Co to jest RODO - 25 maj 2018 rok

RODO

Od 25 maja 2018 roku zacznie obowiązywać unijne rozporządzenie w sprawie podniesienia standardów ochrony danych osobowych. Zmiany, które będą musiały wprowadzić firmy bardzo często modernizacji fundamentalnych założeń w zakresie sposobu prowadzenia firmy. Za niedostosowanie się normodawca wprowadził kary, które mogą sięgać wielomilionowych kwot. W związku z tym narosło bardzo wiele mitów związanych z RODO, które należy sprostować. Bardzo dosadnie obrywają firmy marketingowe, które oferując automatyzację wykonywanych działań w bardzo szerokim spektrum. RODO jest regulacją unijną, która będzie obowiązywać wszystkich członków UE w ramach ujednolicenia standardów współpracy oraz jej zacieśnienia. Ze względu na różnorodne podejścia ustawodawstw krajów członkowskich powstała potrzeba ujednolicenia oraz przejrzystości przepisów dotyczących ochrony danych osobowych. RODO ma za zadanie zagwarantować równorzędny poziom ochrony danych osobowych na terenie całej Unii Europejskiej. Należy podkreślić, iż RODO nie jest zbiorem gotowych przepisów, które wystarczy zaimplementować do danego porządku prawnego. RODO wskazuje jedynie na obszary ochrony danych, które muszą być pod szczególnym nadzorem , nie dając jednocześnie gotowych rozwiązań.

RODO było opracowywane przez ekspertów unijnych przez 4 lata, by ostatecznie zostało przyjęte po szerokiej dyskusji przez organy UE. Ochrona danych osobowych będzie dotyczyć wszystkich firm, które gromadzą oraz wykorzystują do własnych celów dane osobowe osób fizycznych. Termin wejścia w życie przepisów został wybrany ten sam dla wszystkich krajów członkowskich Unii Europejskiej. Od 25 maja możemy się spodziewać, iż wszelkie zgłoszenia będą kontrolowane przez uprawnione do tego służby. Celem wprowadzenia RODO było unowocześnienie regulacji, które w dobie Internetu stają się nieefektywne.

Obowiązki, które RODO nam odbierze

Ogromne ułatwienie, które wprowadza RODO, to brak zgłaszania zbioru danych osobowych do  GIODO. Do tej pory bardzo wiele osób mimo znajomości prawa różnie interpretowały ten obowiązek. Bardzo często było to traktowane jako zwykła formalność po zgromadzeniu ogromnej bazy danych osobowych. Lista firm, które zgłaszały się do GIODO, była jawna, a więc każdy mógł weryfikować spełnienie obowiązku. Z rejestru zazwyczaj korzystała konkurencja, która chciała sprawdzić, czy ta czynność została dopełniona przez wrogą jej firmę. Przestanie również istnieć sam GIODO, którego miejsce zastąpi Prezes Urzędu Ochrony Danych Osobowych.  Organ w dużej mierze będzie posiadał identyczne kompetencje, jak jego poprzednik. 

Drugą znaczną zmianą jest to, iż teraz dana firma będzie wprowadzała częstotliwość zmiany haseł w zależności od branży. Irytacja spowodowana regularnym przymusem zmiany haseł przestanie obowiązywać. 

RODO sprowadza nowe obowiązki

Od 25 maja 2018 roku zaczną obowiązywać nowe regulacje:

• privacy by design oraz privacy by default,

• rejestr czynności przetwarzania,

• obowiązek zgłaszania naruszeń,

• obowiązek informacyjny.

Privacy by design stwierdza, iż przepisy o ochronie danych osobowych powinny być zaimplementowane na etapie projektu np. strony www. Dotyczy to również treści nieopublikowanych, które są np. na etapie beta testów. 

Privacy by default oznacza, iż możemy zbierać dane osobowe, które są nam niezbędne przy realizacji danego zamówienia. Ma to zapobiec bardzo wielu sytuacji, gdzie były lub są zbierane dane, które są niepotrzebne w procesie sprzedaży. To ogromna zmiana, która uderzy szczególnie np. w osoby, które korzystając z opcji newsletteru, zbierały dane na zapas. Gromadzenie danych osobowych, które nie są potrzebne w procesie sprzedaży, zostało uznane za niepotrzebne narażanie konsumenta. Od tej pory każdy, kto gromadzi dane osobowe, będzie zobowiązany wykazać, iż konkretne dane osobowe są niezbędne w strategii rozwoju naszej firmy oraz mają wpływ na przychód firmy. Mówiąc krótko, będziemy musieli poinformować w prostej wiadomości o tym, dlaczego chcemy zbierać konkretne dane osobowe. Osoba, która nam te dane poda, zrobi to dobrowolnie. Oznacza to, iż nie można uzależniać dostępu do serwisu od podania danych osobowych, które nie są nam niezbędne.

Rejestr czynności przetwarzania

Jedną z kluczowych zmian jest obowiązek posiadania dokumentu, który wskazuje cele, dla których gromadzone są dane osobowe. Wskaże on również bezpośrednio osoby, które są administratorami danych wraz z aktualnymi danymi kontaktowymi. Rejestr czynności przetwarzania wskazuje wobec tego:

• jakie dane są przetwarzane,

• sposób, w jaki dane są chronione,

• osoby administrujące danymi osobowymi.

Istotne jest to, iż nie została wskazana żadna obligatoryjna forma rejestru czynności przetwarzania. Każda osób, której dane przechowujemy, może się zgłosić do nas z prośbą o to, jakie informacje dotyczące jego osoby są przez nas gromadzone. Ponadto może zażądać, abyśmy usunęli lub zmienili informacje, które go dotyczą. Dla RODO rejestr czynności przetwarzania ma ogromne znaczenie, gdyż to dzięki niemu spora część z uprawnień może być realizowana. 

Obowiązek zgłaszania naruszeń RODO

Każdy, kto gromadzi dane osobowe, zostanie zobowiązany do wskazania osób, które naruszyły politykę ochrony danych osobowych w firmie. Mają tutaj również zastosowanie donosy na nas samych w momencie naruszenie regulacji prawnych. Na zgłoszenie naruszenia każdy podmiot będzie miał 72 godziny od momentu wykrycia danej sytuacji. Taką samą procedurę będziemy zmuszeni zastosować w momencie wykrycia ataku hakerskiego na naszą firmę. Jak dotąd nie wiele podmiotów miało wprowadzonych stosowne regulacje reakcji na tego typu sytuacje, po 25 maja diametralnie się to zmieni.  Dzięki takiemu zastosowaniu dowiemy się również, jaka jest rzeczywista skala naruszeń praw konsumenta, który przekazuje swoje dane osobowe podmiotom trzecim. 

Obowiązek informacyjny

RODO wskazuje, iż musimy podać konkretne dane osobowe, na podstawie których przetwarzamy dane osobowe osobom znajdującym się w bazie danych. W komunikacji newsletteru będziemy zmuszeni do podania pełnej podstawy prawnej do gromadzenia danych osobowych wraz ze wskazaniem administratora oraz przysługujących prawach odbiorcom. Dzięki temu przeciętny Kowalski, który porusza się po internecie, będzie bardziej świadomy zachodzących wokół niego mechanizmów ochrony danych osobowych. Będziemy zobowiązani do informowania osób będących przedmiotem gromadzenia danych osobowych o przekazywaniu ich do państw trzecich. Wobec tego każda zmiana w systemie zarządzania danymi osobowymi lub zabezpieczeniach będzie zobowiązywać do poinformowania odbiorcy. 

Prawa osób, których dane są przetwarzane

Do praw, które pozyskają osoby, których dane są przetwarzane, można zaliczyć:

• prawo do bycia zapomnianym,

• ograniczenie profilowania,

• prawo do sprostowania.

Największe zmiany, jakie mogliśmy zauważyć zaszły w zakresie ograniczeń profilowania. Bezpośrednio mogliśmy się z tym spotkać np. w Google Analytics, gdzie byliśmy proszeni o stosowną aktualizację ustawień. Profilowanie oznacza wnioskowanie o potencjalnych cechach odbiorcy na podstawie innych cech tej samej osoby, której dane osobowe są przetwarzane. Takim profilowaniem może być dla przykładu sytuacja, gdy - kupujemy za pomocą karty debetowej w sklepie monopolowym alkohol. Skutkuje to otrzymaniem oferty związanej z ubezpieczeniem na życie, która uwzględnia częste picie alkoholu. Jednoznacznie zostało określone, iż profilowaniem nie jest np.

• wykorzystywanie cookies,

• aktywność na stronach www,

• aktywność w mailingach,

• aktywność w newsletterach.

Coś, co zostało nazwane targetowaniem behawioralnym, jest uznane za dopuszczalne. Wprowadza to również ciekawe prawo dla odbiorcy, które mówi, iż może nie zezwolić na standardowe profilowanie jej osoby. W takim przypadku każda firma będzie miała obowiązek zaprzestać profilowania oraz będzie mogła spytać, dlaczego odbiorca podjął takie działania. 

Prawo do bycia zapomnianym

Prawo, które już wcześniej funkcjonowało, jednak można powiedzieć, iż w bardzo okrojony sposób. Bardzo często dało się ostatnio słyszeć o wyrokach sądowych osób, które domagały się usunięcia danych osobowych z wyszukiwarki Google. RODO wprowadziło jednak przepis, który wprost wskazuje na powszechność prawa do usunięcia wszelkich danych osobowych ze zbiorów, w których są one przetwarzane. 

Prawo do sprostowania

Każda osoba, której dane osobowy są przetwarzane, ma prawo wglądu do swoich danych osobowych. W każdym momencie będzie można cofnąć zgodę na przetwarzanie danych osobowych, zmienić lub ograniczyć dostęp do ilości naszych danych. 

Na koniec chcielibyśmy przedstawić materiały, które mogą się Państwu przydać w zrozumieniu RODO:

• https://malawielkafirma.pl/rodo/ - Pan Marek przedstawia wraz z adwokatem Panem Tomaszem Palakiem, iż RODO nie jest straszne. 

• http://materialy.freshmail.pl/promocja/rodo_mylo_freshmail.pdf?_ga=2.264609165.305243342.1526288777-1398995572.1525693473 - infografika Freshmail, która stara się wskazać na kluczowe aspekty zmian w zakresie ochrony danych osobowych.

Data publikacji: 2018-05-14