Ochrona danych osobowych
Parlament Europejski oraz Rada Unii Europejskiej przyjęły 24 maja 2016 roku nowe rozporządzenie dotyczące przetwarzania danych osobowych — RODO. Firmy działające na terenie UE, które gromadzą dane na temat osób fizycznych mają czas na wdrożenie zmian do dnia 25 maja 2018 roku. Wtedy to też rozporządzenie będzie obowiązywać we wszystkich krajach członkowskich Unii Europejskiej bezpośrednio, co oznacza, że np. w Polsce nie będzie konieczne wydanie dodatkowego aktu prawnego je wdrażającego. Jakie zmiany czekają polskich przedsiębiorców? Co należy wiedzieć o nowych zasadach przetwarzania danych osobowych?
Kto podlega pod RODO?
Rozporządzenie, nazywane GDPR (od angielskiej nazwy General Data Protection Regulation), a w Polsce znane pod nazwą RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych) stosowane będzie od 25 maja 2018 roku w całej Unii Europejskiej.
Nowe przepisy będą stosowane bezpośrednio (zatem będą wiążące dla każdego przedsiębiorcy) i dotyczyć będą każdej firmy, która świadczy swoje produkty lub usługi osobom prywatnym (fizycznym) w całej Unii Europejskiej.
Uwaga — rozporządzenie RODO dotyczyć będzie też firm, które nie mają swojej siedziby w którymś z krajów UE, ale oferują swoje usługi osobom tam mieszkającym. Mowa tutaj nie tylko o dużych korporacjach, działających globalnie, ale także niewielkich przedsiębiorstwach działających lokalnie — np. niewielkich sklepach internetowych, gromadzących dane swoich klientów w celu realizacji zamówienia.
Najważniejsze zmiany wprowadzone przez RODO
Nowe definicje wprowadzone przez RODO:
- profilowanie — czyli przewidywanie tego, co klient sklepu internetowego kupi następnym razem, bazując na zebranych danych na temat jego preferencji zakupowych, ale także sytuacji zdrowotnej, finansowej, bieżącej lokalizacji i innych;
- pseudonimizacja — proces (spseudonimizowane), po którym można przypisać konkretne dane do określonej osoby; forma zabezpieczenia danych osobowych;
- wyodrębnienie osobnych definicji dotyczących danych na temat zdrowia i danych genetycznych;
- wprowadzenie nowej definicji danych biometrycznych — wraz z generalnym zakazem przetwarzania takich danych;
- nowa definicja jednostki organizacyjnej;
- definicja zgody na przetwarzanie danych osobowych — rozporządzenie określa, że wyrażenie zgody musi mieć formę okazania woli w formie oświadczenia lub wyraźnego działania potwierdzającego.
Procedura oceny skutków (DPIA)
Ocena powinna być przeprowadzana za każdym razem, gdy istnieje ryzyko, że podczas przetwarzania danych osobowych naruszone zostanie prawo lub wolność osób fizycznych. RODO dokładnie określa, w jakich sytuacjach konieczne jest przeprowadzenie takiej procedury, a kiedy Administrator Danych Osobowych może ją pominąć.
Zgłaszanie incydentów bezpieczeństwa
Administratorzy Danych Osobowych, wraz z nadejściem nowego rozporządzenia, będą musieli także zgłaszać wszelkie incydenty związane z naruszeniem bezpieczeństwa danych osobowych, określanych przez RODO jako takie, które “prowadzą do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”.
Administrator ma 72 godziny na zgłoszenie GIODO faktu zaistnienia takiego incydentu.
Dodatkowo RODO wprowadza obowiązek prowadzenia tak zwanego rejestru naruszeń, w którym powinny się znajdować wszystkie informacje na temat naruszeń.
Nowe prawa obywateli
Rozporządzenie GDPR wprowadzi też kilka nowych praw dla obywateli, a wśród nich:
- Możliwość żądania przeniesienia danych;
- Obywatel zyska wzmocnione prawo do wglądu i dostępu do swoich danych;
- Możliwość usunięcia danych osobowych obywatela („Prawo do bycia zapomnianym”).
Inspektor Ochrony Danych
Wraz z wejściem w życie RODO w przedsiębiorstwach, które zarówno przetwarzają, jak i kontrolują dane osobowe wymagane będzie wyznaczenie osoby na stanowisko Inspektora Ochrony Danych (IOD) – zastąpi ona Administratora Bezpieczeństwa Informacji.
Współadministrator danych osobowych
Inną nowością, jaką wprowadzi RODO są współadministratorzy danych osobowych. Dzięki temu spółki, które należą do tej samej grupy kapitałowej będą mogły wspólnie zarządzać danymi osobowymi.
Nowe procedury
RODO wprowadza także nowe procedury, wśród których są między innymi privacy by design i privacy by default. Zmiany te wymuszają na Administratorach konieczność wdrożenia zasad prywatności na etapie projektowania oraz to, że zasady prywatności powinny stanowić „domyślny” element składowy każdego projektu zakładającego przetwarzanie danych osobowych.
Rejestr czynności przetwarzania
Administratorzy mają także – określony przez RODO – obowiązek prowadzenia rejestru czynności przetwarzania. Zawierać on powinien informacje na temat administratorów i innych osób zajmujących się przetwarzaniem danych osobowych, cel ich przetwarzania, listę osób, którym dane te zostały udostępnione i sposoby ich zabezpieczenia.
Jak RODO wpłynie na działy w firmach oraz mniejsze przedsiębiorstwa?
Rozporządzenie unijne dotyczące ochrony danych osobowych wprowadzi znaczne zmiany w pracy poszczególnych działów w dużych firmach – w szczególności tych zajmujących się rekrutacją pracowników. Działy HR, w świetle nowych obowiązków, muszą informować kandydatów o tym, w jakim celu oraz jak długo będą przetwarzane podane przez nich dane, oraz kto będzie miał do nich dostęp.
Mniejsze firmy – te, które zatrudniają mniej niż 250 pracowników – mają też pewne przywileje, których nie mają firmy duże. Jest to między innymi brak obowiązku prowadzenia rejestru czynności przetwarzania (o ile przetwarzane nie są dane wrażliwe). Mniejsze przedsiębiorstwa mają też więcej czasu na wdrożenie wszelkich wymagań i jest on dostosowany do ich możliwości.
Podsumowując, RODO wprowadza szereg obowiązków, które mogą być kłopotliwe do wdrożenia dla przedsiębiorców. Jednakże rozporządzenie nakłada też na organy nadzorcze obowiązek edukacyjny, stąd osoby, których dane są przetwarzane będą bardziej świadome tego faktu i będą znać dokładne procedury.
RODO a handel w Internecie
Unijne rozporządzenie dotyczące ochrony i przetwarzania danych osobowych wymuszą także wprowadzenie zmian w firmach, które swoją działalność opierają na handlu w sieci.
Zbiór danych
Jest to baza zawierająca wszystkie informacje na temat klientów sklepu internetowego i w myśl ustawy o ochronie danych osobowych stanowi ona zbiór danych. Dotychczas GIODO wymagało od właścicieli sklepów internetowych rejestrowania takich zbiorów – co nie zawsze było czynnością łatwą. Wraz z wejściem w życie RODO przedsiębiorcy nie będą musieli rejestrować w GIODO zbioru danych.
Deklaracje zgód
Sklepy internetowe muszą także wprowadzić zmiany w zgodach na przetwarzanie danych osobowych klienta. Od 25 maja 2018 roku, kiedy RODO będzie działało w całej UE, zgody na przetwarzanie danych muszą być wyrażane przez klientów w sposób świadomy, zatem nie spotkamy się już z zaznaczaniem jednego punktu i wyrażaniem kilku zgód jednocześnie. Wyrażenie zgody musi być wyraźnym działaniem w postaci potwierdzenia lub oświadczenia. Dodatkowo zgody muszą być jednoznaczne i napisane w czytelny, zrozumiały dla klienta sposób.
Zmiany w regulaminach
Wprowadzenie RODO zakłada, że dzięki niemu konsumenci będą bardziej świadomi tego, jak przetwarzane są ich dane osobowe i jakie mają w tym zakresie prawa. Dlatego też sklepy internetowe mają obowiązek wprowadzenia do swoich regulaminów nowych zapisów, informujących klientów o tym, w jakim celu i w jaki sposób ich dane są przetwarzane. Oprócz tego, sklep internetowy musi zapewnić w swoim regulaminie, że nie udostępni danych osobowych konsumenta innym firmom, a klient ma prawo zgłosić administratorowi chęć zaprzestania ich przetwarzania. Dodatkowo konsumenci muszą mieć świadomość tego, że w razie zauważenia wszelkich nieprawidłowości mogą złożyć skargę do GIODO.
Kary – narzędzie w ręku GIODO
Oprócz korzyści dla osób fizycznych, RODO ułatwia także polskiemu organowi ochrony danych osobowych egzekwowanie przestrzegania przepisów. GIODO wraz z wejściem w życie RODO będzie mógł nakładać bardzo wysokie finansowe kary na przedsiębiorców, którzy nie zastosują się do rozporządzenia.
Główny Inspektorat Ochrony Danych Osobowych będzie dysponował możliwością nałożenia kar administracyjnych w postaci 4% rocznego obrotu przedsiębiorstwa lub nawet 20 milionów euro — w zależności od tego, która kwota będzie wyższa.
Pełen tekst RODO w wersji polskiej
Z pełnym tekstem Rozporządzenia Ogólnego o Ochronie Danych Osobowych można zapoznać się na stronach EUR-Lex, która gromadzi wszystkie akty prawne Unii Europejskiej. Polska wersja dokumentu znajduje się pod tym adresem.
Badź zgodny z RODO
Bądź gotowy na najbardziej restrykcyjne regulacje Unii Europejskiej w zakresie ochrony danych osobowych
RODO (Rozporządzenie o Ochronie Danych Osobowych) to europejskie prawo regulujące przetwarzanie danych osobowych przez każdą firmę i organizację działającą na terenie Unii Europejskiej.
Jakie środki bezpieczeństwa musisz wdrożyć by zagwarantować bezpieczne przetwarzanie danych w swojej firmie?
Co RODO oznacza dla Ciebie?
Kosztowne sankcje
Kary finansowe za niedopełnienie wymogów RODO mogą sięgać 20 milionów euro lub 4% całkowitego przychodu firmy (w zależności od tego, która wartość będzie wyższa).
Wpływ na każdego
Prowadząc biznes lub organizację musisz stale nadzorować i chronić przetwarzane przez siebie dane osobowe – dane pracowników, informacje o klientach, bazy danych pacjentów etc.
Efektywna ochrona danych
Twoja firma musi być w stanie udowodnić, że jej wdrożone rozwiązania techniczne i organizacyjne działają prawidłowo i odpowiadają wymogom RODO.
Natychmiastowe zgłaszanie wyłomów bezpieczeństwa
Masz tylko 72 godziny by powiadomić odpowiednie władze o naruszeniu bezpieczeństwa Twoich danych.
Zgody na przetwarzanie danych
Musisz posiadać jasne i czytelne zgody na przetwarzanie danych osobowych. Prośba o zgodę na ich przetwarzanie powinna być sformułowana w sposób prosty i łatwy do zrozumienia.
Rozszerzona definicja „danych osobowych”
Dane osobowe to również adresy email oraz IP, ciasteczka przeglądarek (cookies) oraz informacje genetyczne i biometryczne.
Prawo do bycia zapomnianym
Każda osoba ma prawo prosić o bezzwłoczne usunięcie z Twojej bazy wszystkich informacji jej dotyczących.
Dedykowany „Inspektor Ochrony Danych"
Jeżeli systematycznie przetwarzasz dane osobowe to musisz wyznaczyć osobę pełniącą rolę Inspektora Danych Osobowych.
Prywatność w fazie projektowania
Ochrona danych osobowych musi być uwzględniana jako wytyczna w każdym projekcie środków bezpieczeństwa.
Kontrolę nad danymi możesz stracić na wiele sposobów
Wysłałeś wiadomość do złego adresata? Zgubiłeś dysk USB? Wycieki danych mogą być zupełnie przypadkowe, ale zdarza się, że ktoś im w tym pomaga. Wystarczy jeden niezadowolony pracownik, by kradzież wrażliwych danych zagroziła stabilności Twojego biznesu.
Załączniki
Poczta webowa
Klient e-mail
Chmura
Office 365
Google Disk
Box
Dropbox
Sprzęt
Dyski USB
Karty pamięci
Internet
Sieć
p2p
FTP
torrent
Media
CD / DVD / Blu-ray
Druk
Urządzenia mobilne
Smartfon
Tablet
Laptop
Media społecznościowe
Facebook
Twitter
Google+
IM
Schowek
Drag&Drop
Zrzut ekranu
Ctrl+c/Ctrl+v
Safetica ochroni Cię przed wyciekiem danych
Safetica wykryje każdą próbę operowania chronionymi danymi w niepożądany sposób. W zależności od Twoich ustawień, Safetica może zablokować ryzykowną aktywność, powiadomić administratora lub przypomnieć pracownikowi o potencjalnym naruszeniu polityki bezpieczeństwa. Kiedy potrzebujesz zabrać wrażliwy dokument poza firmę (np. na dysku USB) Safetica dopilnuje, by nośnik był zaszyfrowany, a zapisane na nim dane chronione przed niepowołanym dostępem w razie utraty lub kradzieży nośnika. Safetica gwarantuje, że Twoja własność pozostanie Twoją własnością.
Z rozwiązaniem DLP firmy Safetica:
1. wykryjesz zagrożenia
dla bezpieczeństwa
swoich danych
- wdrożysz polityki
bezpieczeństwa edukując
pracowników
3. ochronisz wrażliwe
dane przed opuszczeniem
firmy
Współpracując z nami zyskasz