Już 25 maja 2018 roku wchodzi w życie RODO. Rozporządzenie to zostało ogłoszone już 17 maja 2016 r., jednak zacznie obowiązywać w krajach UE od 25 maja 2018 r. Rozporządzenie dotyczy wszystkie podmioty przetwarzające dane osobowe z związku z prowadzoną działalnością gospodarczą. Pokazujemy ważne zmiany, które dotyczą każdego właściciela strony internetowej będącego przedsiębiorcą, a także obalamy powszechne w mediach mity o RODO!

RODO, zwane także GDPR lub „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

RODO wywołuje wśród przedsiębiorców wiele emocji. Na wyobraźnie działa wysokość potencjalnych kar za naruszenie zasad ochrony danych osobowych. Sankcje mogą wynieść do 20.000.000 EUR lub do 4% całkowitego światowego obrotu za rok poprzedni za uchybienia w ochronie danych osobowych. Uspokajamy jednak, że działania instytucji będą miały głównie na celu przymuszenie podmiotu do zapewnienia odpowiedniej ochrony, a kary pieniężne występują w RODO tylko dla ciężkich przypadków lekkomyślności i naruszeń.

7 głównych zasad RODO

1. Zasada przejrzystości, rzetelności i zgodności z prawem

Masz obowiązek informować osoby, których dane chcesz przetwarzać, jakie mają w związku z tym prawa. Musisz to zrobić prostym i przejrzystym językiem. Nie ma żadnych ustalonych formułek ani odwołań do ustaw czy rozporządzeń. Zgoda, której udziela klient, musi być zrozumiała przez laika.

Zgoda na newsletter często dotychczas miała formę prawniczego słowotoku. Zgodnie z RODO może być prościej: „Chcę otrzymywać informacje o promocjach i ciekawych okazjach od Was na mój adres e-mail, nie częściej niż raz w tygodniu”. Taka formułka nie obejmuje jednak zgody na przekazywanie danych innym podmiotom, czy wykorzystywanie ich do innych, pobocznych celów.

Oczywiście musisz posiadać zgodę na przetwarzanie danych, od każdej osoby, która znajduje się w Twojej bazie danych. Zgody uzyskane przez Ciebie przed wejściem w życie RODO pozostają nadal ważne.

2. Zasada celowości

Dane osobowe można przetwarzać tylko dla konkretnego i uzasadnionego celu. Nie może być on opisany ogólnikami, a wszyscy zainteresowani muszą być o nim wyraźnie poinformowani.

Zastanów się przede wszystkim, dlaczego musisz przetwarzać dane osobowe. Czy jest to niezbędne do świadczenia usługi, a może wynika z przepisów prawa?

Cel powinien być również ograniczony. Przykładowo nie możesz uzależniać świadczenia usługi od wyrażenia zgody przez klienta na komunikację marketingową.

3. Zasada minimalizacji danych

Zakres przetwarzanych danych powinien być adekwatny, stosowny i ograniczony do osiągnięcia założonego celu.

Jakie dane są Ci rzeczywiście niezbędne do świadczenia usługi? Jeśli prowadzisz sprzedaż wysyłkową, będzie to imię i nazwisko, adres pocztowy i może numer telefonu, aby kurier mógł się skontaktować z odbiorcą przesyłki przed próbą doręczenia.

Czy w takim przypadku jednak niezbędna Ci jest data urodzenia? Albo numer PESEL. Absolutnie nie. Nie oznacza to, że nie możesz tych danych przetwarzać. Musisz jednak wskazać inny cel, uzyskać wyraźną zgodę na to i nie możesz od tego uzależniać świadczenia usługi podstawowej.

4. Zasada prawidłowości

Dane osobowe muszą być poprawne i aktualne. Osoba, której dane przetwarzasz, musi mieć prawo dostępu do nich oraz sprostowania.

5. Zasada ograniczenia przechowywania

Dane nie mogą być przechowywane dłużej, niż jest to niezbędne dla uzyskania celu, dla jakiego zostały zebrane.

Przykładowo bank po ustaniu umowy świadczenia rachunku bankowego powinien usunąć dane osobowe klienta, o ile inne uregulowania prawne nie wymagają ich przechowywania przez dalszy okres czasu.

6. Zasada integralności i poufności (bezpieczeństwa danych)

Administrator danych musi dbać o to, żeby dane osobowe były bezpieczne. Nie może dopuścić do ich utraty, zniszczenia czy uzyskania dostępu przez niepowołane osoby trzecie.

RODO wprost nie mówi, co konkretnie trzeba zrobić. Należy to traktować zdroworozsądkowo. Podpowiadamy więc. Czy Twoje komputery w firmie są bezpieczne? Czy dostęp do nich jest chroniony odpowiednio silnym hasłem? Czy nie zostawiasz laptopa z danymi osobowymi na widoku w samochodzie?

7. Zasada rozliczalności

Zgodnie z tą zasadą, musisz być w stanie wykazać, że stosujesz się do wszystkich powyższych zasad. RODO nie określa natomiast, w jaki sposób masz to zrobić. Dobrą praktyką będzie jednak przygotowanie procedur związanych z przetwarzaniem danych w Twojej firmie.

Zgodność z RODO – jak będzie oceniana

Zgodnie z treścią rozporządzenia będą to m.in. następujące kwestie:

  • wyznaczenie inspektora ochrony danych osobowych – ale tylko jeżeli Twoja działalność dotyczy głównie przetwarzania danych osobowych, bądź wyznaczone cele wymagają regularnego i systematycznego monitorowania danych.
  • prowadzenie rejestru wewnętrznego przetwarzania danych – obowiązkowe jest dla firm zatrudniających powyżej 250 pracowników i innych specyficznych przypadków
  • przeprowadzenie oceny skutków przetwarzania dla ochrony danych – udokumentowana analiza procesów i ryzyk w firmie zgodnie z zasadą numer 7 opisaną powyżej,
  • wprowadzenie odpowiednich zabezpieczeń danych i procedur związanych z ochroną danych – zgodnie z zasadą nr 6 opisaną powyżej
  • uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (privacy by design, privacy by default)

Mity o RODO

  • Musisz przygotować tonę nowej dokumentacji. Fałsz. Obowiązki w zakresie dokumentacji są dużo mniejsze w RODO, niż były dotychczas. Nie musisz już rejestrować zbioru danych osobowych w rejestrze GIODO.
  • Musisz skasować dane osobowe każdego klienta, gdy tylko o to poprosi. Fałsz. Jeśli istnieją inne przesłanki do przetwarzania danych osobowych, nawet wycofanie zgody klienta na to nie oznacza, że musisz te dane skasować. Przykładowo, dokumentację księgową musisz przechowywać przez okres 5 lat od zakończenia danego roku podatkowego. Ponadto, jeśli dane osobowe znajdują się w kopiach zapasowych przechowywanych przez dłuższy okres czasu, a ich wybiórcze usunięcie jest technicznie niemożliwe lub bardzo trudne, nie musisz wcale kasować całego archiwum.
  • Musisz skorzystać z drogich ofert audytów i wdrożeń RODO. Fałsz. Bezpłatnych i ogólnodostępnych materiałów o RODO jest mnóstwo. Zasady związane z RODO są proste do zrozumienia i w większości przypadków wierzymy, że małe podmioty będą w stanie poradzić sobie z tym same.
  • RODO wprowadza nowe wymogi odnośnie informowania o korzystaniu z cookies. Fałsz. RODO wprost nie narzuca takiego wymogu. Z całą pewnością jednak należy nadal użytkowników o tym w wyraźny sposób informować. Jeśli ciasteczka są wykorzystywane do profilowania użytkowników i wyświetlania im np. indywidualnie dopasowanej treści, wyraźna zgoda na to musi być uzyskana. Jednak najczęściej cookies są używane do celów zbiorczych, statystycznych. Działania niektórych stron internetowych, które wymagają zgody na użycie takich cookies jeszcze przed wyświetleniem witryny można uznać więc za zdecydowanie przsadzone. Należy się spodziewać również uchwalenia nowych aktów prawnych, które będą bardziej szczegółowo regulować tę kwestię.
  • Rewolucja następuje 25 maja. Fałsz. 25 maja wchodzi w życie rozporządzenie RODO, to fakt. Jednakże niewiele później w życie wejdzie krajowa ustawa, która doprecyzuje kwestie związane z RODO w Polsce. Ustawa ta powinna się ukazać oczywiście odpowiednio wcześniej, ale z różnych przyczyn tak się nie stało. RODO również może wymusić zmiany w wielu innych ustawach, należy więc się spodziewać dynamicznego rozwoju sytuacji w tym roku, a nie tylko jednej zmiany 25 maja.

Podsumowanie – minimum do wykonania przed wejściem RODO w życie

Zwróć szczególną uwagę na następujące kwestie:

  • Gdzie przechowujesz dane osobowe, w jaki sposób je przetwarzasz, czy dbasz o bezpieczeństwo urządzeń, z których korzystasz? Czy Twój operator serwera jest firmą z terytorium UE, która dba o bezpieczeństwo danych i spełnia wymogi RODO?
  • Czy Twoja polityka prywatności w prosty i przejrzysty sposób informuje użytkowników, kim jesteś, jakie ich dane przetwarzasz, w jakim celu i przez jaki okres czasu?
  • Czy użytkownicy mogą uzyskać informacje jakie ich dane przetwarzasz, czy mogą je sprostować oraz wycofać zgodę na ich przetwarzanie?
  • Czy jasno i wyraźnie prosisz o zgodę na przetwarzanie danych i zbierasz je tylko w takim zakresie, który jest niezbędny do świadczenia usługi?
  • Czy masz procedury informowania użytkowników oraz organów nadzoru w przypadku złamania zabezpieczeń?

Jak widzisz, nie są to specjalnie skomplikowane kwestie. RODO pozostawia również bardzo dużą dowolność w kwestii ich wdrożenia. Nie zostawiaj jednak tego na ostatnią chwilę.

Wdrożenie RODO wcale nie musi wiązać się z ogromną ilością czasu i koniecznością przygotowania tony dokumentacji, która będzie tylko zalegać na półce. Uważaj na oszustów, którzy twierdzą inaczej. Im bliżej terminu wejścia RODO w życie, tym więcej „ofert” wdrożenia RODO za kilka czy nawet kilkadziesiąt tysięcy złotych przez firmy, które nie mają pojęcia, jak faktycznie wygląda przetwarzanie danych osobowych w Twojej firmie.

Życzymy powodzenia i mamy nadzieję, że jak najwięcej czynności będziesz w stanie wykonać samodzielnie. Pamiętaj jednakże, w razie wątpliwości dobrym pomysłem będzie skonsultowanie Twojego indywidualnego przypadku z radcą prawnym, któremu znane będą kwestie ochrony danych osobowych.

Powiązane artykuły

Komentarze