RODO
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR – General Data Protection Regulation) obowiązuje od 25 maja 2018 roku wszystkie kraje członkowskie Unii Europejskiej.
RODO a dotychczasowa ustawa ochrony danych osobowych
Chociaż przepisy RODO zastąpią obowiązującą w Polsce ustawę o ochronie danych osobowych nie oznacza to, że trzeba będzie zbierać na nowo zgody na przetwarzanie danych osobowych – oczywiście tylko, jeśli te wcześniej zostały otrzymane w prawidłowy sposób, tj. zgodny z zasadą marketingu za przyzwoleniem.
RODO a tworzenie/zbieranie baz danych
Ponieważ prawo do bycia zapomnianym nie może ingerować w bezpieczeństwo innych danych osobowych nie jest konieczne usuwanie danych z back-up’ów baz danych, jeśli przekładałoby się na duże koszta lub nadmierne działania techniczne.
Jeżeli prowadzona przez Ciebie baza posiada dane osobowe uzyskane zgodnie z dotychczasowym prawem (z zasadą marketingu za przyzwoleniem) może być ona w dalszym użyciu. Wiele firm decyduje się jednak na ponowne wysłanie potwierdzenia do swoich odbiorców, głównie z powodu wysokich kar. Wykorzystując dotychczasowe bazy danych osobowych należy również pamiętać o rozszerzonym obowiązku informacyjnym.
RODO a cookies
RODO nie zmieni nic jesli chodzi o dotychczasowa politykę cookies, jeśli ciasteczka nie sa wykorzystywane w sposób umożliwiający identyfikację konkretnych osób. W przypadku, gdy ciasteczka stosowane są w celach identyfikacji jednostek będa one traktowane jak każde przetwarzanie danych osobowych.
RODO a profilowanie
Profilowanie, czyli działania grupujące użytkowników e-commerce w celu dobierania lepszej oferty dla nich jest również tematem podlegającym zmianie w świetle RODO. Do 25 maja 2018 użytkownicy nie musieli być informowani o profilowaniu. Wraz z wejściem w życie przepisów RODO nie tylko sklepy będą musiały zamieszczać stosowną informację o prowadzonych działaniach, ale dodatkowo zostaną zmuszone na danie użytkownikom możliwości niewyrażenia zgody na profilowanie.
RODO a obowiązek informacyjny
RODO wprowadza kilka zmian i wymogów, których należy bezwzględnie przestrzegać zbierając i przetwarzając dane osobowe.
Między innymi istnieje obowiązek każdorazowego poinformowania użytkowników o:
- danych kontaktowych właściciela
- celu przetwarzania pozyskanych danych, który nie może być rozszerzony po czasie wyrażenia zgody (każdy cel powinien posiadać możliwość osobnego wyrażenia zgody)
- podstawie prawnej do przetwarzania danych
- jeśli taki występuje, zamiar przekazania danych innemu podmiotowi
- czasie przechowywania danych (po stronie administratora danych leży obowiązek określenia czasu przechowywania – na podstawie celów ich przetwarzania)
- prawie odbiorców do:
- wglądu do danych
- edycji danych lub ich usunięcia z bazy
- wycofania zgody na przetwarzanie
- przeniesienia danych
- wniesienia skargi
Kary za nieprzestrzeganie RODO
Kary za nieprzestrzeganie rozporządzenia wynoszą 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego i mogą sięgnąć nawet górnej granicy 20’000’000 EUR. Są to kwoty określone jako maksymalne, lecz faktyczne kary będą proporcjonalne do przewinienia
RODO a potrzeba zbierania danych
RODO kładzie silny nacisk na zasadę Privacy by default, którą można interpretować, jako wymóg zbierania jedynie tych danych, które są nam potrzebne do spełnienia określonego celu. Na przykład jeśli zbieramy adresy email osób zapisywanych do newslettera nie ma potrzeby pytania o adres zamieszkania. Innymi słowy nie powinniśmy wymagać od użytkowników podania niepotrzebnych danych “na zapas”.
Jeśli istnieje potrzeba zbierania dodatkowych danych przy okazji np. zapisu na newsletter należy w takim formularzu umieścić informacje o dodatkowym celu pozyskiwania danych wraz z możliwością wyrażenia zgody na przetwarzanie danych osobowych.
RODO a zgody na przetwarzanie danych
Do momentu wprowadzenia RODO czasami użytkownicy spotykali się z sytuacją, gdzie za pomocą zaznaczenia jednego checkboxu wyrażali zgodę na przetwarzanie danych osobowych do kilku różnych celów. RODO reguluje tą kwestię i wymusza wyrażanie osobnej zgody na każdy z celów. Przykładowo potrzebna jest osobna zgoda na przetwarzanie w celu realizacji zamówienia, marketingowym czy udostępnienia innemu podmiotowi.
RODO a GIODO
RODO nie wymaga zgłaszania baz danych do GIODO i od 25 maja 2018 roku taki obowiązek zostanie zniesiony. Jednakże zbiór danych osobowych muszą zgłaszać firmy przetwarzające te informacje na skalę masową. Co więcej firmy zostaną zmuszone do prowadzenia rejestru czynności przetwarzania we własnym zakresie, który będzie mówił o tym gdzie i w jakim celu dane klientów są przetwarzane.
Wyjątki RODO
RODO nie dotyczy:
- polityki cookies, jeśli ciasteczka nie umożliwiają identyfikacji konkretnych użytkowników
- dotychczasowe bazy danych, których zebranie odbywało się zgodnie z dotychczasowym prawem oraz marketingiem za przyzwoleniem.
- back-up’ów, których modyfikacja będzie zagrażała bezpieczeństwu lub prowadziła do wysokich kosztów
- danych osobowych podawanych w celu realizacji zamówienia – za te odpowiadają inne przepisy prawne
RODO a rejestr czynności przetwarzania
RODO wskazuje, aby w rejestrze czynności przetwarzania danych osobowych znalazły się takie informacje, jak:
- identyfikacja administratora
- cele przetwarzania
- kategorie osób i kategorie danych (np. dane dotyczące zdrowia posiadają dodatkowe wymogi prawne)
- o przekazywaniu danych poza UE, współpracy międzynarodowej ect.
- technicznych metodach zabezpieczania danych
- planowanym terminie usunięcia danych
RODO a prawa użytkowników
- Prawo do sprostowania
Użytkownik ma prawo żądania sprostowania danych, co wiąże się z edycją danych oraz wstrzymania przetwarzania na czas dokonania edycji - Prawo do bycia zapomnianym
Użytkownik ma prawo żądania usunięcia jego danych z bazy (nie tylko przetwarzania, ale i posiadania danych) - Prawo mobilności danych
Użytkownik ma prawo żądania udostępnienia danych w formacie umożliwiającym wprowadzenie do innego systemu RODO rekomenduje trzy formaty: XML, JSON lub CSV. - Prawo sprzeciwu
Użytkownik ma prawo nie wyrażenia zgody na przetwarzanie danych, jeśli dotyczy ono marketingu bezpośredniego
RODO a podmioty przetwarzające dane
Za każdym podmiotem przetwarzającym dane osobowe musi stać Inspektor Ochrony Danych, czyli osoba (pracownik lub zakontraktowany podmiot zewnętrzny) dbająca o bezpieczeństwo danych osobowych. Odpowiada za zgodność procedur z prawem, pełni rolę pierwszego kontaktu z użytkownikiem oraz raportuje potencjalne zagrożenia. Taką osobą może być zarówno wyznaczony pracownik jak i sam administrator.
Dodatkowo zadaniem Inspektora Ochrony Danych jest ciągła ewaluacja zagrożeń i ryzyka.
RODO a partnerzy biznesowi
Pamiętaj, że na administratorze spoczywa odpowiedzialność zarówno za siebie, jak i partnerów biznesowych. Najważniejszym krokiem do zabezpieczenia się będzie w tym przypadku sprawdzenie, czy kontrahenci są przystosowani do wymogów RODO. Zwróć uwagę również na partnerów spoza Unii Europejskiej. Sprawdź poziom ochrony danych osobowych i, w razie potrzeb dostosuj umowy tak aby egzekwowały narzucone minimum bezpieczeństwa.
RODO a rozliczalność
Administrator powinien umieć wykazać, że podejmowane przez niego środki ochrony baz danych osobowych są są zgodne z rozporządzeniem, oraz spełniają swoją funkcje.
Daty i liczby o których powinieneś wiedzieć
4 maj 2018 – opublikowanie regulacji GDPR (RODO)
25 maj 2018 – wejście w życie RODO na terenie EU
20 mln / 4% globalnych obrotów firmy – kary za niedopełnienie RODO
72 godziny – czas na zgłoszenie naruszenia bezpieczeństwa danych od momentu wykrycia (w Polsce instytucją do której należy to zgłosić jest GIODO)
Chcesz wiedzieć więcej? Zobacz również przewodnik po RODO Ministerstwa Przedsiębiorczości i Technologii
lub przeczytaj również Rodo dla E-commerce
Wszystkie przedstawione informacje służą wyłącznie do celów edukacujnych. Firma Projekt-Net nie bierze odpowiedzialności branej za błędy wynikające z interpretacji treści.
