RODO – zmiana w przepisach ochrony danych osobowych Rozporządzenie o Ochronie Danych Osobowych

Co to jest RODO? (Rozporządzenie o Ochronie Danych Osobowych) Rozporządzenie Parlamentu Europejskiego i Rady UE z dnia 27 kwietnia 2016 roku, w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu owych danych, jak również uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych).

RODO – zmiana w przepisach ochrony danych osobowych

Do tej pory wystarczyło zamieścić na stronie informację o ciasteczkach oraz o przetwarzaniu danych osobowych i na tym cała procedura się kończyła. Od 25.maja 2018 roku przestanie obowiązywać stara ustawa, a zastąpi ją RODO, rozszerzona zakresem obowiązków przedsiębiorcy. Brzmi groźnie, ale czy naprawdę trzeba się bać? Z pewnością nie należy bagatelizować tematu, gdyż RODO przewiduje kary od 4% obrotu rocznego przedsiębiorstwa z poprzedniego roku, do 20 mln Euro. Jednak w RODO znajduje się przepis, iż wysokość kary ma być proporcjonalna, oraz wyznaczone są kryteria jakimi ma się kierować organ kontrolujący.
(Podstawa prawna: art. 83 RODO)

W dotychczasowej ustawie nakładanie kar pieniężnych nie miało miejsca, więc kontrole także były rzadkością. Nowa ustawa to inna bajka. Tutaj kara za naruszenie przepisów o ochronie danych osobowych będzie stanowiła przychód budżetu państwa i sądzę, że będzie to miało duży wpływ na liczbę kontroli.

Kogo dotyczy RODO

Kogo dotyczy RODO?

Każdy przedsiębiorca, który sprzedaje usługi lub produkty obywatelom Unii Europejskiej musi stosować przepisy RODO. Dotyczy to również osób, które nie prowadzą działalności gospodarczej, ale aktywnie udzielają się w sieci np. prowadząc bloga. Nie zależnie od tego gdzie Twoja działalność gospodarcza jest zarejestrowana np. Holandia, Niemcy, Belgia czy Polska obowiązuje Cię RODO. To przepisy dla całej UE.

Zbieranie i przetwarzanie danych osobowych

RODO stosuje się do każdego przetwarzania danych osobowych wszystkich obywateli Unii Europejskiej. Ale co się zmieniło w tej kwestii? Dane osobowe możesz przetwarzać tylko wtedy, gdy istnieje podstawa prawna ich przetwarzania. Naruszasz prawo w przypadku, gdy przetwarzasz dane bez podstawy lub błędnie ją identyfikujesz.

Podstawami przetwarzania danych osobowych są:

  • zgoda osoby, której dotyczą
  • wykonanie umowy, lub podjęcie działań poprzedzających zawarcie umowy
  • wypełnienie obowiązku prawnego
  • ochrona żywotnych interesów osoby, której dane dotyczą
  • wykonanie zadania realizowanego w interesie publicznym
  • prawnie uzasadnione interesy administratora lub osoby trzeciej

Przetwarzanie danych najczęściej odbywa się poprzez zgody  (np. przesyłanie informacji handlowej, reklam za pomocą poczty elektronicznej, newslettera, wysyłanie reklam w wiadomościach SMS). Do wysyłania SMS potrzebna jest także zgoda na używanie telekomunikacyjnych urządzeń końcowych. Przetwarzamy dane w celu wypełnienia obowiązku prawnego (np. wystawianie faktur), jak również w celu wykonania umowy (np. sprzedaży produktów w sklepie internetowym).

Wypełnienie obowiązku prawnego, czy wykonanie umowy nie wymaga zgody. Jeśli zawierasz umowę masz podstawę prawną na przetwarzanie danych osobowych w celu jej realizacji. Jeśli wykonasz usługę masz podstawę do przetwarzania danych w celu wystawienia faktury.

Zgoda na przetwarzanie danych osobowych zmieniła się o tyle, że nie jest już sztywną regułką, dosłownie taką samą dla wszystkich przedsiębiorców. Może zostać wyrażona w dowolnej formie, jednak odpowiedzialność leży po stronie administratora i to on musi wykazać,  że taka zgoda została udzielona. Według RODO zgoda ma być dobrowolna, uprzednia, w przejrzystej, jasnej, łatwo dostępnej formie.

W trakcie wyrażania zgody, osoba jej udzielająca, musi otrzymać informację, że w każdej chwili może tę zgodę odwołać.  Jeśli chodzi o zgodę na przetwarzanie szczególnych kategorii danych osobowych, to obecnie na gruncie RODO nie ma obowiązku wyrażać jej na piśmie. Zgodnie z RODO zgoda ma być „wyraźna” – znaczy to, że możesz jej udzielić w Internecie poprzez zaznaczenie odpowiedniego pola wyboru.

Przykład:
„ Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w powyższym formularzu przez „ … dana firma…” w celach marketingowych. Jestem świadomy/a, że w każdej chwili mogę tę zgodę odwołać”

RODO chroni dzieci. Jeżeli użytkownik ma poniżej 16 lat, to aby przetwarzać jego dane osobowe wymagana jest zgoda jego przedstawiciela ustawowego.

Nowa ustawa znosi także obowiązek rejestracji zbiorów danych osobowych i zgłaszania ich do GIODO. Kładzie natomiast nacisk na rzeczywistą ochronę tych danych.

Wewnętrzna dokumentacja RODO

Dotychczas obowiązkiem każdego administratora danych osobowych było posiadanie dokumentu „polityka prywatności” oraz „instrukcja zarządzania systemem operacyjnym”. Zawarte w nich informacje mówiły gdzie dane są przetwarzane, jakie zabezpieczenia zastosowano i w jaki sposób, w celu ich ochrony. Obecnie wygląda to tak, że najpierw wdrażamy procedury ochrony danych osobowych, a potem je opisujemy, co stanowi naszą dokumentację.

Wewnętrzna dokumentacja RODO

Nie ma też informacji, jakie konkretne zabezpieczenia należy wprowadzić. W tej kwestii RODO wprowadza podejście oparte na ryzyku.  Czyli Ty, jako administrator, określasz ryzyko naruszenia ustawy o danych osobowych w swojej firmie.

RODO jedynie wskazuje środki organizacyjne i techniczne, pomagające w osiągnięciu celu.

Należą do nich:

  • szyfrowanie danych osobowych i psedonimizacja
  • możliwość stałego zapewnienia poufności, integralności, dostępności oraz odporności systemów i usług przetwarzania
  • umiejętność szybkiego przywrócenia dostępu do danych osobowych w razie incydentu technicznego lub fizycznego

W przypadku kontroli ważna będzie wdrożona procedura mająca potwierdzenie w posiadanym dokumencie. Ze względu na rozmiar i charakter prowadzonej działalności to administrator ma decydować czy takie dokumenty są mu potrzebne. Mimo, iż RODO nie wymaga danej dokumentacji to jednak moim zdaniem warto ją mieć. RODO nie podaje gotowych treści np. „polityki prywatności” jako przedsiębiorca, administrator to Ty musisz podjąć decyzję jakie treści są ważne. Mówiąc jaśniej cały ambaras polega na tym, że treści zawarte w politykach muszą mieć odzwierciedlenie w rzeczywistym zabezpieczeniu danych osobowych. Dodatkowo, podczas pozyskiwania danych osobowych, Twoim obowiązkiem jako administratora, jest informowanie użytkownika, klienta o tożsamości administratora i jego danych kontaktowych, celach i podstawie przetwarzania danych, czasie przechowywania danych, prawie żądania dostępu do danych, ich sprostowania, ograniczenia lub usunięcia, itp. W celu przekazania tych informacji, czasem dość obszernych konieczne będzie dodanie odpowiednich, rozwijanych klauzul na stronie internetowej. Dodanie przycisków wskazujących na konkretne, ważne informacje.

RODO nakłada tzw. obowiązek rejestrowania czynności przetwarzania danych. Możemy go porównać do wykazów zbiorów danych osobowych dołączonego do polityki bezpieczeństwa. Jednak nie jest on obowiązkowy dla wszystkich. Tylko przedsiębiorcy zatrudniający więcej niż 250 osób są to tego zobligowani. Wyjątek stanowi przetwarzanie danych, w wyniku którego, może dojść do naruszenia praw lub wolności osób, których te dane dotyczą lub dane naruszające prawo, jak również dane wrażliwe. Dane wrażliwe to szczególnie chronione dane osobowe. Są to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, stany zdrowia, skazań, karach itp.

Dokonałeś oceny, możesz się skonsultować

Dokonałeś oceny według RODO i okazało się, że wykazała wysokie ryzyko. Możesz, a nawet powinieneś skonsultować się z organem nadzorczym w celu ustalenia jakie kroki musisz podjąć, by skutecznie chronić dane osobowe i zredukować ryzyko do minimum.

Powierzanie danych osobom trzecim

Powierzenie danych RODO
Jeżeli powierzasz dane osobowe osobom trzecim, RODO dopuszcza taką możliwość. Firmy często ze sobą współpracują i gdyby nie można było tego robić, współpraca byłaby niemożliwa. Jednak przetwarzanie danych osobowych możesz powierzać podmiotom, które gwarantują wysoki zakres ich bezpieczeństwa i ochrony. Korzystając z usług zewnętrznego biura rachunkowego powierzasz dane osobowe swoich klientów. Tak samo wygląda sytuacja jeśli wykupujesz serwer i domenę w firmie hostingowej. Celem weryfikacji odpowiedniej firmy prześledź jej politykę prywatności sprawdź czy wdrożone procedury są zgodne z postanowieniami prawa unijnego.

Zgłaszanie naruszeń do organu nadzorczego

RODO narzuca Ci jako administratorowi danych, obowiązek zgłaszania incydentów np. włamania do systemu, gdzie przechowywane są dane osobowe. Wiąże się to znów z wypracowaniem odpowiednich procedur odnośnie ewidencjonowania, monitorowania i zgłaszania nadużyć organom nadzorczym. Twoim zadaniem jest czuwanie, aby nic takiego nie miało miejsca, a gdyby się wydarzyło stosujesz odpowiednie środki zapobiegawcze. Nie każde naruszenie należy zgłosić. RODO określa kryterium, według którego określasz, czy dany incydent trzeba zgłosić czy nie. Decyzja, ocena i odpowiedzialność leży w Twojej kwestii. (Podstawa prawna art. 33 i 34 RODO)

Profilowanie

Profilowanie to sposób przetwarzania danych osobowych odbywający się w sposób automatyczny, mający na celu ocenę osoby fizycznej lub przewidywanie jej zachowania. Z profilowaniem mamy do czynienia gdy np. wyliczmy składkę ubezpieczeniową dla danej osoby na podstawie danych podanych na stronie internetowej, lub reklama bumerang. Każda osoba profilowana musi być poinformowana o takim sposobie przetwarzania jej danych osobowych. Jeżeli pociąga to za sobą skutki prawne wobec osób, których dane dotyczą, lub w jakiś sposób wpływa na te osoby to można proces ten stosować tylko, gdy zostanie spełniony jeden z wymienionych wariantów: 

  • wyraźna zgoda na profilowanie
  • profilowanie jest niezbędne do zawarcia umowy
  • jest dopuszczalne przez szczególne przepisy prawa

Privacy by design. Privacy by default

Trochę to skomplikowane. Chodzi głównie o prywatność, o prawo użytkownika, klienta do prywatności. Każdy kto projektuje narzędzia mechanizmy, systemy związane z przetwarzaniem danych osobowych, by uwzględniał prywatność już na etapie projektowania. Mam tu na myśli sferę domyślnego ustawiania każdego systemu (programu). Zmiana tego ustawienia powinna nastąpić na wyraźną prośbę, zgodę użytkownika. Zbierasz jak najmniej danych, tylko niezbędne minimum informacji, aby jak najmniej ingerować w prywatność.

Zobacz równięż inne artykuły z działu aktualności

Potrzebujesz profesjonalnej reklamy w internecie Pokażemy Twoje najlepsze strony

Bezpłatna wycena
Facebook Twitter Kontakt Skontaktuj się z nami
Strony internetowe Ostróda Strony internetowe Morąg Strony internetowe Szczytno Strony internetowe Iława
Estymo

10-691 Olsztyn
ul. Gębika 22/10

e-mail: biuro@estymo.pl
Polityka prywattności
Mapa strony

Wyjście
Przewiń na górę