poniedziałek, Maj 27, 2019
Facebook
Home Tagi Wpis otagowany "RODO"

RODO

Nowy katalog danych, jakich można wymagać od kandydata do pracy oraz pracownika, a także zakaz prowadzenia monitoringu w pomieszczeniach zajmowanych przez związki zawodowe, to najważniejsze zmiany przewidziane w nowelizacji dostosowującej przepisy prawa pracy do RODO. Od kandydatów do pracy nie będzie można wymagać podania imion rodziców i miejsca zamieszkania. Możliwe będzie natomiast żądanie od nich danych kontaktowych, ale jakie dane podać – zdecyduje sam kandydat.
Więcej tutaj.

Od 25 maja 2018 r. w Polsce jest stosowane rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli tzw. RODO. W celu zapewnienia skutecznego stosowania przepisów RODO konieczne stało się, poza uchwaleniem nowej ustawy z 10 maja 2018 r. o ochronie danych osobowych, dokonanie licznych zmian w innych ustawach. Zmiany te wprowadza ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Dz.U. z 2019 r. poz. 730. Nowe przepisy weszły w życie 4 maja 2019 r.

Ustawa ta przewiduje m.in. zmiany w następujących regulacjach dotyczących spraw pracowniczych:

  • Kodeksie pracy,
  • ustawie o zakładowym funduszu świadczeń socjalnych,
  • ustawie o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych.
Dane wymagane od kandydata do pracy

Zgodnie z nowymi przepisami pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących (at. 221 § 1 Kodeksu pracy):

  • imię (imiona) i nazwisko,
  • datę urodzenia,
  • dane kontaktowe wskazane przez taką osobę,
  • wykształcenie,
  • kwalifikacje zawodowe,
  • przebieg dotychczasowego zatrudnienia.

Jednak danych dotyczących wykształcenia, kwalifikacji zawodowych i przebiegu dotychczasowego zatrudnienia pracodawca żąda tylko wtedy, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Czytaj więcej w INFORLEX Kadry, Płace i HR.

Źródło: INFOR.pl

Wsparcie rozwoju gospodarki oraz nowoczesnych technologii opartych na danych i ich przepływie to jeden z priorytetów Unii Europejskiej. Przyjęte 18 grudnia 2018 roku rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1807 w sprawie ram swobodnego przepływu danych nieosobowych w UE jest kolejnym elementem kształtowania piątej swobody unijnej – przepływu danych osobowych i nieosobowych na Jednolitym Rynku Cyfrowym. Nowe przepisy będą miały zastosowanie od 28 maja 2019 roku.

Dane nieosobowe ­– czyli?

Dane nieosobowe to informacje elektroniczne inne niż te osobowe zdefiniowane w RODO – nie dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przykładami danych nieosobowych są algorytmy informatyczne, dane generowane przez maszyny oraz ich zanonimizowane zbiory wykorzystywane do analiz big data. Ponadto, są nimi także informacje dotyczące przeglądanych stron internetowych, nie związanych jednak z danymi wskazującymi na tożsamość osoby fizycznej lub pozwalającymi na ustalenie jej tożsamości.

Przetwarzaniem danych nieosobowych jest każda operacja lub zestaw operacji wykonywanych na danych nieosobowych lub ich zbiorach w formie elektronicznej, w sposób zautomatyzowany lub niezautomatyzowany. Do takich czynności zalicza się zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, a także wykorzystywanie informacji – mówi dr hab. Bogdan Fischer, Partner i Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy.

Korzystne rozwiązanie

Celem nowej regulacji jest w głównej mierze zwiększenie swobody przy przetwarzaniu danych przez podmioty świadczące usługi cloud computing, (IaaS, PaaS, SaaS), big data, internetu rzeczy oraz sztucznej inteligencji, a ponadto wzmocnienie cyfrowej gospodarki Europy.

Rozporządzenie, podobnie jak RODO, wspiera samoregulację sektorową – stwarza podstawy do wypracowania i przyjęcia odpowiednich kodeksów postępowania. Głównym celem kodeksów będzie ułatwienie przenoszenia danych nieosobowych przez użytkowników oraz pomiędzy dostawcami lub do własnych systemów informatycznych. Co więcej, szczegółowe i przejrzyste kodeksy powinny umożliwiać użytkownikom łatwe porównanie ofert różnych podmiotów. Przewidziane powinno być wykorzystanie formatów ustrukturyzowanych, powszechnie używanych i nadających się do odczytu maszynowego, w tym formatów opartych na otwartych standardach. Jako datę skutecznego wdrożenia kodeksów wskazano 29 maja 2020 roku, zachęca się jednak, żeby nastąpiło to jeszcze przed 29 listopada br. – wskazuje dr hab. Bogdan Fischer, Partner i Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy.

Nowe przepisy są także poniekąd ukłonem w stronę start-upów oraz małych i średnich firm. Otwierają one drogę do projektowania nowych usług opartych na transgranicznym przepływie danych.

Przeczytaj także:

Nowe przepisy a RODO

Rozporządzenie o swobodnym przepływie danych nieosobowych w UE nie wpłynie na regulacje wynikające z RODO. W sytuacji, gdy przetwarzane dane – nieosobowe oraz osobowe – znajdą się w tym samym zbiorze dla danych nieosobowych zastosowanie będzie miało nowe rozporządzenie, natomiast osobowych – dotychczas regulujące je przepisy, w szczególności RODO. Kiedy dane osobowe i nieosobowe są w zbiorze nierozerwalnie związane, omawiane Rozporządzenie nie uchyla obowiązków wynikających z RODO – mówi dr hab. Bogdan Fischer, Partner i Radca Prawny w Kancelarii Prawnej Chałas i Wspólnicy.

W praktyce odpowiednie stosowanie rozporządzeń o ochronie danych osobowych oraz o swobodnym przepływie danych nieosobowych może rodzić wiele wątpliwości. Bruksela zapowiada opublikowanie wskazówek w zakresie powiązań pomiędzy oboma dokumentami jeszcze przed 29 maja br.

Źródło: Kancelaria Prawna Chałas i Wspólnicy

Pierwsze finansowe kary w Europie są już nakładane. Niechlubnym przykładem została Portugalia. Organ nadzorczy w tym kraju – Comissão Nacional de Proteção de Dados (CNPD) – nałożył na szpital Barreiro Montijo karę w wysokości 400 tys. euro, czyli ok 1,7 mln zł. Warto zwrócić również uwagę na ogromną skalę zgłaszanych incydentów naruszenia prawa ochrony danych osobowych.

Francuski urząd ochrony danych, tj. CNIL, wskazuje, że od 25 maja do 1 października br. zgłoszono 742 takich przypadków. Dotyczyły one ponad 33 mln osób we Francji i innych krajach. Globalni gracze niedługo również mogą doświadczyć negatywnych konsekwencji RODO. Za naruszenie bezpieczeństwa i wyciek danych z niemal 50 mln kont użytkowników Facebooka, portalowi grozi kara finansowa w wysokości nawet 1,63 mld dol.

Czas na kary w Europie

Za naruszenie istotnych przepisów ochrony danych osobowych RODO przewiduje grzywnę do 20 mln EUR, a w przypadku przedsiębiorstwa – do 4% całkowitego światowego obrotu z poprzedniego roku. Niższe kary, do 10 mln EUR lub do 2% światowego obrotu, przewidziane są w sprawach mniejszej wagi.

 – „Pierwszy kurz RODO” opadł. Przedsiębiorstwa muszą być świadome, że przepisy RODO nie będą martwymi przepisami. A niestety wydaje się, że część organizacji lekceważy nowe regulacje i w dalszym ciągu lekkomyślnie podchodzi do ochrony danych osobowych. Szacuje się, że nawet 50% polskich przedsiębiorców nie poradziło sobie z pełnym wdrożeniem RODO.  Należy przypuszczać, że ta liczba jest i tak przeszacowana, a jednak jak dotąd polski organ nadzorczy – Prezes Urzędu Ochrony Danych Osobowych nikogo nie ukarał – wskazuje adw. Marcin Zadrożny, ekspert ds. ochrony danych, ODO 24.

Przykładów naruszeń i kar jest coraz więcej. Kolejnym państwem z nałożoną grzywną została Austria. Tamtejszy organ odpowiedzialny za ochronę danych – DCB wydał decyzję o ukaraniu kwotą w wysokości 4800 euro za źle ustawiony monitoring. Nasi zachodni sąsiedzi również pierwszą karę mają już za sobą. Łączna ich wysokość w tym kraju wyniosła 2350 euro. W październiku również brytyjskie Biuro Rzecznika ds. Informacji (ICO) nałożyło karę na spółkę Heathrow Airport Limited w wysokości 120 tys. funtów. Finansowa kara jest niska, ponieważ postępowanie toczyło się zgodnie z przepisami o ochronie danych z 1998 r. a nie na podstawie RODO, z uwagi na czas wystąpienia zdarzenia – 16 października 2017 roku.

A co z Polską?

Wydaje się, że finansowe konsekwencje łamania przez firmy unijnego rozporządzenia za nieprzestrzeganie przepisów są nieuniknione także w naszym kraju. Przed 25 maja 2018 roku panował chaos informacyjny, część organizacji starała się szybko dostosować do wymagań nowych przepisów.

– Polscy przedsiębiorcy „narzekają” najczęściej na to, że RODO ogranicza możliwość działań marketingowych oraz sprzedażowych. Należy zaznaczyć, że zazwyczaj są to konsekwencje źle wdrożonego RODO. Dlatego też zaleca się przeprowadzanie audytów po zakończonym procesie wdrożenia – dodaje adw. Marcin Zadrożny, ODO 24. Oczywiście RODO niejednokrotnie poprzez uwzględnienie ochrony danych w fazie projektowania wydłuża proces wejścia produktów i usług na rynek, ale bezpieczeństwo danych osobowych to ochrona naszej prywatności. Można przypuszczać, że dopiero pierwsza finansowa kara nałożona na polski podmiot przez Prezesa Urzędu Ochrony Danych Osobowych da drugi impuls do dostosowania się do nowych, ale już obowiązujących wymagań prawnych – dodaje.

Według Europejskiej Rady Ochrony Danych złożono ponad 42 tys. skarg do krajowych organów nadzorczych (w Polsce prawie 2 500 skarg do Prezesa Urzędu Ochrony Danych Osobowych).

Historia zakupów, profil zachowań w internecie, adres i numer buta – Rozporządzenie o Ochronie Danych Osobowych dało konsumentom prawo do sprawdzenia i usunięcia informacji, które na ich temat zebrały i wykorzystują firmy działające w internecie. Czy faktycznie jest to możliwe? Specjaliści z firmy finansowej Wonga Polska podpowiadają, jak egzekwować swoje prawa.

25 maja 2018 r. w Polsce zaczęło obowiązywać Rozporządzenie o Ochronie Danych Osobowych (RODO). Skrzynki mailowe Polaków zapełniły się informacjami o polityce prywatności portali i sklepów internetowych. Na stronach internetowych firm pojawiły się klauzule o prawie konsumenta do informacji o rodzaju przechowywanych danych oraz możliwości ich aktualizacji lub usunięcia.  Co może zrobić konsument, by skorzystać ze swoich praw?

Raport proszę

Zgodnie z RODO informacja o danych osobowych klienta powinna mu zostać udzielona w formie specjalnie przygotowanego raportu. Na jego przesłanie firma ma 30 dni od otrzymania zapytania klienta. Jeśli z uzasadnionego powodu raport nie może powstać we wskazanym okresie, instytucja ma obowiązek poinformować klienta, że będzie musiał zaczekać nieco dłużej.

– Raport dotyczący danych osobowych powinien zawierać informacje o tym, jakiego typu dane o kliencie są przetwarzane, skąd zostały pozyskane, czyli jakie jest ich źródło oraz  w jakim celu są gromadzone. Dodatkowo konsument ma prawo do otrzymania kopii wszystkich informacji, które instytucja posiada na jego temat – mówi Zuzanna Kopaczyńska-Grabiec, dyrektor Departamentu Prawnego i Compliance w Wonga Polska.

W Wonga Polska spersonalizowany raport klient może otrzymać już po około tygodniu. Dokument jest bardzo kompleksowy, ale jednocześnie przejrzysty – dzięki czemu zainteresowany w łatwy sposób zorientuje się jakie informacje na jego temat posiada firma, czy są aktualne i skąd pochodzą (w przypadku Wonga głównymi źródłami informacji o kliencie są  Biuro Informacji Kredytowej oraz Biuro Informacji Gospodarczej).

Każda firma powinna także udostępnić klientowi informację, w jakiej formule może zwrócić się do niej o raport, by jego prośba była skuteczna.

– Konsument, który chce uzyskać dostęp do swoich danych nie powinien być odsyłany z infolinii do regulaminu albo oddziału firmy i na odwrót. Informacja o ścieżce pozyskania raportu powinna znajdować się w widocznym miejscu na stronie internetowej, a pracownicy winni być przeszkoleni by umieć w odpowiedni sposób poinstruować klienta – mówi Zuzanna Kopaczyńska-Grabiec z Wonga Polska.

Jeśli takich informacji nie ma lub trudno je odnaleźć, najskuteczniejszą formą zwrócenia się o udostępnienie danych będzie prawdopodobnie przesłanie maila na adres firmy. By wniosek okazał się skuteczny, warto zadbać o zawarcie  w nim odpowiedniej treści.

– Aby pozyskać pełen wgląd do danych warto zwrócić się dodatkowo o ich kopię, podanie źródeł pochodzenia, cele i podstawę przetwarzania, określenie czasu, w którym firma ma obowiązek je archiwizować oraz informację, czy i którym podmiotom trzecim zostały udostępnione – mówi Agnieszka Rochmińska, project manager z Wonga Polska.

Istotną informacją może być również to, czy dane konsumenta są poddawane procesom zautomatyzowanego podejmowania decyzji i profilowania.

– Jeśli nasze dane są w taki sposób przetwarzane, oznacza to, że na naszych komputerach przechowywane są pliki cookies, które pozwalają automatycznie zidentyfikować osobę odwiedzającą stronę www i dostosowują wygląd portalu oraz ułożenie treści do preferencji użytkownika, odnotowanych przy jego poprzednich odwiedzinach strony – wyjaśnia Adriana Sokólska z Departamentu Prawnego i Compliance w Wonga Polska

Firmo zapomnij o mnie

Dzięki RODO możemy również wycofać zgodę na dalsze wykorzystywanie naszych danych.

– Zgodnie z RODO konsument ma prawo zażądać usunięcia nie tylko takich danych jak imię i nazwisko czy numer telefonu, ale także historii zakupów oraz profilu behawioralnego, tworzonego na podstawie plików cookies – dodaje Adriana Sokólska z Wonga Polska.

Warto jednak pamiętać, że usunięcie danych nie zawsze może być wykonane od razu. Niektóre instytucje, np. banki, podlegają bowiem odrębnym przepisom, zobowiązującym je do archiwizowania danych osobowych przez konkretny okres. W przypadku instytucji finansowych, informacje o klientach muszą być przechowywane najczęściej przez 10 lat od zakończenia świadczenia usług.

– Nawet jeśli instytucja jest prawnie zobowiązana do przechowywania danych osobowych klientów przez kolejne lata, można zwrócić się do niej o usunięcie profilu klienta i wycofać zgodę na przetwarzanie danych osobowych. W ten sposób dane będą jedynie archiwizowane, a nie wykorzystywane do kolejnych działań usługowych lub marketingowych – mówi Adriana Sokólska z Wonga Polska.

Tajemniczy klient z problemami

Aby sprawdzić jak realizacja praw konsumentów wynikających z RODO wygląda w praktyce, eksperci Wonga wcielili się w rolę „tajemniczego klienta” i zwrócili do różnych instytucji z prośbą o udostępnienie informacji o swoich danych osobowych.

– Przebadaliśmy kilkanaście firm, od dostawców internetu i telewizji kablowej po instytucje finansowe. Choć wiele z nich opracowało schemat postępowania w celu udzielenia informacji o danych osobowych, w sprawdzonej przez nas grupie dominowały przypadki, w których pracownicy byli bezradni wobec tego typu zapytania. Na przykład pracownicy infolinii nie potrafili udzielić informacji, w jakiej formule należy złożyć zapytanie o dane osobowe. Zdarzało się również, że przesłane dane były jedynie szczątkowe i nie zostały przedstawione w formie wymaganego raportu – mówi Agnieszka Rochmińska z Wonga Polska.

Trudno dziś rozdzielić ochronę fizyczną od technicznej. Firma ochroniarska powinna być wsparta najnowszymi rozwiązaniami, ponieważ rynek zabezpieczeń w Polsce nieustannie rozwija się. Korzystanie z obu form ochrony nie tylko zwiększy skuteczność monitoringu, ale także sprawi, że patrolowanie nawet najbardziej rozległego terenu – zwłaszcza w dużych obiektach przemysłowych – staje się łatwiejsze. Użycie kamer zarówno w prywatnym sektorze ochrony, jak i przemysłowym stało się dla wielu prawdziwym ułatwieniem, jednak pojawiły się głosy sprzeciwu, które zgodnie z RODO, negowały legalność monitoringu wizyjnego.

A wszystko to za sprawą dynamicznego rozwoju wideorejestratorów (zwiększenia ostrości czy jakości obrazu), a także zauważalnej tendencji rozwoju nowoczesnych form ochrony. Wielu specjalistów uważa dziś, że człowiek nie jest już w stanie obejść się bez techniki, która mimo wielu opinii, przynosi więcej dobrego, niż złego. Są jednak głosy sprzeciwu uważające monitoring za wyjątkowo zły proceder, zwłaszcza w szkołach czy sklepach z ubraniami – według nich kamery wpływają na brak intymności. Ministerstwo Cyfryzacji uważa jednogłośnie – nie jest prawdą, że wejście w życie przepisów o ochronie danych osobowych 25 maja zdelegalizowało w Polsce monitoring wizyjny. Jest on możliwy jeśli właściciel wykorzystuje go w określonych celach, np. aby zapewnić bezpieczeństwo osób, mienia czy w celu zabezpieczenia tajemnic prawnie chronionych. Potwierdza to Maciej Kawecki z Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji. O temacie monitoringu w dobie RODO opowiada także w poniższym filmie  z cyklu „Oto RODO”.

Zawsze musimy jednak pamiętać o tym, że monitoring wizyjny może być wykorzystywany w określonych celach. Jeżeli monitorujesz po to, żeby zapewnić bezpieczeństwo osób, żeby zapewnić bezpieczeństwo mienia, żeby chronić tajemnice prawnie chronione, wtedy monitoring w większości przypadków będzie dozwolony – mówi Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji.

CCTV – czym jest i gdzie się go stosuje?

CCTV pochodzi od angielskiego zwrotu Closed-Circuit TeleVision, co w wolnym tłumaczeniu oznacza telewizję w obwodzie zamkniętym. Chętniej jednak CCVT określane jest jako telewizja bądź monitoring przemysłowy, który jest systemem połączonych kamer – obraz z rejestratorów trafia do punktu kontrolnego, aby mieć dostęp do obrazu z wszystkich punktów monitoringu. Funkcja CCTV nie zmieniła się od lat – ma zapewnić bezpieczeństwo na każdym poziomie, jednak dziś ewoluuje w stronę konkretnych działań, jak znalezienie danej osoby, nawet z rozpoznawaniem czyjejś twarzy. CCTV jest nierzadko nieocenionym źródłem informacji przy wypadkach, a nawet atakach terrorystycznych na danym terenie – daje możliwość odtworzenia przebiegu zdarzeń czy określenia przebytej drogi atakujących. Coraz chętniej także same miasta decydują się na monitoring parków czy ulic w celu śledzenia naruszeń prawa.

Systemy zarządzania monitoringiem znaleźć można zarówno w pojedynczych budynkach – jak sklepy, banki, szkoły czy zakłady pracy, jak i w większych obiektach z zespołem budynków – przykładami mogą być przemysłowe hale, fabryki, magazyny, a także lotniska osiedla czy nawet całe miasta.

Dostępne rozwiązania CCTV na miarę XXI wieku

Dziś system CCTV może znacząco przyczynić się do optymalizacji wielu procesów w firmie. Ostatnie zmiany w minimalnych płacach znacząco wpłynęły na koszty prowadzenia wielu firm, wiele z nich zrezygnowało także z agencji ochrony na rzecz własnych służb portiersko-ochronnych, co niestety nie zawsze przynosi zamierzony efekt bezpieczeństwa. Rynek nie znosi próżni, więc w grę weszły wszelkiego rodzaju systemy wideoochrony które dziś są coraz chętniej stosowane i coraz aktywniej rozbudowywane o nowe możliwości. Wideorejestratory nie mają przerw, dni wolnych, albo zwolnień – działają całodobowo i zapisują nagrania. Prawidłowo świadczona usługa wideoochrony daje kilkukrotnie wyższą marżę niż aktualna marża za osobową ochronę fizyczną – i to przy dużo niższych kosztach. W rozmowie z przedstawicielem marki Konsalnet, dowiadujemy się, że oczywiście agencje ochrony mienia świadczą przede wszystkim usługi ochrony fizycznej, jednak zmieniające się trendy wskazują na nowe formy skutecznego monitoringu: to przyszłość – słyszymy. CCTV i dostępne standardowo rozwiązania wideomonitoringu są coraz częściej wybieraną usługą w ofercie marki dla przemysłu. – Nasza firma oferuje innowacyjny system iCCTV, który nie tylko opiera się na wykorzystaniu kamer, ale przede wszystkim usprawnień dla biznesu, wszystko zgodnie z przepisami – dodaje.

 

Jak informuje nas Konsalnet, system iCCTV dysponuje własnym działem projektowym, który na co dzień zajmuje się wdrożeniami technicznymi, w każdej możliwej skali, łącznie ze sklepami wielkopowierzchniowymi i największymi halami logistycznymi w Polsce. Do iCCTV można podłączyć kamery różnych producentów, co jest z pewnością wielką zaletą, ponieważ optymalizuje to koszt wdrożenia sprzętu. Konsalnet po kompleksowej analizie budynku integruje montaż kamer z własnym systemem komputerowym na terenie obiektu oraz obsługuje zdalnie z wykorzystaniem własnej centralnej Stacji Monitorowania Alarmów.

Tym, co różni iCCTV od standardowych systemów CCTV to z pewnością nowoczesne funkcje, które mogą być rozbudowane. Przedsiębiorcy decydujący się na takie rozwiązanie mogą zyskać nie tylko wyższy poziom bezpieczeństwa przy zastosowaniu detekcji tablic rejestracyjnych (np. optymalizacja czasu rozładunku towaru czy zarabianie na usługach parkingowych), ale również zwiększyć efektywność biznesu przy użyciu funkcji zliczania osób, odwiedzających obiekt handlowy. A ta ostatnia, w przypadku sklepów, pozwala nie tylko sprawdzić średnią wartość zakupów przypadającą na jedną osobę, ale także określić kierunek poruszania klientów czy optymalizować koszty eksploatacji np. klimatyzacji czy wyświetlanych reklam.

25 maja 2018 roku weszło w życie Ogólne Rozporządzenie o Przetwarzaniu Danych, zwane przez wielu po prostu RODO. Głównym jego celem jest przede wszystkim, podniesie poziomu ochrony danych osobowych osób fizycznych. Wraz ze zmianami w prawie pojawiło się również wiele wątpliwości oraz nieprawdziwych informacji, dlatego też bardzo ważne jest poznanie pięciu najważniejszych faktów, dzięki którym zrozumienie RODO będzie łatwiejsze. W razie jakichkolwiek wątpliwości można skontaktować się z doradcami np. na tej stronie internetowej — gptogatus.pl.

Kogo dotyczy RODO?

Przede wszystkim trzeba zdawać sobie sprawę z tego, że ochrona, o której mowa wiąże się z osobami fizycznymi, jednak same dane wykorzystywane są przez różne podmioty. Dlatego też w szczególności one muszą dostosować się do zmian w prawie. Dotyczy to zarówno pracodawców, przedsiębiorców działających na terenie UE, organizacji pozarządowych, jak i podmiotów leczniczych. Zatem wszędzie, gdzie pozostawia się swoje dane i gdzie mogą one być następnie przetwarzane.

O jakie dane osobowe chodzi?

Dane osobowe, którymi dysponują firmy, czy choćby przychodnie to nie samo imię i nazwisko, ale również miejsce zamieszkania, czy pesel. Ochronie podlegają adresy e-mailowe oraz numery komórkowe, które często są niezbędne podczas rejestracji. Nie dotyczy to z kolei telefonów służbowych. Z kolei miejsce pracy zostanie już uwzględnione.

Czym jest przetwarzanie danych osobowych?

W kontekście RODO zwrócona została szczególna uwaga na kwestię związaną z przetwarzaniem danych. Jednak nie każdy zdaje sobie sprawę, czym ono jest. Zatem warto wyjaśnić, że to operacja, która wykorzystuje dane osobowe w celu ich:

  • zebrania,
  • utrwalenia,
  • pobrania,
  • wykorzystywania,
  • przesłanie dalej,
  • przechowywania itd.

Główne zasady RODO

Zgodnie z RODO najważniejsze staje się przetwarzanie danych osobowych w sposób, który jest zawsze zgodny z aktualnym prawem. Wszelkie zasady narzucane przez np. firmę muszą zostać przedstawione tak, aby klient rozumiał, co będzie działo się z danymi, które udostępni. Ideą RODO jest także naturalne zmniejszenie powodów, dla których dane zostają zbierane, a następnie przechowywane. Nie ma już dochodzić do sytuacji, kiedy są one wykorzystywane wbrew naszej woli.

Ochrona danych — jakie obowiązki ma Administrator?

Głównym obowiązkiem Administratorów jest wcielenie w życie wszystkich działań, których celem będzie maksymalizacja bezpieczeństwa danych osobowych, które mają być przez niego przetwarzane. I jak już wcześniej było wskazane, muszą umieć udowodnić, że tak postępują. Niestety RODO nie narzuca żadnych konkretnych działań, co w wielu przypadkach może rodzić wątpliwości. Wskazano jednak, aby podmiot zawsze dbał o zabezpieczenie danych, pytał o zgodę przed ich pobraniem oraz, co najważniejsze miał potwierdzenie​, że uzyskał zgodę na ich przekazanie. Innym obowiązkiem Administratora staje się informowanie, do jakich celów i na jak długi czas dane mają zostać pobrane. Prowadzi to do konieczności prowadzenia rejestru czynności przetwarzania danych osobowych.

Podstawą zakupu mediów w modelu programmatic jest precyzyjne targetowanie. Demografia, geolokalizacja, zainteresowania, zachowania zakupowe – to wszystko pozwala reklamodawcom dotrzeć z przekazem do właściwej grupy odbiorców. Jednak nowe przepisy, które narzuca RODO powodują szerokie ograniczenie dostępu do danych użytkowników. To z kolei zmusza reklamodawców do podporządkowania się nowej cyfrowej rzeczywistości. Czy zmiany których jesteśmy świadkami to szansa czy zagrożenie dla branży?

RODO w skrócie

Rozporządzenie o ochronie danych osobowych (ang. General Data Protection Regulation) to europejska regulacja narzucona przez UE na wszystkie kraje członkowskie, która ma służyć ochronie personaliów ich mieszkańców. Po raz pierwszy, skutki prawne za naruszenie ustawy będą takie same dla wszystkich 28 państw. Co więcej, przepisy dotyczą wszystkich przedsiębiorstw chcących przetwarzać dane obywateli UE, bez względu na ich lokalizację. To powoduje, że ustawa ma globalny zasięg. Naruszenie RODO grozi wysokimi karami, nawet do 4% łącznych przychodów firmy. W związku z tym, od momentu wejścia ustawy marketerzy muszą niezwykle dbać o to, aby działania danej marki były zgodne z regulacją. Najważniejsze jest posiadanie jednoznacznej zgody od użytkowników na przetwarzanie ich danych.

Programmatic bez danych?

Zgodnie z przepisami, użytkownicy muszą wyrazić zgodę, a marki jasno określić w jakim celu ich dane są gromadzone. To powoduje że reklamodawcy muszą posiadać zgodę zarówno na wyświetlanie reklam, tworzenie profilu użytkownika, czy ujawniania danych dotyczących interakcji z reklamami. O ile wiele użytkowników niechętnie przekazywało swoje dane przed wejściem RODO w życie, o tyle po jego wejściu ich liczba może znacznie wzrosnąć. W przypadku, gdy dany użytkownik jest już klientem firmy lub jeśli przetwarzanie danych odbywa się na korzyść przedsiębiorstwa regulacja może być omijana dzięki pojęciu „prawnej zgody”. Niestety ma ona ograniczone zastosowanie i w większości przypadków nie obejmuje reklamy.

Przejrzystość w działaniu

Choć RODO wprowadza szereg ograniczeń do światy reklamy, nie skazuje jej tym samym na klęskę. Uzyskanie zgody użytkowników, odpowiednie ich poinformowanie o zamierzonym wykorzystaniu tych danych spada w tym przypadku na wydawców. Zebranie danych nie jest najprostszym zadaniem, ale pozwoli działać branży podobnie, jak dotychczas. Już dziś widać, że odpowiednie przygotowanie i znajomość tematu pozwala na dalsze prowadzenie skutecznych działań.

Branża vs RODO

Przed wejściem RODO w życie, ten temat był poruszany niemal w każdym miejscu. Firmy skrupulatnie przygotowywały się na wejście ustawy. IAB opublikował zaktualizowaną specyfikację „Open RTB”, zgodną z nowymi przepisami. Facebook podjął się roli inspektora danych, oraz wyznaczył zakres swojej odpowiedzialności z tytułu tej funkcji. Będąc bardziej precyzyjnym, w sytuacji, kiedy Facebook działa jako inspektor danych, odpowiedzialność za zapewnienie zgodności działań z RODO spada na przedsiębiorców. Większość firm przygotowała umowy przetwarzania danych dla każdego ze swoich klientów, zatrudniając Inspektora Danych Osobowych odpowiedzialnego za działania zgodne z RODO i innymi przepisami UE z zakresu prywatności i przetwarzania danych osobowych. Do zadań inspektorów należy również dbanie o to, aby wydawcy uzyskiwali od swoich użytkowników odpowiednie zgody, a także właściwie je przechowywali.

Niewątpliwie RODO wywołało niemałe zamieszanie w branży reklamowej. Zamiast wciąż martwić się wejściem w życie RODO i związanymi z tymi konsekwencjami, zarówno reklamodawcy, jak i wydawcy powinni przyswoić sobie nowe zasady „kupowania mediów” i skoncentrować się na zaspokajaniu potrzeb swoich odbiorców.

Autor: Jakub Szczęsny, CTO YieldRiser

W maju ukaże się na rynku wydanie specjalne magazynu „Personel i Zarządzanie” poświęcone w całości zagadnieniom ochrony danych osobowych, zgodnie z wymogami nowej ustawy RODO w zarządzaniu kadrami. Redakcja przygotowała aż 14 eksperckich artykułów, przygotowanych przez prawników, specjalistów IT, którzy dzielą się swoją wiedzą i doświadczeniami w zakresie wprowadzania dyrektyw RODO w działaniach HR.

Wśród najważniejszych zagadnień, czytelnicy znajdą odpowiedzi na pytania:

  •  jak prawidłowo powinna być sformułowana zgoda na przetwarzanie danych osobowych w celach rekrutacyjnych,
  • czy pracodawca musi uzyskać zgodę pracowników na powierzenia danych przez niezależny podmiot,
  • jak długo można przechowywać CV kandydatów po zakończeniu rekrutacji
  • jak przygotować agencję zatrudnienia do działania zgodnie z RODO
  • jak wybrać dobry program komputerowy, który zapewni bezpieczeństwo przetwarzania danych osobowych pracowników,
  • czy po 25 maja należy zgłaszać incydenty naruszenia integralności posiadanych danych, jakie kary mogą grozić pracodawcy za nieprzestrzeganie przepisów RODO

Dodatkowo polecamy rozmowę z Borysem Stokalskim, prezesem Polskiej Izby Informatyki i Telekomunikacji na temat roli dzialów IT we wdrażaniu RODO.

Wydanie specjalne zostało wzbogacone w odpowiedzi na kilkadziesiąt pytań, które zadane zostały podczas wielu szkoleń i webinariów organizowanych przez INFOR.PL.

Wersja PREMIUM zawiera:

  • Personel i Zarządzanie wydanie specjalne – RODO w HR
  • Pendrive z trzema wideoszkoleniami:
  1. 10 przykazań RODO dla pracodawców
  2. RODO w HR nowe zasady przetwarzania danych osobowych kandydatów i pracowników
  3. RODO w HR

http://sklep.infor.pl/personel-i-zarzadzanie—rodo-w-hr.html

Nasze telefony i komputery wiedzą o nas niemal wszystko. Dane osobowe to ślad, który zostawiamy korzystając z ulubionych aplikacji, portali społecznościowych czy po prostu zawierając umowy z przedsiębiorcami. W dziedzinie ochrony danych osobowych wiele zmieni się 25 maja 2018 r. Zaczną wtedy obowiązywać nowe unijne przepisy – Ogólne Rozporządzenie o Ochronie Danych Osobowych, w skrócie „RODO”. Będzie ono dotyczyć wszystkich przedsiębiorców regularnie przetwarzających dane osobowe, bez względu na wielkość firmy. Nowe przepisy dają nam również kilka nowych uprawnień mających na celu skuteczniejszą ochronę naszej prywatności.

Poza zapewnieniem lepszej ochrony naszych danych osobowych i ujednoliceniem zasad ich przetwarzania na obszarze całej Unii Europejskiej, RODO dostosowuje przepisy do dynamicznego postępu technologicznego i realiów dzisiejszego, zdigitalizowanego świata. Nowe rozporządzanie zastąpi mającą ponad 20 lat dyrektywę 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Gdy stara dyretywa wchodziła w życie w 1995 r., świat informatyki ekscytował się nowym systemem operacyjnym – Windowsem 95, który miał zrewolucjonizować funkcjonowanie komputerów. Przyszły założyciel Facebooka – Mark Zuckerberg miał 11 lat, a smartfony po prostu nie istniały. Unijny ustawodawca dążył więc do stworzenia regulacji prawnych niezależnych od postępu technologicznego. Przepisy RODO są dość uniwersalne i elastyczne, co z jednej strony pomaga dostosować je do ciągłego rozwoju nowych technologii, a z drugiej powoduje pewne trudności interpretacyjne. RODO nie mówi przedsiębiorcom jak mają zabezpieczyć nasze dane osobowe i prawo do prywatności. Rozporządzenie określa zasady oraz wymagania i zobowiązuje przedsiębiorców do wprowadzenia odpowiednich „szytych na miarę” rozwiązań zapewniających bezpieczne przetwarzanie danych osobowych.

W Polsce unijne rozporządzenie zostanie wdrożone nową ustawą o ochronie danych – jej projekt jest dostępny na stronie Ministerstwa Cyfryzacji. RODO dotyczy nie tylko samych przedsiębiorców, ale nas wszystkich – klientów sklepów internetowych, użytkowników aplikacji czy portali społecznościowych. Nowe przepisy są istotne właściwie dla każdego, kto kiedykolwiek zgodził się na przetwarzanie swoich danych osobowych w banku, w sklepie internetowym czy u operatora sieci komórkowej. Ale co to właściwie znaczy? Jakie korzyści daje nam nowe prawo? I jak możemy to prawo wyegzekwować? Eksperci Trusted Shops, firmy oferującej gwarancję zwrotu pieniędzy klientom sklepów internetowych, przygotowali zestawienie najważniejszych praw, które dotyczą konsumentów i użytkowników portali internetowych.

Prawo przeniesienia danych

Każda osoba, której dane są przetwarzane będzie mogła żądać od administratora danych, aby przeniósł je do innego, wskazanego przez siebie administratora danych (np. przeniesienie zestawu ulubionych utworów muzycznych z jednego portalu muzycznego do drugiego lub w przypadku zmiany banku – wniosek o przeniesienie ustanowionych stałych zleceń przelewów i zdefiniowanych odbiorców). Dzięki temu zmiana usługodawcy na innego będzie dużo łatwiejsza. Takiego przeniesienia (przekazania) administrator będzie musiał dokonać w ustrukturyzowanym i powszechnie używanym formacie – tak aby dane te można było później odczytać i wykorzystać.

Wzmocnione prawo dostępu do danych

Każda osoba będzie mogła uzyskać informację od administratora danych, czy przetwarza on jej dane osobowe. Jeżeli dane są rzeczywiśćie przetwarzane, możemy wówczas żądać wielu informacji, np. o celu ich przetwarzania, odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione oraz o okresie przechowywania danych. Ponadto po rozpoczęciu stosowania przepisów RODO – w ramach prawa dostępu do danych, będzie można zwrócić się do administratora z żądaniem wydania kopii wszystkich naszych danych osobowych, jakie są przetwarzane przez tego administratora. Przekazanie pierwszej kopii musi odbywać się bezpłatnie. Za wszelkie kolejne kopie, administrator będzie miał prawo pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

Prawo do bycia zapomnianym

To chyba największe udogodnienie wprowadzone w ramach RODO. Wywodzi się z dotychczasowego orzecznictwa sądowego. Mówiąc jaśniej, prawo do bycia zapomnianym to nic innego jak żądanie usunięcia danych osobowych. Będziemy mogli żądać usunięcia danych, na przetwarzanie których wyraziliśmy kiedyś dobrowolną zgodę, a teraz chcemy ją wycofać, a także we wszystkich przypadkach, gdy przetwarzanie naszych danych nie jest już niezbędne do celów, w których zostały one zebrane przez administratora danych. W takiej sytuacji – jeżeli wystąpimy ze stosowną prośbą, nasze dane będą musiały zostać niezwłocznie i w całości skasowanie z systemu administradora danych (danej firmy). Będzie to dotyczyć także kopii, linków, skanów czy papierowej dokumentacji (ksero, wydruki e-maili, skany). To świetne oręże do walki z natrętnymi telemarketerami, mailowymi „okazjami“, ale nawet z takimi gigantami jak Google czy Facebook.

Uregulowane profilowanie

Profilowanie to w pewnym uogólnieniu analizowanie danych osobowych konkretnego konsumenta lub użytkownika odwiedzającego portal internetowy, czy stronę e-sklepu i przypisywanie mu określonych właściwości, cech lub przewidywanie jego zachowań. Dotychczas, mimo dość powszechnego stosowania w marketingowej praktyce, profilowanie nie było objęte większymi ograniczeniami czy wymogami prawnymi. RODO zmieni ten stan rzeczy, wprowadzając do porządku prawnego definicję profilowania oraz obowiązek informowania o jego stosowaniu, już przed rozpoczęciem zbierania danych. Użytkownicy – np. klienci e-sklepów będą natomiast mogli wyrazić sprzeciw wobec profilowania. Ponadto przedsiębiorca wykorzystujący profilowanie w celach marketingowych zobowiązany będzie taki ewentualny sprzeciw i brak zgody na jego stosowanie uszanować i zaprzestać dalszego profilowania. To bardzo istotna zmiana, bo do tej pory profilowanie odbywało się bez wiedzy i kontroli osób, których dane były przetwarzane.

RODO wprowadza również nowe – bardziej rygorystyczne zasady w zakresie wykorzystywania profilowania do zautomatyzowanego podejmowania decyzji, wywołującej wobec konsumenta lub użytkownika skutki prawne (np. przyznanie kredytu lub odrzucenie wniosku). Zautomatyzowane podejmowanie decyzji, w tym profilowanie jest często wykorzystywane np. przez banki do oceny zdolności kredytowej oraz przez firmy ubezpieczeniowe do oceny ryzyka ubezpieczeniowego. RODO wprowadza zasadę, zgodnie z którą każdy człowiek otrzymuje prawo, by decyzje wobec niego nie były podejmowane wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych, w tym profilowanie. Wyjątek będzie dotyczył sytuacji, gdy podjęcie zautomatyzowanej decyzji jest niezbędne do zawarcia umowy, opiera się na uprzednio udzielonej zgodzie lub jest dozwolone prawem państwa członkowskiego UE.  Przepisy umożliwiają osobie, która podlega zautomatyzowanej decyzji, prawo do zakwestionowania wydanej w taki sposób decyzji, wyrażenia własnego stanowiska i uzyskania interwencji ludzkiej ze strony administratora danych.

Niechciane smsy, telefony – łatwiejsze egzekwowanie praw

Każdy z nas zetknął się z uciążliwymi i powtarzającymi się smsami czy telefonami call center firm oferujących zaproszenia na prezentacje produktów. Pomimo istniejących już obecnie odpowiednich regulacji prawnych, mało kto decydował się na walkę z tego typu praktykami.

Po rozpoczęciu stosowania przepisów RODO, zwykłemu Kowalskiemu łatwiej będzie walczyć z niechcianymi smsami i telefonami, na które nigdy nie wyraził swojej zgody. Przedsiębiorca – po pierwsze zobowiązany będzie uszanować nasze prawo do bycia zapomnianym (usunięcia danych), a jeżeli będziemy dociekliwi – zobowiązany będzie udzielić nam informacji o podstawie prawnej przetwarzania naszych danych oraz udowodnić, iż wszedł w ich posiadanie w sposób zgodny z obowiązującymi przepisami. W przeciwnym razie będzie się narażał na bardzo wysokie kary administracyjne – do 20 mln euro lub 4 proc. całkowitego rocznego obrotu z poprzedniego roku. Co istotne – po rozpoczęciu stosowania przepisów rozporządzenia, egzekwowanie tych kar będzie łatwiejsze i bardziej efektywne. Postępowania przed przyszłym organem nadzorczym – Prezesem Urzędu Ochrony Danych będą jednoinstancyjne, a kontrole zdecydowanie szybsze – mają trwać nie dłużej niż 30 dni. Ponadto projekt nowej ustawy o ochronie danych, zakłada nowy, niezależny od już istniejących, mechanizm kierowania roszczeń z tytułu naruszenia prawa ochrony danych osobowych do sądu powszechnego – z pominięciem konieczności złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

W efekcie znacznie łatwiej będzie nam egzekwować nasze prawa, a sankcje dla nieuczciwych administratorów danych za bezprawne wykorzystywanie danych osobowych będą realnym i dotkliwym zagrożeniem. Można przypuszczać, że realne ryzyko wysokich kar wraz z wzrastającą świadomością prawną osób, których dane są przetwarzane, skłoni wiele firm z branży call center do refleksji i wdrożenia odpowiednich środków i procedur zapewniających stosowne poszanowanie prywatności. Wprowadzenie zaostrzonych regulacji może mieć pozytywny wpływ na całą branżę call center oraz zwiększyć jakość obsługi klienta.

Chyba nie ma już dziś osoby, która nie słyszałaby o unijnym rozporządzeniu o ochronie danych osobowych (RODO). Przepisy wchodzą w życie 25 maja, co oznacza, że grzywny za niezachowanie zgodności z nowym prawem czają się tuż za rogiem. Zapraszamy do zapoznania się z pięcioma poradami, które pozwolą uniknąć nieprzyjemnych incydentów. 

Warto pamiętać, że droga do sfinalizowania unijnej dyrektywy była długa i wyboista – wszystko zaczęło się w 2012 roku, kiedy Komisja Europejska zaproponowała kompleksową reformę przepisów o ochronie danych z 1995 r. Propozycje zmieniły się w plany, a te stają się wreszcie rzeczywistością. Po wszystkich rozmowach, komentarzach, radach i debatach, okres dostosowawczy dobiega końca. W tym czasie bynajmniej nie brakowało informacji o tym, czego można oczekiwać po nowych regulacjach. Ogromna ilość literatury związanej z RODO (ang. GDPR, General Data Protection Regulation) jest jednak uzasadniona, zważywszy na skutki rozporządzenia.

RODO wywrze głęboki wpływ na wszystkie organizacje, które są odpowiedzialne za przetwarzanie i przechowywanie danych osobowych obywateli Unii Europejskiej. W praktyce oznacza to, że odczują go również firmy spoza Europy. W istocie każda organizacja, która prowadzi interesy z partnerem w Europie, będzie podlegać nowym regułom. W dzisiejszym cyfrowym świecie bez granic globalne przedsiębiorstwa będą zobligowane przestrzegać tych samych przepisów dotyczących przetwarzania informacji osobowych.

Przypomnijmy, że grzywny mogą być bardzo wysokie: do 4 proc. rocznego obrotu organizacji albo 20 milionów euro – w zależności od tego, która kwota jest większa. W obliczu nadchodzącego terminu wejścia w życie nowego prawa, warto dokładnie i kilkukrotnie sprawdzić to, czy firma jest odpowiednio przygotowana. Ryzyko niezgodności z przepisami i grożące kary finansowe są zbyt duże, żeby zdać się na łut szczęścia.

Andrzej Niziołek z Veeam Software w prosty sposób opisuje kilka istotnych aspektów, na które warto zwrócić uwagę podczas końcowego odliczania.

  1. Upewnij się, że każdy wie o nowych przepisach

Niektóre firmy i organizacje przygotowujące się na RODO mianują albo już mianowały inspektora ochrony danych osobowych. W istocie w niedawnym artykule w IT Pro można było przeczytać o firmach nerwowo poszukujących kandydatów na to stanowisko. Nawet jeśli niektóre zwlekały z zatrudnieniem takiego specjalisty zbyt długo, rekrutacja takiej osoby to rozsądna decyzja, ponieważ inspektor nie tylko jest przydatnym ekspertem, ale może być również orędownikiem RODO – kimś, kto zaznajomi całą firmę z najlepszymi praktykami RODO. Co więcej, będzie umiał zarekomendować narzędzia, które pomogą w tworzeniu zapasowych kopii danych na wypadek ataku.

Ale nawet przedsiębiorstwa, które nie planują zatrudnić inspektora danych osobowych, powinny pamiętać, że RODO jest sprawą całej organizacji. Oznacza to, że wszyscy kluczowi interesariusze powinni dobrze zrozumieć implikacje i wymagania nowych przepisów oraz ich wpływ na procesy w firmie.

  1. Przeprowadź audyt danych

W tym momencie każda firma powinna już wiedzieć, jakie dane osobowe posiada w swoich zasobach informatycznych, gdzie i jak są one przechowywane oraz skąd pochodzą. Organizacje powinny też wiedzieć, dlaczego są w posiadaniu tych informacji oraz w jaki sposób je uzyskały. Lokalne agencje ds. zgodności z RODO mogą im zadać każde z tych pytań.

Jeśli Twoja firma nie dysponuje takim poziomem wiedzy, czas się pospieszyć i znaleźć odpowiedzi na pytania. Od końca maja 2018 r. trzeba będzie umieć określić podstawę prawną do przetwarzania danych. Władze nie będą pobłażać firmom, które padają ofiarą ataków, a nie mają kopii zapasowych, które zapewniałyby bezpieczeństwo danych. Grzywny są realne, o czym niebawem przekonamy się na czyimś przykładzie.

  1. Zapoznaj się z prawami konsumentów dotyczącymi prywatności

Jedną z dużych zmian, jakie przynosi RODO, są większe prawa obywateli związane z zarządzaniem danymi. Warto przywołać w tym miejscu konkretny przykład dowodzący siły tego narzędzia – w ciągu trzech minionych lat do Google wpłynęło 2,4 mln wniosków o usunięcie wyników wyszukiwania. Liczba ta szybko wzrośnie, kiedy ludzie lepiej zrozumieją swoje prawo do bycia zapomnianym.

Oprócz tego właściciele danych osobowych będą mogli domagać się dostępu do informacji personalnych albo do otrzymania ich kopii (w czytelnym dla nich formacie). Jeśli nie chcesz, żeby prawo to stało się dużym obciążeniem dla Twojej organizacji, upewnij się, że możesz oznaczyć lokalizację każdego zbioru danych, aby w razie potrzeby móc uzyskać do niego dostęp. To mała zmiana, które może przynieść duże korzyści.

  1. Stwórz plan na wypadek naruszenia ochrony danych

Według przepisów RODO organizacje muszą zgłosić naruszenie ochrony danych w ciągu 72 godzin od jego wykrycia. Nie zostawia to wiele czasu, zwłaszcza że pierwsze godziny po włamaniu będą bardzo nerwowe ze względu na konieczność zabezpieczenia śladów i zapanowania nad sytuacją. W rezultacie trzeba zadbać o przygotowanie właściwego planu, który umożliwi wykrycie, zgłoszenie i opanowanie incydentu, jeśli do niego dojdzie.

Tu może pomóc dodatkowe oprogramowanie do raportowania. Narzędzia, które pozwalają firmom dokładnie wskazać lokalizację repozytoriów kopii zapasowych, mogą oszczędzić dużo czasu podczas zgłaszania incydentu  A jeśli dane staną się niedostępne z powodu złośliwego oprogramowania, technologie do przywracania umożliwią ich łatwe odzyskanie.

  1. Nie przestawaj udoskonalać wewnętrznych procedur

Oczywiście dobrze jest mieć plan, ale jeszcze lepiej jest pozostawić miejsce na ciągłe ulepszenia. Zwłaszcza wówczas, kiedy w grę wchodzi dostępność, jakość i bezpieczeństwo danych – kiedy dane stają się jednym z najcenniejszych zasobów naszych czasów.

Zważywszy na tempo, w jakim zmienia się współczesny świat, jest bardzo prawdopodobne, że w najbliższych latach będzie zmieniał się również krajobraz cyfrowy – nawet jeszcze szybciej niż w ciągu minionej dekady. Dlatego trzeba iść z duchem czasu, testując nowe technologie i ewoluując wraz z nimi. RODO nie kończy się 25 maja, ale właśnie wtedy się dopiero zaczyna.

 

Autor: Andrzej Niziołek

RODO to wielowątkowa i złożona regulacja, której wdrożenie wymaga zaangażowania praktycznie wszystkich komórek organizacyjnych.

Dlatego nie jest dla nas niespodzianką to, że działania dostosowawcze do RODO przerastają możliwości wielu firm. Aktualnie obserwujemy zmagania z krótkim czasem, jaki pozostał do daty wejścia przepisów w życie.

5 wyzwań w procesie wdrażania RODO, gdzie audyt wewnętrzny powinien pomóc

Wiele aspektów dostosowania w praktyce okazało się trudniejszych niż zakładano. Możemy wydzielić grupę wyzwań wynikających z materii rozporządzenia oraz grupę związaną z zarządzaniem projektem dostosowania. Pierwsze wynikają z jego rewolucyjnego charakteru – określenia celów bez podania sposobów ich osiągnięcia. Druga grupa to typowe zmagania z zarządzaniem zakresem, harmonogramem i budżetem prac.

1. Dobry plan projektu

Wdrożenie jest wieloetapowe i angażuje bardzo wiele osób. Kluczowe jest szczegółowe zdefiniowanie zadań, przypisanie odpowiedzialności i monitorowanie postępu prac. Wyzwaniem jest aktualizacja planu prac, gdyż pierwsze etapy mają charakter diagnozy i lista zadań tworzona jest w trakcie projektu. Pierwszy harmonogram jest z natury obarczony znacznym błędem i brak rezerwy czasowej na prace dodatkowe ma poważne konsekwencje dla terminowości dostosowania.

2. Przemyślane podejście i metodyka

Błędy i pominięcia kumulują się. Jeżeli wyniki prac mają spełniać wymogi jakościowe, konieczne będą uzupełnienia i poprawki. Dlatego nieprzemyślane podejście mści się wielokrotnie. Najpoważniejsze konsekwencje wynikają z niedostatecznego zakresu inwentaryzacji czynności przetwarzania.

3. Dobre narzędzia

Jak w każdym działaniu, dobre narzędzia zwiększają skuteczność działania. Dyscyplinują, gdyż każą podążać za metodyką. Ułatwiają również konsolidację informacji z wielu źródeł. Warto pójść za ciosem i na podstawie metodyki opracować narzędzia. To mogą być proste rozwiązania, jak tabele w arkuszach kalkulacyjnych.

4. Podejście procesowe

RODO posługuje się pojęciami celów i czynności przetwarzania danych osobowych. To domena zarządzania procesowego, ale zarządzanie procesowe nie jest domeną wielu firm. Wdrożenie wymogów RODO oznacza konieczność „odrobienia zaległej pracy domowej” z zakresu mapowania procesów i przepływu danych.

 5. Zarządzanie dostawcami

Ocena dostawców oraz ryzyka, jakie generują dla kupującego to część dobrych praktyk, ale tylko najlepsi je do tej pory stosowali. Przy przyjętej w RODO konstrukcji odpowiedzialności za naruszenie ochrony danych, proces ten musi być wdrożony w odniesieniu do dostawców, którzy są bezpośrednio zaangażowani lub mają wpływ na przetwarzanie danych osobowych.

Już 25 maja czeka nas nowa rzeczywistość w zakresie ochrony danych osobowych. W życie wejdzie unijna dyrektywa RODO, która oznacza największą od 21 lat zmianę w przepisach dotyczących danych osobowych. W praktyce, wprowadzenie tego rozporządzenia pociągnie za sobą potrzebę utworzenia lub w najlepszym przypadku zaktualizowanie istniejących baz danych, włącznie z uzyskaniem nowych zgód. W przypadku dużych baz danych, zgody na przetwarzanie danych osobowych firmy mogą pozyskiwać np. za pomocą masowej wysyłki SMS.

Wszystkie firmy, które gromadzą i wykorzystują dane dotyczące osób fizycznych zmierzą się już wkrótce z wielkim wyzwaniem, jakim jest dostosowanie baz danych do nowych regulacji o ochronie danych osobowych RODO.

Warto pamiętać, że nowe unijne prawo dotyczyć będzie nie tylko nowo tworzonych baz danych. Nowym regulacjom podlegać będą również bazy utworzone przed 25 maja 2018 r. Wiele firm przez całe lata budowało bazy danych swoich klientów wykorzystując bezpośredni kontakt np. w sklepie stacjonarnym oraz rozmaite akcje prowadzone online takie jak np. konkursy.

– Warto przejrzeć swoje bazy danych i spróbować zweryfikować, czy znajdujące się w nich dane są aktualne, oraz zastanowić się, czy rzeczywiście są one potrzebne w takim zakresie, w jakim zostały zebrane oraz czy cele, dla których oryginalnie je zgromadzono nie zmieniły się. W przypadku dużych baz danych wykorzystywanych w marketingu SMS, z pomocą w uaktualnieniu bazy numerów telefonów może przyjść m.in. technologia HLR (Home Location Register), która zapewnia automatyczne sprawdzenie ważności dowolnego numeru telefonu komórkowego w sieci GSM, w tym również ustalenie czy numer nie istnieje, jest nieużywany bądź stanowi numer telefonu stacjonarnego, bez ujawniania jakichkolwiek informacji o kliencie telefonii komórkowej. Dzięki niej każdy usługodawca może usunąć nieprawidłowe wpisy ze swojej bazy danych, aby zawierała ona jedynie prawidłowe numery.  – tłumaczy Kamila Górna, manager ds. rozwoju w firmie Infobip.

Dobrym sposobem na pozyskanie nowych zgód klientów może być masowa wysyłka SMS. Zgodnie z dyrektywą RODO zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.” Ponieważ taka zgoda może mieć formę pisemnego (w tym elektronicznego) oświadczenia do aktualizacji baz danych z powodzeniem można wykorzystać masową wysyłkę SMS. Pozyskać zgody można np. przy okazji innych działań komunikacyjnych skierowanych do klientów – np. podczas badań ankietowych prowadzonych przy użyciu SMS, konkursów konsumenckich oraz przeprowadzając standardową kampanię informacyjną. Osoba udzielająca zgody musi mieć wybór i taką zgodę wyrażać świadomie.

– Nowe rozporządzenie dotyczące ochrony danych osobowych wymusza na przedsiębiorcach aktualizację, a tak naprawdę, stworzenie od nowa baz danych osób fizycznych. Niezależnie od tego, czy będziemy jedynie weryfikować bazę danych naszych klientów czy też tworzyć ją od nowa, warto zminimalizować koszty tej operacji. Zwłaszcza w sytuacji, gdy dysponujemy dużymi bazami danych. W takim przypadku doskonale sprawdzi się np.; masowa wysyłka SMS-ów, za pomocą których dotrzemy z informacją do naszych klientów. SMS może zawierać indywidualny link przenoszący do formularza subskrypcji i aktualizacji danych. Tworzenie baz danych lub aktualizacja obecnych za pomocą SMS-ów, pozwoli w tej sytuacji nie tylko na zminimalizowanie kosztów, ale również nie będzie tak czasochłonne, jak w przypadku innych rozwiązań.  – mówi Aleksander Siczek, Business Development Manager w firmie Infobip.

Dyrektywy RODO wprowadzić będą musiały wszystkie firmy, które gromadzą i wykorzystują dane dotyczące osób fizycznych, zarówno duże korporacje jak np.; instytucje finansowe, agencje marketingowe czy też niewielkie firmy rodzinne takie jak salon fryzjerski lub sklep internetowy. Z dniem wejścia nowego rozporządzenia w życie, firmy by uniknąć wysokich kar powinny usunąć dane osób fizycznych, od których nie udało się uzyskać nowych zgód. W myśl nowych regulacji, aktualizacji bazy danych można dokonywać tak jak do tej pory, przy różnych okazjach typu: przeprowadzenia konkursu lub ankietowania klientów.

Należy pamiętać, że naruszenie przepisów RODO może wiązać się z nałożeniem znaczących kar finansowych. Ich wysokość będzie zależała od tego, które wymaganie nowych przepisów zostanie niewypełnione, ale za niektóre czynności kara sięgnąć może nawet 4 proc. rocznego obrotu przedsiębiorstwa.

Organizacje – niezależnie od swojej wielkości, zakresu działań i zasięgu terytorialnego – realizując swoje zadania przetwarzają dane osobowe. Są to np. informacje dotyczące pracowników, partnerów biznesowych czy zewnętrznych dostawców. Ich przetwarzanie wymaga co najmniej posiadania i stosowania polityki bezpieczeństwa danych osobowych. Czym jest i co powinien zawierać taki dokument?

Czym one są?

Polityki ochrony danych osobowych to wewnętrzne regulacje przedsiębiorstwa, które określają normy postępowania jej pracowników i współpracowników w zakresie ochrony danych. Mogą one mieć różny stopień szczegółowości – od zobowiązania osób zatrudnionych do przestrzegania ogólnych zasad, poprzez standardowe procedury postępowania do szablonów i klauzul, z których należy korzystać m.in. przy zbieraniu zgody na przetwarzanie danych osobowych lub realizacji obowiązku informacyjnego.

Prowadzenie odpowiednich polityk ochrony danych stanowi obowiązek, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania (art. 24 ust. 2 RODO). Powinny być one wewnętrznie wiążące, tj. przyjęte formalnym aktem organu – mówi dr Paweł Mielniczek, ekspert ds. ochrony danych,  ODO 24. Polityki ochrony danych mogą ustanawiać odpowiednie środki organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO (art. 24 ust. 2 RODO). Wdrożenie odpowiednich procedur jest jednym ze sposobów realizacji zasady rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie unijnego prawa (art. 5 ust. 2 RODO) – dodaje dr Paweł Mielniczek.

Jakie aspekty należy uregulować?

RODO nie precyzuje, jakie polityki ochrony danych należy wprowadzić. Aby ocenić, co będzie proporcjonalne w stosunku do czynności przetwarzania, należy spojrzeć z perspektywy poszczególnych aspektów ochrony danych osobowych regulowanych przez europejskie rozporządzenie. Jeżeli któryś z nich jest istotny dla organizacji, warto się do niego odnieść w projektowanych politykach.

Wśród kwestii ochrony informacji, które mogą wymagać uwzględnienia w wewnętrznych procedurach, znajdują się m.in.:

  • ogólne zasady bezpieczeństwa informacji;
  • przekazywanie informacji osobowych poza Europejski Obszar Gospodarczy;
  • kopie zapasowe i ciągłość działania;
  • ochrona przed szkodliwym oprogramowaniem;
  • urządzenia mobilne i telepraca;
  • powierzenie przetwarzania danych;
  • zarządzanie ruchem sieciowym i bezpieczeństwem komunikacji;
  • bezpieczeństwo informacji w relacjach z dostawcami;
  • ocena skutków przetwarzania dla ochrony danych (DPIA);
  • szacowanie ryzyka związanego z bezpieczeństwem informacji;
  • wyznaczenie Inspektora Ochrony Danych (IOD);

Jak przygotować polityki ochrony danych osobowych?

Po pierwsze, należy sprawdzić, czy i w jaki sposób poszczególne aspekty były już uregulowane w organizacji. Dzięki identyfikacji zakresu dotychczasowej regulacji będzie można odpowiedzieć na pytanie, jaka część dokumentacji wymaga jedynie aktualizacji. W pozostałym zakresie, może być konieczne przygotowanie całkowicie nowych zapisów. Po drugie, należy ocenić, które elementy są istotne z punktu widzenia prowadzonych przez firmę operacji przetwarzania i w jakim zakresie wymagają regulacji. Następnie można przystąpić do określenia nazw aktów, w których zostaną uregulowane poszczególne aspekty. Przykładowo kwestie dotyczące środków technicznych bezpieczeństwa informacji (m.in. kopie zapasowe i ciągłość działania, ochrona przed szkodliwym oprogramowaniem) można dla ułatwienia objąć jednym, dużym dokumentem.

Przystępując do przygotowania właściwej treści przepisów, należy w najszerszym możliwym zakresie posługiwać się pojęciami i sformułowaniami z RODO, opracowując je w przejrzystej i łatwo zrozumiałej formie, która pozwoli łatwo zrozumieć pracownikom i współpracownikom, jakie kroki powinni podjąć – wskazuje Paweł Mielniczek, ekspert ds. ochrony danych, ODO 24. Dokumentacja ma wartość użytkową, jeśli jasno określa, kto i w jakich okolicznościach jest odpowiedzialny za realizację poszczególnych postanowień oraz w jaki sposób powinien się do nich stosować. Dla ułatwienia zastosowania nowych regulacji, warto jest przygotować formularze i szablony, których wypełnienie będzie stanowić realizację danego obowiązku (np. wzory klauzul informacyjnych, wzory klauzul zgody, szablony oceny skutków dla ochrony danych) dodaje.

 

Pseudonimizacja danych nie jest jedynie pojęciem wprowadzanym przez RODO. Już od pewnego czasu stała się np. częstą praktyką stosowaną w szkołach, w celu nieujawniania danych osobowych uczniów. Po 25 maja br. wszystkie firmy będą musiały zadbać o odpowiednią ochronę przetwarzanych informacji. Jak przedsiębiorcy mają sobie poradzić z takim wyzwaniem w przypadku braku szczegółowych wytycznych? Czy pseudonimizacja może być odpowiedzią na to pytanie?

RODO kontra firmy

Europejskie rozporządzenie narzuca wszystkim administratorom – czyli organom, jednostkom organizacyjnym, podmiotom lub osobom decydującym o celach i środkach przetwarzania danych – obowiązek odpowiedniego zabezpieczenia danych osobowych. Obecnie firmy muszą jedynie wykazać zgodność stosowanych środków bezpieczeństwa z rozporządzeniem o środkach zabezpieczających z 2004 r. Po 25 maja br. sytuacja się zmieni. To organizacje będą zobowiązane do samodzielnego ocenienia ryzyka naruszenia ochrony danych. RODO jedynie wskazuje ogólne obowiązki wdrożenia środków technicznych i organizacyjnych przetwarzania informacji, uwzględniających m.in. charakter, zakres, kontekst, a także wprowadzenia polityk ochrony wskazuje Marcin Kujawa, WTB.

Pseudonimizacja jako złoty środek?

RODO wprowadza pojęcie pseudonimizacji, które oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie, której one dotyczą, bez użycia dodatkowego „klucza”. Mówiąc prościej, to użycie zamiast np. imienia i nazwiska – liczby. Wymóg jest jeden, klucz z właściwymi danymi do odszyfrowania powinny być przechowywane osobno. Dzięki czemu nawet jeśli doszłoby do wycieku, osoba nieupoważniona niewiele by się z tych danych dowiedziała.

Ciekawe jest to, że pseudonimizacja od pewnego czasu stosowana jest w szkołach, gdzie oceny publikuje się wraz z identyfikatorem ucznia zamiast jego imienia i nazwiska. Może być ona wygodnym sposobem na zabezpieczenie również wrażliwych danych, ponieważ znacznie złagodzone będą wymogi dotyczące ochrony informacji zapisanych w ten sposób. Warto wspomnieć, że można również zastosować anonimizację informacji, po której nie da się ich przypisać  do konkretnych osób. Przez co nie muszą być zabezpieczane na tak wysokim poziomie jak te które nie podlegają procesowi anonimizacji – mówi Marcin Kujawa, WTB.

Co więcej?

Należy pamiętać, że pseudonimizacjia to nie to samo co  anonimizacja, która jest  modyfikacją danych uniemożliwiającą identyfikację osoby fizycznej, pseudonimizacja jest procesem odwracalnym. Zwiększa ona bezpieczeństwo informacji, przez co pozostają one według prawa nadal danymi osobowymi. Należy zauważyć, że rozporządzenie traktuje to narzędzie jako pomocnicze, które może być wykorzystane przez Administratorów.

Przedsiębiorcy powinni zwrócić uwagę, że to jakie narzędzie ochrony zastosują wynikać będzie z analizy ryzyka w danej firmie. Należy zauważyć, że rozporządzenie traktuje pseudonimizację jako narzędzie pomocnicze, które może, ale nie musi być wykorzystane przez Administratorów. Zasadność użycia danego sposobu bezpieczeństwa powinno być uwzględnione już w samej fazie projektowania nowego systemu   – podsumowuje Marcin Kujawa, WTB.

Coraz większa ilość danych, w tym danych poufnych, umieszczanych w sieci, wymaga od jej administratorów podejmowania coraz to nowych starań zmierzających do ich właściwego zabezpieczenia. Od maja 2018 roku ich obowiązki związane z ochrona danych osobowych regulować będzie unijne rozporządzenie RODO.

Czy modyfikacja przepisów dotyczących bezpieczeństwa danych jest naprawdę konieczna?

Zdecydowanie tak. Nawet jeżeli nowe prawo wiąże się z pewną uciążliwością dla firm zmuszonych do wdrożenia nowych reguł, należy zdawać sobie sprawę, że w obecnych czasach, czasach rozwoju technologii teleinformatycznych, coraz więcej poufnych danych jest umieszczanych w internecie (zwłaszcza biorąc pod uwagę sektor usług hostingowych i cloud computing) bądź udostępnianych różnym podmiotom. Dlatego też przepisy dotyczące ich odpowiedniego zabezpieczenia muszą nadążać za rozwojem technologii. Temu w założeniu ma służyć RODO.

Czym jest RODO?

„RODO”, czy tez inaczej „GDPR” albo „Ogólne Rozporządzenie o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Co prawda rozporządzenie weszło w życie 17 maja 2016 r. ale zacznie  obowiązywać bezpośrednio w poszczególnych krajach UE dopiero od dnia 25 maja 2018 r. Rozporządzenie dotyczyć będzie wszystkich, przetwarzających dane osobowe w związku z prowadzoną działalnością gospodarczą.

Jakie nowe obowiązki spoczną na instytucjach gromadzących i przetwarzających dane?

Jest ich całkiem sporo, ale do najważniejszych można zaliczyć nałożenie na takie instytucje konieczności zatroszczenia się o bezpieczeństwo danych już w fazie projektowania rozwiązań mających na celu ich przetwarzanie; np. portali społecznościowych, aplikacji, konkursów internetowych itp. To administrator będzie musiał opracować takie rozwiązania, które zapewnią bezpieczeństwo danych w maksymalny możliwy sposób. Kolejna zmiana dotyczy informowania klientów co do zasad obejmujących gromadzenie i przetwarzanie danych. Firma będzie zobowiązana do o wiele bardziej szczegółowego wyjaśnienia swoim kontrahentom reguł związanych z bezpieczeństwem udostępnianych przez nich informacji. Dotychczasową, znaną wszystkim krótką formułkę dotycząca ochrony danych i zgody na ich przetwarzanie zastąpią nowe, dłuższe formularze dokładniej pouczające klienta o nowych procedurach. Inna rzecz; od maja bieżącego roku,  zgodę na przetwarzanie danych osobowych będzie mogła wyrazić osoba, która ukończyła zaledwie 16 rok życia. Jeżeli chodzi o osoby młodsze,  to konieczna będzie zgoda rodzica lub opiekuna prawnego, zaś administrator będzie musiał potwierdzić wiarygodność takiej zgody. Nowe przepisy umożliwią potwierdzenie wieku użytkowników konkretnych portali internetowych (np. gier internetowych, portali społecznościowych).

Gdyby pomimo zaostrzonego prawa doszło jednak do wycieku danych, administrator w ciągu maksymalnie 72 godzin ma obowiązek poinformować właściwy organ nadzoru przypadków naruszeń (w Polsce jest to GIODO), a w niektórych sytuacjach także klientów. RODO wprowadza ponadto różne obowiązki dotyczące ochrony danych w stosunku do małych i średnich przedsiębiorstw oraz wielkich firm i korporacji. Dotychczas obowiązki te były jednakowe dla obu powyższych kategorii podmiotów biznesowych.

Czy to całość zmian przewidywanych przez unijnych legislatorów?

Nie. RODO to największa modyfikacja prawa dotyczącego ochrony danych osobowych od 20 lat. Modyfikacji jest znacznie więcej. Np. te dotyczące rozszerzenia praw klientów korzystających z usług firm gromadzących i przetwarzających poufne informacje; będą oni mogli skorzystać z tzw. „prawa do bycia zapomnianym”, czyli zażądać usunięcia swoich danych z konkretnych serwerów, przeniesienia ich danych oraz uzyskają łatwiejsze możliwości dostępu do tychże informacji, a ponadto będzie im przysługiwać prawo do sprzeciwu wobec ich przetwarzania – co z kolei może stanowić spory problem dla firm zajmujących się tworzeniem i sprzedażą baz danych.  Organizacje zajmujące się  przetwarzaniem danych osobowych innych podmiotów (np. administratorzy chmur) poniosą bezpośrednią odpowiedzialność w przypadku naruszenia przepisów RODO. Może ona przyjąć postać kary finansowej. Nowe prawo ograniczy możliwości profilowania –  przede wszystkim administrator będzie musiał uzyskać zgodę na profilowanie jeszcze przed rozpoczęciem gromadzenia danych, oraz podlegać bezwzględnemu obowiązkowi informowania o profilowaniu oraz wymogowi podporządkowania się brakowi zgody na profilowanie. Niektóre firmy będą musiały powołać nowe stanowisko –  Inspektora Ochrony Danych Osobowych – czyli osobę wyspecjalizowaną w zagadnieniach dotyczących ochrony danych.

Jakie konsekwencje grożą za złamanie nowego prawa?

Bardzo poważne, a dokładnie: wysokie kary finansowe. Mogą one sięgać  do 20 bądź do 40 mln euro albo w przypadku przedsiębiorców 2–4 proc. rocznego światowego obrotu przedsiębiorstwa. O jej dokładnej wysokości zadecyduje organ nadzorujący bezpieczeństwo danych w konkretnym kraju (czyli w Polsce  GIODO). Ponadto wysokie kary będą grozić za transfer niewłaściwie zabezpieczonych danych poza granice Unii Europejskiej.

Autor: Niko Bałazy S-Net Sp. z o.o.

RODO to ostatnio gorący temat. Zostało już bardzo mało czasu na odpowiednie przygotowanie do nowego unijnego rozporządzenia. Niestety na niewiedzy i wkradających się emocjach przedsiębiorców żerują oszuści. Co zrobić, żeby nie dać się zastraszyć?

Zostało mało czasu

RODO przyniesie zmiany zarówno dla osób, których dane są przetwarzane jak i dla administratorów informacji, czyli przedsiębiorców, banków, organizacji czy innych instytucji zarządzających danymi. Wiele firm nie zdążyło zadbać o odpowiednie przygotowanie się na nadchodzącą ewolucję prawną. Niestety jest to idealna okazja dla oszustów, którzy mogą wykorzystać pośpiech oraz strach przedsiębiorców przed negatywnymi konsekwencjami. Naruszenie unijnego rozporządzenia wiąże się z wysokimi karami sięgającymi maksymalnie nawet 4 proc. obrotów rocznych firmy lub 20 mln euro. Ponadto, za niestosowanie nowego prawa grozi również utrata dobrego wizerunku organizacji. Przykładem takich nielegalnych działań może być sytuacja, która spotkała firmę ODO 24.

Na przestrzeni ostatnich dni dotarły do nas niepokojące informacje dotyczące nieuprawnionego wykorzystywania nazwy naszej firmy przez osoby trzecie. Działania tych osób skupiają się na rozsyłaniu nieprawdziwych wiadomości e-mail, w których oferują swoje usługi związane z dostosowaniem do europejskiego rozporządzenia o ochronie danych osobowych (tzw. RODO) oraz grożą „skierowaniem sprawy do GIODO, sądu i prokuratury”, w przypadku nie skorzystania z ich usług  – mówi Tomasz Ochocki, kierownik zespołu merytorycznego, ODO 24. Niestety sami byliśmy tego ofiarą i ktoś próbował wykorzystać nazwę ODO 24. Nasza firma odcina się całkowicie od działań tego typu podmiotów i nie jest w żaden sposób powiązana z oferowanymi usługami oraz z nieprawdziwymi i bezpodstawnymi groźbami pojawiającymi się we wskazanej wiadomości dodaje.

Reaguj!

Istotne jest, aby wszelkie takie próby zastraszenia lub wyłudzenia pieniędzy spotykały się z reakcją społeczeństwa. Rozsyłanie jakichkolwiek ofert podszywając się pod innego przedsiębiorcę jest niezgodne z prawem i stanowi czyn nieuczciwej konkurencji.

Nasza firma podjęła już działania zmierzające do zaprzestania bezprawnego używania nazwy firmy, na której renomę pracowaliśmy przez wiele lat. Rozważamy również dochodzenie swoich praw na drodze postępowania sądowego. Chcielibyśmy jednocześnie przestrzec Państwa przed oszustwami ze strony tego jak i podobnych podmiotów oraz prosić o rozwagę przy wyborze usług – wskazuje Tomasz Ochocki, kierownik zespołu merytorycznego, ODO 24. Zapewniamy, iż spółka ODO 24 Sp. z o.o. nigdy nie prowadziła i nie prowadzi żadnych podobnych działań, w których zmuszałaby kogokolwiek do korzystania z naszych usług, grożąc przy tym pociągnięciem do odpowiedzialności. Działania takie pozostają sprzeczne z polityką firmy i są bardzo dalekie od sposobu, w jaki nawiązujemy współpracę ze swoimi klientamidodaje.

Najważniejsze jest jednak to, że zdrowy rozsądek stanowi nasze jedyne zabezpieczenie przed takimi sytuacjami. Nie dajmy się zastraszać. Jeśli ktoś grozi nam prokuraturą lub windykacją bądźmy czujni, zazwyczaj są to jedynie puste słowa. Firmy nie powinny się nigdy decydować na współpracę z takimi podmiotami.

Każdy pewno zauważył, że ostatnio podczas  odwiedzin stron serwisów internetowych coraz częściej pokazują się prośby o wyrażenie zgody na przetwarzanie danych osobowych i profilowanie? Są jednak nieco inne niż te, które zazwyczaj przeklikiwaliśmy – bardziej obszerne. To zasługa niepewności przedsiębiorców, jaką niesie ze sobą rozporządzenie o ochronie danych osobowych (RODO).

Przyzwyczailiśmy się już do tzw. ciasteczek – cookies. Dla porządku, ciasteczko to mały plik, który serwis internetowy wysyła do naszej przeglądarki, ta z kolei zapisuje go na naszym urządzeniu (laptop, smartfon), a później odsyła do serwisu przy kolejnych odwiedzinach tej samej witryny. To dzięki ciasteczkom użytkownik nie musi wpisywać pełnego adresu strony za każdym razem, gdy do niej powraca (bo np. przeszedł na chwilę do innego serwisu, a teraz wraca do danej strony), ulubionych ustawień czy unikalnego numeru przeglądarki, który także do strony www jest zazwyczaj przesyłany.

Między innymi dzięki ustawieniom w plikach ciasteczkowych śledzenie aktywności internautów jest możliwe. Pliki cookies i ich stosowanie na gruncie ciągle jeszcze obowiązujących przepisów o ochronie danych osobowych wymagają jedynie podania użytkownikowi (internaucie) informacji, że strona z tychże ciasteczek korzysta.

Niedługo ta sytuacja może się zmienić i w przypadku wspomnianych we wstępie serwisów internetowych – właśnie się zmienia. Niektóre serwisy, zamiast tylko informować, zaczynają bowiem zbierać od użytkowników zgody na „śledzenie” poprzez ciasteczka.

Czy zgoda na śledzenie jest konieczna?

TAK!

Artykuł 95 RODO wprost nie nakłada dodatkowych obowiązków w związku ze świadczeniem ogólnodostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii. Jeszcze nie wiadomo, kiedy zostanie uchwalone rozporządzenie ePrivacy, które ma jednoznacznie nakazać uzyskiwanie jednoznacznych zgód na wykorzystanie cookies. Na pewno ważnym jest stanowisko Grupy Roboczej Artykuły 29, gromadzącej organy ochrony danych osobowych wszystkich państw UE, która to uznała w wytycznych, że wymogi dotyczące zgód wynikające z RODO (w tym warunek, by zgoda była wyraźna), nie wprowadzają dodatkowych obowiązków na gruncie dyrektywy ePrivacy.

Dla swej ważności więc, każda zgoda na przetwarzanie danych osobowych musi być przez użytkownika udzielona w sposób świadomy (decyzja potwierdzona np. zaznaczeniem okienka dialogowego) i na skonkretyzowany (jeden) cel użycia jego danych. Dlatego właśnie strony internetowe już nie tylko informują nas o samych cookies, ale również pytają nas o zgodę na przetwarzanie danych przed ustawianiem i używaniem ciasteczek śledzących. Istotnym jest również to, by możliwa była opcja niewyrażenie zgody na przetwarzanie danych w celach marketingowych, w tym na profilowanie oraz tak samo prosty mechanizm odwołania, co wyrażenia zgody (art. 7 ust. 3 RODO).

NIE!

Art. 11 RODO może stanowić podstawę do zwolnienia z obowiązku uzyskiwania zgód na stosowanie cookies. Jeżeli cele, dla których przetwarzane są dane osobowe, nie wymagają zidentyfikowania przez przetwarzającego osoby, której dane dotyczą, to przetwarzający nie musi w przypadku cookies zbierać zgód na przetwarzanie.

Prawnie usprawiedliwiony cel przetwarzania

Jeśli pliki cookies służyć mają analityce i reklamie, to można przetwarzanie oprzeć na prawnie uzasadnionym interesie administratora danych lub osoby trzeciej, czyli podmiotu przetwarzającego (art. 6 ust. 1 lit. f RODO). Jest to jak najbardziej możliwa sytuacja ponieważ  przetwarzanie danych osobowych do celów marketingu bezpośredniego jest działaniem w uzasadnionym interesie, bez widocznego rozróżnienia na marketing własny i cudzy.

Informacja czy zgoda?

Sprawa zgody na ciasteczka póki co nie ma jednoznacznego stanowiska prawnego. Główny Inspektor Danych Osobowych dostrzegając problem i jego wagę, analizuje to zagadnienie. Do czasu rozstrzygnięcia, polskim administratorom stron pozostaje samodzielnie odpowiedzieć na pytanie: czy w związku z RODO zgoda na cookies będzie musiała być wyrażana w sposób świadomy?

Tymczasem, Prawo telekomunikacyjne, które reguluje w Polsce zasady używania plików cookies, pozwala na zgodę dorozumianą, tzn. na samo poinformowanie użytkownika o ich używaniu.

 

Baza wysyłkowa to podstawa w marketingu SMS. Bez dobrze dobranej grupy docelowej, nie będzie dobrego wyniku. Regulacja RODO, która wejdzie w życie 25 maja, wywołała już niepokój w wielu firmach. Wbrew obawom – jest ona jednak mniej szczegółowa niż obowiązująca Ustawa o Ochronie Danych Osobowych (UODO). Nad czym warto się zastanowić tworząc bazę wysyłkową w kontekście zmian prawnych?

94 proc. firm, które wzięły udział w badaniu “Komunikacja SMS w firmach” samodzielnie buduje swoje bazy. Robią to poprzez własny system online, stacjonarnie przy kontakcie, rejestracji, zakupach, zapisie do newslettera czy klubu lojalnościowego. Wartość wnoszona przez komunikację prowadzoną przez  firmę może skutecznie przezwyciężyć obawy przed wykorzystaniem danych personalnych. Dowodzą tego m.in. badania uniwersytetów w Muenster i Groningen z 2017 roku na grupie 1397 respondentów. Zbadano m.in. jakie czynniki wpływają na uzyskanie zgód w przetwarzaniu danych przez firmy. Model pokazuje, że treści wartościowe dla odbiorcy wpływają na jego mniejszy opór w udzieleniu zgody.

W budowaniu profesjonalnej bazy danych podstawą jest uczciwość oraz jasne intencje w zbieraniu i przetwarzaniu danych. RODO podkreśla znaczenie tych elementów. Każe także przemyśleć proces przepływu danych w firmie, by uczynić go jak najbezpieczniejszym dla danych klienta. Najlepszą wskazówką marketingową przy budowaniu baz jest tzw. permission marketing. Komunikujemy się tylko z klientem, który tego chce i udostępnia dane kontaktowe, ponieważ widzi w tym wartość dla siebie.

RODO wymaga namysłu

Po wejściu w życie RODO nie będzie już konieczne m.in. zgłaszanie baz danych osobowych do GIODO czy regularna zmiana haseł do baz. Pojawi się natomiast wymóg myślenia o ochronie danych w dłuższej perspektywie, już na etapie tworzenia nowych rozwiązań. Zgodnie z wypływającą z RODO zasadą minimalizacji danych, będą mogły być zbierane tylko te dane, które są niezbędne do realizacji celu, dla którego je zebrano (zasada celowości). Przykładowo do zrealizowania kampanii SMS potrzebne są tylko numery telefonów, więc pobieranie adresów zamieszkania do tego celu będzie niezgodne z wytycznymi.
Ważne jest stworzenie rejestru czynności przetwarzania, czyli dokumentu, w którym między innymi będzie zawarty cel przetwarzania danych, ich rodzaj oraz wskazany administrator. Kontekst wykorzystania bazy także jest ważny, ponieważ firma, która przygotowuje bazę, przekazuje ją następnie do twórcy oprogramowania. W ten sposób w procesie przetwarzania danych osobowych pojawia się podmiot przetwarzający (procesor). Informacje o tym komu będą udostępniane dane osobowe muszą znaleźć się w klauzuli informacyjnej. Administrator powinien przedstawić ją klientowi jeszcze przed udzieleniem przez niego zgody (żeby mogła ona zostać udzielona w pełni świadomy). Dlatego właśnie w nowym procesie przetwarzania danych bardzo ważne jest zidentyfikowanie wszystkich podmiotów, które będą odbiorcami zebranych przez administratora danych osobowych.

Daj klientowi coś wartościowego

Budowanie baz w oparciu o wcześniejszą relację z klientem pozwala osiągać lepsze wyniki w kampaniach SMS. Trudno się temu dziwić – kto lubi nieznanego, nachalnego telemarketera lub akwizytora? Niechciana wiadomość tekstowa budzi negatywne emocje i zwykle trafia do kosza.

Czy stara baza jest do wyrzucenia? UODO wymagała na tyle precyzyjnych rozwiązań, że dotychczasowe stosowanie się do niej ułatwi polskim firmom wdrożenie RODO. W przypadku stałego kontaktu z klientami i samodzielnego tworzenia aktualnie wykorzystywanej bazy, wystarczy przedstawić klientom informacje, o które RODO rozszerza obowiązek informacyjny w stosunku do wymagań UODO. Między innymi RODO wymaga, aby administrator informował klientów, których dane przetwarza o okresie przechowywania ich danych. Jeżeli pozyskana od klienta w trakcie obowiązywania UODO zgoda została udzielona w sposób dobrowolny, konkretny, świadomy i jednoznaczny, nie będzie konieczne zbieranie nowych zgód. Podsumowując, jeśli wcześniej sumiennie podeszliśmy do zebrania danych, nie powinno być żadnego problemu w zakresie korzystania z już posiadanych przez administratora zgód. RODO to nie rewolucja.

 

Autor: Andrzej Ogonowski

Proces wyborczy niezależnie od szczebla zdecydowanie wymaga przetwarzania danych osobowych. Jednoznaczna identyfikacja wyborcy jest warunkiem oddania głosu tylko jeden raz przez konkretną osobę fizyczną. Czy dane osobowe wyborców są odpowiednio zabezpieczane? Czy zapewnia się poufności danych w procesie rejestracji wyborców? Czy członkowie komisji wyborczej wiedzą jak chronić dane osobowe wyborców? Powyższe aspekty potrafią być bardzo problematyczne.

Przykładowo udając się do lokalu wyborczego i składając własnoręczny podpis w rejestrze wyborców, często udostępniane są nam pełne dane osobowe pozostałych wyborców. Możemy się dowiedzieć m.in. czy ktoś brał udział w wyborach lub też nie. Równie często jesteśmy proszeni o podanie na głos swoich danych osobowych przez przedstawicieli komisji wyborczej, w obecności wielu innych osób. Proces ten zdecydowanie narusza nasze prawo do prywatności. Bardzo często spisy wyborców są pozostawiane bez nadzoru, szczególnie w godzinach małego ruchu w lokalu wyborczym, a zakres danych znajdujący się w spisie to m.in. nazwisko i imiona, imię ojca, datę urodzenia, numer PESEL, adres zamieszkania. Ostatecznie warto zwrócić uwagę na przezroczyste urny wyborcze, gdzie w przypadku nie złożenia kart do głosowania można zobaczyć zaznaczony wybór przez konkretną osobę.

Kolejnym problemem praktycznym jest monitoring wizyjny wykorzystywany w lokalach wyborczych. Często lokale wyborcze są to zaadoptowane pomieszczenia szkół lub urzędów, gdzie prowadzony jest monitoring wizyjny w celu zapewnienia bezpieczeństwa lokalizacji. Przedstawicie komisji wyborczej rzadko kiedy zastanawiają się nad obszarem objętym monitoringiem oraz dostępem do nagrań, gdzie poprzez rejestracje wizualną może dojść do naruszenia podstawowej zasady poufności wyborów.

Ochrona danych osobowych powinna być zapewniona w tak istotnym elemencie życia obywateli jak wybory. Częste lekceważenie podstawowych zabezpieczeń lub niski poziom świadomości członków komisji wyborczej mogą prowadzić do poważnych naruszeń prawa do prywatności. Aspekt ten powinien być szczególnie ważny w świetle nowych przepisów RODO, które zaczną obowiązywać 25 maja 2018 r.

Tylko 25 proc. dużych przedsiębiorstw czuje się przygotowanych na wprowadzenie rozporządzenia o ochronie danych osobowych RODO – wynika z badania ECM Insights 2017 przeprowadzonego na zlecenie SER Group. Alarmujący jest również fakt, że prawie połowa, bo aż 45% firm nie opracowało jeszcze strategii, spełniającej nowe, unijne wymagania.

Czasu zostało już niewiele: rozporządzenie unijne o ochronie danych osobowych wejdzie w życie 25 maja tego roku. Jeżeli firmy nie będą w stanie sprostać nowym wymaganiom, może je to kosztować nawet 20 mln euro lub 4% całkowitego przychodu (w zależności od tego, która kwota jest wyższa). W świetle tak wysokich kar finansowych zaskakujące jest to, że aż 75% ankietowanych korporacji z krajów europejskich nadal nie jest przygotowanych na nowe rozporządzenie. Ponadto 45% z nich nie wie jak spełnić wymogi, takie jak np. prawo do usunięcia danych osobowych na żądanie.

Firmy nie wiedzą gdzie przechowują dane

Analizując wyniki badania, łatwo jest zauważyć gdzie dokładnie leży problem: środowisko IT w wielu firmach jest pełne rozproszonych informacji. Dane osobowe są często przechowywane w różnych, nieaktualnych archiwach, przestarzałych systemach, plikach lub nawet w skrzynkach mailowych. Według 77% spośród prawie 2 tys. ankietowanych osób, zajmujących się przetwarzaniem treści w przedsiębiorstwie, powoduje to szereg problemów. Pierwszy z nich polega na stopniowej utracie dostępu do informacji, co jeszcze bardziej utrudnia dostosowanie się do rozporządzeń Unii Europejskiej.

– Wiele firm musi na początku odpowiedzieć sobie na kluczowe pytanie, czy wiedzą gdzie przechowywane są dane osobowe w ich firmie. Jeśli nie mają takiej wiedzy, nie mogą nawet podjąć działań, aby spełnić wymogi regulacyjne RODO – podkreśla Marcin Somla.

Doxis4 systemem zgodnym z rozporządzeniem RODO

Rozwiązaniem dla firm, posiadających tego typu problem jest zebranie i klasyfikacja rozproszonych danych i dokumentów oraz udostępnienie ich w jednym, scentralizowanym systemie ECM. Dzięki takiemu systemowi, firmy będą mogły w każdej chwili wyszukać, przekazać oraz całkowicie usunąć dane osobowe.

– Dzięki odpowiednim narzędziom, każda firma może spełnić nowe wymagania w zakresie ochrony danych osobowych. Certyfikowany system ECM, taki jak Doxis4, stanowi solidną podstawę dla zgodności z RODO – komentuje Marcin Somla.

Eksperci

Uchwała NSA pozwala wygrać z fiskusem

Każde zobowiązanie podatkowe ulega przedawnieniu. Oznacza to, że po upływie terminu przedawnienia or...

Wierzyciel nie musi spłacać w całości swego długu upadłemu, aby móc samemu zaspokoić się z

Z chwilą ogłoszenia upadłości majątek upadłego staje się masą upadłości i służy zaspokojeniu wszystk...

Inflacja rośnie zgodnie z planem – mocniej w górę poszły ceny żywności oraz paliw

Potwierdziły się wstępne szacunki GUS, zakładające wzrost inflacji w marcu do 1,7 proc. Mocniej w gó...

Jak jest dobrze, to trzeba korzystać

Rynki podtrzymują pozytywny nastrój, o co nie jest zbyt trudno, biorąc pod uwagę stały przepływ pozy...

Grejner – Co się porobiło – bitcoin oazą stabilności

Polityka monetarna Rezerwy Federalnej, globalne spowolnienie gospodarcze, brexit, negocjacje handlow...

AKTUALNOŚCI

Kolejna fala cyfrowej transformacji przed nami

Według IDC globalne inwestycje w technologie i usługi umożliwiające cyfrową transformację rosną w dw...

Bez rozbudowanej sieci światłowodowej nie wykorzystamy pełnego potencjału technologii 5G

Wyścig kto pierwszy udostępni powszechnie infrastrukturę 5G trwa. Wizja zawrotnych prędkości stosowa...

Hipermarket czy osiedlowy sklep – gdzie kupują Polacy?

Wszelkie zmiany w branży powierzchni handlowych są bardzo istotne z perspektywy firm, które chcą w n...

Przepływ danych nieosobowych – co zmieni „nowe” RODO?

Wsparcie rozwoju gospodarki oraz nowoczesnych technologii opartych na danych i ich przepływie to jed...

Przejściowe załamanie wzrostu sprzedaży detalicznej

Dane GUS, sygnalizujące wzrost sprzedaży detalicznej w marcu o zaledwie 3,1 proc., na pierwszy rzut ...