LexDigital

10 najczęstszych błędów w myśleniu o RODO

Od 25 maja 2018 r. zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej ustawy o ochronie danych osobowych. Im mniej czasu pozostało na wdrożenie przepisów RODO, tym większe poczucie chaosu i dezinformacji. Pojawia się wiele wątpliwości i pytań, na które często brakuje rzeczowych odpowiedzi. Czym tak naprawdę jest RODO? Rozwiewamy największe mity dotyczące rozporządzenia.

10 najczęstszych błędów w myśleniu o RODO

RODO to tylko marketing, nikomu nie jest potrzebne

Obecne przepisy, regulujące kwestie ochrony danych osobowych pochodzą z czasów przed internetowych, w których nie istniały takie giganty jak Facebook i Google. Dziś większość naszej aktywności odbywa się w sieci, a handel naszymi danymi osobowymi jest paliwem współczesnej gospodarki.

RODO dostosowuje przepisy do obecnego świata. Reguluje nie tylko kwestie przetwarzania danych osobowych w internecie, ale także zabezpiecza takie nasze dane osobowe jak odcisk palca, skan twarzy czy źrenic (biometria), które coraz częściej wykorzystywane są jako hasło dostępu, a dotychczas nie podlegały pod ochronę danych osobowych.

Unia narzuca swoje prawa dotyczące ochrony danych osobowych

RODO zwane także GDPR (General Data Protection Regulation) to rozporządzenie unijne. Jego postanowieniom podlegają wszystkie kraje członkowskie oraz podmioty świadczące usługi na terenie Unii Europejskiej. Choć RODO ma zagwarantować zunifikowane prawo dotyczące ochrony danych osobowych w całej Unii, to wymaga od krajów członkowskich przygotowania własnych, krajowych ustaw, regulujących zasady wdrożenia przepisów do porządków państwowych. Pozwala to, każdemu państwu członkowskiemu przygotowania ustawy o ochronie danych osobowych, adekwatnej do sytuacji społecznej i gospodarczej.

RODO dotyczy wyłącznie korporacji

Przepisy nowego rozporządzenia dotyczą wszystkich, którzy gromadzą i przetwarzają dane osobowe. Nie jest istotna wielkość przedsiębiorstwa, ilość zatrudnionych osób. RODO wymaga od każdego przedsiębiorcy, aby zapewnił bezpieczeństwo przetwarzanych danych osobowych. Różnica w wielkości przedsiębiorstwa ma znaczenie na gruncie krajowym. Nowa ustawa o ochronie danych osobowych zakłada ulgi i zwolnienie z niektórych obowiązków firmy, które zatrudniają mniej niż 250 osób. Oznacza to, że małe i średnie przedsiębiorstwa muszą dostosować się do przepisów RODO, jednak w ich wypadku ilość nowych obowiązków zostanie ograniczona.

Zgodnie z najnowszym projektem ustawy o ochronie danych osobowych, małe i średnie firmy nie będą musiały m.in. podawać informacji o tym jak długo będą przetwarzać dane, będą zwolnione z realizacji praw żądania dostępu do danych, ich sprostowania czy usunięcia. Zwolnienia te będą obowiązywały wyłącznie w sytuacji, jeśli firmy nie gromadzą danych osobowych wrażliwych lub nie udostępniają ich innym podmiotom na podstawie innej niż zgoda osoby, której dane dotyczą.

RODO utrudni funkcjonowanie małych i średnich przedsiębiorstw

Wbrew obowiązującemu przekonaniu RODO nie utrudni prowadzenia przedsiębiorstw. Ze względu na swoją konstrukcję, nowe rozporządzenie nie narzuca gotowych rozwiązań, nie nakazuje wprowadzenia niedopasowanych, odgórnych założeń. Każde działanie ma wynikać z indywidualnej sytuacji firmy i jej potrzeb. Wprowadzone zabezpieczenia mają być adekwatne, czyli skutecznie zadbać o bezpieczeństwo informacji.

Dodatkowo należy pamiętać, że RODO obejmuje swoim zakresem wszystkie podmioty świadczące swoje usługi na terenie Unii. Oznacza to, że prawo zacznie obowiązywać także firmy z rynków zagranicznym np. USA. W związku z czym wielkie giganty z doliny krzemowej jak Facebook czy Google podlegają pod przepisy w takim samym stopniu jak każdy inny rodzimy przedsiębiorca.

Dopóki nie ma krajowej ustawy o ochronie danych osobowych, dopóty RODO nie obowiązuje

RODO zaczyna obowiązywać 25 maja. Data ta dotyczy wszystkich podmiotów w całej Unii Europejskiej, bez względu na lokalizację. Oczywiście, szczególnie małym i średnim przedsiębiorstwom jest trudniej, bo zapowiadane ulgi w krajowym porządku mogą ułatwić dostosowywanie swoich firm do wymogów rozporządzenia. Jednak ze względu na zasięg nowego europejskiego prawa, problemy gruntu krajowego są nieistotne względem daty rozpoczęcia obowiązywania RODO. Polska ustawa o ochronie danych osobowych jest w trakcie przygotowywania a przedstawiciele ministerstwa zapewniają, że będzie gotowa na czas.

RODO służy wyłącznie ściąganiu kasy od przedsiębiorców

Nie da się ukryć - kary finansowe jakie zakłada RODO są niebagatelne. Z przepisów rozporządzenia wynika, że przedsiębiorcom grożą nawet milionowe kary za niewłaściwe przetwarzanie danych osobowych. Dla wielu z nich to niewyobrażalne sumy. Prawdą jest również, że koszt jaki może ponieść osoba fizyczna, której dane trafią w niepowołane ręce może być o wiele wyższy. Kradzież tożsamości w celach majątkowych (zaciągnięcie kredytu, prowadzenie działalności gospodarczej w celu wyłudzenia zwrotu podatku, czy kradzież wypożyczonego samochodu) pociąga za sobą wiele przykrych konsekwencji, często nie z winy osoby, której dane dotyczą.

RODO reguluje kwestie równości względem prawa między przedsiębiorstwami a osobami fizycznymi. Przyznaje pakiet praw, dzięki którym każdy obywatel może świadomie zarządzać swoimi danymi osobowymi. To m.in. prawo wglądu do danych, prawo otrzymania kopii przetwarzanych danych osobowych, czy prawo do bycia zapomnianym - czyli całkowite usunięcie swoich danych osobowych ze źródeł administratora danych osobowych (ADO).

RODO pozwala przetwarzać dane tylko w oparciu o zgodę na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych jest jedną z podstaw przetwarzania danych osobowych przewidzianych w RODO, ale nie jedyną. W ramach stosowania nowego prawa, firmy mogą zastosować inne podstawy prawne. Poza zgodą na przetwarzanie danych osobowych, kolejną możliwością jest np. prawnie uzasadniony interes administratora danych osobowych (ADO). Ta podstawa nie jest łatwa do zastosowania - wymaga odpowiedniego przemyślenia i dostosowania jej do świadczonych usług.  Dodatkowo wymaga odpowiedniego udokumentowania, przede wszystkim związanego z zapewnieniem, że ten sposób przetwarzania nie narusza praw osoby, której dane dotyczą.

Powstałe nieporozumienia dotyczące zgody na przetwarzanie danych związany jest z dwiema kwestiami. Po pierwsze wielu firmom łatwiej jest wykazać ważną zgodę na działania związane z przetwarzaniem danych niż wykazać np. uzasadniony interes. Po drugie, RODO wymaga wprowadzenia osobnych zgód na każde działanie w obrębie danych osobowych. Od 25 maja nie będzie można stosować zgód zbiorczych tzn. takich które w jednym zapisie wymagały wyrażenia zgody na realizację usługi, działań marketingowych oraz przekazania danych osobowych podmiotom trzecim.

Jeśli przekazuję innym firmom dane osobowe do przetwarzania, to mnie RODO nie dotyczy

Coraz częściej spotyka się sytuacje, w których wyspecjalizowane działania, związane z prowadzeniem działalności przekazywane są firmom zewnętrznym. Do najczęściej spotykanych należą usługi związane z księgowością, kadrami, rekrutacją obsługą prawną czy marketingiem. Według niektórych, w sytuacji gdy podmiot będący administratorem danych nie ma dostępu do nich, a powierza dane innym podmiotom, to nie musi wdrażać do swojej organizacji nowych zasad związanych z wejściem w życie RODO.

W rzeczywistości przepisy dotyczące obowiązków administratorów w tej kwestii są jasne.  W sytuacji przetwarzania danych osobowych przez podmioty zewnętrzne zachodzi konieczność przygotowania umów powierzenia przetwarzania danych osobowych, która legalizacje umożliwienie wykonawcy procesowania danych danych osobowych w imieniu administratora.

RODO zatrzyma rozwój rynku e-commerce

Dotychczasowe prawo w sposób niekompletny i nieprecyzyjny dotyczyło kwestii związanych z przetwarzaniem danych przez portale społecznościowe, serwisy z treściami czy e-commerce. RODO reguluje kwestie przetwarzania danych w internecie. W dużej mierze dotyczy to obowiązku informacyjnego nałożonego na wydawców i właścicieli e-sklepów. RODO nie zakazuje żadnych z dotychczas wykorzystywanych przez ten sektor działań. Po 25 maja, nadal można będzie korzystać z algorytmów automatyzujących ocenę i decyzję, ale tylko w usystematyzowany sposób. Profilowanie ma stać się jawne i zrozumiałe dla wszystkich.

Co więcej, nie każdy proces profilowania będzie wymagał uzyskania zgody. Ta będzie konieczna wyłącznie w sytuacji, gdy na podstawie automatycznej decyzji dochodzić będzie do wiążących skutków np. wysokość uzyskanego rabatu zależy będzie od zachowań użytkowników.

Wystarczy RODO wdrożyć i można o nim zapomnieć

Pokłosiem obecnego podejścia do ochrony danych osobowych, czyli przez wielu nieprzestrzegania właściwie martwego prawa, jest przeświadczenie, że RODO wystarczy wdrożyć. To znaczy dostosować treści zgód, zmienić regulamin świadczonych usług oraz napisać politykę bezpieczeństwa w oparciu o nowe wytyczne. Nic bardziej mylnego. RODO nakłada na przedsiębiorców obowiązek stałego monitorowania procesów związanych z przetwarzaniem danych osobowych w organizacji.

W tym celu należy prowadzić m.in. rejestr incydentów niezbędny podczas kontroli czy rejestr odbiorców, którym przekazuje dane niezwykle pomocny w sytuacji, gdy osoba której dane są przetwarzane skorzysta ze swojego prawa do bycia zapomnianym i złoży wniosek o usunięcie swoich danych ze zbiorów administratora.


Sprawdź również:

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.