Poradnik eksperta

Strona główna
Biznes
Nie znaleziono elementów
Nie znaleziono elementów
 
RODO, jakie zmiany wprowadza i czym jest?

Prowadzenie e-marketingu to nie tylko kreatywności i pomysłowość, wymyślanie kampania i tworzenie kreacji, ale także i przestrzeganie prawa. Mowa tu głównie o ochronie danych osobowych. I o ile z ustawą i przepisami związanymi z GIODO spotkało się wielu przedsiębiorców, o tyle niewielu wie o RODO. RODO to rozporządzenie o ochronie danych osobowych uchwalone przez Parlament Europejski. Wprowadza ono zmiany w obecnie obowiązujących przepisach dot. ochrony danych osobowych. Nowe przepisy będą obowiązywać wszystkie przedsiębiorstwa od maja br. Zobacz jakie zmiany wprowadza RODO w marketingu.

Kogo dotyczy RODO?

RODO, czyli po angielsku General Data Protection Regulation dotyczy wszystkich firm oraz podmiotów gromadzących dane osobowe i działających na terenie Unii Europejskiej. Rozporządzeniu będą się musiały podporządkować zarówno duże, jak i małe firmy bez względu na to, gdzie znajduje się ich siedziba oraz gdzie dochodzi do faktycznego przetwarzania danych osobowych. Oznacza to, że każda firma gromadząca spisy osób fizycznych lub podmiotów gospodarczych będzie podlegać nowym przepisom. Jako takie spisy rozumie się np. bazy marketingowe czy dane klientów zgromadzone w procesie sprzedaży. Co ważne, do RODO będą musiały dostosować się także firmy spoza Unii Europejskiej, które w swoich bazach mają dane klientów ze Wspólnoty. Kolejną istotną informacją jest to, że przepisy obejmą zarówno te firmy, które przetwarzają dane na papierze, jak i elektronicznie. Jedynym wykluczeniem, które zastosował Parlament Europejski, jest przetwarzanie danych osobowych na użytek własny.

Co zmienia RODO w ochronie danych osobowych?

Nowa rola inspektorów ochrony danych

Rozporządzenie Parlamentu Europejskiego wprowadza wiele nowy zadań i kompetencji. Będą one wyznaczać nową pozycję inspektorów ochrony danych, jednocześnie wymagając od nich poszerzenia wiedzy i kompetencji. ABI, czyli inspektorzy danych osobowych zgodnie z rozporządzeniem będą odpowiadać za dobór środków ochrony i zabezpieczeń adekwatnych do poziomu ryzyka, a co za tym idzie, będą zobowiązani do jego oszacowania. Ryzyko to będzie większe, jeśli przedsiębiorstwo zdecyduje się na wprowadzenie ITO, RFID czy innych metod analizy danych. W tym przypadku RODO zobowiązuje do przeprowadzania DPIA, czyli oceny skutków ochrony danych. Rozporządzenie nie ustala wytycznych i wskazówek, jak należy tę procedurę przeprowadzić, jednak wskazuje instrumenty oraz cele, które mają zostać osiągnięte.

Naruszenie danych osobowych

RODO, a z nim Generalny Inspektor Ochrony Danych Osobowych potwierdzają, że na zgłoszenie incydentu naruszenia danych osobowych ABI ma 72 godziny od stwierdzenia naruszenia przez ADO, a nie od wystąpienia incydentu.

Profilowanie danych osobowych

RODO wprowadza ograniczenia w zakresie profilowania, czyli przydzielania użytkowników do konkretnych kategorii na podstawie ich cech np. miejsca zamieszkania czy wieku. Będzie ono możliwe tylko w przypadku uzyskania zgód na profilowanie oraz szczegółowym poinformowaniu każdej osoby, w jaki sposób dane będą wykorzystywane, przetwarzane i przechowywane. Zgody te muszą być uzyskane jeszcze przed rozpoczęciem zbierania danych.

Inwentaryzacja danych

Firmy przetwarzające dane będą zobowiązane do przygotowania, a także utrzymania rejestrów przetwarzanych danych, które będą uwzględniać m.in. powody przetwarzania danych, kategorie przedmiotów danych, adresatów, rejestry międzynarodowych transferów danych, naruszeni i incydentów itd.

Rejestr czynności przetwarzanych i polityka bezpieczeństwa

Ważną zmianą wprowadzoną przez RODO jest zniesienie obowiązku rejestracji baz danych GIODO. Zostanie on zastąpiony prowadzeniem rejestru czynności przetwarzania. To nie jedyne obowiązki, jakie znosi RODO. Zgodnie z nim polscy przedsiębiorcy nie będą musieli już posiadać polityki bezpieczeństwa spisanej na papierze oraz wydawać pisanych upoważnień do przetwarzania danych osobowych. Zniknie też obowiązek zmiany haseł informatycznych co 30 dni.

Kary za nieprzestrzeganie przepisów

RODO rozbudowuje system kar. Górna granica sankcji finansowych wynosić będzie 20 000 000 euro lub 4% rocznego światowe obrotu firmy. Kary te będą nakładane, jeżeli firmy nie właściwie zabezpieczą dane osobowe.

Zgodny na przetwarzanie danych osobowych

Istotną zmianą będzie również wprowadzenie nowych zgód na przetwarzanie danych osobowych. Od 25 maja 2018 roku zgody będą musiały być wyrażane w sposób świadomy oraz być potwierdzone np. oświadczeniem. Same zgody będę musiały być napisane w sposób czytelny i zrozumiały. Powinno z nich jasno wynikać, w jakim celu zbierane są dane, jakie prawa przysługują osobie udostępniającej dane, kto jest administratorem danych, przez jaki okres czasu będą one przechowane, czy będą one wykorzystywane do profilowania oraz jakim podmiotom mogą dane być przekazane. Jest to znacznie rozszerzenie wiadomości, które obecnie należy podawać zgodnie z krajową ustawą o ochronie danych osobowych z 1997 roku. Wynika to z tego, że RODO ma zwiększyć świadomość i dobrowolność podania swoich danych. W praktyce zgody marketingowe nie będą być ukryte w regulaminie, występować domyślnie czy też być warunkiem wykonania umowy sprzedaży.

Prawo do bycia zapomnianym

RODO wprowadza również tzw. prawo do bycia zapomnianym. Chociaż już teraz na mocy ustawy o ochronie danych osobowych z baz można się wypisać, to trzeba zaznaczyć, że w wielu przypadkach jest to trudne i nieskuteczne. RODO chce temu zaradzić i nakłada na przedsiębiorców obowiązek zadbania o to, aby wycofanie zgody na przetwarzanie danych osobowych było tak samo łatwe, jak jej wyrażenie.

Jak firmy powinny przygotować się do RODO?

Nowe przepisy wejdą w życie 25 maja 2018 roku, jednak już teraz przedsiębiorstwa powinny podjąć działania przygotowujące do RODO. Pozwolą one uniknąć kar określonych w rozporządzeniu. Plan przygotowania do RODO powinien obejmować:

  1. Przeprowadzenie wewnętrznego audytu, który pozwoli zweryfikować czy firma jest przygotowana  do RODO, a jeśli nie, uświadomienie osobom decyzyjnym zagrożeń z tego wynikających m.in. kar finansowych;
  2. Zweryfikowanie, czy z uwagi na ilość przetwarzanych danych osobowych konieczne będzie prowadzenie rejestru czynności przetwarzania, a także powołanie inspektora danych osobowych;
  3. Dokonanie zmian w wewnętrznych dokumentach firmowych dotyczących ochrony danych osobowych np. polityce bezpieczeństwa i polityce prywatności;
  4. Dostosowanie zgód na przetwarzanie danych osobowych do nowych przepisów;
  5. Zweryfikowanie procedur dotyczących prawa do usuwania danych osobowych oraz przekazywania danych drogą elektroniczną;
  6. Wdrożenie systemu do weryfikacji wieku osób oraz pozyskania zgody na czynności związane z przetwarzaniem danych rodzica/opiekuna prawnego małoletniego;
  7. Wdrożenie procedur do wykrywania, raportowania oraz badania naruszeń ochrony danych osobowych;
  8. Wdrożenie wytycznych wydanych przez ICO, które dotyczą oceny skutków w zakresie ochrony danych osobowych.

PROWADZISZ BIZNES? POMOŻEMY GO ROZWINĄĆ

Dostaniesz nawet 20h wolnego czasu miesięcznie, zabezpieczymy Twoje dane, pomożemy w optymalizacji procesów biznesowych, ułatwimy planowanie inwestycji, damy więcej możliwości rozwoju biznesu.

Zadbamy o Twój czas już teraz, podaj swój telefon, lub adres e-mail, a skontaktujemy się z Tobą w przeciągu 24h.