facebook
Grupa ADream - Agencja Interaktywna Kraków

Skrót RODO to dla przedsiębiorców jedno z najbardziej popularnych haseł ostatnich miesięcy. Według Google Trends zainteresowanie tematem ochrony danych osobowych zaczęło wzrastać z początkiem bieżącego roku i konsekwentnie wzrasta do dziś. Oferty szkoleń, darmowe webinary, ministerialne informatory czy nawet próby wyłudzeń „na RODO” pojawiają się każdego dnia w wynikach Google i mediach społecznościowych.


Źródło: https://trends.google.pl/trends/explore?q=rodo&geo=PL


Czym jest fenomen RODO?

RODO to unijne rozporządzenie o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 roku. Dokument wprowadza gruntowne zmiany w podejściu do ochrony danych osobowych na terenie całej Unii Europejskiej. Tekst RODO jest ogólny i uniwersalny, dzięki czemu można go nieustannie dostosowywać do zachodzących zmian technologicznych. Przepisy, które doprecyzują zapisy rozporządzenia zostaną ujęte w nowej, polskiej ustawie o ochronie danych osobowych, które obecnie jest na etapie I czytania w Sejmie (dane na dzień 4 maja 2018).

 

Główne cele wprowadzanych zmian:

  • Ujednolicenie przepisów na terenie całej Unii Europejskiej
  • Ochrona danych osobowych na każdym etapie projektowania rozwiązań i przetwarzania danych
  • Zwiększenie zaufania Klientów w stosunku do przedsiębiorców, np. sklepów internetowych
  • Zwiększenie świadomości w zakresie danych osobowych wśród obywateli.

Unia Europejska szacuje, że wprowadzenie jednego wspólnego dokumentu prawnego, regulującego ochronę danych osobowych to oszczędność około 2,3 miliarda euro. (źródło: http://ec.europa.eu/justice/smedataprotect/index_en.htm)


Kogo dane chroni RODO?

Ochrona dotyczy wszystkich osób fizycznych, których dane są przetwarzane na terenie Unii Europejskiej. Tu warto podkreślić, że nawet samo przechowywanie danych osobowych to już przetwarzanie. Niech nie zmyli nas poczucie, że przetwarzanie danych ma miejsce tylko w internecie lub systemach informatycznych. Ochrona danych obejmuje również dane z tradycyjnych, papierowych rejestrów, jak np. dokumenty kadrowe, czy nawet notatki biznesowe.

 

Prawo do bycia zapomnianym i wyjątki od reguły

„Administrator, który upublicznił dane osobowe, powinien być zobligowany do poinformowania administratorów, którzy przetwarzają te dane do usunięcia linków, kopii i odniesień do tych danych osobowych”.
RODO, art. 17 ust. 2

RODO przyznaje osobom, których dane dotyczą liczne prawa, m.in. tzw. „prawo do bycia zapomnianym”. Oznacza to, że subskrybent newslettera może zażądać natychmiastowego usunięcia swoich danych z systemu. Najłatwiej będzie żądać usunięcia danych przetwarzanych na podstawie zgód. Trudniej na podstawie umów, ponieważ są takie sytuacje, że będziemy zmuszeni przetrzymywać dane, nawet jeśli ich właściciel chciałby abyśmy je usunęli. Np. pracodawca musi przetrzymywać dokumenty kadrowe przez 50 lat, sprzedawca na czas ewentualnych roszczeń, reklamacji lub kontroli skarbowych.

 

Kogo będą dotyczyć nowe przepisy?

W praktyce RODO będzie dotyczyć wszystkich przedsiębiorców. Jednakże na gruncie polskim przewidywane są ułatwienia dla firm zatrudniających mniej niż 250 osób. Ograniczone mają zostać głównie wymogi co do sporządzania rejestrów i dokumentacji.

Wyłączona z RODO jest działalność osobista lub domowa, a więc przykładowo zapisywanie imion, nazwisk czy numerów w prywatnym telefonie lub notesie nie będzie przetwarzaniem danych. Ochroną RODO nie będą objęte również dane osób zmarłych oraz dane osób prawnych (np. adresy spółek, stowarzyszeń).



Zasady RODO

  • Zgodność z prawem, rzetelność i przejrzystość – Przetwarzamy dane tylko w sposób legalny, mając podstawy prawne. Rzetelnie informujemy o prawach osoby, których dane dotyczą.
  • Ograniczony cel – Dane przetwarzamy tylko w konkretnych i prawnie uzasadnionych celach. Nie zbieramy danych „na zapas”.
  • Minimalizacja danych – Gromadzimy je tylko w zakresie niezbędnym dla danego celu, np. zbierając zapisy do newslettera nie powinniśmy zbierać innych danych niż adres e-mail i ewentualnie imię.
  • Prawidłowość – Przetwarzane dane powinny być prawidłowe i aktualne.
  • Ograniczenie przechowywania – Dane nie powinny być przechowywanie dłuższej, niż jest to niezbędne. Nie wolno przetrzymywać danych bez wyraźnego celu.
  • Poufność – Ochrona przed wyciekiem, nielegalnym przetwarzaniem, zniszczeniem lub uszkodzeniem. Jest to punkt szczególnie ważny dla wszystkich przedsiębiorców posiadających strony internetowe lub elektroniczne rejestry danych.
  • Rozliczalność – Jest to punkt podsumowujący sześć wcześniejszych. Dostosowując firmę do nowych przepisów, musimy mieć podstawy, by udowodnić i wskazać w jaki sposób ich przestrzegamy. Z pomocą przyjdzie rzetelnie przygotowana dokumentacja i procedury.

Zgoda a umowa

Zgoda na przetwarzanie danych jest jedną z podstaw prawnych przetwarzania – ale nie jedyną! Zgód na przetwarzanie danych nie trzeba zbierać w szczególności wtedy, gdy przetwarzanie jest niezbędne do wykonania umowy – np. sklep internetowy sprzedaje wysyłkowo książki. Nie musi w takim wypadku prosić o zgodę na przetwarzanie danych. Przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży i dostarczenia produktu).

 

Zgłaszanie naruszeń zgodnie z RODO

W przypadku naruszenia ochrony danych osobowych, czyli np. wycieku danych, powstaje obowiązek zgłoszenia takiego incydentu w ciągu 72 godzin. Jeśli sami przyznajemy się do popełnionego błędu możemy liczyć na okoliczności łagodzące np. odstąpienie od kar, zwłaszcza jeśli naruszenie nie było spowodowane ewidentnym zaniedbaniem. Dlatego warto opracować odpowiednie procedury, by w razie potrzeby szybko zareagować.

Dlaczego boimy się RODO – czyli słów kilka o… karach.

 

Za ochronę danych osobowych zawsze odpowiada administrator danych osobowych, czyli w większości przypadków będzie to firma, która dostarcza usługi lub towary.

RODO wprowadza wysokie, odstraszające kary. Naruszenia będą podzielone na lżejsze (np. brak rejestrów działań) i cięższe (np. przetwarzanie danych bez podstawy prawnej czy prowadzenie tzw. ukrytej rekrutacji). Górna granica narzuconych kar może wynieść od 10 do 20 milionów euro lub 2-4% całkowitego rocznego światowego obrotu (z poprzedniego roku). Wysokość będzie uzależniona od formy naruszenia. Warto wspomnieć, że za prowadzenie tzw. ukrytej rekrutacji (gdzie tożsamość pracodawcy nie jest ujawniania) będzie groziła kara cięższa. Wspominamy o tym, ponieważ niestety jest to praktyka często spotykana. RODO nakazuje natomiast, aby informacja o administratorze danych była jawna!

 

Podsumowanie

Przygotowując się do RODO nie należy wpadać w panikę. Dobrze przemyślany plan działania i rzetelna dokumentacja to podstawy sukcesu. Jeśli jeszcze go nie przeprowadziłeś, polecamy zacząć od audytu obecnego stanu ochrony w naszej firmie: czy i jakie dane przetwarzamy, czy mamy do tego prawo, czy dane są dobrze zabezpieczone oraz czy jesteśmy w stanie wskazać kto ma do nich dostęp. Ważnym elementem jest też to, by nasze systemy, komputery i skrzynki pocztowe były zabezpieczone silnymi hasłami. Nie zapominajmy również o urządzeniach mobilnych z podłączonymi do nich skrzynkami firmowymi lub aplikacjami zawierającymi dane osobowe. W rozporządzeniu nie mamy konkretnych wytycznych jak to zrobić, oprócz jednego: skutecznie!

O autorze:

Katarzyna Javaheri – Szpak: Z wykształcenia iranistka, od 2016 w branży IT. Obecnie pracuje na stanowisku administratora i specjalisty ds. bezpieczeństwa w ramach projektu ForSecure dla Grupy ADream. W lutym 2018 rozpoczęła pisać bloga javaheri.pl na temat bezpieczeństwa w sieci oraz WordPressa. Hobbystycznie interesuje się blockchainem i etycznym hackingiem.

Komentarze

komentarzy

Komentarze zostały wyłączone.

Top