Napisz do nas
Strona korzysta z plików cookie w celu realizacji usług zgodnie z Polityką dotyczącą cookies. Możesz określić warunki przechowywania lub dostępu do cookie w Twojej przeglądarce.

Agencja Interaktywna JELLINEK

RODO – prawdopodobnie najważniejsza zmiana, jaka czeka przedsiębiorców w 2018 r.



Jak co roku o tej porze, Internet zalała fala prognoz i trendów na 2018 r. Personalizacja komunikacji, chatboty, video marketing - to wszystko na pewno będzie miało ogromny wpływ na całą branżę, ale konsekwencje żadnego z trendów nie będą tak poważne, jak wdrożenie RODO. Co się kryje za tym enigmatycznym skrótem? Jak przygotować firmę do nowych wymogów prawnych?

 

Rozporządzenie Ogólne o Ochronie Danych Osobowych (w skrócie RODO) to projekt, mający na celu unowocześnienie regulacji o ochronie danych osobowych.  Przepisy, które obowiązują obecnie na terenie UE, zostały uchwalone w 1995 r., kiedy zaledwie 1% Europejczyków miało dostęp do Internetu. Jak nietrudno się domyślić zupełnie nie przystają one do dzisiejszych realiów.

O zmianie wytycznych dotyczących ochrony danych osobowych Parlament Europejski zadecydował już w 2012 r. Prace legislacyjne nad nową ustawą trwały jednak aż 4 lata. RODO w formie, jaka zacznie obowiązywać w maju tego roku, uchwalono w kwietniu 2016 r. Państwa członkowskie dostały 2 lata na wdrożenie nowych postanowień do swojego porządku prawnego. Ostateczny termin mija 28 maja 2018 r. - wynika stąd, że na dostosowanie działań firmy do nowych przepisów zostało nam niecałe pół roku.  

Co właściwie zmienia RODO?

Modernizacji uległa przede wszystkim definicja danych osobowych. To już nie tylko imię i nazwisko, wizerunek czy adres, ale także numer telefonu, IP oraz dane zbierane przez przeglądarkę internetową. W świetle nowej definicji praktycznie każda informacja, która może doprowadzić do identyfikacji danej osoby jest daną osobową.

Wytyczne odnośnie stosowania nowych przepisów w praktyce niestety nie są już tak oczywiste. Nowy model ochrony danych będzie otwarty, co pozostawia duże pole do indywidualnej interpretacji. W rozporządzeniu jest jednak kilka aspektów, na które każdy przedsiębiorca powinien zwrócić uwagę:

Rejestr czynności przetwarzania danych osobowych

Po 28 maja 2018 r. każda firma będzie musiała informować GIODO (Generalnego Inspektora Danych Osobowych), w jakim celu i zakresie będą przetwarzane dane osobowe jej klientów. Tym samym znika obowiązek rejestracji i aktualizacji zbiorów danych w GIODO. Zamiast tego administrator danych jest zobowiązany do prowadzenia rejestru czynności przetwarzania danych osobowych. Powinny się w nim znaleźć informacje takie jak: kategorie osób, których dotyczą dane (pracownicy, klienci, kandydaci, którzy zgłosili się w rekrutacji), kategorie danych osobowych, nazwa państwa trzeciego, do którego są przekazywane (jeśli firma prowadzi działalność transgraniczną) i planowany termin usunięcia danych. Konieczne jest również podanie danych kontaktowych do administratorów bazy.

Z obowiązku prowadzenia rejestru są zwolnieni przedsiębiorcy, którzy zatrudniają mniej niż 250 pracowników, pod warunkiem, że przetwarzane przez firmę dany mają charakter sporadyczny, nie obejmują szczególnych kategorii danych osobowych (dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, dane biometryczne) oraz nie obejmują danych na temat wyroków i naruszeń prawa.

Inspektor Ochrony Danych (IOD) przejmie obowiązki Administratora Bezpieczeństwa Informacji (ABI). W wielu instytucjach jego wyznaczenie będzie OBOWIĄZKOWE

 

Instytucja Administratora Bezpieczeństwa Informacji pojawiła się w Polsce po wdrożeniu Ustawy o ochronie danych osobowych w 1997 r. W większości przypadków wyznaczenie osoby, która będzie czuwać nad przestrzeganiem ochrony danych osobowych w firmie było jednak fakultatywne. Gdy w maju przyszłego roku administratorów bezpieczeństwa zastąpią inspektorzy Ochrony Danych, stare przepisy stracą moc. Inspektor Ochrony danych będzie musiał natomiast zostać powołany w każdej instytucji, która przetwarza tzw. wrażliwe dane osobowe, czyli np. informacje o stanie zdrowia.

Obowiązek informowania o użyciu algorytmów profilujących

Skoro RODO uznaje IP i pliki cookies za dane osobowe, po wdrożeniu rozporządzenia w życie, trzeba będzie informować użytkowników o tym, że ich dane będą profilowane i wykorzystywane do celów marketingowych. Oprócz informacji o sposobie wykorzystania danych komunikat powinien zawierać dane kontraktowe do administratora bazy lub (jeśli zostanie powołany) do Inspektora Ochrony Danych. Wcale nie oznacza to jednak, że klient poruszający się po twojej stronie będzie cały czas napotykać skomplikowane formuły prawne. RODO wymaga bowiem, by wszystkie komunikaty, dotyczące ochrony danych osobowych były napisane prostym językiem.

Poza tym wraz z RODO znika wymóg pisemności. Teraz, by wyrazić zgodę na przetwarzanie danych osobowych, wystarczy kliknąć w odpowiedni check box (wymóg zgody doraźnej). Stare przepisy trzeba było zlikwidować, ponieważ utrudniały cyfryzację w wielu branżach.

 

Klient może się domagać wglądu do wszystkich danych, jakimi dysponujesz

Każda firma przetwarzająca dane musi być przygotowana na sytuację, w której klient zgłosi się do niej z prośbą o wgląd do wszystkich jego danych osobowych. Nie można żądać za to opłat i trzeba zrealizować żądanie w ciągu miesiąca (w skomplikowanych sytuacjach RODO dopuszcza dwa miesiące na udostępnienie danych).

Prawo do zapomnienia

Każda osoba, której dane są przetwarzane przez firmę, ma prawo żądać ich całkowitego usunięcia z systemu, pod warunkiem, że nie są one już używane. Problem w tym, że nawet po wygaśnięciu umowy (np. z firmą telekomunikacyjną) dane klienta nadal widnieją w systemach i są wykorzystywane np. w celach marketingowych. Z tego powodu konsument może żądać usunięcia danych dopiero po wygaśnięciu roszczeń wynikających z umowy. Nie można też domagać się usunięcia danych, które są przetwarzane w związku z wymogami prawa.

O zabezpieczenie danych użytkowników powinno się zadbać już na etapie projektowania systemu

 

RODO nakazuje, by już na etapie prac projektowych przewidywać problemy, jakie może spowodować niewystarczające zabezpieczenie danych użytkowników i im przeciwdziałać np. instalując specjalne dodatki do systemu szyfrujące dane. Nie należy też przechowywać danych, które nie są niezbędne dla firmy, chyba że uzasadnimy, że będą one nam potrzebne w przyszłości.

Każde naruszenie danych osobowych musi być zgłoszone nie później niż 72 godziny od zdarzenia

To jedna z najważniejszych zmian, na które trzeba się przygotować przed 28 maja 2018 r. W tej chwili tylko firmy telekomunikacyjne muszą informować GIODO o każdorazowej sytuacji, naruszającej dane osobowe klientów (np. ataku hackerskim). Po 28 maja 2018 r. będą musiały to robić wszystkie firmy, które gromadzą i wykorzystują dane osób fizycznych. 72 godziny to bardzo mało czasu na opracowanie wymaganej dokumentacji, tym bardziej jeśli nigdy wcześniej nie mieliśmy do czynienia z takim przypadkiem. Najlepsze co możesz zrobić w tej sytuacji, to opracować wcześniej procedury postępowania w razie wycieku danych i przeszkolić swoich pracowników na taką ewentualność.

Co jeśli nie dostosujesz się do nowych zasad?

Żadnego z wymienionych przepisów nie można lekceważyć, ponieważ naruszanie danych osobowych będzie surowo karane. Za nieposzanowanie prywatności użytkowników i niewystarczające dopilnowanie ich interesów grożą kary finansowe w wysokości nawet do 10 mln euro lub 2% wartości rocznego obrotu przedsiębiorstwa.