LexDigital

RODO - prawo o ochronie danych osobowych dla przedsiębiorców

Nowe prawo o ochronie danych osobowych jest przełomem dla obywateli - każda osoba fizyczna będzie miała pełną kontrolę nad swoimi danymi osobowymi. Rodzi to nowe obowiązki dla przedsiębiorców. Poniżej przedstawiamy te z nich, które z praktycznego punktu widzenia, wymagają największych zmian w dotychczasowych systemach ochrony.

RODO - prawo o ochronie danych osobowych dla przedsiębiorców

RODO, czyli nowe rozporządzenie o ochronie danych osobowych, od 25 maja tego roku będzie obowiązywało na terenie całej Unii Europejskiej. Dotyczy ono wszystkich obywateli - nie tylko tych, którzy prowadzą działalność gospodarczą i przetwarzają dane w celach zarobkowych, ale co bardzo istotne - każdej osoby fizycznej, której zagwarantowana ma być daleko idąca ochrona prywatności. 

Od dnia wejścia w życie nowego rozporządzenia, każdy obywatel zyskuje pakiet praw, z których może korzystać w celu świadomego zarządzania swoimi danymi osobowymi. Tym samym, nakłada to na przedsiębiorców nowe obowiązki związane z wypełnianiem postanowień rozporządzenia. Wprawdzie część praw, o których mówi RODO pokrywa się z wcześniejszymi regulacjami ustawy o ochronie danych osobowych, ale zmiana prawa również dla nich, określa bardziej rygorystyczne ramy czasowe, czyni korzystanie z nich z zasady wolnym od opłat oraz dostarcza lepszych narzędzi do karania ewentualnych błędów przy ich realizacji przez przedsiębiorców.

Prawo dostępu do danych osobowych

Jednym z praw osób fizycznych jest prawo dostępu do danych osobowych. Każda osoba, której dane dotyczą, ma prawo wystąpienia z wnioskiem do administratora danych, w celu uzyskania informacji czy jej dane osobowe są przetwarzane. Jeśli tak, może wystąpić z prośbą o udostępnienie jej m.in. informacji o celu przetwarzania danych osobowych, oraz o kategoriach przetwarzanych danych (np. imię i nazwisko, numer telefonu, numer PESEL). Oczywiście, przy okazji udzielania informacji o kategoriach procesowanych danych, administrator musi wyjaśnić, czy dochodzi do przetwarzania tzw. szczególnych kategorii danych, a więc dawnych danych wrażliwych.

Czym są dane osobowe wrażliwe, a dane osobowe zwykłe? Przeczytaj.

W ramach prawa dostępu do swoich danych, obywatel ma również być informowany o odbiorcach danych, a więc podmiotach, którym dane zostaną udostępnione oraz powierzone do przetwarzania. To znaczna zmiana, bowiem dawniej administratorzy musieli zawiadamiać wyłącznie o tych, którym dane udostępnią (a więc innych administratorach, którzy pozyskują dane i realizują z ich pomocą własne cele). Obecnie informacja musi zostać rozszerzona o firmy współpracujące, które realizują przetwarzanie w imieniu przedsiębiorcy.

Zmiana ta ma adresować częsty problem, do którego dochodzi gdy firma posiadająca zobowiązania względem konsumenta umożliwia dostęp do jego danych swoim partnerom (powiedzmy producent urządzeń zleca uruchomienie tych urządzeń u klienta końcowego firmie zewnętrznej i w związku z tym przekazuje dane osobowe). Nierzadko osoba fizyczna stawała przed trudnym wyborem, czy wpuścić do domu pracowników nieznanego podmiotu na podstawie samej tylko deklaracji współpracy z producentem zakupionego produktu. Po 25 maja każdy administrator ma umożliwić dostęp do listy swoich wykonawców aby oszczędzić konsumentowi nerwów i wątpliwości.

Od maja, każda osoba będzie mogła również zażądać udostępnienia wszelkich dostępnych informacji na temat źródła pozyskania danych osobowych - dotyczy to sytuacji, w której dana osoba samodzielnie nie udostępniła swoich danych podmiotowi, który je przetwarza np. zostały one zakupione w bazie danych albo zostały podane innej firmie, powiedzmy dystrybutorowi marki

Jakie obowiązki nakłada to na przedsiębiorców? Przede wszystkim wymaga przygotowania odpowiedniej procedury przekazania danych zainteresowanym. Procedura taka musi gwarantować skuteczne przeszukanie wszystkich baz i systemów aby nie pominąć informacji zbieranych w innych okolicznościach. Chodzi między innymi o powiązanie informacji dostępnych w systemie służącym do gromadzenia danych o klientach z informacjami zebranymi w związku z uczestnictwem danej osoby w szkoleniu albo zapisaniem się na newsletter.. Każdy administrator musi najpóźniej w terminie 1 miesiąca udzielić odpowiedzi na zapytanie o dostęp do danych. Może ona zostać przesłana  w formie elektronicznej (o ile wnioskodawca nie zaznaczy inaczej).

Obowiązkiem przedsiębiorcy będzie również zawiadomić, którzy z powyższych odbiorców działają poza Europejskim Obszarem Gospodarczym (wskazać należy również organizacje międzynarodowe). Chodzi tutaj o umożliwienie klientowi przeanalizowania ryzyka związanego z faktem przekazywania jego danych do państw, w których prawo w innym zakresie chroni prywatność osób.

Kolejnym kłopotliwym zagadnieniem jest ocena, jak długo dane będą przetwarzane. Wiele firm do tej pory nie usuwa danych historycznie zebranych wychodząc z założenia, że mogą być pomocne w przyszłości. W związku z RODO taka praktyka wymaga ponownego przemyślenia. Oczywiście nie ma obowiązku usuwania danych niezwłocznie, ale to administrator musi być wstanie wykazać niezbędność dalszego przechowywania informacji.

Należy również podkreślić, że znacznym wyzwaniem jest identyfikacja osoby, która stara się skorzystać z prawa dostępu do danych. Wyobraźmy sobie następujący scenariusz: w dużej firmie, gdzie nie wszyscy dobrze się znają, do Inspektora Ochrony Danych dzwoni osoba podając się za klienta. Prosi o przekazanie mu informacji na swój temat. W rzeczywistości jest to jednak konkurent, który chce dowiedzieć się możliwie dużo o przedsiębiorcy, z którym rywalizuje. Dzwoniący zna oczywiście podstawowe dane tego, za kogo się podaje, a więc  ryzyko, że wprowadzi w błąd rozmówcę jest realne.

Biorąc pod uwagę, że wiele firm bada wiarygodność finansową i powiązania własnych klientów, nowe prawo może posłużyć do złych celów, a administratorzy, mając tego świadomość, muszą przygotować skuteczne mechanizmy zdalnej weryfikacji tożsamości rozmówców i zachować czujność.

Zgoda na profilowanie

Z prawem dostępu do danych nieodłącznie związana jest kwestia profilowania - czyli wykorzystywania danych osobowych do podejmowania zautomatyzowanych decyzji. Każdy wnioskodawca ma prawo uzyskać informację nie tylko o jego przetwarzanych danych w danym procesie, ale również informację dotyczącą zasad podejmowania zautomatyzowanychdecyzji na podstawie zebranych danych, w tym także przewidywane konsekwencje takiego przetwarzania dla osoby, której dane dotyczą.

Zbieranie szczegółowych informacji na temat konsumentów i dopasowywanie oferty do konkretnej osoby wpływa na efektywność wielu biznesów. Z profilowania w dużej mierze korzysta branża e-commerce, gdzie w oparciu o dotychczasowe zakupy, dokonywana jest kategoryzacja klientów. Można założyć, że takie działanie przynosi obopólne korzyści - konsument otrzymuje dopasowane do swoich preferencji oferty, przedsiębiorca zwiększa zysk. 

Temat jest stosunkowo prosty jeżeli w rezultacie automatycznej oceny preferencji, zmienia się sposób prezentacji oferty przedsiębiorcy (powiedzmy przez wskazanie w pierwszej kolejności produktów dostosowanych do wyliczonych oczekiwań klienta). Jeżeli jednak, w wyniku profilowania, dochodzi do zmiany oferty albo warunków finansowych, np. dochodzi do odrzucenia rezerwacji hotelowej jeżeli algorytm stwierdzi, że klient posiada dzieci w określonym wieku, dochodzi do tzw. “profilowania twardego”, które może się odbywać wyłącznie na podstawie wyraźnej zgody.

RODO nie delegalizuje jednak takiego przetwarzania. Po 25 maja, nadal można będzie korzystać z algorytmów automatyzujących ocenę i decyzję, ale tylko w usystematyzowany sposób. Profilowanie ma stać się jawne i zrozumiałe dla wszystkich. Przedsiębiorcy, którym zależy na zachowaniu tych funkcjonalności, powinni przeprowadzić audyt procesów przetwarzania danych osobowych, aby upewnić się czy są zgodne z RODO. Konieczne również jest wprowadzenie mechanizmu wyrażania zgody (może to być checkbox pod formularzem lub mail z informacją) oraz ustalenie celów profilowania i poinformowania o nich konsumentów. 

Znacznym wyzwaniem może być również przedstawienie osobie zainteresowanej kategorii przetwarzanych na jej temat danych. Nierzadko profilowanie odbywa się poprzez śledzenie ciągów przyczynowo skutkowych (zdarzeń), których złożoność potrafi być bardzo duża. 

Bywa również, że wiedza o tym, jak profilowanie faktycznie zachodzi, stanowi ściśle chronioną informację firmy (powiedzmy w sektorze ubezpieczeń, jak również, choć w mniejszym stopniu, przy ustalaniu warunków kredytów kupieckich w firmach handlowych). W takich przypadkach administrator musi przygotować czytelny i jednoznaczny opis, który z jednej strony pozwoli mu wejść w komunikację z osobami, których dane przetwarza, a z drugiej, przez odpowiedni poziom ogólności, nie narazi poufności tajemnicy przedsiębiorstwa.

Następnym niezbędnym elementem legalnego profilowania jest zagwarantowanie możliwości odwołania się od zautomatyzowanej decyzji. Element ten wymaga zarówno zapewnienia dostępności osoby posiadającej dostateczne uprawnienia oraz kanału komunikacji z nią, jak również technologicznej możliwości wprowadzenia do systemu wyniku decyzji podjętej przez tą osobę.

Prawo do bycia zapomnianym

W świetle nowego prawa, każda osoba, której dane są przetwarzane, może zażądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek zastosować się do jej żądania, bez zbędnej zwłoki. Prawo do usunięcia danych, czyli prawo do bycia zapomnianym jest wiążące w kilku przypadkach, opisanych w rozporządzeniu.

Osoba, której dane dotyczą ma prawo żądać, aby jej dane zostały niezwłocznie usunięte, m.in. gdy nie są one już potrzebne do celów, w których były przetwarzane np. gdy zostały zebrane na potrzeby rekrutacji, która dobiegła końca. Dotyczy to również sytuacji wycofania zgody np. w celu otrzymywania ofert o charakterze marketingowym, a także, gdy dane są przetwarzane bez podstawy prawnej np. w przypadku rezygnacji z korzystania z usługi, której regulamin do tej pory taką podstawę stanowił. Ważne, że wystarczy jedna ze wspomnianym w RODO przesłanek, aby móc z powyższego prawa skorzystać.

Prawo w tej sytuacji, wymaga od przedsiębiorcy trwałego usunięcia danych. Oznacza to, że należy zmodyfikować je w taki sposób, aby odtworzenie ich w przyszłości było niemożliwe. Dodatkowo, jeśli dane kiedykolwiek zostały upublicznione należy usunąć wszystkie łącza, a w sytuacji przekazania ich innym podmiotom, nowi administratorzy również są zobowiązani do usunięcia wszelkich kopii (ten przedsiębiorca, który otrzymał wniosek, musi ich zawiadomić).

Aby móc w pełni wykonać swoje obowiązki, każdy przedsiębiorca powinien prowadzić rejestr odbiorców, którym dane udostępnia. Bieżące prowadzenie takiego zbioru, zdecydowanie przyspieszy proces usuwania danych oraz pozwoli uniknąć błędu.

Znaczną operacyjną trudnością jest konieczność usuwania informacji ze skrzynek pocztowych. Wyzwanie stanowi także skuteczne uniemożliwianie odtworzenia danych przechowywanych z wykorzystaniem chmur obliczeniowych. Należy pamiętać, że prawo to dotyczy wszystkich form, w jakich zbierane są dane - nie tylko formy elektronicznej. Mowa tu również o wszystkich dokumentach, na których widnieją dane i wszelkich wydrukach, które jeśli zawierają dane osobowe, to podlegają ochronie, a w tym wypadku usunięciu. 

Trzeba pamiętać, że prawo do bycia zapomnianym nie zwalnia przedsiębiorców z innych wymogów prawa ani wiążących go umów. W związku z powyższym, wpłynięcie wniosku o bycie zapomnianym nie może doprowadzić do usunięcia danych, które są administratorowi niezbędne do realizacji umowy, egzekucji roszczeń czy też przetwarzanych dla potrzeb kontrolnych albo archiwalnych.

Prawo do przeniesienia danych

Praktykę przenoszenia danych znamy z sektora telekomunikacyjnego - korzystamy z niego przenosząc numer od jednego operatora, do drugiego. Na mocy RODO to uprawnienie ma być bardziej powszechne. Prawo to ma ułatwić obywatelom zarządzanie swoimi danymi nawet w bardzo prozaicznych sytuacjach, jak np. gdy w danej siłowni przysługuje prawo do zniżki za regularne i terminowe wpłaty, informacja ta będzie mogła zostać przekazana do innej filii tej firmy, aby po zmianie zamieszkania dana osoba mogła nadal korzystania z przywileju. 

To bardzo funkcjonalne prawo może jednak przysporzyć przedsiębiorcom pewnych trudności. W celu jego realizacji po pierwsze niezbędne jest wygenerowanie zestawienia uwzględniającego przebieg relacji z daną osobą, a po drugie odróżnienie danych, które od tej osoby otrzymaliśmy albo które wygenerowaliśmy bezpośrednio w oparciu o naszą relację (imię i nazwisko, wzór podpisu, wizerunek, dane karty kredytowej, zestawienie wejść i wyjść, informacja o niezaleganiu) od informacji, które sami na jej temat opracowaliśmy i które stanowią element naszego biznesowego know how (przynależność do grupy wykazującej zapotrzebowanie określonym asortymentem sprzętu, preferowanie kontaktu z trenerem z doświadczeniem w zakresie sztuk walk, zapotrzebowanie na określonego typu produkty w barze klubowym itd.).

Warto podkreślić, że przenoszone dane muszą być zapisane w sposób umożliwiający ich automatyczny odczyt, a więc tak, aby nowa firma nie miała problemu z zasileniem nimi swoich systemów.

Podsumowanie

Powyżej omówiliśmy część z nowych i znowelizowanych praw osób, których dane dotyczą. Realizacja każdego z nich może stanowić wyzwanie, zwłaszcza dla przedsiębiorcy, który przetwarza dużo danych w postaci papierowej. Z praktycznego punktu widzenia najważniejszą informacją jest jednak ilość wniosków i zapytań, a ta wzrastać będzie proporcjonalnie do wzrostu świadomości społecznej w zakresie prawnej ochrony prywatności.

Bezdyskusyjnie warto jest na bieżąco monitorować ilość spraw tego typu, aby w dobie zmian społecznych nie dać się zaskoczyć i nie pozostać w tyle. Dostosowanie się do wszystkich wymogów RODO może niejednokrotnie wymagać od przedsiębiorców dodatkowych środków finansowych - czy ze względu na zatrudnienie dodatkowych osób, czy zakup odpowiedniej technologii, która pomoże wywiązać się z nowych obowiązków. Bez względu na wysokość takiej inwestycji, jest to koszt dający się policzyć i zabudżetować.. Nie można tego samego powiedzieć o nałożonej karze za zlekceważenie praw obywatela i niewywiązanie się z postanowień rozporządzenia.

Sprawdź również:

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.