Już dziś zapisz się do ZDS! SPRM Znamy się na motoryzacji! Dealerzy - Instytucje Finansowe Wybieram ASO - zapraszamy! <b>Wspólne </b> rozmowy dealerów
/
Już dziś zapisz się do ZDS!
SPRM Znamy się na motoryzacji!
Dealerzy - Instytucje Finansowe
Wybieram ASO - zapraszamy!
Wspólne rozmowy dealerów

Strefa członkowska

Newsletter

Jeśli chcesz otrzymać najnowsze
informacje wpisz swój adres e-mail

Pobierz cały raport (PDF)
dealerski przegląd prasy

Aktualności

Dealer samochodów ma obowiązek powołania Inspektora Ochrony Danych 28 września 2018
W ostatnim czasie upływały terminy zgłaszania ABI przekształconych automatycznie w IOD z dniem 25 maja - na podstawie ustawy o ochronie danych osobowych z 10 maja 2018 roku. Spowodowało to kierowanie do Zespołu Prawnego ZDS pytań, czy aby na pewno dealer ma obowiązek zatrudniania IOD.

Podkreślamy, że opinia prawników ZDS (którzy są przecież wyspecjalizowani w rynku dealerskim) była od samego początku jednoznaczna – dealer ma bezspornie taki obowiązek.

Zgodnie z brzmieniem art. 37 ust. 1 lit. b) Rozporządzenia (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych od dnia rozpoczęcia jego stosowania (RODO) administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych (IOD), zawsze gdy:

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą
  • jest na dużą skalę.

Art. 37 ust. 1 RODO wskazuje, że obowiązek wyznaczenia IOD istnieje zawsze, gdy podmioty wskazane w tym przepisie spełniają określone warunki. Oznacza to, iż nie są przewidziane sytuacje, w których administrator zaliczony do którejś z grup zobligowanych do wyznaczenia IOD z obowiązku tego może być zwolniony.

Przesłankę obowiązkowego wyznaczenia inspektora należy rozumieć w ten sposób, że konieczne jest jego wyznaczenie w przypadku, gdy niezbędnym elementem głównej działalności podmiotu jest przetwarzanie danych osobowych na dużą skalę, a zarazem przetwarzanie to wymaga systematycznego monitorowania (obserwowania) osób. Taką działalnością niewątpliwie jest działalność dealerska. Jak powszechnie wiadomo nie da się zawrzeć skutecznej transakcji u dealera samochodów bez pozostawienia u niego danych osobowych, a i mnóstwo potencjalnych klientów którzy finalnie nic u dealera nie kupią, także takie dane zostawia. To różni dealera od innych sprzedawców branży retail. Tym samym przetwarzanie danych osobowych jest koniecznym elementem funkcjonowania podmiotu i prowadzenia przez niego działalności w obrocie gospodarczym. Interpretacja pojęcia „głównej działalności polegającej na przetwarzaniu danych osobowych” dla potrzeb RODO nie wyklucza przyjęcia, że działalnością główną dla dealera będzie zawieranie umów sprzedaży samochodów czy zawieranie umów leasingu, natomiast zawarcie tych umów nie będzie możliwe bez przetwarzania danych osobowych klienta. Kiedy należy przyjąć, że skala przetwarzanych danych osobowych jest duża? Należy ocenić: liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa, zakres przetwarzanych danych osobowych, okres, przez jaki dane są przetwarzane i zakres geograficzny. W Preambule RODO wskazano, że przetwarzanie na dużą skale służy przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą. Zatem do takiego przetwarzania nie będzie dochodzić w sytuacji dokonywania tych operacji na szczeblu lokalnym w odniesieniu do niskiej liczby danych. Biorąc zaś pod uwagę specyfikę działalności dealerskiej z pewnością należy przyjąć, że nie ma zasięgu tylko lokalnego i nie dotyczy kliku osób. W bazach dealerów znajduje się pomiędzy kilkunastoma a nawet kilkuset tysiącami rekordów. Ponadto praca dealera to często wyszukiwanie klientów, przygotowywanie i wysyłanie ofert, kontaktowanie z klientami po wysłaniu oferty, badanie satysfakcji klienta itp. Zważyć należy, że kontakt z klientem i przetwarzanie danych osobowych nie kończy się na sfinalizowaniu umowy sprzedaży, ale są podejmowane dalsze czynności chociażby związane z zawarciem umowy ubezpieczenia, zaś dane wszystkich klientów są gromadzone w CRM i DMS.

Z powyższego wynika, że dealer samochodowy ma obowiązek powołania Inspektora ochrony danych. 

« powrót