10 najczęstszych błędów w myśleniu o RODO
Od 25 maja 2018 r. zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej ustawy o ochronie danych osobowych. Im mniej czasu pozostało na wdrożenie przepisów RODO, tym większe poczucie chaosu i dezinformacji. Pojawia się wiele wątpliwości i pytań, na które często brakuje rzeczowych odpowiedzi. Czym tak naprawdę jest RODO? Rozwiewamy największe mity dotyczące rozporządzenia.
RODO to tylko marketing, nikomu nie jest potrzebne
Obecne przepisy, regulujące kwestie ochrony danych osobowych pochodzą z czasów przed internetowych, w których nie istniały takie giganty jak Facebook i Google. Dziś większość naszej aktywności odbywa się w sieci, a handel naszymi danymi osobowymi jest paliwem współczesnej gospodarki.
RODO dostosowuje przepisy do obecnego świata. Reguluje nie tylko kwestie przetwarzania danych osobowych w internecie, ale także zabezpiecza takie nasze dane osobowe jak odcisk palca, skan twarzy czy źrenic (biometria), które coraz częściej wykorzystywane są jako hasło dostępu, a dotychczas nie podlegały pod ochronę danych osobowych.
Unia narzuca swoje prawa dotyczące ochrony danych osobowych
RODO zwane także GDPR (General Data Protection Regulation) to rozporządzenie unijne. Jego postanowieniom podlegają wszystkie kraje członkowskie oraz podmioty świadczące usługi na terenie Unii Europejskiej. Choć RODO ma zagwarantować zunifikowane prawo dotyczące ochrony danych osobowych w całej Unii, to wymaga od krajów członkowskich przygotowania własnych, krajowych ustaw, regulujących zasady wdrożenia przepisów do porządków państwowych. Pozwala to, każdemu państwu członkowskiemu przygotowania ustawy o ochronie danych osobowych, adekwatnej do sytuacji społecznej i gospodarczej.
RODO dotyczy wyłącznie korporacji
Przepisy nowego rozporządzenia dotyczą wszystkich, którzy gromadzą i przetwarzają dane osobowe. Nie jest istotna wielkość przedsiębiorstwa, ilość zatrudnionych osób. RODO wymaga od każdego przedsiębiorcy, aby zapewnił bezpieczeństwo przetwarzanych danych osobowych. Różnica w wielkości przedsiębiorstwa ma znaczenie na gruncie krajowym. Nowa ustawa o ochronie danych osobowych zakłada ulgi i zwolnienie z niektórych obowiązków firmy, które zatrudniają mniej niż 250 osób. Oznacza to, że małe i średnie przedsiębiorstwa muszą dostosować się do przepisów RODO, jednak w ich wypadku ilość nowych obowiązków zostanie ograniczona.
Zgodnie z najnowszym projektem ustawy o ochronie danych osobowych, małe i średnie firmy nie będą musiały m.in. podawać informacji o tym jak długo będą przetwarzać dane, będą zwolnione z realizacji praw żądania dostępu do danych, ich sprostowania czy usunięcia. Zwolnienia te będą obowiązywały wyłącznie w sytuacji, jeśli firmy nie gromadzą danych osobowych wrażliwych lub nie udostępniają ich innym podmiotom na podstawie innej niż zgoda osoby, której dane dotyczą.
RODO utrudni funkcjonowanie małych i średnich przedsiębiorstw
Wbrew obowiązującemu przekonaniu RODO nie utrudni prowadzenia przedsiębiorstw. Ze względu na swoją konstrukcję, nowe rozporządzenie nie narzuca gotowych rozwiązań, nie nakazuje wprowadzenia niedopasowanych, odgórnych założeń. Każde działanie ma wynikać z indywidualnej sytuacji firmy i jej potrzeb. Wprowadzone zabezpieczenia mają być adekwatne, czyli skutecznie zadbać o bezpieczeństwo informacji.
Dodatkowo należy pamiętać, że RODO obejmuje swoim zakresem wszystkie podmioty świadczące swoje usługi na terenie Unii. Oznacza to, że prawo zacznie obowiązywać także firmy z rynków zagranicznym np. USA. W związku z czym wielkie giganty z doliny krzemowej jak Facebook czy Google podlegają pod przepisy w takim samym stopniu jak każdy inny rodzimy przedsiębiorca.
Dopóki nie ma krajowej ustawy o ochronie danych osobowych, dopóty RODO nie obowiązuje
RODO zaczyna obowiązywać 25 maja. Data ta dotyczy wszystkich podmiotów w całej Unii Europejskiej, bez względu na lokalizację. Oczywiście, szczególnie małym i średnim przedsiębiorstwom jest trudniej, bo zapowiadane ulgi w krajowym porządku mogą ułatwić dostosowywanie swoich firm do wymogów rozporządzenia. Jednak ze względu na zasięg nowego europejskiego prawa, problemy gruntu krajowego są nieistotne względem daty rozpoczęcia obowiązywania RODO. Polska ustawa o ochronie danych osobowych jest w trakcie przygotowywania a przedstawiciele ministerstwa zapewniają, że będzie gotowa na czas.
RODO służy wyłącznie ściąganiu kasy od przedsiębiorców
Nie da się ukryć - kary finansowe jakie zakłada RODO są niebagatelne. Z przepisów rozporządzenia wynika, że przedsiębiorcom grożą nawet milionowe kary za niewłaściwe przetwarzanie danych osobowych. Dla wielu z nich to niewyobrażalne sumy. Prawdą jest również, że koszt jaki może ponieść osoba fizyczna, której dane trafią w niepowołane ręce może być o wiele wyższy. Kradzież tożsamości w celach majątkowych (zaciągnięcie kredytu, prowadzenie działalności gospodarczej w celu wyłudzenia zwrotu podatku, czy kradzież wypożyczonego samochodu) pociąga za sobą wiele przykrych konsekwencji, często nie z winy osoby, której dane dotyczą.
RODO reguluje kwestie równości względem prawa między przedsiębiorstwami a osobami fizycznymi. Przyznaje pakiet praw, dzięki którym każdy obywatel może świadomie zarządzać swoimi danymi osobowymi. To m.in. prawo wglądu do danych, prawo otrzymania kopii przetwarzanych danych osobowych, czy prawo do bycia zapomnianym - czyli całkowite usunięcie swoich danych osobowych ze źródeł administratora danych osobowych (ADO).
RODO pozwala przetwarzać dane tylko w oparciu o zgodę na przetwarzanie danych osobowych
Zgoda na przetwarzanie danych osobowych jest jedną z podstaw przetwarzania danych osobowych przewidzianych w RODO, ale nie jedyną. W ramach stosowania nowego prawa, firmy mogą zastosować inne podstawy prawne. Poza zgodą na przetwarzanie danych osobowych, kolejną możliwością jest np. prawnie uzasadniony interes administratora danych osobowych (ADO). Ta podstawa nie jest łatwa do zastosowania - wymaga odpowiedniego przemyślenia i dostosowania jej do świadczonych usług. Dodatkowo wymaga odpowiedniego udokumentowania, przede wszystkim związanego z zapewnieniem, że ten sposób przetwarzania nie narusza praw osoby, której dane dotyczą.
Powstałe nieporozumienia dotyczące zgody na przetwarzanie danych związany jest z dwiema kwestiami. Po pierwsze wielu firmom łatwiej jest wykazać ważną zgodę na działania związane z przetwarzaniem danych niż wykazać np. uzasadniony interes. Po drugie, RODO wymaga wprowadzenia osobnych zgód na każde działanie w obrębie danych osobowych. Od 25 maja nie będzie można stosować zgód zbiorczych tzn. takich które w jednym zapisie wymagały wyrażenia zgody na realizację usługi, działań marketingowych oraz przekazania danych osobowych podmiotom trzecim.
Jeśli przekazuję innym firmom dane osobowe do przetwarzania, to mnie RODO nie dotyczy
Coraz częściej spotyka się sytuacje, w których wyspecjalizowane działania, związane z prowadzeniem działalności przekazywane są firmom zewnętrznym. Do najczęściej spotykanych należą usługi związane z księgowością, kadrami, rekrutacją obsługą prawną czy marketingiem. Według niektórych, w sytuacji gdy podmiot będący administratorem danych nie ma dostępu do nich, a powierza dane innym podmiotom, to nie musi wdrażać do swojej organizacji nowych zasad związanych z wejściem w życie RODO.
W rzeczywistości przepisy dotyczące obowiązków administratorów w tej kwestii są jasne. W sytuacji przetwarzania danych osobowych przez podmioty zewnętrzne zachodzi konieczność przygotowania umów powierzenia przetwarzania danych osobowych, która legalizacje umożliwienie wykonawcy procesowania danych danych osobowych w imieniu administratora.
Kradzież danych osobowych w internecie
RODO zatrzyma rozwój rynku e-commerce
Dotychczasowe prawo w sposób niekompletny i nieprecyzyjny dotyczyło kwestii związanych z przetwarzaniem danych przez portale społecznościowe, serwisy z treściami czy e-commerce. RODO reguluje kwestie przetwarzania danych w internecie. W dużej mierze dotyczy to obowiązku informacyjnego nałożonego na wydawców i właścicieli e-sklepów. RODO nie zakazuje żadnych z dotychczas wykorzystywanych przez ten sektor działań. Po 25 maja, nadal można będzie korzystać z algorytmów automatyzujących ocenę i decyzję, ale tylko w usystematyzowany sposób. Profilowanie ma stać się jawne i zrozumiałe dla wszystkich.
Co więcej, nie każdy proces profilowania będzie wymagał uzyskania zgody. Ta będzie konieczna wyłącznie w sytuacji, gdy na podstawie automatycznej decyzji dochodzić będzie do wiążących skutków np. wysokość uzyskanego rabatu zależy będzie od zachowań użytkowników.
Wystarczy RODO wdrożyć i można o nim zapomnieć
Pokłosiem obecnego podejścia do ochrony danych osobowych, czyli przez wielu nieprzestrzegania właściwie martwego prawa, jest przeświadczenie, że RODO wystarczy wdrożyć. To znaczy dostosować treści zgód, zmienić regulamin świadczonych usług oraz napisać politykę bezpieczeństwa w oparciu o nowe wytyczne. Nic bardziej mylnego. RODO nakłada na przedsiębiorców obowiązek stałego monitorowania procesów związanych z przetwarzaniem danych osobowych w organizacji.
W tym celu należy prowadzić m.in. rejestr incydentów niezbędny podczas kontroli czy rejestr odbiorców, którym przekazuje dane niezwykle pomocny w sytuacji, gdy osoba której dane są przetwarzane skorzysta ze swojego prawa do bycia zapomnianym i złoży wniosek o usunięcie swoich danych ze zbiorów administratora.
Sprawdź również: