Dlaczego mam wrażenie, że zawsze budzimy się z ręką w nocniku? Z jednej bardzo prostej przyczyny. Nadszedł w końcu rok 2018, kluczowy w kontekście danych osobowych, bo to w maju tego roku zacznie obowiązywać tytułowe rozporządzenie. Nic nie byłoby w tym dziwnego, gdyby nie fakt, że wraz z początkiem roku (dopiero!) nastąpiło większe zainteresowanie tematem. Owszem, należy się z tego cieszyć, bo jeszcze zostało parę miesięcy. Jednak czy na pewno tego czasu starczy? Wielu ekspertów jest tego samego zdania: „Jeśli firma dopiero teraz zaczyna przygotowania do egzekwowania rozporządzenia, wątpliwym jest by zakończyła je sukcesem przez godziną ZERO”.

Trochę teorii

„Ogólne Rozporządzenie o Ochronie Danych Osobowych” (RODO) to Rozporządzenie Parlamentu Europejskiego i Rady (UE)2016/679. Miało ono miejsce 27 kwietnia 2016 roku. W życie weszło 17 maja 2016 roku. Tak jest, rzecz działa się niemal 2 lata temu.

Odtąd wiele wody w Wiśle przepłynęło, a większość firm w ogóle o temacie nie słyszała, nie wspominając o tych, które podjęły konsekwentne działania.

Niemal 80 proc. osób zarządzających działami IT w firmach nie jest w pełni świadomych tego, co niesie ze sobą reforma ochrony danych osobowych, która ruszy za pół roku we wszystkich krajach członkowskich UE. W grupie respondentów ankiety przeprowadzonej przez firmę IDC są też tacy, którzy o unijnym rozporządzeniu (RODO) wprowadzającym reformę w ogóle nie słyszeli.

Puls Biznesu, 18.12.2017

RODO w ogólnym rozumieniu uchyla dyrektywę 95/46/WE oraz stanowiącą jej wykonanie polską ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Polska w chwili obecnej pracuje nad zmianami do wciąż aktualnej ustawy o ochronie danych osobowych. Sam projekt przede wszystkim ma dotyczyć GIODO i jego działalności. Dodatkowo w kwestiach, które jasno wskazuje rozporządzenie unijne (lub tych, które z zasady wymagają krajowego doprecyzowania) Ministerstwo Cyfryzacji wypracowuje ujednolicone przepisy … oczywiście w zgodzie z dokumentem UE.

Wspominam o tym głównie z uwagi na to, aby porzucić przekonanie, że Unia Europejska „zaorała” nam dotychczasowe przepisy dot. danych osobowych. Otóż po części tak, gdyż ustawa z 1997 roku była wymagana do obowiązywania dyrektywy unijnej 95/46/WE, ale na podstawie „starych” przepisów zostaną wypracowane nowe. Przedsiębiorstwa, aby w sposób prawidłowy przetwarzać dane osobowe będą musiały bazować na tytułowym rozporządzeniu i krajowych przepisach uszczelniających.

Zakres i zastosowanie GDPR w pełni pokrywa się dotychczasowymi. Natomiast podmioty zobowiązane do przestrzegania prawa unijnego już nie są ograniczone granicami UE. Przepisy przewidują zastosowanie prawa wobec przedsiębiorstw spoza UE w przypadkach, gdy operacje na danych osobowych powiązane są z:

  • oferowaniem towarów i usług osobom w UE
  • monitorowaniem zachowania osób w UE

Takie przedsiębiorstwa w teorii mają „przechlapane”, gdyż muszą mieć krajowego przedstawiciela w każdym z krajów, których obywatele posiadają dane osobowe przetwarzane przez taką firmę. Nic fajnego, chociaż z drugiej strony w takim przypadku nie mówimy o małych, a raczej dużych, dochodowych podmiotach, których budżet pozwala na rozszerzenie swoich struktur o przedstawiciela/i.

Nową unijną strukturą powołaną do kontrolowania właściwego stosowania GDPR będzie EROD (Europejska Rada Ochrony Danych). Poza tym będzie ona współpracować z KE w sprawach ochrony danych oraz wydawać wytyczne, wydawać akredytacje dla podmiotów certyfikujących i przeprowadzać audyty.

Monitorowanie zachowania

W dobie „globalnej wioski”, „Big Data” i wszechobecnej interaktywności monitorowanie zachowania jest rzeczą normalną. Dodatkowo ciężko powiedzieć, aby osoba „śledzona” ubolewała nad tym. Można wręcz powiedzieć, że świat dąży do tego, aby dane przedstawione konkretnemu użytkownikowi były jak najbardziej dopasowane. Profilowanie jest jednym z głównych założeń serwisów Internetowych. Tak i to tutaj uderza nowe prawo. Zauważcie jednak, że nieubłaganie zbliżają się czasy, kiedy aplikacje mobilne będą nam podpowiadać w sklepach (tych większych rzecz jasna) gdzie powinniśmy pójść po rzecz A, oraz w związku z zakupem rzeczy B być może przyda nam się C. Tak, to też jest profilowanie. Popuśćcie wodze wyobraźni i pomyślcie, gdzie możecie być jeszcze śledzeni. Może auto? Może siłownia? Teraz prawo pozwoli kontrolować profilowanie. Każdemu w sposób prosty i zrozumiały musi zostać przedstawiona informacja o profilowania oraz każdy musi mieć prawo zrezygnowania z profilowania!

 

Zakres rozporządzenia

Do tej pory poruszając się w tematyce ochrony danych osobowych niejako poruszaliśmy się w obrębie danych adresowych, imion, nazwisk, dat urodzenia, czy adresów e-mail. Teraz zakres ochrony ulega znacznemu rozszerzeniu. Przepis unijny uzupełnia go następujące elementy:

  • numery ID
  • informacje dotyczące lokalizacji
  • wskaźniki dotyczące zdrowia fizycznego i psychicznego
  • wskaźniki dotyczące statusu majątkowego oraz społecznego
  • dane genetyczne, biometryczne

Dokument krótko mówiąc rozwodzi o danych, które mogą (lub pomagają) zidentyfikować osobę fizyczną.

 

Jakie pozytywy niesie za sobą RODO

W szerokim znaczeniu rozchodzi się o dwie rzeczy. Pierwszą bezsprzecznie jest bezpieczeństwo danych, które „puchną” z dnia na dzień w skali światowej w sieciach publicznych, jak i prywatnych. Oczywiście z dniem 25 maja 2018 nagle w Internecie nie będzie bezpieczniej. W mojej ocenie większość firm, które na serio biorą przygotowania swoich struktur do sprostania wymaganiom rozporządzenia, już jest na ostatnim etapie w drodze do sukcesu, a pozostałe sukcesywnie zaadoptują mechanizmy do godziny ZERO.

W erze „Big Data” i wszechobecnych danych elektronicznych już wejście w życie w/w rozporządzenia zrobiło wiele w aspekcie bezpieczeństwa. Należało nakierować na odpowiedni tor mechanizmy, które w sposób bezpośredni lub pośredni mają wpływ na ochronę danych osobowych osób fizycznych w różnego typu strukturach gospodarczych.

Drugim pozytywem jest dążenie do ujednolicenia przepisów ochrony danych w całej Unii Europejskiej. Zamiarem było i jest ułatwienie współpracy międzynarodowej firm. Taką wisienkę na torcie na pewno docenią firmy, których zakres działań dotyczy osób fizycznych na terenie kilku krajów UE.

 

Katalog zasad

  1. Zapewnienie zgodności przetwarzania danych z prawem.
  2. Zapewnienie pozyskiwania danych tylko w konkretnych, prawnie uzasadnionych celach.
  3. Weryfikacja i ustalenie maksymalnego czasu na przechowywanie poszczególnych rodzajów danych.

 

Zgodność z prawem

Dane osobowe mogą być przetwarzane w następujących sytuacjach:

  • osoba wyraziła zgodę na przetwarzanie danych, jednak musi to być określony cel bądź cele
  • dotyczą realizacji umowy lub działań przed podpisaniem umowy (na żądanie strony)
  • wypełnienie obowiązku prawnego ciążącego na administratorze
  • ochrona żywotnych interesów osoby fizycznej
  • wykonanie zadania realizowanego w sektorze publicznym powierzonego administratorowi
  • prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią (wyjątkiem jest nadrzędny charakter interesów strony bądź jego prawa wymagające ochrony danych – zwłaszcza gdy osoba jest nieletnia)

Niektóre punkty z powyższych pomimo iż są spłycone i tak wydają się mało zrozumiałe. Zdaję sobie z tego sprawę. Jednak, jeśli Ty jesteś naprawdę dociekliwy, na pewno szybko znajdziesz zrozumiałe rozwinięcie punktów w wyszukiwarce. Temat nie jest trywialny, a sam nie chcę za dużo nakłamać 🙂

Nadszedł czas na opis prawnego wyrażania zgody na przetwarzanie danych osobowych. Z tego punktu, jako konsument, cieszę się bardzo. Wielokrotnie miałem nieprzyjemność zmierzenia się listą checkbox’ów pod zamówieniami, gdzie 4/5 dotyczyło przetwarzania danych osobowych (w tym przez firmy trzecie oraz na poczet newslettera) a jeden „szczęśliwiec” rozwodził się nad akceptacją regulaminu. To takie i tym podobne sytuacje ma rozwiązać zasada zgodności z prawem.

Warunki, jakie musi spełniać zgoda na przetwarzanie danych osobowych:

  • dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli
  • wyraźne działanie – oświadczenie, bądź potwierdzenie
  • spisana jasno i zwięźle

To koniec z domyślnie zaznaczonymi „ptaszkami”! Dodatkowo bezprawne będzie uzależnianie wykonania umowy od pozwolenia na przetwarzanie danych osobowych zbędnych do wykonania tejże umowy. Pozwolenie będzie i musi być wymagane wyłącznie do przetwarzania danych niezbędnych, powiązanych ściśle z realizowaną umową.

Jeśli przedsiębiorca, zawierając umowę na dostawę towaru – pozyska zgodę na przetwarzanie danych osobowych dla celów marketingu, uzależniając od takiej zgody wykonanie umowy głównej, zgoda ta nie będzie ważna. Wynika to stąd, że przetwarzanie danych dla celów marketingu nie jest niezbędne dla wykonania umowy dostawy towaru.

Przewodnik po ochronie danych osobowych RODO – Deloitte.

 

Formularz udzielania zgód musi być stworzony tak, by w pozwoleniu nie znalazły się nadmiarowe przyzwolenia wykorzystania danych. Inaczej zgoda nie zostanie uznana za dobrowolną.

Osoba, która zgodziła się na przetwarzanie danych musi mieć możliwość wycofania zgody bez konsekwencji (w sposób prosty i jednoznaczny, a dane osobowe, powiązane z celem zgody, od chwili wycofania zgody muszą zniknąć z wszystkich baz danych do których trafiły). Same klauzule z kolei muszą odróżniać się od reszty treści, by użytkownik bez problemu mógł zidentyfikować je, również w kontekście celów, których dotyczą.

W mojej ocenie nadchodzi kres uciążliwych formularzy rejestracji, zakupów, płatności, czy też kontaktowych. Zwykły człowiek, konsument, łatwiej wykonana założone zadania nie narażając się przy tym na przykre konsekwencje rozpropagowania danych osobowych. Należy pamiętać jednak, że są dwie strony medalu. Firma, której wyrażamy zgodę na przetwarzanie danych w związku z umową i/lub innymi czynnościami musi poważnie podchodzić do kwestii ochrony danych. Nam może się wydawać, że nasze dane są bezpieczne, a rzeczywistość może być zupełnie inna. Dlatego odpowiedzialni powinni ponosić konsekwencje. Prawo tutaj nie jest pobłażliwe…

Po pierwsze, w przypadkach kiedy przetwarzamy dane osobowe na podstawie zgody, zgoda uzyskana nieprawidłowo będzie nieważna – a zatem przedsiębiorca nie będzie mógł na tej podstawie przetwarzać danych osobowych. Po drugie, zgodnie z nowymi regulacjami, za naruszenie przepisów dotyczących zgody – przedsiębiorcy grozić będzie nakładana przez GIODO kara administracyjna w wysokości do 20 000 000 euro lub w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która z tych kwot będzie wyższa.

Agata Jankowska-Galinska, radca prawny

Teraz spójrzmy na chwilę od strony administratorów danych osobowych. Jakie obowiązki zyskują na znaczeniu wobec nowego prawa?

Na pewno jest to staranne przechowywanie zgód wystosowanych przez osoby w konkretnych celach, aby dowiedzenie takiej sytuacji było jednoznaczne i wskazywało zajście (kto, cel, data). Podobnie udokumentowane musi być zniesienie zgody przez osobę, której dotyczy. Jest to o tyle ważne, że łatwo organy audytujące mogą to sprawdzić. Można zatem łatwo dowieść uchybień. Problemy pod tym względem mogą wiązać się z karą administracyjną, bądź odszkodowawczą wobec pokrzywdzonego.

Każdorazowy wyciek danych osobowych powinien zostać zgłoszony do 72h od zaistnienia do organu nadzorującego. Dodatkowo wysokie ryzyko naruszenia praw lub wolności osoby fizycznej wynikające z wycieku danych obliguje powiadomienie tej osoby w trybie bezzwłocznym. Obowiązek notyfikacyjny będzie generował spore problemy techniczne, organizacyjne jak i finansowe. Dotkliwy będzie zwłaszcza przy dużych wyciekach danych – przewidziana kara do 10 000 000 euro (lub do 2% rocznego obrotu).

Inną kwestią problematyczną dla zarządzających danymi osobowymi będzie ochrona osób poniżej 16 roku życia (przepisy krajowe mogą obniżyć próg do 13 lat). Takie osoby w myśl nowych przepisów będą wymagały zgody rodzica lub opiekuna. Dowiedzenie prawdy w świecie wirtualnym to jednak zupełnie inna sprawa.

 

Rzetelność i prawidłowość

Osoba udostępniająca dane osobowe musi mieć możliwość skorygowania danych oraz usunięcia (jeśli cel udostępnienia nie jest powiązany z umową). Mechanizm taki powinien posiadać również zarządzający danymi, aby w sposób szybki dokonać zmian. Dla świadomego konsumenta oznacza to tyle, że otrzymuje pełną kontrolę nad nadanymi prawami propagowania swoich danych. W dzisiejszym świecie ma to szczególne odzwierciedlenie w profilowaniu treści.

 

Ograniczenie celu

O tym już kilkakrotnie wspominałem. Dotyczy to, krótko mówiąc, kategoryzacji wydawanych zgód. Cel musi być określony w momencie pozyskiwania danych, a także wyraźny i prawnie uzasadniony. Znaczenie w kontekście stron internetowych codziennego użytku wydaje się zrozumiałe. Spoglądając jednak na struktury firm, które korzystając z różnorakich rozwiązań CRM otwierają drogę na uchybienia, sprawa nie wygląda już tak kolorowo. Tutaj pracownicy muszą mieć okresowo weryfikowane prawa w systemie. Na pewno zdarzają się firmy, w których po odejściu pracownika, systemy zabezpieczeń nie podlegają weryfikacji. Jest to prosty przykład na uchybienie i stworzenie potencjalnej „dziury” do wypływu danych osobowych. Wszelkie prawa dostępu takiej osoby powinny zostać anulowane, a hasła do kont, z których korzystała (jako jedna z wielu) muszą zostać zmienione. Przecież, jak wprowadzasz się do nowego mieszkania/domu również wymieniasz zamki, czyż nie?

 

Zasada minimalizacji danych

Dotyczy ona rodzaju danych, jak i ograniczenia czasowego ich przetwarzania. To spowoduje, że dożywotnia zgoda zniknie z większości serwisów, a obwarowania prawne i perspektywa kar wymusi na twórcach systemów rozsądne i w końcu przemyślane żądania dotyczące wykorzystania danych osobowych.

 

Zasada integralności i poufności

Tutaj synonimem jest bezpieczeństwo w kontekście technicznym. Nikt nie może zmienić/usunąć/dodać danych osoby trzeciej. Operacja taka musi być autoryzowana i bezpieczna (nie może dojść do wycieku). Poufność kryje w sobie też inny aspekt. Mianowicie dane udostępnione do określonego celu nie mogą trafić do podmiotu bądź procesu niezwiązanego z tym celem. Wszystkie dotychczasowe zasady powinny nas utwierdzać w tym, że w dobie totalnej cyfryzacji dane osobowe są na wagę złota. Apropo aktywów – maszyny fizyczne (komputery, serwery) podlegają również jako takie zasadzie poufności!

Deweloperzy nie mogą zapominać, że poufności podlegają dane na każdym etapie wytwarzania oprogramowania. W związku z tym na znaczeniu zyskują takie mechanizmy jak anonimizacjapseudonimizacja.

 

Zasada rozliczalności

Tzw. zasada kontrolna. Podmiot, który przetwarza dane musi być w stanie udowodnić, że przebiega to zgodnie z pozostałymi zasadami. Jest to zasada trudna w interpretacji. Administrator danych stoi przed nie lada wyzwaniem. W mojej ocenie jednak, jeśli w/w zasady są tolerowane i spełniane na każdym etapie operowania danymi, nie znajdą się podstawy by konieczny był wymóg „rozliczenia podmiotu”.

 

Zasada przejrzystości

Wg mnie nadmiarowa, gdyż o prostym i zwięzłym języku była wzmianka kilkukrotnie już wcześniej. Jednak prawodawcy umieścili taką zasadę, jako dopełnienie całości. Celem jest likwidacja drobnego druku, długich klauzul i ważnych informacji ukrytych wśród mało ważnych.

 

RODO dla laika

Zarządzanie danymi

Należy zadbać, aby przechowywane w firmie (we wszelkich systemach automatycznych lub półautomatycznych) dane były bezpieczne. Poprzedzić to musi przede wszystkich rewizja wszystkich danych, jakie są zapisane w bazach. Konieczny jest jeśli nie ciągły to okresowy nadzór nad dostępem do tych danych określonych osób/grup.

 

Oprogramowanie

Oprogramowanie (przede wszystkim CRM) musi zapewniać odpowiedni poziom bezpieczeństwa. To znaczy, że dostęp musi być autoryzowany wyłącznie dla osób powołanych.

 

Partnerzy i dostawcy usług

Podstawą jest też zapewnienie, że firmy z którymi współpracujemy działają zgodnie z RODO. Przepływ informacji biznesowych (w kontekście danych osobowych) należy również do zasięgu RODO.

 

Czynnik ludzki

Człowiek, jest najsłabszym ogniwem. Tutaj, zwłaszcza w firmach dużych, musi być osoba/dział odpowiedzialny za bezpieczeństwo danych. Dodatkowo należy zadbać, aby dział marketingu, IT, HR, prawny i finansowy (działy przeważnie operujące na danych osobowych) ściśle współpracował z działem bezpieczeństwa.

 

Procesy

Plan działania w przypadku wystąpienia naruszeń, problemów z poufnością czy też integralnością danych musi być jasny. Raporty nie mogą być zamiatane pod dywan … to swoją drogą nie jest gra warta świeczki. W procesach przetwarzania danych koniecznie należy umożliwić konsumentowi prawo do bycia zapomnianymprawo do aktualizacji danych oraz prawo przeniesienia danych między firmami.

 

RODO dla firmy

Skupmy się teraz na przetwarzaniu w chmurze. Niektórzy pomyślą, że to nie ma znaczenia gdzie trzymamy dane. Muszę Was zdziwić. Ma to znaczenie i w dodatku ogromne. Dostawcy chmur obliczeniowych ponoszą odpowiedzialność za własne działanie! Jakby nie patrzeć, delikatnie scedujemy odpowiedzialność z siebie (lub firmę hostingową/prywatny serwer) na zewnętrznego dostawcę. Niektórzy pomyślą, że jeden problem z głowy. Jednak nie każdą firmę stać na chmurę, a te które stać, jeśli chcą w pełni sprostać RODO, problem infrastruktury powinien być najmniej obciążający.

 

Stosunek RODO do GIODO

Do tej pory administrowanie zbiorami danych wymagało zgłoszenie do GIODO, czy też ABI. Teraz nie będzie takiej potrzeby. Jednak od tej pory administrator musi wiedzieć jakimi zbiorami dysponuje, kto i jaki posiada zakres praw do tych zbiorów oraz  jakich zakresie przetwarzane/przechowywane są dane osobowe w obrębie zbioru. Na administratorze też spoczywa ocena ryzyka i wdrożenie odpowiedniego poziomu zabezpieczeń.

 

Administrator

Od maja na pewno bardziej odpowiedzialny zawód. Nie zdziwiłbym się, gdyby płace administratorów poszybowały wysoko do góry zwłaszcza, że popyt mocno wzrośnie, niewspółmiernie do podaży. Podczas pozyskiwania danych osobowych na nim będzie spoczywać przekazanie następujących informacji:

  • tożsamości i danych kontaktowych administratora
  • celu przetwarzania danych
  • informacji o odbiorcach danych
  • okresu przetwarzania danych (w skrajnych przypadkach uzależnienia okresu od np. długości trwania umowy)
  • informacji o wykorzystywaniu danych do profilowania
  • informacji o prawie do żądania od administratora dostępu do danych osobowych, ich zmian, usunięcia lub ograniczenia przetwarzania (ograniczenie celów) a także o prawie do przeniesienia danych
  • opcjonalnie o zamiarze przekazania danych poza UE oraz informacji o zabezpieczeniu danych stosowanym przez podmiot docelowy

 

Marketing

Tego działu w sposób masowy dotknie RODO. Jest to związane z ogromnym zbiorem danych (jakimi są adresy e-mail), który codziennie jest przetwarzany na potrzeby kampanii mailingowych. Pośrednio dotyczy to też profilowania. W związku z tymi tematami Freshmail postanowił „obalić mity”. Zachęcam do lektury.

 

RODO dla darknetu

Popularny w dzisiejszych czasach handel bazami danych przede wszystkim w celach marketingowych w końcu będzie miał podstawę prawną. Bardzo jasne wytyczne co do udzielania zgodny na przetwarzanie danych osobowych skutecznie ukrócą (powinny) proceder sprzedaży baz stronom trzecim. Poboczną kwestią jest zwiększenie bezpieczeństwa baz z danymi wrażliwymi, co powinno doprowadzić do wystąpienia posuchy w handlu bazami. Posucha może być tym większa im efektywniejsze będzie egzekwowanie prawa wobec zaangażowanych w proceder podmiotów. Kary na pewno zabolą.

 

Podsumowanie

Sprawa RODO jest straszna z nazwy, jednak rozkładając ją na czynniki pierwsze przyjmuje ludzkie oblicze. Być może ujęcie danych osobowych w tak konkretne ramy prawne pozwoli uniknąć wielu zagrożeniom czyhającym na małe, jak i duże bazy informacji wrażliwych.

Mam nadzieję, że szybko znikną wymuszenia przetwarzania danych na konsumentach tak samo, jak niekompetentni ludzie na stanowiskach administracji danymi. Zwykły człowiek przecież ma widzieć same pozytywy i o tym nie ma co dyskutować.

Przepisy szczegółowo (w miarę) opisują prawa i obowiązki administratorów, co już na wstępie pozwala przyjąć postawę odpowiedzialnego podmiotu. Wystarczy tylko chcieć. W sumie, ci co nie chcą, albo znikną, albo poniosą dużą karę. „Taryfikator” (jeśli w ogóle można go tak nazwać) jest bardzo elastyczny. To nie dziwi, biorąc pod uwagę złożoność tematu. Organ prawny przed nałożeniem kary pieniężnej musi zbadać dogłębnie przyczynę i skutki naruszenia prawa. W grę tutaj wchodzi: charakter naruszenia, jego waga i czas trwania, umyślność, działania prewencyjne, poziom odpowiedzialności, sposób zgłoszenia naruszenia, przestrzeganie prawa dotychczasowe/recydywa. Doszukiwać się można czynników łagodzących karę, jak i tych windujących.

Elastyczność przejawia się nie tylko w egzekwowaniu kar, ale również w obowiązkach, jakie są stawiane przed zarządzającymi bazami danych. Przedsiębiorstwa duże, z racji możliwości, zobligowane są do wdrażania zabezpieczeń większego kalibru. Idą za nimi spore koszty, ale biorąc pod uwagę obroty roczne takich przedsiębiorstw, kara byłaby niewspółmierna. Tym bardziej, że w takim przypadku rozmiar firmy jest często proporcjonalny do obrotów i rozmiaru zarządzanej bazy danych. Stopień zaawansowania mechanizmów bezpieczeństwa (tych technicznych jak i organizacyjnych), do których zobligowane są firmy/administratorzy zależy od kilku ważnych aspektów: kosztów wdrażania, charakteru, zakresu, celów przetwarzania danych, ryzyka naruszenia praw lub wolności osób z rozróżnieniem prawdopodobieństwa i rozmiaru zagrożenia.

Najściślejszej ochrony wymagają dane, których:

  • niewłaściwe przetwarzanie może prowadzić do konsekwencji fizycznych bądź psychicznych osoby fizycznej
  • niewłaściwe przetwarzanie może doprowadzić do szkód majątkowych lub niemajątkowych (dyskryminacja, kradzież tożsamości, straty finansowe, naruszenie dobrego mienia, naruszenie poufności danych chronionych tajemnicą zawodową)
  • przetwarzanie wiąże się ze szczególnym ryzykiem (pochodzenie rasowe, etniczne, poglądy polityczne, wyznania, przynależność do związków zawodowych)
  • podłożem jest zdrowie (dane genetyczne, bilans zdrowotny, dane o seksualności) lub prawo (wyroki i naruszenia prawa)
  • właściciel jest nieletni
  • zbiór jest duży

Podmioty, które zajmując się przetwarzaniem danych (przetwarzanie nie jest wyłącznie pobocznym działaniem) zobligowane są do wyznaczenia inspektora ochrony danych.
Ta infografika przedstawia w mocnym skrócie procedurę przygotowywania się do wdrożenia RODO w swojej firmie. Każdy z wymienionych tam punktów pojawił się w niniejszym artykule. Zdaję sobie sprawę, że nie umieściłem tutaj kompendium, ale też nie taki był cel. Chciałem naszkicować obraz RODO, aby stał się bardziej wyraźny zarówno dla konsumentów, jak i przedsiębiorstw.
Pamiętajcie, że jeśli jesteście w potrzebie, by skonsultować temat ochrony danych w swoim przedsiębiorstwie, macie taką możliwość. Kompetentne na pewno będą firmy posiadające w tym zakresie certyfikaty. Na pewno warto, bo kara (pomimo, że będzie współmierna do wielkości firmy) i tak będzie ogromna i na pewno niemiła dla wszystkich pracowników.

 

 

Bibliografia: