Jeśli jesteś przedsiębiorcą, który sprzedaje produkty lub usługi, albo w ramach swoich zawodowych obowiązków zajmujesz się gromadzeniem i przetwarzaniem danych, to temat RODO, czyli unijnego rozporządzenia o ochronie danych osobowych, na pewno nie jest Ci obcy. Może nawet zacząłeś się już przygotowywać do wdrożenia zmian w polityce prywatności. A co w mniej oczywistych przypadkach? Czy prowadząc firmowy funpage na FB lub prywatnego bloga również powinniśmy pomyśleć o RODO? Co z plikami cookies, czy pozyskiwaniem leadów? O tym i o kilku innych kwestiach przeczytacie w dzisiejszym wpisie.
W październikowym tekście „RODO – przygotujmy się do zmian” pisaliśmy już o nowym rozporządzeniu i obowiązkach wynikających z niego dla przedsiębiorców. Dzisiaj skupimy się na bardziej praktycznej stronie RODO. Czy wiesz, że pozyskując leady na facebooku, lub zbierając dane do newslettera, nawet jeśli nie prowadzisz działalności gospodarczej, to stajesz się administratorem danych osobowych i ciążą na Tobie związane z tym obowiązki? Większość z nas o tym nie pamięta, a nawet jeśli – to ograniczamy się do dodania ogólnej klauzuli mówiącej o wyrażeniu zgody na wykorzystanie danych. Jeśli jednak chcemy legalnie zdobywać i przetwarzać cudze dane to musimy zadbać o odpowiednią podstawę przetwarzania i to już na etapie ich pozyskiwania.
RODO przewiduje następujące podstawy przetworzenia danych:
- zgoda (przy czym musi być ona dobrowolna, wyraźna, a jej uzyskanie musi być udokumentowane)
- wykonanie umowy (np. realizacja zamówienia w sklepie online)
- wypełnienie obowiązku prawnego (np. wystawienie faktury dokumentującej zakup)
- ochrona żywotnych interesów użytkownika (czyli tego typu przetwarzanie ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej – np. w przypadku gdy przetwarzanie jest niezbędne dla monitorowania epidemii)
- wykonanie zadania realizowanego w interesie publicznym (w szczególności w przypadku klęsk żywiołowych i katastrof – tego typu przetwarzania mogą służyć zarówno interesowi publicznemu, jak i żywotnym interesom osoby, które dane dotyczą)
- prawnie uzasadnione interesy administratora (np. administratorzy, którzy są częścią grupy przedsiębiorstwo mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach danej grypy do wewnętrznych celów administracyjnych.)
Warto przy tym pamiętać jeżeli nasz produkt lub usługa adresowany jest do młodzieży lub dzieci to w przypadku użytkownika poniżej 16 roku życia (polskie przepisy mają wprowadzić barierę 13 r.ż.) musimy mieć zgodę jego przedstawiciela ustawowego – rodzica, opiekuna.
RODO nakazuje zdefiniowanie w jakim celu i zakresie dane będą zbierane i archiwizowane, musimy również przekazać informację o odbiorcach danych – jeżeli udostępniamy jej osobom trzecim (np. agencji reklamowej), a także dane kontaktowe administratora, aby umożliwić osobie wyrażającej zgodę napisanie skargi w przypadku naruszenia przepisów o ochronie danych. Co więcej – mamy obowiązek poinformowania użytkownika o jego uprawnieniach, co w praktyce oznacza możliwość cofnięcia zgody, lub prawo do „bycia zapomnianym”. O ile w tym pierwszym przypadku, gdy osoba składa oświadczenie, w którym odwołuje wcześniejszą zgodę na przetwarzanie swoich danych – jako administrator jesteśmy zobowiązani jedynie do zaprzestania ich wykorzystywanie. O tyle druga sytuacja może być dla firm dużym wyzwaniem. W teorii prawo do bycia zapomnianym oznacza, iż dane osoby, która chciałaby zostać zapomniana muszą być w całości usunięte z systemu, w tym również ze wszystkich kopii zapasowych, pousuwanych replik itp. W praktyce może być to organizacyjnie i techniczne trudne do realizacji.
Zapisy w nowej ustawie dotyczą informacji, które mogłyby doprowadzić do identyfikacji osoby, czyli zarówno tak oczywistych danych jak nazwisko, adres, e-mail, wszelkie nr indentyfikacyjne, ale również adresu IP, dokumentacji medycznej, czy parametrów demograficznych, geolokalizacyjnych. Jeśli więc promując swój funpage korzystasz z targetowania, pamiętaj o dodaniu zgody na wykorzystanie danych w celu targetowania reklam (każdy sposób wykorzystania danych powinien być oddzielnie zapisany). Przygotuj się również na stworzenie:
- Rejestru naruszeń, który ma stanowić zapis wszelkich incydentów, w których mogło zostać naruszone bezpieczeństwo danych
- Rejestru czynności przetwarzania, w którym powinieneś zawrzeć informacje dotyczące danych, podmiotach, którym dane powierzasz (jeśli to robisz) oraz stosowanych środkach bezpieczeństwa. Może to być np. zastosowanie środków ochrony antywirusowej, zabezpieczenie dostępu do komputera, z wykorzystaniem którego przetwarzasz dane osobowe, czy ustalenie różnych zakresów dostępu do danych dla poszczególnych użytkowników.
Czytając o czekających nas regulacjach łatwo można ulec przeświadczeniu, że RODO to jedynie duże utrudnienie dla wszystkich, którzy korzystają z danych osobowych. Jednak nowe rozporządzenie o ochronie danych uwalnia nas również od szeregu formalnych obowiązków, stawiając na realne wdrożenie odpowiednich rozwiązań. Aby nie być gołosłownym – od maja 2018 nie będzie obowiązku posiadania polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. To my jako administrator będziemy mogli samodzielnie zadecydować, czy takie dokumenty są nam potrzebne. RODO zwolni nas również z obowiązku rejestracji zbiorów danych osobowych w GIODO i ułatwi nam powierzanie danych kolejnym podmiotom. Do tej pory umowa powierzenia przetwarzania danych musiała być zawierana na piśmie z własnoręcznymi podpisami obu stron – od 25.05.2018 taką umowę będziesz mógł zawrzeć elektronicznie. RODO wprowadzi również kodeksy postępowania, będące zbiorami dobrych praktyk dla poszczególnych branż.
Powyższe przykłady pokazują, że nie taki diabeł straszny jak go malują, jednak do pełnej oceny skutków nowych regulacji poczekajmy do maja, by przekonać się jak rozporządzenie RODO zostanie zaimplementowane w naszych krajowych przepisach.
