Rozporządzenie Ogólne o Ochronie Danych Osobowych (w skrócie RODO), czyli General Data Protection Regulation wchodzi w życie już 25 maja. Warto poznać odpowiedzi na popularne pytania o RODO, które pojawiają się m.in. podczas procesów ofertowych.
W jakim celu wdrażane jest RODO?
Kształt nowego rozporządzenia było tematem dyskusji i było wypracowywane przez kilka lat przez Parlament Europejski i Radę Unii Europejskiej. W efekcie, w kwietniu 2016 roku, przyjęte zostało unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych, uchylające Dyrektywę o Ochronie Danych Osobowych obowiązującą od 1995 roku.
Zobacz również
Jedną z intencji przyświecających unijnym urzędnikom było ujednolicenie przepisów dotyczących ochrony danych osobowych tak, aby były one możliwie spójne na terenie całej Unii Europejskiej. To także chęć szerokiej ochrony danych obywateli Unii i nałożenie obowiązku stosowania się do nowych przepisów również przez podmioty, które chcą przetwarzać dane obywateli krajów Unii Europejskiej, a znajdują się poza jej terytorium. Patrząc z perspektywy biznesów digitalowych, takie podejście wyrównuje szanse i nadaje jednolite warunki do prowadzenia biznesu w obrębie całej Unii. Patrząc, jak dynamicznie rozwijają się e-commerce’y, z którymi współpracujemy, w sytuacji, w której doprowadzimy do pełnej zgodności z nowymi przepisami w Polsce, z powodzeniem i przy relatywnie niskich nakładach pracy, będziemy mogli wykorzystać wypracowane procedury na pozostałych rynkach unijnych. W praktyce powinno to ułatwić ekspansję i eksport towarów oraz usług.
Kolejnym istotnym elementem branym pod uwagę przez unijnego prawodawcę było unowocześnienie przepisów i ich odniesienie (na możliwie uniwersalnym poziomie) do obecnych realiów postępującej cyfryzacji społeczeństwa i jego zaawansowania technologicznego, które dokonały się od czasu ostatniej regulacji dotyczącej ochrony danych osobowych.
Jak długi jest okres ochronny? Ile mam czasu na wdrożenie odpowiednich procedur?
Dwuletni okres dostosowawczy, w czasie którego pomioty przetwarzające dane miały możliwość podjęcia odpowiednich działań przygotowujących je do RODO, mija 25 maja 2018 roku. Wtedy też podmioty te muszą spełniać wszystkie wymogi nowych przepisów dot. ochrony danych osobowych. Niestety, część osób uważa, że po maju 2018 roku pojawi się jeszcze jakiś dodatkowy okres przejściowy. Tak zdecydowanie nie będzie, dlatego jeśli nie podjęliśmy jeszcze odpowiednich działań przygotowujących nas do wejścia nowych regulacji, jest to ostatni moment, żeby to zrobić.
#NMPoleca: Jak piękny design zwiększa konwersję w e-commerce? Tips & Tricks od IdoSell
Jakie informacje uznać będzie można za dane osobowe?
W myśl nowych przepisów, za dane osobowe uznawali będziemy wszystkie informacje, na podstawie których możemy zidentyfikować osobę fizyczną lub dane o zidentyfikowanej już osobie fizycznej. Co szczególnie ważne, mowa tutaj o osobie, którą można zidentyfikować bezpośrednio (na postawie imienia i nazwiska, numeru PESEL, numeru dowodu osobistego, czy identyfikatora internetowego) lub pośrednio (na postawie cech określających tożsamość danej osoby). Takie podejście do definiowania danych osobowych w praktyce oznaczało będzie, że jeszcze większa niż dotychczas pula informacji podlegała będzie przepisom nowego prawa. Danymi osobowymi nie będą dane anonimowe lub zanonimizowane.
Słuchaj podcastu NowyMarketing
W kontekście biznesów online’owych należy zwrócić uwagę na to, iż w myśl nowych przepisów identyfikatory internetowe, takie jak np. adres IP, czy pliki cookie przypisywane urządzeniom lub aplikacjom, z których korzystają osoby fizyczne, mogą w sposób pośredni (w połączeniu z innymi informacjami) przyczynić się do identyfikacji konkretnej osoby. Z tego też powodu, należy przygotować się do tego, że wskazane wyżej identyfikatory uznawane będą za dane osobowe i podlegać będą nowym przepisom.
Czym jest przetwarzanie danych?
W myśl nowych przepisów, przetwarzaniem danych stają się wszelkie operacje wykonywane na danych osobowych. W praktyce będzie to więc bardzo szeroki zbiór czynności takich, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Warto zwrócić uwagę, że wbrew obiegowym opiniom, samo posiadanie danych (ich przechowywanie) np. tych pochodzących z procesów rekrutacyjnych, również podlegać będzie przepisom RODO.
Kto odpowiadał będzie za przetwarzanie danych?
Bezpośrednią odpowiedzialność za przetwarzanie danych osobowych będą ponosiły wszystkie podmioty przetwarzające dane – nawet jeśli dane pochodzą od innych firm, zaś przetwarzanie danych zlecone zostało na ich rzecz. Oznacza to konieczność wdrożenia odpowiednich procedur przez wszystkie podmioty przetwarzające oraz zawarcia odpowiednich umów powierzenia i przetwarzania danych między współpracującymi podmiotami.
Czym jest profilowanie i jakim podlega obostrzeniom?
Profilowanie to zbieranie informacji nt. danej osoby (np. wieku, płci, lokalizacji, historii zakupów) umożliwiające bardziej precyzyjne serwowanie komunikatów reklamowych odpowiadających indywidualnym preferencjom. W myśl nowych przepisów, profilowanie podlega obowiązkowi otrzymania zgody od osoby profilowanej zanim rozpocznie się zbieranie danych, jeżeli odbywa się automatycznie
i prowadzi do podjęcia względem niej decyzji wywołującej skutki prawne, np. zawarcie umowy lub inne zbliżone skutki, np. odmowę zawarcia umowy. Jeżeli profilujemy daną osobę, to musimy ją o tym informować.
Na co zwrócić szczególną uwagę?
Do wejścia nowych przepisów w życie pozostaje coraz mniej czasu. Niezależnie od regulacji i przepisów właściwych polskiemu ustawodawcy, warto wykorzystać go na wypracowanie odpowiednich procedur, które pozwolą odpowiedzieć na przepisy dotyczące praw osób korzystających z konkretnego serwisu internetowego. Szczególną uwagę należy zwrócić na prawo do:
- dostępu i wglądu w gromadzone dane,
- przeniesienia danych,
- ograniczenia przetwarzania danych,
- niepodlegania profilowaniu,
- bycia zapomnianym.
Biorąc powyższe pod uwagę, już teraz należy wypracować sposób weryfikacji i podsumowania danych, jakie posiadamy w naszej organizacji nt. konkretnej osoby. Często zdarza się bowiem, że sprawne zebranie wszystkich danych nt. danego użytkownika, czy klienta może okazać się prawdziwym wyzwaniem. Wystarczy, że korzystamy z różnych, niezintegrowanych ze sobą rozwiązań – tak jak choćby platforma e-commerce, e-mail marketingowa, RTB, system CRM, lojalnościowy czy analityczny, które patrząc poprzez perspektywę dzisiejszych e-commerce’ów stanowią zdecydowane minimum rozwiązań, z którymi się posługujemy. Wiedząc już, jakie dane gromadzimy, niezbędnym będzie wypracowanie sposobu na ich eksport oraz umożliwienie ich przeniesienia do innych baz, w tym baz naszej konkurencji, a także ograniczenia przetwarzania tych danych i ich całkowitego usunięcia.
Pamiętajmy także, że w przypadku naruszenia bezpieczeństwa danych osobowych pojawia się obowiązek poinformowania organu nadzorującego o takim zdarzeniu w ciągu 72 godzin. Jeśli naruszenie polegało na wycieku danych, dodatkowo niezbędne będzie poinformowanie o nim także wszystkich osób, których to zdarzenie dotyczyło. W takim przypadkach niezbędne będą również dodatkowe procedury, które będą mogły być uruchomione w czasie zgodnym z nowymi przepisami. Pamiętajmy, że rośnie odpowiedzialność za nieprzestrzeganie przepisów RODO. Kara za naruszenia może sięgać 20 milionów euro lub 4% obrotu przedsiębiorstwa za rok poprzedni. Tym bardziej warto już teraz przygotować się na nadchodzące zmiany i stworzyć system zasad, procedur odnoszących realia naszego biznesu do realiów tworzonych przez ustawodawcę.
Autor:
Tomasz Sąsiadek
Client Service Director, Bluerank
Wielu przedsiębiorców zakłada, że łatwo będzie obejść RODO poprzez przeniesienie swojej działalności poza Unię Europejską. Planują świadczyć swoje usługi unijnym internautom np. z Turcji. Takie działanie nie przyniesie jednak żadnego efektu. Prawodawca unijny je przewidział. Dlatego RODO obejmuje również tych przedsiębiorców, którzy nie mają swoich jednostek organizacyjnych na terytorium Unii Europejskiej, ale oferują swoje usługi lub towary osobom, które znajdują się w Unii. Dotyczy to także nieodpłatnego oferowania usług. — Witold Chomiczewski, Wspólnik i radca prawny, Lubasz i Wspólnicy – Kancelaria Radców Prawnych