Przed wszystkimi podmiotami przetwarzającymi dane osobowe nie lada wyzwanie - 25 maja bieżącego roku wchodzi w życie Rozporządzenie o Ochronie Danych Osobowych (RODO). Reguluje ono prawo, które będzie obowiązywać w całej Unii Europejskiej i dotyczyć wszystkich branż oraz rodzajów działalności. Z tego powodu nowe przepisy są w dużym stopniu ogólne. Na przykład nie zakładają konkretnych wymogów co do technologii zabezpieczeń danych. Wybranie więc sposobów ochrony danych osobowych będzie spoczywało w rękach przedsiębiorcy (administratora). Sposoby te należy dostosować do specyfiki danej działalności, a wcześniej przeanalizować pod kątem ryzyka, jakie wiąże się z przetwarzaniem danych.

Pozyskiwanie danych

Prawo nie działa wstecz, dlatego dane zebrane w sposób legalny zachowają swoją ważność i nie będzie obowiązku, byś zgody na ich przetwarzanie zbierał ponownie.

Zmiana nastąpi w kwestii zbierania nowych informacji. Obowiązkiem administratora stanie się dokładne informowanie o celu przetwarzania danych. Obecnie zdarza się, że niektóre firmy na swoich stronach żądają bardzo wielu i bardzo dokładnych informacji, nawet jeśli nie jest to uzasadnione celem ich zapisywania. Pomijając już fakt, że zbyt duża ilość (cztery i więcej) pól do wypełnienia skutecznie zniechęca internautów do wypełnienia formularza, jest to nieracjonalne z punktu widzenia odbiorcy. Dlaczego ktoś, kto chce zapisać się do newslettera, ma podawać swój numer telefonu lub kod pocztowy? Po wejściu w życie RODO nadal będzie możliwość zbierania szczegółowych informacji, ALE tylko wtedy, gdy administrator będzie mógł uzasadnić potrzebę ich pobierania. Przykładowo będzie mógł zbierać kody pocztowe, gdy prowadzi swą działalność sprzedażową na terenie całego kraju i chce przesyłać oferty zgodne z asortymentem sklepu stacjonarnego, znajdującego się najbliżej miejsca zamieszkania adresata.

Jest też inny aspekt zagadnienia zbierania danych. Wiele firm oferuje np. e-book czy PDF z ciekawą zawartością. By go pobrać, użytkownicy muszą “jedynie” wpisać swój adres email. W przekonaniu większości z nich, służy to temu, żeby plik został wysłany na ich skrzynkę. Tymczasem w mniemaniu marketerów pozostawienie adresu wiąże się ze zgodą na wysyłanie newslettera lub ofert handlowych. RODO nie zostawia miejsca na dowolną interpretację. Teraz zgody będą musiały być wyrażone dobrowolnie, świadomie i w sposób jednoznacznie wskazujący, na co użytkownik się godzi. Dlatego rozporządzenie będzie wymagać np. zaznaczenia osobnej zgody na przesyłanie ofert handlowych i osobnej na zapis do newslettera. Ważne jest też to, by treść zgody była w przyszłości podawana w sposób prosty i zrozumiały dla każdego, co pozostawia firmom pole do kreatywności. W końcu będą mogły uwolnić się od urzędniczych formułek. Jedyne co ich ogranicza to przymus, by każdy użytkownik rozumiał, na co wyraża zgodę.

Obowiązek informacyjny

Podmiot proszący obywatela o podanie danych osobowych, będzie mieć obowiązek poinformowania o celu, zakresie i czasie ich przetwarzania, a także o prawach odbiorców. A dokładnie administrator danych będzie zmuszony podawać do informacji:

własne dane kontaktowe stały, niezmienny cel przetwarzania danych podstawę prawną do przetwarzania danych zamiar przekazania danych innemu podmiotowi - jeśli taki zamiar występuje czas przechowywania danych prawo odbiorców do: wglądu do danych zmiany danych lub ich usunięcia z bazy wycofania zgody na przetwarzanie przeniesienia danych wniesienia skargi

Przetwarzanie danych

Jednym z najważniejszych obowiązków, jaki wprowadzi RODO, będzie konieczność posiadania dokumentu, który określa wszystkie cele, dla jakich dane są przetwarzane, sposób zapewniający ich bezpieczeństwo, a także daje namiary na osoby, które są ich administratorami i mają do nich dostęp. Co istotne, dokument ten nie będzie mieć narzuconej formy, a zatem można go będzie zapisać dowolnie.

Przetwarzając dane osobowe, będzie należało zwrócić uwagę na nowe prawa przysługujące odbiorcom. Na ich żądanie firma będzie musiała usunąć ich dane (prawo do bycia zapomnianym) lub zmienić (tzw. prawo do sprostowania - odbiorcy mogą zmieniać podane wcześniej dane czy rozszerzyć lub zmniejszyć zakres zgód, jakie wcześniej wyrazili). Dotyczy to wszystkich dokumentów, na których dane zostały powielone, a także wydruków tych dokumentów.

Kolejną nowością będzie obowiązek zgłaszania naruszenia ochrony danych osobowych przez osoby, które się tego dopuściły. Konsekwencją tak zapisanego prawa będzie to, że administrator nie tylko będzie musiał zgłosić np. atak hakerski na bazę, ale wszelkie nieprawidłowości, jakich sam się dopuścił. Mówiąc wprost - będzie miał obowiązek donieść na siebie samego w ciągu 72 godzin od wykrycia nieprawidłowości.

Stosowanie się do przepisów

RODO, oprócz wybranych i opisanych powyżej przepisów, wprowadza bardzo surowe sankcje, jakie grożą za niedopilnowanie obowiązków. Rozporządzenie przewiduje maksymalną karę w postaci nawet 20 mln euro lub 4% rocznego obrotu firmy.

Autor:

Szymon Dyrlaga, Freshmail