LexDigital

10 najczęstszych błędów w myśleniu o RODO

Od 25 maja 2018 r. zacznie obowiązywać unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO), które zastąpi przepisy dotychczasowej ustawy o ochronie danych osobowych. Im mniej czasu pozostało na wdrożenie przepisów RODO, tym większe poczucie chaosu i dezinformacji. Pojawia się wiele wątpliwości i pytań, na które często brakuje rzeczowych odpowiedzi. Czym tak naprawdę jest RODO? Rozwiewamy największe mity dotyczące rozporządzenia.

10 najczęstszych błędów w myśleniu o RODO

RODO to tylko marketing, nikomu nie jest potrzebne

Obecne przepisy, regulujące kwestie ochrony danych osobowych pochodzą z czasów przed internetowych, w których nie istniały takie giganty jak Facebook i Google. Dziś większość naszej aktywności odbywa się w sieci, a handel naszymi danymi osobowymi jest paliwem współczesnej gospodarki.

RODO dostosowuje przepisy do obecnego świata. Reguluje nie tylko kwestie przetwarzania danych osobowych w internecie, ale także zabezpiecza takie nasze dane osobowe jak odcisk palca, skan twarzy czy źrenic (biometria), które coraz częściej wykorzystywane są jako hasło dostępu, a dotychczas nie podlegały pod ochronę danych osobowych.

Unia narzuca swoje prawa dotyczące ochrony danych osobowych

RODO zwane także GDPR (General Data Protection Regulation) to rozporządzenie unijne. Jego postanowieniom podlegają wszystkie kraje członkowskie oraz podmioty świadczące usługi na terenie Unii Europejskiej. Choć RODO ma zagwarantować zunifikowane prawo dotyczące ochrony danych osobowych w całej Unii, to wymaga od krajów członkowskich przygotowania własnych, krajowych ustaw, regulujących zasady wdrożenia przepisów do porządków państwowych. Pozwala to, każdemu państwu członkowskiemu przygotowania ustawy o ochronie danych osobowych, adekwatnej do sytuacji społecznej i gospodarczej.

RODO dotyczy wyłącznie korporacji

Przepisy nowego rozporządzenia dotyczą wszystkich, którzy gromadzą i przetwarzają dane osobowe. Nie jest istotna wielkość przedsiębiorstwa, ilość zatrudnionych osób. RODO wymaga od każdego przedsiębiorcy, aby zapewnił bezpieczeństwo przetwarzanych danych osobowych. Różnica w wielkości przedsiębiorstwa ma znaczenie na gruncie krajowym. Nowa ustawa o ochronie danych osobowych zakłada ulgi i zwolnienie z niektórych obowiązków firmy, które zatrudniają mniej niż 250 osób. Oznacza to, że małe i średnie przedsiębiorstwa muszą dostosować się do przepisów RODO, jednak w ich wypadku ilość nowych obowiązków zostanie ograniczona.

Zgodnie z najnowszym projektem ustawy o ochronie danych osobowych, małe i średnie firmy nie będą musiały m.in. podawać informacji o tym jak długo będą przetwarzać dane, będą zwolnione z realizacji praw żądania dostępu do danych, ich sprostowania czy usunięcia. Zwolnienia te będą obowiązywały wyłącznie w sytuacji, jeśli firmy nie gromadzą danych osobowych wrażliwych lub nie udostępniają ich innym podmiotom na podstawie innej niż zgoda osoby, której dane dotyczą.

RODO utrudni funkcjonowanie małych i średnich przedsiębiorstw

Wbrew obowiązującemu przekonaniu RODO nie utrudni prowadzenia przedsiębiorstw. Ze względu na swoją konstrukcję, nowe rozporządzenie nie narzuca gotowych rozwiązań, nie nakazuje wprowadzenia niedopasowanych, odgórnych założeń. Każde działanie ma wynikać z indywidualnej sytuacji firmy i jej potrzeb. Wprowadzone zabezpieczenia mają być adekwatne, czyli skutecznie zadbać o bezpieczeństwo informacji.

Dodatkowo należy pamiętać, że RODO obejmuje swoim zakresem wszystkie podmioty świadczące swoje usługi na terenie Unii. Oznacza to, że prawo zacznie obowiązywać także firmy z rynków zagranicznym np. USA. W związku z czym wielkie giganty z doliny krzemowej jak Facebook czy Google podlegają pod przepisy w takim samym stopniu jak każdy inny rodzimy przedsiębiorca.

Dopóki nie ma krajowej ustawy o ochronie danych osobowych, dopóty RODO nie obowiązuje

RODO zaczyna obowiązywać 25 maja. Data ta dotyczy wszystkich podmiotów w całej Unii Europejskiej, bez względu na lokalizację. Oczywiście, szczególnie małym i średnim przedsiębiorstwom jest trudniej, bo zapowiadane ulgi w krajowym porządku mogą ułatwić dostosowywanie swoich firm do wymogów rozporządzenia. Jednak ze względu na zasięg nowego europejskiego prawa, problemy gruntu krajowego są nieistotne względem daty rozpoczęcia obowiązywania RODO. Polska ustawa o ochronie danych osobowych jest w trakcie przygotowywania a przedstawiciele ministerstwa zapewniają, że będzie gotowa na czas.

RODO służy wyłącznie ściąganiu kasy od przedsiębiorców

Nie da się ukryć - kary finansowe jakie zakłada RODO są niebagatelne. Z przepisów rozporządzenia wynika, że przedsiębiorcom grożą nawet milionowe kary za niewłaściwe przetwarzanie danych osobowych. Dla wielu z nich to niewyobrażalne sumy. Prawdą jest również, że koszt jaki może ponieść osoba fizyczna, której dane trafią w niepowołane ręce może być o wiele wyższy. Kradzież tożsamości w celach majątkowych (zaciągnięcie kredytu, prowadzenie działalności gospodarczej w celu wyłudzenia zwrotu podatku, czy kradzież wypożyczonego samochodu) pociąga za sobą wiele przykrych konsekwencji, często nie z winy osoby, której dane dotyczą.

RODO reguluje kwestie równości względem prawa między przedsiębiorstwami a osobami fizycznymi. Przyznaje pakiet praw, dzięki którym każdy obywatel może świadomie zarządzać swoimi danymi osobowymi. To m.in. prawo wglądu do danych, prawo otrzymania kopii przetwarzanych danych osobowych, czy prawo do bycia zapomnianym - czyli całkowite usunięcie swoich danych osobowych ze źródeł administratora danych osobowych (ADO).

RODO pozwala przetwarzać dane tylko w oparciu o zgodę na przetwarzanie danych osobowych

Zgoda na przetwarzanie danych osobowych jest jedną z podstaw przetwarzania danych osobowych przewidzianych w RODO, ale nie jedyną. W ramach stosowania nowego prawa, firmy mogą zastosować inne podstawy prawne. Poza zgodą na przetwarzanie danych osobowych, kolejną możliwością jest np. prawnie uzasadniony interes administratora danych osobowych (ADO). Ta podstawa nie jest łatwa do zastosowania - wymaga odpowiedniego przemyślenia i dostosowania jej do świadczonych usług.  Dodatkowo wymaga odpowiedniego udokumentowania, przede wszystkim związanego z zapewnieniem, że ten sposób przetwarzania nie narusza praw osoby, której dane dotyczą.

Powstałe nieporozumienia dotyczące zgody na przetwarzanie danych związany jest z dwiema kwestiami. Po pierwsze wielu firmom łatwiej jest wykazać ważną zgodę na działania związane z przetwarzaniem danych niż wykazać np. uzasadniony interes. Po drugie, RODO wymaga wprowadzenia osobnych zgód na każde działanie w obrębie danych osobowych. Od 25 maja nie będzie można stosować zgód zbiorczych tzn. takich które w jednym zapisie wymagały wyrażenia zgody na realizację usługi, działań marketingowych oraz przekazania danych osobowych podmiotom trzecim.

Jeśli przekazuję innym firmom dane osobowe do przetwarzania, to mnie RODO nie dotyczy

Coraz częściej spotyka się sytuacje, w których wyspecjalizowane działania, związane z prowadzeniem działalności przekazywane są firmom zewnętrznym. Do najczęściej spotykanych należą usługi związane z księgowością, kadrami, rekrutacją obsługą prawną czy marketingiem. Według niektórych, w sytuacji gdy podmiot będący administratorem danych nie ma dostępu do nich, a powierza dane innym podmiotom, to nie musi wdrażać do swojej organizacji nowych zasad związanych z wejściem w życie RODO.

W rzeczywistości przepisy dotyczące obowiązków administratorów w tej kwestii są jasne.  W sytuacji przetwarzania danych osobowych przez podmioty zewnętrzne zachodzi konieczność przygotowania umów powierzenia przetwarzania danych osobowych, która legalizacje umożliwienie wykonawcy procesowania danych danych osobowych w imieniu administratora.

RODO zatrzyma rozwój rynku e-commerce

Dotychczasowe prawo w sposób niekompletny i nieprecyzyjny dotyczyło kwestii związanych z przetwarzaniem danych przez portale społecznościowe, serwisy z treściami czy e-commerce. RODO reguluje kwestie przetwarzania danych w internecie. W dużej mierze dotyczy to obowiązku informacyjnego nałożonego na wydawców i właścicieli e-sklepów. RODO nie zakazuje żadnych z dotychczas wykorzystywanych przez ten sektor działań. Po 25 maja, nadal można będzie korzystać z algorytmów automatyzujących ocenę i decyzję, ale tylko w usystematyzowany sposób. Profilowanie ma stać się jawne i zrozumiałe dla wszystkich.

Co więcej, nie każdy proces profilowania będzie wymagał uzyskania zgody. Ta będzie konieczna wyłącznie w sytuacji, gdy na podstawie automatycznej decyzji dochodzić będzie do wiążących skutków np. wysokość uzyskanego rabatu zależy będzie od zachowań użytkowników.

Wystarczy RODO wdrożyć i można o nim zapomnieć

Pokłosiem obecnego podejścia do ochrony danych osobowych, czyli przez wielu nieprzestrzegania właściwie martwego prawa, jest przeświadczenie, że RODO wystarczy wdrożyć. To znaczy dostosować treści zgód, zmienić regulamin świadczonych usług oraz napisać politykę bezpieczeństwa w oparciu o nowe wytyczne. Nic bardziej mylnego. RODO nakłada na przedsiębiorców obowiązek stałego monitorowania procesów związanych z przetwarzaniem danych osobowych w organizacji.

W tym celu należy prowadzić m.in. rejestr incydentów niezbędny podczas kontroli czy rejestr odbiorców, którym przekazuje dane niezwykle pomocny w sytuacji, gdy osoba której dane są przetwarzane skorzysta ze swojego prawa do bycia zapomnianym i złoży wniosek o usunięcie swoich danych ze zbiorów administratora.


Sprawdź również:

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.