LexDigital

RODO - prawo o ochronie danych osobowych dla przedsiębiorców

Nowe prawo o ochronie danych osobowych jest przełomem dla obywateli - każda osoba fizyczna będzie miała pełną kontrolę nad swoimi danymi osobowymi. Rodzi to nowe obowiązki dla przedsiębiorców. Poniżej przedstawiamy te z nich, które z praktycznego punktu widzenia, wymagają największych zmian w dotychczasowych systemach ochrony.

RODO - prawo o ochronie danych osobowych dla przedsiębiorców

RODO, czyli nowe rozporządzenie o ochronie danych osobowych, od 25 maja tego roku będzie obowiązywało na terenie całej Unii Europejskiej. Dotyczy ono wszystkich obywateli - nie tylko tych, którzy prowadzą działalność gospodarczą i przetwarzają dane w celach zarobkowych, ale co bardzo istotne - każdej osoby fizycznej, której zagwarantowana ma być daleko idąca ochrona prywatności. 

Od dnia wejścia w życie nowego rozporządzenia, każdy obywatel zyskuje pakiet praw, z których może korzystać w celu świadomego zarządzania swoimi danymi osobowymi. Tym samym, nakłada to na przedsiębiorców nowe obowiązki związane z wypełnianiem postanowień rozporządzenia. Wprawdzie część praw, o których mówi RODO pokrywa się z wcześniejszymi regulacjami ustawy o ochronie danych osobowych, ale zmiana prawa również dla nich, określa bardziej rygorystyczne ramy czasowe, czyni korzystanie z nich z zasady wolnym od opłat oraz dostarcza lepszych narzędzi do karania ewentualnych błędów przy ich realizacji przez przedsiębiorców.

przetwarzanie danych osobowych, RODO, dane personalne


Prawo dostępu do danych osobowych

Jednym z praw osób fizycznych jest prawo dostępu do danych osobowych. Każda osoba, której dane dotyczą, ma prawo wystąpienia z wnioskiem do administratora danych, w celu uzyskania informacji czy jej dane osobowe są przetwarzane. Jeśli tak, może wystąpić z prośbą o udostępnienie jej m.in. informacji o celu przetwarzania danych osobowych, oraz o kategoriach przetwarzanych danych (np. imię i nazwisko, numer telefonu, numer PESEL). Oczywiście, przy okazji udzielania informacji o kategoriach procesowanych danych, administrator musi wyjaśnić, czy dochodzi do przetwarzania tzw. szczególnych kategorii danych, a więc dawnych danych wrażliwych.

Czym są dane osobowe wrażliwe, a dane osobowe zwykłe? Przeczytaj.

W ramach prawa dostępu do swoich danych, obywatel ma również być informowany o odbiorcach danych, a więc podmiotach, którym dane zostaną udostępnione oraz powierzone do przetwarzania. To znaczna zmiana, bowiem dawniej administratorzy musieli zawiadamiać wyłącznie o tych, którym dane udostępnią (a więc innych administratorach, którzy pozyskują dane i realizują z ich pomocą własne cele). Obecnie informacja musi zostać rozszerzona o firmy współpracujące, które realizują przetwarzanie w imieniu przedsiębiorcy.

Zmiana ta ma adresować częsty problem, do którego dochodzi gdy firma posiadająca zobowiązania względem konsumenta umożliwia dostęp do jego danych swoim partnerom (powiedzmy producent urządzeń zleca uruchomienie tych urządzeń u klienta końcowego firmie zewnętrznej i w związku z tym przekazuje dane osobowe). Nierzadko osoba fizyczna stawała przed trudnym wyborem, czy wpuścić do domu pracowników nieznanego podmiotu na podstawie samej tylko deklaracji współpracy z producentem zakupionego produktu. Po 25 maja każdy administrator ma umożliwić dostęp do listy swoich wykonawców aby oszczędzić konsumentowi nerwów i wątpliwości.

Od maja, każda osoba będzie mogła również zażądać udostępnienia wszelkich dostępnych informacji na temat źródła pozyskania danych osobowych - dotyczy to sytuacji, w której dana osoba samodzielnie nie udostępniła swoich danych podmiotowi, który je przetwarza np. zostały one zakupione w bazie danych albo zostały podane innej firmie, powiedzmy dystrybutorowi marki

Jakie obowiązki nakłada to na przedsiębiorców? Przede wszystkim wymaga przygotowania odpowiedniej procedury przekazania danych zainteresowanym. Procedura taka musi gwarantować skuteczne przeszukanie wszystkich baz i systemów aby nie pominąć informacji zbieranych w innych okolicznościach. Chodzi między innymi o powiązanie informacji dostępnych w systemie służącym do gromadzenia danych o klientach z informacjami zebranymi w związku z uczestnictwem danej osoby w szkoleniu albo zapisaniem się na newsletter.. Każdy administrator musi najpóźniej w terminie 1 miesiąca udzielić odpowiedzi na zapytanie o dostęp do danych. Może ona zostać przesłana  w formie elektronicznej (o ile wnioskodawca nie zaznaczy inaczej).

Obowiązkiem przedsiębiorcy będzie również zawiadomić, którzy z powyższych odbiorców działają poza Europejskim Obszarem Gospodarczym (wskazać należy również organizacje międzynarodowe). Chodzi tutaj o umożliwienie klientowi przeanalizowania ryzyka związanego z faktem przekazywania jego danych do państw, w których prawo w innym zakresie chroni prywatność osób.

Kolejnym kłopotliwym zagadnieniem jest ocena, jak długo dane będą przetwarzane. Wiele firm do tej pory nie usuwa danych historycznie zebranych wychodząc z założenia, że mogą być pomocne w przyszłości. W związku z RODO taka praktyka wymaga ponownego przemyślenia. Oczywiście nie ma obowiązku usuwania danych niezwłocznie, ale to administrator musi być wstanie wykazać niezbędność dalszego przechowywania informacji.

Należy również podkreślić, że znacznym wyzwaniem jest identyfikacja osoby, która stara się skorzystać z prawa dostępu do danych. Wyobraźmy sobie następujący scenariusz: w dużej firmie, gdzie nie wszyscy dobrze się znają, do Inspektora Ochrony Danych dzwoni osoba podając się za klienta. Prosi o przekazanie mu informacji na swój temat. W rzeczywistości jest to jednak konkurent, który chce dowiedzieć się możliwie dużo o przedsiębiorcy, z którym rywalizuje. Dzwoniący zna oczywiście podstawowe dane tego, za kogo się podaje, a więc  ryzyko, że wprowadzi w błąd rozmówcę jest realne.

Biorąc pod uwagę, że wiele firm bada wiarygodność finansową i powiązania własnych klientów, nowe prawo może posłużyć do złych celów, a administratorzy, mając tego świadomość, muszą przygotować skuteczne mechanizmy zdalnej weryfikacji tożsamości rozmówców i zachować czujność.

Zgoda na profilowanie

Z prawem dostępu do danych nieodłącznie związana jest kwestia profilowania - czyli wykorzystywania danych osobowych do podejmowania zautomatyzowanych decyzji. Każdy wnioskodawca ma prawo uzyskać informację nie tylko o jego przetwarzanych danych w danym procesie, ale również informację dotyczącą zasad podejmowania zautomatyzowanychdecyzji na podstawie zebranych danych, w tym także przewidywane konsekwencje takiego przetwarzania dla osoby, której dane dotyczą.

Zbieranie szczegółowych informacji na temat konsumentów i dopasowywanie oferty do konkretnej osoby wpływa na efektywność wielu biznesów. Z profilowania w dużej mierze korzysta branża e-commerce, gdzie w oparciu o dotychczasowe zakupy, dokonywana jest kategoryzacja klientów. Można założyć, że takie działanie przynosi obopólne korzyści - konsument otrzymuje dopasowane do swoich preferencji oferty, przedsiębiorca zwiększa zysk. 

Temat jest stosunkowo prosty jeżeli w rezultacie automatycznej oceny preferencji, zmienia się sposób prezentacji oferty przedsiębiorcy (powiedzmy przez wskazanie w pierwszej kolejności produktów dostosowanych do wyliczonych oczekiwań klienta). Jeżeli jednak, w wyniku profilowania, dochodzi do zmiany oferty albo warunków finansowych, np. dochodzi do odrzucenia rezerwacji hotelowej jeżeli algorytm stwierdzi, że klient posiada dzieci w określonym wieku, dochodzi do tzw. “profilowania twardego”, które może się odbywać wyłącznie na podstawie wyraźnej zgody.

RODO nie delegalizuje jednak takiego przetwarzania. Po 25 maja, nadal można będzie korzystać z algorytmów automatyzujących ocenę i decyzję, ale tylko w usystematyzowany sposób. Profilowanie ma stać się jawne i zrozumiałe dla wszystkich. Przedsiębiorcy, którym zależy na zachowaniu tych funkcjonalności, powinni przeprowadzić audyt procesów przetwarzania danych osobowych, aby upewnić się czy są zgodne z RODO. Konieczne również jest wprowadzenie mechanizmu wyrażania zgody (może to być checkbox pod formularzem lub mail z informacją) oraz ustalenie celów profilowania i poinformowania o nich konsumentów. 

Znacznym wyzwaniem może być również przedstawienie osobie zainteresowanej kategorii przetwarzanych na jej temat danych. Nierzadko profilowanie odbywa się poprzez śledzenie ciągów przyczynowo skutkowych (zdarzeń), których złożoność potrafi być bardzo duża. 

Bywa również, że wiedza o tym, jak profilowanie faktycznie zachodzi, stanowi ściśle chronioną informację firmy (powiedzmy w sektorze ubezpieczeń, jak również, choć w mniejszym stopniu, przy ustalaniu warunków kredytów kupieckich w firmach handlowych). W takich przypadkach administrator musi przygotować czytelny i jednoznaczny opis, który z jednej strony pozwoli mu wejść w komunikację z osobami, których dane przetwarza, a z drugiej, przez odpowiedni poziom ogólności, nie narazi poufności tajemnicy przedsiębiorstwa.

Następnym niezbędnym elementem legalnego profilowania jest zagwarantowanie możliwości odwołania się od zautomatyzowanej decyzji. Element ten wymaga zarówno zapewnienia dostępności osoby posiadającej dostateczne uprawnienia oraz kanału komunikacji z nią, jak również technologicznej możliwości wprowadzenia do systemu wyniku decyzji podjętej przez tą osobę.

Prawo do bycia zapomnianym

W świetle nowego prawa, każda osoba, której dane są przetwarzane, może zażądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek zastosować się do jej żądania, bez zbędnej zwłoki. Prawo do usunięcia danych, czyli prawo do bycia zapomnianym jest wiążące w kilku przypadkach, opisanych w rozporządzeniu.

Osoba, której dane dotyczą ma prawo żądać, aby jej dane zostały niezwłocznie usunięte, m.in. gdy nie są one już potrzebne do celów, w których były przetwarzane np. gdy zostały zebrane na potrzeby rekrutacji, która dobiegła końca. Dotyczy to również sytuacji wycofania zgody np. w celu otrzymywania ofert o charakterze marketingowym, a także, gdy dane są przetwarzane bez podstawy prawnej np. w przypadku rezygnacji z korzystania z usługi, której regulamin do tej pory taką podstawę stanowił. Ważne, że wystarczy jedna ze wspomnianym w RODO przesłanek, aby móc z powyższego prawa skorzystać.

Prawo w tej sytuacji, wymaga od przedsiębiorcy trwałego usunięcia danych. Oznacza to, że należy zmodyfikować je w taki sposób, aby odtworzenie ich w przyszłości było niemożliwe. Dodatkowo, jeśli dane kiedykolwiek zostały upublicznione należy usunąć wszystkie łącza, a w sytuacji przekazania ich innym podmiotom, nowi administratorzy również są zobowiązani do usunięcia wszelkich kopii (ten przedsiębiorca, który otrzymał wniosek, musi ich zawiadomić).

Aby móc w pełni wykonać swoje obowiązki, każdy przedsiębiorca powinien prowadzić rejestr odbiorców, którym dane udostępnia. Bieżące prowadzenie takiego zbioru, zdecydowanie przyspieszy proces usuwania danych oraz pozwoli uniknąć błędu.

Znaczną operacyjną trudnością jest konieczność usuwania informacji ze skrzynek pocztowych. Wyzwanie stanowi także skuteczne uniemożliwianie odtworzenia danych przechowywanych z wykorzystaniem chmur obliczeniowych. Należy pamiętać, że prawo to dotyczy wszystkich form, w jakich zbierane są dane - nie tylko formy elektronicznej. Mowa tu również o wszystkich dokumentach, na których widnieją dane i wszelkich wydrukach, które jeśli zawierają dane osobowe, to podlegają ochronie, a w tym wypadku usunięciu. 

Trzeba pamiętać, że prawo do bycia zapomnianym nie zwalnia przedsiębiorców z innych wymogów prawa ani wiążących go umów. W związku z powyższym, wpłynięcie wniosku o bycie zapomnianym nie może doprowadzić do usunięcia danych, które są administratorowi niezbędne do realizacji umowy, egzekucji roszczeń czy też przetwarzanych dla potrzeb kontrolnych albo archiwalnych.

Prawo do przeniesienia danych

Praktykę przenoszenia danych znamy z sektora telekomunikacyjnego - korzystamy z niego przenosząc numer od jednego operatora, do drugiego. Na mocy RODO to uprawnienie ma być bardziej powszechne. Prawo to ma ułatwić obywatelom zarządzanie swoimi danymi nawet w bardzo prozaicznych sytuacjach, jak np. gdy w danej siłowni przysługuje prawo do zniżki za regularne i terminowe wpłaty, informacja ta będzie mogła zostać przekazana do innej filii tej firmy, aby po zmianie zamieszkania dana osoba mogła nadal korzystania z przywileju. 

To bardzo funkcjonalne prawo może jednak przysporzyć przedsiębiorcom pewnych trudności. W celu jego realizacji po pierwsze niezbędne jest wygenerowanie zestawienia uwzględniającego przebieg relacji z daną osobą, a po drugie odróżnienie danych, które od tej osoby otrzymaliśmy albo które wygenerowaliśmy bezpośrednio w oparciu o naszą relację (imię i nazwisko, wzór podpisu, wizerunek, dane karty kredytowej, zestawienie wejść i wyjść, informacja o niezaleganiu) od informacji, które sami na jej temat opracowaliśmy i które stanowią element naszego biznesowego know how (przynależność do grupy wykazującej zapotrzebowanie określonym asortymentem sprzętu, preferowanie kontaktu z trenerem z doświadczeniem w zakresie sztuk walk, zapotrzebowanie na określonego typu produkty w barze klubowym itd.).

Warto podkreślić, że przenoszone dane muszą być zapisane w sposób umożliwiający ich automatyczny odczyt, a więc tak, aby nowa firma nie miała problemu z zasileniem nimi swoich systemów.

Podsumowanie

Powyżej omówiliśmy część z nowych i znowelizowanych praw osób, których dane dotyczą. Realizacja każdego z nich może stanowić wyzwanie, zwłaszcza dla przedsiębiorcy, który przetwarza dużo danych w postaci papierowej. Z praktycznego punktu widzenia najważniejszą informacją jest jednak ilość wniosków i zapytań, a ta wzrastać będzie proporcjonalnie do wzrostu świadomości społecznej w zakresie prawnej ochrony prywatności.

Bezdyskusyjnie warto jest na bieżąco monitorować ilość spraw tego typu, aby w dobie zmian społecznych nie dać się zaskoczyć i nie pozostać w tyle. Dostosowanie się do wszystkich wymogów RODO może niejednokrotnie wymagać od przedsiębiorców dodatkowych środków finansowych - czy ze względu na zatrudnienie dodatkowych osób, czy zakup odpowiedniej technologii, która pomoże wywiązać się z nowych obowiązków. Bez względu na wysokość takiej inwestycji, jest to koszt dający się policzyć i zabudżetować.. Nie można tego samego powiedzieć o nałożonej karze za zlekceważenie praw obywatela i niewywiązanie się z postanowień rozporządzenia.

Sprawdź również:

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk