Jak przygotować się na RODO?

Jak przygotować się na RODO?

Co to jest RODO?

RODO to ogólne rozporządzenie o ochronie danych. Jego dość długa nazwa to rozporządzenie parlamentu europejskiego i rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. RODO uchyla obowiązującą od 95 roku dyrektywę o ochronie danych osobowych i wprowadza co do zasady jeden system ochrony danych osobowych w Unii Europejskiej. RODO przewiduje dla państw członkowskich nieco wolności przy wyborze niektórych rozwiązań, ale można powiedzieć, że system w swoich najważniejszych przepisach będzie spójny.

RODO wprowadzi duże zmiany w ochronie danych osobowych w Polsce. Nie trzeba się tego bać, ale na pewno trzeba się do tego przygotować. Wydaje się, że najbardziej podstawową rzeczą jaką można zrobić jest przegląd dokumentów udostępnianych klientom – polityki prywatności, polityki cookies oraz prawdopodobnie zmiana i uszczegółowienie zgód odbieranych od klientów. RODO to także ustalone wreszcie prawo do zapomnienia, jasne wskazanie, że zgodę na przetwarzanie danych można cofnąć oraz niestety także nowy system kar.

Rozporządzenie wchodzi w życie w maju 2018 roku. Ile czasu potrzeba żeby się do tego dobrze przygotować?

Ten czas już trwa. Obecnie jest okres przejściowy, a 25 maja 2018 r. wszyscy będą musieli przejść na nowe zasady. Nic nie stoi na przeszkodzie, by zmiany wdrożyć już dzisiaj. RODO kładzie o wiele większy nacisk na obowiązek informacyjny. Klienci muszą konkretnie wiedzieć jak i po co są wykorzystywane ich dane osobowe. Należy pamiętać, że klient może swoją zgodę cofnąć i zażądać natychmiastowego usunięcia jego danych z naszych systemów.

Kogo dotyczą nowe przepisy i co było zapalnikiem do wprowadzenia w życie takiego rozporządzenia?

RODO będzie miało dość szeroki zakres zastosowania. Łatwiej wskazać do czego RODO nie będzie można zastosować. A nie będziemy można go zastosować do przetwarzania danych przez osoby fizyczne w ramach działalności czysto osobistej lub domowej bez związku z działalnością zawodową czy handlową. Oznacza to, że przedsiębiorcy przed RODO nie uciekną. Powody dla których wchodzi w życie rozporządzenie są  dwa. Przede wszystkim dyrektywa, która regulowała tę materię zdezaktualizowałą się już wiele lat temu. Została przyjęta jeszcze w latach dziewięćdziesiątych, a od tego czasu miała miejsce już niejedna rewolucja technologiczna. Po drugie zauważono, że w Unii system ochrony danych jest zupełnie nie zharmonizowany. W różnych państwach obowiązują różne rozwiązania. RODO ujednlica je na terenie całej Unii oraz wymusza także na podmiotach mających siedzibę poza Unią do stosowania RODO względem obywateli UE.

Dlaczego RODO jest szczególnie ważne dla eCommerce?

eCommerce będzie pierwszym frontem, gdzie RODO będzie można sprawdzić w praktyce. To jest duża odpowiedzialność dla właścicieli eSklepów, aby odpowiednio wyedukować swoich klientów. Poinformować jakie mają prawa, ale też po to żeby pokazać, że sklepy, poważnie podchodzą do wprowadzenia RODO. W eCommerce będzie pierwszy  poligon doświadczalny, jak RODO będzie działało w praktyce. Z jednej strony będzie dobre, bo jest to branża dobrze obeznana z nową technologią, a z drugiej strony jest to o tyle niebezpieczne, że tak naprawdę ludzie dopiero po jakimś czasie będą wiedzieć co mogą zrobić ze swoimi danymi.

RODO będzie oznaczało zmianę postępowania z danymi osobowymi klientów. Należy być ostrożniejszym i bardziej transparentym. Warto przyjąć  jedną zasadę – informować, informować i jeszcze raz informować. Im więcej klient będzie mógł się dowiedzieć o zachodzących w firmach procesach przetwarzania, tym lepiej.

Często bywa tak, że klienci przeklikują przez polityki prywatności i regulaminy trochę bez zastanowienia. Nie dziwne, bo często są to teksty pisane hermetycznym językiem byleby tylko “odfajkować” udzielenie informacji, których przedsiębiorca powinien udzielić. RODO wskazuje, że teksty naszych dokumentów powinny być dla klientów jasne i zrozumiałe. Warto więc wykorzystać wejście w życie rozporządzenia do modyfikacji dokumentów. Należy spróbować w prosty sposób wyjaśnić klientom po co są przetwarzane ich imię, nazwisko, adres i inne dane. Właściciele e-sklepów mają okazję być pierwszymi, którzy będą tłumaczyć swoim klientom zmiany. Warto tę szansę wykorzystać.

Co konkretnie umieścić na stronie eSklepu po wejściu RODO?

To jest zdradliwe pytanie, ponieważ można przyjąć, że jest pewna forma wzorów, którą można zastosować do bardzo wielu podmiotów. Natomiast przy wej ściu w RODO będzie trzeba indywidualizować informacje, które będą udzielane klientom konkretnie w odniesieniu do danej działalności. Dlatego trudno wskazać na jeden wzór, który będzie pasował do wszystkich sklepów internetowych. Będzie trzeba zmienić mentalność co do przetwarzania danych i zakodować, że będzie trzeba informować klienta co z jego danymi będzie robić dana firma i jakie dane są zbierane.

Jak zmienia się definicja “danych osobowych”?

Definicja danych osobowych już dzisiaj jest bardzo szeroka. Za dane osobowe uważa się bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Podobną definicję zawiera RODO. Ważne jest jednak nie tyle definiowanie danych osobowych co pewna zmiana w myśleniu o nich i sposobie postępowania z nimi.

Jaka jest różnica między aktualnymi obowiązkami dotyczącymi zgód na przetwarzanie danych behawioralnych, a tym co nastąpi po wprowadzeniu RODO?

Z danymi behawioralnymi jest pewien problem. Tak naprawdę aktualnie one występują nie tyle w ustawie ochronie danych osobowych, co w ustawie o świadczeniu usług drogą elektroniczną. W RODO będziemy mieli tą zmianę, że tam jest mowa o danych biometrycznych. Na gruncie RODO przy profilowaniu będzie to temat wiodący, ponieważ dane behawioralne będą stanowiły czynnik oceny przy przetwarzaniu danych osobowych.

Czy RODO będzie sankcjonowało przepisy identycznie na terenie całej UE i poza UE?

Dzięki RODO dojdzie do harmonizacji przepisów na terenie całej Unii. Rozporządzenie przewiduje, że państwa członkowskie będą mogły modyfikować pewne rozwiązania, więc nie będzie tak, że na terenie całej UE będą obowiązywać dokładnie takie same przepisy, ale co do zasady można mówić o jednym systemie ochrony danych z pewnymi krajowymi różnicami. Należy pamiętać, że RODO stosować można wprost bez konieczności odwoływania się do krajowych przepisów.

Zasadniczo podmiot, który ma siedzibę w UE i przetwarza dane ma obowiązek stosować RODO niezależnie czy przetwarzanie odbywa się w Unii. Jeżeli podmiot nie ma siedziby w Unii, ale przetwarzanie wiąże się z oferowaniem towarów lub usług klientom w Unii to też należy stosować RODO.

Czy dalej mamy obowiązek zgłaszania zbiorów danych do GIODO?

Oczywiście ten obowiązek nadal istnieje. Dopóki nie wejdzie w życie RODO to musimy cały czas zgłaszać zbiory do GIODO. Natomiast w maju 2018 ten obowiązek zostanie zniesiony, wtedy pojawi się obowiązek dla niektórych podmiotów żeby ocenić ryzyko postępowania z danymi osobowymi. GIODO w obecnej formie przestanie istnieć. Po wprowadzeniu RODO będzie jeden organ, który będzie mógł reagować i pilnować przetwarzania danych osobowych w krajach członkowskich.

Co to jest profilowanie odwiedzających e-Sklep i czy osoba poddana profilowaniu musi być o tym poinformowana?

Tak osoba poddana profilowaniu musi być o tym poinformowana i musi wyrazić na to zgodę. Profilowanie to zautomatyzowane przetwarzanie określonych danych osobowych po to, żeby dokonać oceny pewnych zachowań, efektów, preferencji i dokonać analizy prognozy odnośnie określonych obszarów, które nas interesują w kontekście klienta np. lokalizacja, zdrowie, czy preferencje zakupowe. Sam profil polega na tym, że mówimy o pewnej charakterystyce określonej kategorii danych osobowych i to stosujemy do danej osoby.

Taka sytuacja. Sklep internetowy posiada już bazę danych ze zgodą np. na otrzymywanie newslettera. Czy dla tych osób można również wysyłać wiadomości zawierające spersonalizowaną ofertę? Czy muszą one ponownie wyrazić zgodę?

Jeżeli zgody uzyskane wcześniej odpowiadają warunkom RODO to dane mogą być dalej przetwarzane. Jeśli nie, to jeśli poza zgodą nie ma innej przesłanki przetwarzania danych osobowych, to zgody będą musiały być poprawnie zebrane jeszcze raz. Dlatego warto zbierać zgody już teraz w taki sposób, w jaki będzie wymagane od maja po wprowadzeniu RODO.

Kiedy można zmienić zakres przetwarzania danych i jak o tym informować?

Zgoda na przetwarzanie danych osobowych musi być wyraźna, nie musi być pisemna, natomiast samo wysłanie maila nie będzie wystarczające. Dana osoba będzie musiała kliknąć na przykład “tak, rozumiem i zgadzam się”. Osoba musi świadomie wyrazić tą zgodę i zgody muszą być zebrane w sposób zgodny z prawem.

W RODO jest mowa o prawie do zapomnienia oraz o zaprzestaniu profilowania na żądanie. Często jednak prawo wydaje się funkcjonować obok albo nawet wbrew technologii. Przykładowo idea backupu nie pozwala na usuwanie danych. Backup to zrzut bazy danych, w który nie da się ingerować, dlatego jest wiarygodny. Czy powinniśmy się przejmować danymi w backupie, kiedy usuwamy dane o użytkowniku?

Prawo do zapomnienia to nie jest prawo absolutne. Jeśli administrator musi zatrzymać dane w kwestii ochrony czy dochodzenia roszczeń, to powinien te dane przechowywać, również w przypadku  jeśli istnieje szeroko rozumiany interes publiczny. Co do idei backupu to zależy czy są to pewne obowiązki prawne, a na ile są one faktycznie konieczne do wykonania. Z kolei idea prawa do zapomnienia polega na  usuwaniu pewnych odnośników i jeżeli publicznie ujawniliśmy dane, to kierujemy informację o konieczności usunięcia danych osobowych również do innych administratorów.

Przykład. Sklep X robi backup codziennie o godzinie 1:00. Kowalski wypisuje się 5 czerwca o godzinie 10:00 a o 20:00 w sklepie pada baza, tak że tylko odtworzenie z backupu ratuje sytuację. Wypisania a także zapisy z tego dnia idą w „piach”. Kopia zapasowa jest nadal przetwarzaniem danych w rozumieniu GIODO. Jak wybrnąć z takiej sytuacji?

Należy zacząć od notyfikacji użytkownikowi, że takie zdarzenie miało miejsce. Przedsiębiorcy muszą informować użytkowników o tym co się dzieje z ich danymi, a w takim przypadku powinni również powiadomić odpowiedni organ nadzorczy. Dlatego jeśli pojawi się prawidłowa informacja i zostaną podjęte odpowiednie akty staranności żeby te dane zabezpieczyć i doprowadzić finalnie do usunięcia to nie ma się czego obawiać. Natomiast należy pamiętać, że użytkownik ma prawo żądać, żeby te dane ostatecznie zostały zupełnie usunięte.

Czy RODO zmienia zasady na jakich procesor/ partner powinien zwrócić dane administratorowi po zakończeniu współpracy?

Każdy kto jest administratorem, bądź przetwarzającym dane osobowe na podstawie umowy z administratorem, powinien tak przygotowywać bazę, żeby była ona możliwa do przeniesienia w całości, a także poszczególnych jej danych. Każda osoba, która przekazała dane może skierować takie żądanie “Chcę aby moje dane z firmy X przeszły do firmy Y”. Dlatego obowiązkiem firm jest takie tworzenie baz danych, żeby były w takim formacie żeby dało się je odczytać.

Co się stanie, gdy dojdzie do naruszenia danych osobowych, na przykład w wyniku takiego ataku hakerskiego?

Po pierwsze RODO przewiduje obowiązek poinformowania organu nadzorczego w ciągu 72 godzin o naruszeniu danych osobowych. Po drugie nowym obowiązkiem przetwarzających dane osobowe będzie przygotowanie oceny ryzyka jakie występuje w danej firmie. Administrator ma obowiązek udokumentować wszelkie naruszenia oraz jakie działania podjął by im zaradzić. Po trzecie administrator powinien bezzwłocznie poinformować osobę, której dane dotyczą o naruszeniu jej praw.

Czy słusznie obawiamy się widma wielomilionowych kar za brak przestrzegania przepisów dotyczących RODO?

To jest trudne do przewidzenia. Lepiej “dmuchać na zimne”, bo RODO faktycznie przewiduje wysokie kary za naruszenia. Mowa o karach nawet do 4% całkowitego obrotu przedsiębiorcy za dany rok. Niestety trzeba będzie poczekać na to jak to będzie wyglądało w praktyce.

Czy już znamy ostateczny kształt rozporządzenia?

Tak, rozporządzenie czeka już tylko do maja 2018 na wejście w życie. Wciąż jednak nie znamy ostatecznego kształtu przepisów krajowych, które powinny zostać uchwalone obok niego. Natomiast najistotniejsze zmiany zawiera właśnie rozporządzenie.

Jak sklepy internetowe powinny się przygotować do RODO, co pozostaje niewiadomą oraz co można zrobić już teraz?

Warto zrobić wszystko już teraz. Przede wszystkim przedsiębiorcy powinni bardziej skonkretyzować teksty zgód, które uzyskują od klientów. Powinny zawierać one informacje o danych jakie są zbierane od klientów oraz o sposobie w jaki będą przetwarzane. Wszystkim powinna przyświecać generalna zasada, że klient powinien mieć możliwość dowiedzenia się po co są zbierane jego dane oraz jakie to są dane. To czy klient chce się zapoznać z tymi odpowiedziami jest już inną kwestią. Przedsiębiorcy muszą mu to umożliwić oraz te dokumenty napisać tak, żeby klient je zrozumiał.

Gdzie szukać informacji na temat tego, jakie zgody musi wyrazić klient w przypadku e-mail marketingu?

Będzie trzeba się zapoznać z manualami, które będą dostępne na stronach UE, PE czy Rady. Niedługo pozostanie powołane coś na kształt rady z artykułu 29, która daje dobre rady i wskazuje na dobre praktyki. Na razie można to prowadzić tak, jak było do tej pory. To co jest aktualnie w wytycznych dotyczących e-mail marketingu jest wystarczające, Bądźmy czujni, informujmy klientów, że mają prawo zażądać wycofania ich danych osobowych z bazy. Najważniejsze jest to, żeby pokazać klientom, że jesteśmy dla nich, że oni mają prawo się sprzeciwić. Warto również nie łączyć zgód i pobierać je w jasny i zrozumiały sposób.

Czy dane muszą być fizycznie przechowywane w jakiś konkretny sposób? Czy to wystarczy prosta baza w CMS którą można wyeksportować? I jakie dane powinny tam się znajdować?

Sposób przechowywania danych będzie zależał od tego jakie to są dane i jak jest szacowane ryzyko. Na przykład jeśli jest to mały sklep, który ma stałą grupę klientów, którzy do niego wracają, a nie są to ogromne wolumeny danych, to sposób retencji przechowywania tych danych będzie inny, niż gdyby to były to duże firmy, które się tym zajmują. Nie ma konkretnych wskazań. Będą certyfikaty, które będzie można uzyskać, jeżeli uzyska się określony poziom bezpieczeństwa oraz będą kodeksy dobrych praktyk/postępowania, które będą w pewien sposób “załatwiały” kwestie bezpieczeństwa. Wszystko zależy od skali i rodzaju danych, czyli skali działalności.

Jak powinna wyglądać zgoda na przetwarzanie danych zgodnie z rodo, co powinna zawierać taka zgoda?

Jeżeli zgody uzyskane wcześniej odpowiadają warunkom RODO to dane mogą być dalej przetwarzane. Jeśli nie, to jeśli poza zgodą nie ma innej przesłanki przetwarzania danych osobowych, to zgody będą musiały być poprawnie zebrane jeszcze raz. Dlatego warto zbierać zgody już teraz w taki sposób, w jaki będzie wymagane od maja po wprowadzeniu RODO. Jak powinna wyglądać taka zgoda to zależy od branży i skali działania, bo jak zostało powiedziane w wywiadzie, nie będą już obowiązywać uniwersalne wzory pism.

Paulina Wiesiołek

Paulina Wiesiołek

view all post

By Daniele Zedda • 18 February

← PREV POST

By Daniele Zedda • 18 February

NEXT POST → 34
Share on