Po 25 maja 2018 r., gdy zaczniemy stosować w Polsce unijne rozporządzenie RODO, przedsiębiorców czekają spore zmiany w zakresie ochrony danych osobowych.  Jedne ułatwią prowadzenie działalności, a inne wprowadzą dodatkowe obowiązki.

"Urynkowienie" przetwarzania danych

Ułatwieniem dla biznesu będzie jednolity system ochrony danych we wszystkich państwach UE.  Na przykład do tej pory zgoda na gromadzenie danych biometrycznych czy danych wrażliwych była w jednym państwie obowiązkowa, a w innych nie. Sądy na Malcie czy we Francji muszą więc stosować te same przepisy co w Polsce.

Czytaj:
Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>

 Powstaje wymóg powołania inspektów ochrony danych przez każdy organ administracji publicznej i znaczną część przedsiębiorców (od 250 pracowników). Obowiązek certyfikacji będzie impulsem konkurencyjnym. RODO to szansa dla nowych przedsiębiorców, którzy mogą się wyspecjalizować w dziedzinie ochrony danych.


Celem zmian prawnych jest podwyższenie poziomu ochrony prywatności obywateli, w tym poprzez przyznanie im nowych nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami przy jednoczesnym poszanowaniu interesów przedsiębiorców. Do najważniejszych projektowanych rozwiązań należy przyznanie obywatelom dodatkowego prawa dochodzenia roszczeń cywilnoprawnych z tytułu naruszenia zasad ich prywatności.

Wycofanie zgody

Ważne jest zniesienie wymogu pisemności na udostępnienie danych osobowych wrażliwych i zastąpienie zwrotu „pisemny”, zwrotem „wyraźna zgoda”. Jest to szczególnie istotne dla sektora bankowego i ubezpieczeniowego.

Czytaj: Dr Wiewiórowski: administrator danych musi ocenić ryzyko wycieku>>

Powstał też problem, czy dotychczas wyrażone zgody na przetwarzanie danych osobowych przez przedsiębiorstwo będą obowiązywały po rozpoczęciu stosowania RODO. Pytanie zrodziło się w związku z tym, iż przepisy rozporządzenia przewidują, że osoby wyrażające zgodę na przetwarzanie swoich danych powinny być uprzednio informowane o możliwości wycofania zgody (art. 7 ust. 3 RODO). Tymczasem, choć przepisy ustawy o ochronie danych osobowych przewidują obecnie możliwość odwołania zgody w każdym czasie, to jednak nie wskazano w nich wprost, że o takiej możliwości należy poinformować osoby, których dane dotyczą.
W tej kwestii trzeba poczekać na dyrektywy Grupy Roboczej (art. 29)

Profilowanie za zgodą
Profilowanie polega na grupowaniu danych osobowych klientów pod kątem określonych cech demograficznych albo behawioralnych. Ten mechanizm wykorzystywany jest w celu przedstawienia spersonalizowanej oferty  np. wyświetlania produktów związanych z miejscem zamieszkania lub zainteresowaniami użytkowników (typu: inni klienci kupili również, produkty podobne, produkty powiązane). Nowe rozporządzenie wprowadza konieczność poinformowania klienta o profilowaniu i uzyskania jego zgody na takie działania.

Będzie to trudność dla marketingowców, zwłaszcza dla telemarketerów, którzy  na ogół  kupują bazy  telefoniczne i  adresowe klientów. Według RODO  posługiwanie się tymi  danymi będzie wymagało  uzyskania zgody adresata oferty. Brak takiej zgody na pewno wywrze wpływ na skuteczność kampanii marketingowych.

Trudności ze sprawdzeniem wieku
RODO wprowadziło wyraźne zapisy chroniące prywatność dzieci korzystających z usług w sieci. Zatem w każdym formularzu dotyczącym wykorzystania danych osobowych dla celów świadczenia usługi powinno być  pytanie o wiek potencjalnego klienta.

Rozporządzenie mówi, że w przypadku „usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat”. Jeżeli natomiast dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem.

Polski projekt ustawy o ochronie danych osobowych zakłada, że dziecko w wieku od 13 lat może bez zgody rodziców samodzielnie podejmować decyzje o zakupie usług.
Przedsiębiorca oferujący usługi w internecie musi więc już dzisiaj analizować, w jaki sposób będzie weryfikować wiek dziecka i to, czy rodzic lub opiekun wyraził zgodę na takie przetwarzanie.

Szczególna ochrona dzieci powinna mieć zastosowanie również, kiedy dane dzieci są wykorzystywane dla celów marketingowych i do tworzenia profili osobowych. Za każdym razem przedsiębiorca musi zwracać uwagę na prosty i jasny język.

Wysokie kary
Rozporządzenie chce wymusić stosowanie reguł wykorzystania danych osobowych przez nałożenie wysokich kar finansowych, które mogą maksymalnie dochodzić do 20 mln euro lub 4% całkowitego obrotu firmy za rok poprzedni. Rygory wiążą się także z zasadą przenoszenia danych, prawem do bycia zapomnianym oraz obowiązkami informacyjnymi.

Ważną nowością jest to, że rozporządzenie wyraźnie ujmuje prawo do bycia zapomnianym. To uprawnienie, które, choć istniało to jednak w dotychczasowym stanie prawnym nie było wprost nazwane. Generalnie sprowadza się ono do naszego prawa żądania od administratora usunięcia naszych danych osobowych, jeśli nie ma już podstawy prawnej do ich przetwarzania, albo nigdy takiej podstawy nie było.

Zgłaszanie naruszeń
Jeśli tylko w firmie kierownictwo zauważy, że dane osobowe w sposób niekontrolowany mogły ulec zniszczeniu lub mogły dostać się w niepowołane ręce, to obowiązkiem przedsiębiorców jest zgłoszenie tego faktu do właściwego urzędu.  Musi to nastąpić w ciągu 72 godzin od wykrycia naruszenia. Dlatego, że jest to zagrożenie dla praw i swobód osób, których dane zostały naruszone. Może także wystąpić konieczność zawiadomienia konkretnej osoby, bez zbędnej zwłoki, o przypadku wystąpienia dużego ryzyka naruszenia jej praw lub swobód.

Na przykład, jeśli firma dysponuje bazą ok. 2 tys. klientów, a nie wiemy kogo wyciek może dotyczyć, to mamy trzy doby, żeby wszystkich poinformować o zagrożeniu. W przypadku niemożliwości poinformowania każdej osoby indywidualnie, konieczne będzie umieszczenie publicznie dostępnej informacji o naruszeniu, która zostanie przekazana  wszystkim potencjalnie poszkodowanym.

Termin trzech dób na zgłoszenie naruszenia może być wyjątkowo wydłużony, jeśli  są ku temu ważne przyczyny. W RODO zapisano:  „to, czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą”.

Ponadto administrator danych nie będzie musiał zgłaszać naruszenia, jeśli „jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych”.

Dostosowanie regulaminów i polityki bezpieczeństwa
Zgodnie z obowiązującym prawem w regulaminie np. sklepu internetowego lub innego przedsiębiorstwa znajdują się informacje dotyczące przetwarzania danych osobowych. Podaje się kto jest administratorem, w jakim celu przetwarzane są dane, w jaki sposób cofnąć zgodę na otrzymywanie informacji handlowej.

RODO wprowadza także obowiązek zdefiniowania, w jakim czasie dane będą archiwizowane i gdzie można zgłosić skargę, jeśli dojdzie do naruszenia bezpieczeństwa danych lub przepisów o ochronie danych.

Co więcej od 25 maja 2018 r. trzeba dokumentować w firmie takie czynności jak: rodzaj danych przetwarzanych i źródło pozyskania, komu i gdzie je udostępniamy, dlaczego nie powołaliśmy inspektora ochrony danych, i jakie wnioski z tego wynikają.

Przedsiębiorca powinien także opisać mechanizm profilowania, gdy korzysta z niego przy prowadzeniu działalności w sieci.

Szacowanie ryzyka
Każda firma przetwarzająca dane powinna wprowadzić adekwatne do zagrożeń zabezpieczenia administrator danych będzie musiał oszacować ryzyko. Może przy tym skorzystać z uznanych międzynarodowych norm ISO odnoszących się do ochrony informacji oraz do analizy ryzyka. Jest to bardzo istotny element ponieważ pozwala na dostosowanie  rozwiązań prawnych do konkretnych potrzeb przedsiębiorstwa.

Czemu służy analiza ryzyka? Chodzi o zwiększenie świadomości niebezpieczeństw, które zagrażają bazom danych przedsiębiorców w internecie. W biznesie wyciek danych może spowodować straty wizerunkowe, znacznie większe niż koszt ewentualnych odszkodowań.

Analiza ryzyka w firmie pozwala odkryć jej słabe strony oraz możliwość wykorzystania słabości przez niefortunne zdarzenia, takie jak choćby błąd informatyka. Na podstawie przeprowadzonej analizy można wprowadzić środki zaradcze minimalizujące zagrożenia.

Dlatego przedsiębiorcy powinni już teraz przygotowywać się do nowych wyzwań związanych z ryzykiem przetwarzania danych i wprowadzeniem kodeksów postępowania. Warto więc wcześniej podjąć kroki techniczne i organizacyjne w firmie, zgodnych z przepisami rozporządzenia, aby nie być zaskoczonym.