Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Prowadzisz firmę, organizację lub stoisz na czele urzędu, gdzie w większym lub mniejszym stopniu przetwarzane są dane osobowe (np. w celu wysłania newslettera)? Musisz przygotować się na wejście w życie nowych przepisów. Rozporządzenie o Ochronie Danych  Osobowych (RODO) zacznie obowiązywać już 25 maja 2018 r.

Z tego artykułu dowiesz się:

  • czym jest RODO,
  • jak zbierać dane zgodnie z nowymi przepisami,
  • jakie ograniczenia będą stosowane wobec sektora MŚP.

Pod koniec zeszłego roku ukazały się badania przeprowadzone przez Trend Micro, które pokazywały, że większość polskich firm wciąż nie jest gotowa na RODO. O ile rośnie świadomość o konieczności dostosowania się do nowego prawa, zwłaszcza wśród dyrektorów dużych firm, to wiedza na temat rozporządzenia wciąż jest niewielka. Najgorzej pod tym względem wypadają małe i średnie przedsiębiorstwa. A jak wynika z Raportu o stanie sektora małych i średnich przedsiębiorstw w Polsce z 2017 r. firmy te stanowią “przeważającą większość przedsiębiorstw w Polsce – 99,8%”. Ważną informacją dla małych i średnich przedsiębiorstw z pewnością jest to, że zgodnie z najnowszym oświadczeniem Ministerstwa Cyfryzacji i Ministerstwa Przedsiębiorczości i Technologii przepisy RODO dla tego sektora będą podlegać pewnym ograniczeniom.

Zbieranie danych po RODO

Większość firm zbiera dane osobowe choćby w celu rejestracji w sklepie internetowym, dokonania transakcji czy przesyłania newslettera. Jedną z najczęściej przetwarzanych informacji jest adres email, który zgodnie z prawem jest daną osobową, ponieważ po adresie często istnieje możliwość zidentyfikowania konkretnej osoby. Zatem jeśli posiadasz bazę adresów email, nowe przepisy na pewno będą Cię dotyczyć.

Jedną z ważniejszych zasad, jakie wprowadzi RODO, jest “privacy by default”, oznaczająca, że możliwe jest zbieranie tylko tych danych, jakie są niezbędne do świadczenia usług lub realizacji transakcji. Oznacza to, że zbierając dane, musisz potrafić wykazać, że są one dla Ciebie niezbędne do wykonywania swoich działań. Przykładowo firma świadcząca usługi SaaSowe (Software as a Service), czyli sprzedająca oprogramowanie dostępne online, teoretycznie nie potrzebuje do wykonania usługi czy transakcji np. kodu pocztowego. Jednak będzie mogła go wymagać od użytkowników, jeżeli będzie potrafić uzasadnić, do czego te dane są potrzebne (np. do wysłania faktury).

Po wejściu w życie nowych przepisów będzie trzeba przywiązywać większą uwagę do zgód, jakie są wymagane. Użytkownicy będą musieli mieć możliwość wyboru, w jakim celu przekazują nam informacje. Czyli zamieszczenie na formularzu jednej zgody, by później przetwarzać dane w celu realizacji transakcji, przesyłać informacje marketingowe, a także handlowe, nie będzie wystarczające. Konieczne będzie zastosowanie trzech odrębnych zgód.

RODO wprowadza też szeroki obowiązek informacyjny, który należy spełnić już na etapie zbierania danych, o czym przeczytasz poniżej.

Obowiązek dla wszystkich

Każdy administrator danych (w tym sektor MŚP) będzie musiał podawać informację o:

  • swojej tożsamości oraz danych kontaktowych,
  • danych kontaktowych inspektora ochrony danych - jeśli takiego posiada,
  • celu oraz podstawie prawnej przetwarzania danych,
  • zamiarze przekazania danych innym podmiotom - jeśli taki zamiar istnieje.

Dodatkowo na wszystkich firmach będzie ciążyć obowiązek tzw. samodonosu. Polegać on będzie na tym, że każdy administrator danych będzie zobowiązany poinformować prezesa Urzędu Ochrony Danych Osobowych o każdym naruszeniu przepisów w ciągu 72 godzin od jego wykrycia. Będzie też musiał ponieść za to naruszenie odpowiedzialność. Czy firmy są do tego przygotowane lub czy w ogóle wiedzą o takim obowiązku? Odpowiedź możesz znaleźć na poniższym wykresie, pochodzącym ze wspomnianego wcześniej raportu Trend Micro.

wykres

Obowiązek dla dużych firm

Małe i średnie przedsiębiorstwa, które nie przetwarzają danych wrażliwych oraz nie udostępniają danych innym podmiotom, będą miały mniejszy obowiązek informacyjny niż inne firmy. Ograniczenia wynikają z art. 23 ust. 1 RODO, który wymienia okoliczności, w jakich pozostałe przepisy rozporządzenia mogą być ograniczone. Między innymi w celu leżącym w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnemu interesowi gospodarczemu lub finansowemu. Sektor MŚP napędzający polską gospodarkę z pewnością leży w ważnym interesie kraju.

Zatem firmy nie będące małymi i średnimi przedsiębiorstwami będą musiały dodatkowo informować o:

  • okresie przetwarzania danych,
  • prawie do żądania dostępu do danych osobowych,
  • prawie do ich sprostowania,
  • prawie do usunięcia lub ograniczenia przetwarzania danych,
  • prawie do wniesienia sprzeciwu wobec przetwarzania.

Z tego obowiązku informacyjnego małe i średnie przedsiębiorstwa będą zwolnione, jednak nie oznacza to, że podane powyżej prawa nie będą przysługiwać osobom, których dane przetwarzasz.

Źródło: Freshmail


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca

              *