetwarzanie danych przez przedsiębiorcę (administratora) zatrudniającego pracowników – przetwarzanie takie nie tylko nie ma charakteru sporadycznego, ale wiąże się też z przetwarzaniem danych osobowych szczególnych kategorii w zakresie danych dotyczących zdrowia (np. orzeczenie lekarskie o dopuszczeniu do pracy)4.  

Odpowiadając zatem na pierwsze z postawionych pytań, należy wskazać, że przedsiębiorca prowadzący działalność gospodarczą, niezależnie od branży oraz rozmiaru swojej działalności, ma obowiązek przestrzegania przepisów RODO.

Przedsiębiorca taki przetwarza dane osobowe m.in. swoich klientów, pracowników  i kontrahentów, a ustalając cele i sposoby przetwarzania tych danych staje się ich administratorem w rozumieniu art. 4 pkt 7 RODO. Z tego powodu, podmiot ten zobowiązany jest przestrzegać przepisów RODO,  a w szczególności: przestrzegać zasad ochrony danych osobowych wskazanych w art. 5 RODO, opierać przetwarzanie danych osobowych wyłącznie na prawidłowych podstawach legalizujących wynikających z art. 6 lub art. 9 RODO, przestrzegać zasad pozyskiwania zgody wynikających z art. 4 pkt 10 oraz art. 7 RODO, realizować wobec osób, których dane dotyczą obowiązki informacyjne w zakresie wskazanym w art. 13-14 RODO, realizować żądania podmiotów danych określone w art. 15-23 RODO.  

Należy też wskazać, że RODO wprowadziło istotną zmianę w stosunku do dotychczas obowiązujących aktów prawnych regulujących ochronę danych osobowych w Polsce, a mianowicie wprowadziło podejście oparte na ryzyku (risk-based approach), zobowiązując administratora danych do identyfikowania i analizowania ryzyka, a następnie stosowania adekwatnych do takiego ryzyka zabezpieczeń przy przetwarzaniu danych osobowych. Ponadto, jeżeli dany rodzaj przetwarzania, którego zamierza dokonywać administrator, z uwagi na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, na administratorze ciąży obowiązek przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. 

Nie mniej istotnym obowiązkiem administratora jest wykrywanie  i reagowanie na naruszenia ochrony danych osobowych, w tym prowadzenie analizy ryzyka, które niesienie ze sobą naruszenie dla praw lub wolności osób, których dane dotyczą. W tym zakresie na administratora nałożone są też obowiązki związane z zawiadamianiem o takich naruszeniach Prezesa UODO. W pewnych wypadkach również osób, których dane dotyczą. 

Przestrzeganie ww. obowiązków przez administratora danych może być przedmiotem kontroli Prezesa UODO. W pewnych sytuacjach kontrola przestrzegania przepisów o ochronie danych osobowych – w szczególności wynikających z aktów krajowych, jak np. z Kodeksu pracy, który reguluje kwestie związane z przetwarzaniem danych osobowych pracowników, może być też dokonywana przez inne podmioty, np. Państwową Inspekcję Pracy. Administrator, który dopuści się naruszenia przepisów o ochronie danych osobowych może spodziewać się odpowiedzialności, która może mieć charakter: 

1. odpowiedzialności administracyjnoprawnej, która wiązać może się m.in. z zastosowaniem administracyjnej kary pieniężnej przez organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych. Wysokość administracyjnej kary pieniężnej uzależniona jest od rodzaju naruszenia  i rodzaju podmiotu, który się go dopuścił, zaś jej najwyższa granica  w sektorze przedsiębiorstw sięgać może 20.000.000 EURO lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie ma wyższa kwota (art. 83 ust. 5 RODO), 

1. odpowiedzialności cywilnoprawnej, która wynikać może  z wyrządzenia szkody majątkowej lub niemajątkowej w wyniku naruszenia przepisów RODO (art. 82 RODO), a także z naruszenia dóbr osobistych w wyniku naruszenia ochrony danych osobowych (prywatności) (art. 23-24 Kodeksu cywilnego), 

1. odpowiedzialności karnej, która wynikać może z naruszenia art. 107 § 1 UODO przewidującego, że kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.  Naruszeniem wskazanej normy sankcjonowanej będzie m.in. przetwarzanie danych osobowych pomimo niespełnienia co najmniej jednej, adekwatnej przesłanki legalizującej  z art. 6 lub art. 9 RODO5, przetwarzanie danych pomimo wprowadzonego przez organ nadzorczy zakazu przetwarzania, czy też przetwarzanie danych osobowych pomimo wyrażenia sprzeciwu wobec takiego przetwarzania przez podmiot danych6. Wskazaną normę sankcjonowaną naruszać będzie również przetwarzanie danych osobowych przez osobę, która nie posiada do tego stosownego umocowania, np. przez pracownika, który będzie przetwarzał dane osobowe z przekroczeniem granic posiadanego upoważnienia.  

1. Inspektor ochrony danych 

Instytucja inspektora ochrony danych (data protection officer) wprowadzona została w art. 37 RODO. Nie jest to jednak instytucja nowa zarówno na gruncie przepisów unijnych, jak też na gruncie prawa krajowego. Już bowiem w dyrektywie 95/46 odnaleźć można zalążki tej instytucji, która na gruncie tego aktu nosiła nazwę urzędnika ds. ochrony danych7. Na gruncie ustawy o ochronie danych osobowych z 1997 r. instytucją zbliżoną do obecnego inspektora ochrony danych był administrator bezpieczeństwa informacji (ABI). 

Prawodawca unijny zdecydował się wskazać w art. 37 ust. 1 RODO sytuacje, w których administrator i podmiot przetwarzający dane osobowe mają obowiązek wyznaczyć inspektora ochrony danych. W kontekście podmiotów sektora prywatnego wskazano, że inspektora ochrony danych administrator wyznacza zawsze, gdy: 

1. jego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego  i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub 

1. jego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i czynów zabronionych. 

W kontekście wykładni ww. przesłanek zobowiązujących administratora danych do wyznaczenia inspektora ochrony danych, istotne jest zdefiniowanie głównej działalności. Ta rozumiana jest jako zasadnicze czynności administratora, które są kluczowe z punktu widzenia jego celów  i mają charakter niezbędny do ich osiągnięcia8. Uwzględniając, że główną działalność przedsiębiorcy prowadzącego sklep internetowy lub sprzedaż wysyłkową za pośrednictwem domów sprzedaży wysyłkowej jest sprzedaż towarów, nie sposób przyjąć, że operacje przetwarzania danych wymagają  w tym przypadku regularnego i systematycznego monitorowania osób. Nie zmienia tego faktu nawet okoliczność, że administrator taki może prowadzić działania wspomagające swoją działalność, np. marketing internetowy (reklamy śledzące), które mogą prowadzić do regularnego  i systematycznego monitorowania osób, wobec których taki marketing jest skierowany. Tym samym nie znajduje zastosowania pierwsza z ww. przesłanek. 

W przypadku administratora, który zajmuje się sprzedażą towaru, co do zasady nie będzie można przyjąć, że jego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących. Zakres szczególnych kategorii danych osobowych zdefiniowany został w art. 9 ust. 1 RODO. Zasadniczo przedsiębiorca zajmujący się ww. działalnością będzie przetwarzał dane tych kategorii jedynie w zakresie zatrudnienia pracowników. To zaś powoduje, że podmiot taki nie ma obowiązku wyznaczenia inspektora ochrony danych na ww. podstawie. 

Wobec powyższego należy przyjąć, że przedsiębiorca – administrator danych, który prowadzi działalność gospodarczą w zakresie sprzedaży wysyłkowej towaru, nie ma obowiązku wyznaczenia inspektora ochrony danych na podstawie art. 37 RODO.  

Niezależnie od powyższego, należy zwrócić uwagę, że każdy administrator danych jest uprawniony do wyznaczenia inspektora ochrony danych, nawet gdy nie wymagają tego od niego przepisy prawa. Zachęca do tego Grupa Robocza Art. 29 ds. ochrony danych w swoich wytycznych WP 243 dotyczących inspektorów ochrony danych9. 

Powołanie inspektora ochrony danych w przypadku podmiotów, które nie są do tego zobowiązane stanowi dobrą praktykę rynkową. Zauważa się również, że dokonanie takiej czynności stanowi wyraz dbałości przedsiębiorcy o ochronę danych osobowych, a nawet może być wykorzystane jako element przewagi konkurencyjnej czy strategii PR10.  

Za fakultatywnym powołaniem inspektora ochrony danych przemawia szereg względów praktycznych. Przede wszystkim powołując takiego inspektora, administrator ceduje na niego wykonanie zadań określonych w art. 39 RODO wśród których znajduje się, m.in.: 

1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów  o ochronie danych i doradzanie im w tej sprawie 

1. monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego  w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty 

1. udzielanie zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania 

1. współpraca z organem nadzorczym 

1. pełnienie funkcji punktu kontaktowego dla organu nadzorczego  w kwestiach związanych z przetwarzaniem. 

Warto wskazać, że jest to podstawowy katalog zadań inspektora. Administrator może mu powierzyć realizacje również innych zadań, np. opracowanie  i monitorowanie polityk ochrony danych osobowych, o ile te dodatkowe czynności nie będą powodowały konfliktu interesów. Jeżeli administrator nie wyznaczy inspektora ochrony danych, nie oznacza to, że ww. zadania mogą pozostać niezagospodarowane. W takim przypadku to na administratorze ciąży obowiązek dbałości o ww. obszary lub powierzenia wykonania tych czynności innej osobie11. Warto w tym zakresie zwrócić uwagę, że powierzenie tych czynności inspektorowi ochrony danych zapewnia administratorowi danych największy poziom bezpieczeństwa. Inspektor ochrony danych jest bowiem ekspertem w dziedzinie ochrony danych osobowych, który w przeciwieństwie od prawników, dysponuje kompetencjami nie tylko w obszarze prawa, ale też w zakresie informatyki, cyberbezpieczeństwa, bezpieczeństwa fizycznego, a przede wszystkim zna praktyki rynkowe w obszarze ochrony danych osobowych i praktyki organu nadzorczego i organów wyspecjalizowanych, np. Europejskiej Rady Ochrony Danych (dawnej Grupy Roboczej Art. 29).  

Co równie istotne, Grupa Robocza Ar. 29 wskazuje, że inspektor ochrony danych jest gwarantem rozliczalności, a jego powołanie może ułatwić przestrzeganie przepisów o ochronie danych przez administratora. Ma on też kluczowe znaczenie w procesie przetwarzania danych w organizacji, czego przejawem jest szczegółowo określony status oraz zadania inspektora  w RODO12. Warto zwrócić uwagę, że Prezes UODO w ramach prowadzonych przez siebie zadań zwykle ustala, czy dany podmiot powołał inspektora ochrony danych – przykładowo z uzasadnienia decyzji Prezesa UODO  z 30.06.2021 r. DKN.5131.11.2020 wprost wynika, że na etapie czynności wyjaśniających zwracał się on do administratora o udzielenie informacji, czy wyznaczył on inspektora ochrony danych i czy konsultował z nim możliwość zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Przejawem docenienia instytucji inspektora ochrony danych osobowych przez Prezesa UODO jest też uruchomienie dedykowanej im infolinii, na której inspektorzy uzyskać mogą konsultacje ze strony Organu, czy też prowadzenie dla inspektorów ochrony danych szkoleń przez przedstawicieli Urzędu Ochrony Danych Osobowych, ale też opracowywanie newsletteru dedykowanego tym ekspertom. 

Podejmując decyzję o wyznaczeniu lub niewyznaczaniu inspektora ochrony danych administrator powinien uwzględnić ww. okoliczności. Powinien wziąć też pod uwagę, że funkcjonowanie inspektora ochrony danych stanowi jeden  z elementów składających się na system środków organizacyjnych wspierających bezpieczeństwo danych. Powołanie inspektora ochrony danych pozwala na sprawniejsze przejście przez kontrole związane z przestrzeganiem przepisów RODO. Inspektor ochrony danych na bieżąco dba o zgodność organizacji z takimi przepisami, a w razie kontroli jest w stanie przejąć na siebie znaczną część kontaktu z organem nadzorczym. Wsparcie inspektora może być też nieocenione w wykonaniu czynności prawno-technicznych, jak przygotowanie analizy ryzyka, wykonanie oceny skutków dla ochrony danych, czy też oceny naruszenia ochrony danych osobowych z perspektywy ryzyka dla praw lub wolności osoby, której dane dotyczą. 

Mając na uwadze powyższe, przyjąć należy, że choć powołanie inspektora ochrony danych przez administratora prowadzącego działalność w obszarze sprzedaży wysyłkowej nie jest obligatoryjne, to jego wyznaczenie może mieć dla takiego podmiotu wyłącznie pozytywne następstwa.

Jednocześnie, zgodnie z zaleceniami Grupy Roboczej Art. 29 administrator, który nie zdecydował się na powołanie inspektora ochrony danych powinien udokumentować wewnętrzną procedurę przeprowadzoną w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia inspektora ochrony danych, cele, wykazania, że stosowne czynniki zostały uwzględnione. 

Warto również zauważyć, że administrator danych, który decyduje się na wyznaczenie inspektora ochrony danych, pomimo braku obowiązku prawnego w tym zakresie, zobowiązany jest respektować wszelkie przepisy związane z powołaniem i statusem inspektora ochrony danych, wskazane w RODO. Pewnym rozwiązaniem tej sytuacji jest zastąpienie inspektora ochrony danych osobą, która posiada analogiczną wiedzę fachową, a która będzie świadczyła na rzecz administratora usługi w ramach tzw. specjalisty ds. ochrony danych. Podmiot taki może wykonywać zadania analogiczne, jak inspektor ochrony danych, przy czym jego nazewnictwo nie może wprowadzać w błąd co do tego, że nie jest on inspektorem ochrony danych. 

Zadaniem specjalisty, podobnie jak inspektora ochrony danych, jest wsparcie administratora danych w realizacji jego obowiązków wynikających z RODO.  Z tego powodu, należy zadbać o to, aby specjalista dysponował niezbędną wiedzą zarówno z obszaru prawa ochrony danych osobowych, jak też technicznych aspektów bezpieczeństwa, umiejętnością prowadzenia szkoleń, czy też kompetencjami miękkimi pozwalającymi na sprawne udzielanie porad administratorowi danych czy też prowadzenie konsultacji z organem nadzorczym lub na kontakt z osobami, których dane dotyczą. 

1. Podsumowanie 

Na gruncie obowiązujących przepisów prawa, w szczególności przepisów RODO nie budzi wątpliwości, że przedsiębiorca prowadzący działalność na terenie Polski i przetwarzający dane osobowe, zobowiązany jest do stosowania przepisów RODO, w tym do przestrzegania zasad wynikających z tego aktu. Przedsiębiorca taki będzie administratorem danych, co powoduje, że za nienależyte wykonywanie swoich obowiązków może ponosić odpowiedzialność administracyjnoprawną, cywilnoprawną oraz karną.  

Przedsiębiorca, którego główna działalność polega na sprzedaży internetowej, co do zasady, nie ma obowiązku wyznaczenia inspektora ochrony danych. Jednocześnie dobrowolne wyznaczenie takiego inspektora stanowi o staranności administratora danych w zabezpieczeniu się przed naruszeniem ochrony danych osobowych. Wyznaczenie inspektora ochrony danych pozytywnie wpływa na wizerunek przedsiębiorcy. Przede wszystkim znacząco ułatwia mu rzetelne wykonanie ciążących na nim obowiązków. Wiedze fachową i kompetencje inspektora ochrony danych zasadniczo nie można zastąpić wyłącznie dorywczymi konsultacjami prawnymi. Rzetelna ochrona danych osobowych w danej organizacji wymaga jej znajomości. Należy pamiętać,  że ochrona danych osobowych jest procesem ciągłym i nie kończy się na opracowaniu czy wdrożeniu procedur, czy też na jednorazowym przeprowadzeniu analizy ryzyka. Inspektor w sposób ciągły pomaga administratorowi w zapewnieniu zgodności z przepisami. Także testuje tę zgodność i w miarę potrzeby rekomenduje zmiany. Warto zwrócić uwagę, że błędne wykonanie obowiązków przez administratora, np. w zakresie analizy ryzyka i wdrożenia środków technicznych i organizacyjnych powodować może negatywne konsekwencje ze strony organu nadzorczego. Przykładem takiej sytuacji może być sprawa, której dotyczy decyzja Prezesa Urzędu Ochrony Danych Osobowych z 10.09.2019 r. ZSPR.421.2.201913 w sprawie morele.net, w której Organ ten uznał niedostatki we wdrożonych przez administratora środkach technicznych i organizacyjnych zabezpieczających dane. Aby minimalizować takie konsekwencje administrator powinien otoczyć się ekspertami, takimi jak inspektor ochrony danych. 

Jednocześnie należy wskazać, że analogiczne cele administratora, który nie ma obowiązku prawnego wyznaczenia inspektora ochrony danych, może osiągnąć przez wyznaczenie specjalisty ds. ochrony danych, któremu powierzy realizację zadań w zakresie ochrony danych. Warunkiem skuteczności tego rozwiązania jest jednak zapewnienie, aby specjalista taki posiadał niezbędne kwalifikacje, w szczególności dotyczące ochrony danych osobowych, w tym praktyk rynkowych i praktyk uznawanych przez organ nadzorczy. Wyznaczenie inspektora ochrony danych lub skorzystanie z usług specjalisty ds. ochrony danych osobowych, dzięki ich fachowej wiedzy i doświadczeniu, minimalizuje ryzyko popełnienia przez administratora danych błędów, które generować mogą dla niego odpowiedzialność, o której była wcześniej mowa.