SHARE
X

Ochrona danych osobowych wg RODO

Autor: Tomasz Nikiel – Kierownik Systemów Zarządzania Bezpieczeństwem Informacji i Usług IT TÜV Rheinland Polska
Źródło: Jakość 04/2017 - magazyn TÜV Rheinland Polska

Okres świąteczny i początek roku szczególnie zachęcają do zakupów online. Zawieranie tego typu transakcji możliwe jest tylko wraz z podaniem swoich danych osobowych poprzez aplikację mobilną lub stronę internetową. Chociaż nowe regulacje w obszarze danych osobowych wchodzą w życie w maju 2018 roku, warto już teraz wiedzieć, co zmieni się dla przedsiębiorców prowadzących sklepy internetowe, a jakie prawa będą przysługiwać konsumentom.

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, zwane także GDPR (General Data Protection Regulation) to Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej nr 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych. Zacznie ono obowiązywać bezpośrednio w całym Europejskim Obszarze Gospodarczym od 25 maja 2018 roku i będzie dotyczyć wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.

NAJWAŻNIEJSZE ZMIANY

Klient uzyska prawo do zatwierdzania każdej zgody osobno (np. w postaci „checkboxa”) na stronie sklepu zgodnie z zasadą „jedna zgoda – jeden checkbox”. Uprzednio stosowano jedno pole do zaznaczenia zgody na przetwarzanie danych osobowych zarówno w celach realizacji usługi, jak i marketingowych. RODO modyfikuje ten obszar, wprowadzając regułę zabraniającą kumulowania zgód.

Przedsiębiorca powinien wyeliminować zawiłe, skomplikowane i napisane „prawniczym” językiem reguły zgód. Klient musi wyrazić zgodę jednoznacznie i świadomie, a do tego potrzebuje prostego, zrozumiałego przekazu.

Profilowanie, czyli pozyskiwanie i przetwarzanie informacji, które Ochrona danych osobowych wg RODO pozwolą lepiej sprzedawać produkty lub usługi, dopasowując je do indywidulnych zachowań i potrzeb klientów, będzie mogło odbywać się tylko i wyłącznie za wyraźną zgodą klientów.

Administrator zarządzający danymi osobowymi obligatoryjnie musi zgłaszać jednostce nadzorującej wszelakie incydenty niezgodne z nowymi zasadami, zawartymi w RODO. Należą do nich między innymi wyciek danych osobowych, czy jakakolwiek sytuacja godząca w bezpieczeństwo przechowywania owych informacji. Dodatkowo, administrator, w razie faktycznego wycieku, powiadamia wszystkie osoby, których to zdarzenie dotyczy.

Należy również pamiętać o tym, że każda osoba wg wymagań RODO zyska „prawo do bycia zapomnianym”. Klient będzie więc mógł żądać od administratora strony usunięcia w trybie niezwłocznym dotyczących go informacji (wykasowania ich ze zbiorów przedsiębiorcy). W praktyce oznacza to całkowite zaprzestanie przetwarzania danych.

KARY ZA NIEPRZESTRZEGANIE ROZPORZĄDZENIA

Nowe regulacje nakładają na przedsiębiorców szereg obowiązków związanych z bezpieczeństwem przetwarzania danych osobowych. Lekceważenie tych przepisów, niewłaściwe przechowywanie danych osobowych, błędy w ich zabezpieczaniu mogą spotkać się z bardzo surowymi karami. W Rozporządzeniu o Ochronie Danych Osobowych określony jest maksymalny poziom kar za naruszenia – mogą one sięgnąć nawet 20 000 000 euro lub 4% całkowitego rocznego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie. Tak astronomiczne kwoty mogą oznaczać upadek biznesu prowadzonego często od wielu lat.

DANE WRAŻLIWE A ICH OCHRONA

Rozporządzenie unijnie dotyczące ochrony danych osobowych przewiduje szczególne obostrzenia w przypadku przetwarzania tzw. danych wrażliwych. Dane wrażliwe to dane, które określają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

RODO poszerza zakres danych wrażliwych o dane biometryczne, stosując określenie danych genetycznych (dziedziczonych lub nabytych) i danych biometrycznych, w odróżnieniu od wcześniejszego posługiwania się pojęciem danych o kodzie genetycznym. RODO utrzymuje zakaz przetwarzania danych wrażliwych, wyliczając wyjątki w art. 9.

RODO A SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Czy nowe regulacje w zakresie ochrony danych osobowych mogą lub mają związek z normami ISO? Oczywiście, że tak.

Rozporządzenie o Ochronie Danych Osobowych nakłada na każdego przedsiębiorcę przetwarzającego dane osobowe obowiązek wprowadzenia takich mechanizmów organizacyjnych oraz technicznych w zakresie ochrony danych osobowych, które będą adekwatne do ryzyka naruszenia tych danych. Jest to sytuacja bardzo podobna do utrzymywania w swojej organizacji normy ISO/IEC 27001 (systemu zarządzania bezpieczeństwem informacji). W obu przypadkach koniecznym jest wprowadzenie w organizacji analizy i szacowania ryzyka w zakresie bezpieczeństwa danych osobowych lub bezpieczeństwa informacji. W obu przypadkach szacowanie ryzyka może opierać się na takiej samej metodyce i być komplementarne. Właściwe i zgodne z wymaganiami norm z rodziny ISO/IEC 27000 podejście do analizy i szacowania ryzyka w przedsiębiorstwach jest wystarczające i spełnia wymagania, jakie na podmioty przetwarzające dane osobowe nakłada Ogólne Rozporządzenie o Ochronie Danych z dnia 27 kwietnia 2016 roku.

Przedsiębiorcy powinni pamiętać jeszcze, że art. 42 RODO zachęca do dobrowolnej certyfikacji wprowadzonych systemów bezpieczeństwa w ramach audytów ochrony danych osobowych, co ma potwierdzać wzmocnienie kontroli nad przetwarzaniem zbiorów danych osobowych, które są w posiadaniu przedsiębiorstwa.

Reasumując, znajomość zasad przetwarzania danych osobowych w myśl Rozporządzenia o Ochronie Danych i stosowanie wszystkich regulacji, które RODO na przedsiębiorców narzuca, jest konieczne, by funkcjonować na rynku zgodnie z prawem. Należy mieć nadzieję, że poprzez nowe wytyczne dotyczące bezpieczeństwa danych osobowych zwiększy się świadomość przedsiębiorców co do kluczowej kwestii ich właściwego zabezpieczania i ochrony. To znów ma kolosalne znaczenie z punktu widzenia konsumentów, ich prawa do anonimowości i zarządzania swoimi danymi osobowymi zgodnie z ich własną wolą.

Kontakt dla mediów:

Agata Tynka
Specjalista ds. Public Relations
TÜV Rheinland Polska Sp. z o.o.
tel.: +48 32 271 64 89 w. 105
email: agata.tynka@pl.tuv.com
www.tuv.pl