RODO i bezpieczeństwo danych. Oto 10 najważniejszych zasad

Dane osobowe można pozyskiwać i wykorzystywać tylko w niezbędnym zakresie.

Dane osobowe można pozyskiwać i wykorzystywać tylko w niezbędnym zakresie. Trzeba mieć na to wyraźną i świadomą zgodę każdej osoby, której one dotyczą. Ale najważniejsze jest to, że wszystkie trzeba pilnie chronić. Kto tego nie zrobi, a dojdzie do ich wycieku, może zostać ukarany ogromną grzywną. Jej wysokość będzie zależała nie tylko o skali awarii, ale także od tego czy przedsiębiorca zrobił wszystko, by do niej nie doszło. W Polsce już obowiązuje i jest egzekwowane RODO (GDPR) czyli unijne Rozporządzenie o ochronie danych osobowych.

POBIERZ PEŁNY RAPORT INTERAKTYWNIE.COM:
CYBERBEZPIECZEŃSTWO

RODO ujednoliciło zasady i nałożyło szereg obowiązków na przedsiębiorców. Weszo w życie 25 maja 2018 roku, a dzień wcześniej zaczęła obowiązywać powiązana z nim nowa Ustawa o ochronie danych osobowych. Jeszcze tego lata ma natomiast pojawić się specustawa, która ureguluje 200 innych, w których są regulacje dotyczące właśnie danych osobowych. 

Przepisy RODO dotyczą przetwarzania danych osobowych – zarówno zapisanych w bazach danych, jak i rozproszonych na dowolnych nośnikach – w poczcie elektronicznej pracowników, w dokumentach zapisanych w komputerach, na serwerach lub zewnętrznych dyskach, a nawet list kontaktów w urządzeniach mobilnych. 

W praktyce dotyczą więc każdej firmy, która działa na terytorium Unii Europejskiej, niezależnie od formy prawnej. Z obowiązków w zakresie ochrony danych muszą wywiązać się zarówno duże spółki, jak i osoby prowadzące działalność gospodarczą.

Przedstawiamy 10 najważniejszych zasad RODO: 

1. Należy pozyskać świadomą zgodę na przetwarzanie danych osobowych

Czym są dane osobowe? To nie tylko imię i nazwisko, numer pesel, ale także adres e-mail czy w niektórych przypadkach pliki cookies. Dane osobowe są w RODO zdefiniowane jako „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to ta, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.”

Osoby zidentyfikowane to na przykład pracownicy albo kontrahenci przedsiębiorcy. Z kolei osoby niezidentyfikowane, których dane również muszą być chronione zgodnie z przepisami RODO, to kandydaci do pracy przysyłający CV, osoby, do których firma wysyła oferty handlowe, klienci sklepu internetowego lub użytkownicy zapisani na newsletter itd. 

Zgodnie z RODO, osoby prawne nie mają danych osobowych, ale mają je ich pracownicy, będący osobami fizycznymi. Ogólny firmowy e-mail, na przykład kontakt@firmaX.pl, nie podlega więc ochronie, ale podlegają jej adresy imienne pracowników, czyli jankowalski@firmaX.pl. 

Przetwarzanie danych osobowych oznacza jakiekolwiek czynności wykonywane na nich: gromadzenie, przechowywanie, usuwanie, opracowywanie lub udostępnianie. 

Zgodnie z RODO dane osób fizycznych przedsiębiorca można przetwarzać tylko w określonych warunkach i celach. W przypadku danych zwykłych – czyli takich, które nie są związane ze sferą wrażliwą (przynależność rasowa, poglądy religijne lub polityczne, dane genetyczne lub biometryczne, orientacja seksualna itd.) – są to głównie następujące sytuacje:

• osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w określonych celach,
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia na jej żądanie działań zmierzających do zawarcia umowy, 
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, w szczególności dziecka.

Przedsiębiorcy powinni pamiętać o tym, że to na nich – jako administratorach – ciąży obowiązek wykazania, że dysponują odpowiednią podstawą prawną do przetwarzania danych. Jeżeli podstawą jest zgoda użytkownika, to w razie wątpliwości administrator danych musi wykazać, że taką zgodę uzyskał. Dlatego jeśli firma buduje bazę danych użytkowników, to powinna archiwizować w niej dane o tym, kiedy i na jaki zakres przetwarzania wyraziła zgodę dana osoba. 

Zgoda na przetwarzanie danych musi być wyrażona dobrowolnie i świadomie, w drodze jednoznacznej, potwierdzającej czynności. 

RODO mówi wyraźnie: milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody. Użytkownik podający swoje dane na stronie internetowej musi wyrazić ją świadomie i czynnie, na przykład poprzez zaznaczenie odpowiedniego pola - tak zwanego checkboksa. Nie wystarczy zatem wyświetlić użytkownikowi informację o tym, że firma będzie przetwarzała jego dane osobowe, nie można też stosować checkboksów, które są domyślnie zaznaczone.  

Jeśli dane osobowe są zbierane w różnych celach, to przedsiębiorca musi pozyskać osobne zgody na każdy z nich. Przykładowo, jeśli chcemy rejestrować użytkowników z zamiarem wykorzystania ich danych do celów marketingowych oraz w celu opracowywania danych, powinno być to zapisane w odrębnych formułach zgód, które zostaną wyświetlone obok zgody na przetwarzanie danych. Użytkownik powinien zaznaczyć każdą z nich z osobna. 

2. Trzeba dać możliwość usunięcia danych osobowych

Osobie, której dotyczą dane osobowe, w każdym momencie przysługuje prawo cofnięcia zgody na ich przetwarzanie. RODO mówi o tym, że odwołanie zgody powinno być co najmniej tak samo łatwe, jak jej udzielenie. Jeśli użytkownicy strony internetowej przekazują dane osobowe podczas wypełnienia formularza rejestracyjnego, na przykład zapisując się na newsletter albo biorąc udział w konkursie, to powinni móc cofnąć zgodę tą samą drogą. 

Administrator ma obowiązek usunąć dane niezwłocznie, ze wszystkich nośników, na których były przechowywane. Dotyczy to nie tylko baz danych, ale także wszelkich innych miejsc, w których są one zapisywane – poczty elektronicznej, zestawień w plikach excel itd. Przedsiębiorcy powinni zadbać o wdrożenie rozwiązań informatycznych, które pozwolą na skuteczne usuwanie danych na żądanie osoby, której one dotyczą. 

Administratorzy danych mają obowiązek udzielania na życzenie właściciela danych informacji o tym, jakie jego dane przetwarzają, w jakim celu i zakresie, jakim innym podmiotom je przekazują itd. Muszą też sprostować nieprawidłowe dane na wniosek osoby, której one dotyczą. 

3. Nie można zbierać za dużo danych

RODO mówi, że dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Przedsiębiorca może zbierać i przetwarzać tylko takie informacje, które są niezbędne do świadczenia usług klientom. Nie może gromadzić danych nadmiarowo, na przykład po to, by wykorzystać je w przyszłości, jeśli nie są mu one potrzebne do realizacji usługi.

Zgodnie z regułą privacy by default (prywatność w ustawieniach domyślnych) RODO pozwala przetwarzać dane tylko w minimalnym zakresie, zarówno jeśli chodzi o rodzaj danych, jak i czas ich przechowywania:

„Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.” 

Przykładowo, przedsiębiorca prowadzący sklep internetowy w celu realizacji zamówienia może przetwarzać tylko te dane, które są niezbędne do jego obsługi. Na ogół jest to imię i nazwisko, adres dostawy, e-mail i numer telefonu klienta. Dane te mogą być wykorzystane tylko do realizacji zamówienia. Jeśli firma chciałaby wykorzystywać je w celach marketingowych, do wysyłania newslettera z promocjami, to odrębnie musi pozyskać na to zgodę, która powinna być wyrażona przez klienta świadomie i dobrowolnie. 

RODO wymaga także ograniczenia okresu przechowywania danych do minimum. Jeśli podstawą przetwarzania jest umowa z klientem, wówczas jego dane mogą być przechowywane do czasu zakończenia świadczeń usług z niej wynikających oraz ewentualnego okresu roszczeń przysługujących stronom umowy. Co do zasady, okres ten nie powinien być dłuższy niż trzy lata, choć szczególne przepisy mogą stanowić inaczej. 

Jeśli podstawą prawną jest zgoda właściciela danych, to przedsiębiorca może przetwarzać je do czasu jej odwołania. 

Aby zapobiec przechowywaniu danych osobowych dłużej, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. 

4. W chwili projektowania systemu musisz myśleć o RODO

Zasada privacy by design (ochrona w fazie projektowania) mówi o tym, że na każdym etapie projektowania nowego systemu albo technologii, służących do przetwarzania danych osobowych, muszą być respektowane zasady ich ochrony. RODO definiuje ją tak:

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania - wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.”

5. Nie można profilować danych bez wyraźnej zgody

Dane osobowe przetwarzane w celach marketingowych mogą podlegać profilowaniu. Ma to miejsce na przykład wtedy, gdy firma w sposób zautomatyzowany emituje użytkownikowi internetu reklamy w oparciu o jego zachowanie, zainteresowania lub wcześniej dokonane zakupy. 

Przedsiębiorca może przetwarzać dane osobowe w ten sposób tylko w określonych przez RODO przypadkach:

• jeśli uzyska wyraźną zgodę osoby, której dane dotyczą, 
• gdy jest to niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
• gdy jest to dozwolone przez szczególne przepisy prawa. 

... Pełny tekst przeczytasz w raporcie Interaktywnie.com "Cyberbezpieczeństwo":

>>> POBIERZ PDF <<<

Pobierz ebook "Social media marketing dla firm i agencje się w nim specjalizujące"