X

RODO – główne zasady, zmiany, obowiązki, definicje

RODO to unijne rozporządzenie o ochronie danych osobowych, które z dniem 25 maja 2018 zaczęło obowiązywać w Polsce. Zostało ono wprowadzone, aby z jednej strony wzmocnić ochronę danych, a z drugiej ujednolicić politykę w zakresie ochronny danych osobowych w Unii Europejskiej.

Cały dokument rozporządzenia o ochronie danych osobowych (RODO) w formacie PDF można pobrać tutaj.

Dotychczas każdy z krajów członkowskich miał swoje definicje, zasady i przepisy w tym zakresie. Jedne kraje ostrzejsze, inne nieco mniej. Warto wspomnieć, że samo rozporządzenie zostało uchwalone już w 2016r. Firmy miały dwa lata, aby się do niego dostosować.

Jako osoba, która na co dzień ma styczność z danymi osobowymi, tematyką CRM i marketingiem, postanowiłem przestudiować nowe regulacje i sprawdzić zmiany jakie RODO wnosi. Chyba wszyscy zdążyli zauważyć, z dziesiątek otrzymywanych emaili, że firmy mają od maja dodatkowe obowiązki informacyjne, jako administratorzy danych osobowych. Zobaczmy jednak, co poza tym zmieniają nowe regulacje RODO.

Dla przypomnienia wytłumaczmy jeszcze, co to są dane osobowe – bo w końcu wokół nich jest całe zamieszanie. A nie wszystkie dane wpadają w końcu pod to określenie. Najkrócej dane osobowe można zdefiniować jako dane, które umożliwiają bezpośrednio lub pośrednio identyfikację konkretnej osoby fizycznej. Rozporządzenie RODO szerzej tłumaczy kwestię, kiedy dokładnie można uznać dane za osobowe, a kiedy nie. Bo w praktyce bywa z tym różnie, przykładowo – raz adres email będzie daną osobową (np. jan.kowalski@nazwafirmy.pl), a czasami nie (np. nick123@gmail.com).

Czy RODO to rewolucja?

Skrót RODO w ostatnich miesiącach często pojawia się w mediach. W jednych miejscach mówi się o prawdziwej rewolucji i ogromnych karach za łamie prawa, w innych o szeregu dodatkowych obowiązkach, które spadają na firmy wraz ze startem RODO, gdzie indziej pojawia się chwytliwa, choć tajemnicza fraza „prawa do bycia zapomnianym”.

Ale czy RODO to rewolucja? Moim zdaniem nie. Podmioty, które dotychczas stosowały się do obowiązujących przepisów nie odczują nowych przepisów jako przełomowych. Na pewno RODO wymusza wprowadzenia zmian do części procesów wewnątrz firm, co z kolei rodzi konieczność wdrożenia pracochłonnych modyfikacji informatycznych w systemach oraz przeprowadzenia nowych szkoleń dla pracowników. Jednakże nie wprowadza żadnych przełomowych zmian.

Polskie prawo już wcześniej nakładało na firmy szereg obowiązków odnośnie przetwarzania danych osobowych. Problem był jednak z ich przestrzeganiem. Czas pokaże, czy wprowadzenie RODO przyczyni się większej egzekucji nowych wymagań wobec firm. Surowe kary raczej się nie posypią. Przedsiębiorstwa, które rażąco łamią prawa w zakresie danych osobowych, to w dużej części „firmy krzaki”. W tajemniczy sposób wchodzą w posiadanie danych, a zanim zostaną namierzone, to zdążą już je wielokrotnie wykorzystać do marketingu bezpośredniego, i zniknąć, aby potem pojawić się pod nową osobowością prawną.

RODO – zmiany, zasady, obowiązki

Spróbujmy sobie jednak odpowiedzieć na podstawowe pytanie: co zmienia RODO?
Pomijam kwestie kar i nowego urzędu, który zastąpił GIODO. Skoncentruję się na najważniejszych aspektach praktycznych związanych z RODO.

Kogo dotyczą przepisy RODO?

RODO dotyczy wszystkich jednostek, które gromadzą lub wykorzystują dane osobowe osób fizycznych. Nie ma rozróżnienia na ich wielkość. Do zasad RODO powinny się dostosować wielkie korporacje, administracja publiczna, jak i jednoosobowe działalności gospodarcze. Liczy się sam fakt przetwarzania danych osobowych – klientów, kontrahentów, pracowników, itd.

Wielkość przedsiębiorstwa ma znaczenie tylko w niektórych aspektach prawnych. Przykładowo, podmioty zatrudniające mniej niż 250 pracowników, zwolnione są z obowiązku prowadzenia rejestru czynności przetwarzania (więcej na ten temat nieco dalej).

Czego nie dotyczą przepisy RODO?

RODO nie reguluje przetwarzania danych osobowych dotyczących osób prawnych, w tym danych o firmie oraz danych kontaktowych osoby prawnej. RODO dotyczy tylko ochrony danych osób fizycznych. Ale też z pewnymi wyjątkami. Spod przepisów RODO wyłączone są sytuacje, gdy przetwarzane są dane osobowe przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową (np. na cele prywatnej korespondencji)

Jakie główne zmiany wprowadza RODO?

Prawo do bycia zapomnianym – czyli prawo osoby fizycznej, które dane są przetwarzane, do żądania od administratora tych danych trwałego usunięcia swoich danych osobowych ze wszystkich systemów.

RODO narzuca obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dla przedsiębiorców zatrudniających powyżej 250 osób. Na polecenie organu nadzorczego firma powinna te rejestry udostępnić w celu monitorowania wymienionych tam operacji przetwarzania. Te rejestry zastępują konieczność zgłaszania zbiorów danych osobowych do GIODO. Same rejestry powinny zawierać, oprócz listy czynności powodujących przetworzenie danych osobowych, także: powody przetwarzania poszczególnych danych, rejestry naruszeń i incydentów, kategorie podmiotów danych i danych osobowych, adresatów danych, itd.

RODO wprowadza szereg obowiązków informacyjnych wobec administratora danych. Firma musi obecnie poinformować osobę, której dane będą gromadzone, m.in. o następujących kwestiach:

  • nazwie oraz danych kontaktowych administratora danych,
  • danych kontaktowych Inspektora Ochrony Danych (IOD) wewnątrz firmy, o ile administrator takiego powołał,
  • celu i podstawie przetwarzania danych,
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • okresie przez jaki dane osobowe będą przechowywane,
  • prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • prawie do cofnięcia wyrażonej zgody na przetwarzanie danych w dowolnym momencie,
  • prawie do wniesienia skargi do organu nadzorczego,
  • ewentualnym profilowaniu danych.

Pojawia się nowy obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu. Dotychczas o zaistnieniu wycieku danych osobowych właściwe instytucje dowiadywały się z paro tygodniowym lub miesięcznym opóźnieniem. Przepisy RODO narzucają teraz na administratora obowiązek zgłoszenia organowi nadzorczemu informacji o stwierdzeniu naruszenia ochrony danych osobowych nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia. W przypadku ujawnienia danych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, administrator ma także obowiązek poinformować także te osoby.

Nowe pojęcia  w RODO – pseudonimizacja i profilowanie.

  • pseudonimizacja polega w skrócie na takim przetworzeniu danych osobowych, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. Działanie to, w przeciwieństwie do anonimizacji, jest odwracalne. Po przeprowadzeniu pseudonimizacji, przy pomocy odpowiedniego klucza deszyfrującego, można ponownie zidentyfikować daną osobę fizyczną. Proces ten może okazać się przydatny na etapie analiz i badań baz klienckich.
  • profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących tej osoby (np. zachowania, upodobań, preferencji). Profilowanie jest powszechnie wykorzystywane przez sklepy internetowe, które dopasowują treść wyświetlanych informacji lub reklam, do zachowania użytkownika na stronie. Wraz z wejściem RODO należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania.

Zasady zbieranie zgód według RODO

Dla marketingowców z praktycznego punktu widzenia, RODO wprowadza największe zmiany w sposobie zbierania zgód na przetwarzanie danych od osób fizycznych. Obecnie te same procesy sprzedaży bądź obsługi wymagają zebrania większej liczby zgód, które z kolei stały się również dłuższe.

RODO definiuje, że zgoda na przetwarzanie danych osobowych „powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia”.

Zgoda musi więc przyjąć formę oświadczeniu bądź zachowania, które w danym kontekście jasno wskazuje, że konkretna osoba zaakceptowała przetwarzanie jej danych osobowych w konkretnym celu.

Za poprawnie zebraną zgodę nie powinno być brane: milczenie osoby, okienka domyślnie zaznaczone lub niepodjęcie działania przez osobę. Dodatkowo administrator danych powinien być w stanie udowodnić, że poszczególna osoba, której dane są przetwarzane, wyraziła na to zgodę (gdzie, jak i kiedy).

Od teraz zgoda dotyczy konkretnego celu przetwarzania. Jeżeli przetwarzanie danych osobowych będzie służyć różnym celom, wtedy na każdy z nich potrzebna jest odrębna zgoda – nie można już teraz łączyć ich w jedną długą formułkę. Taka łączona zgoda nie jest uznawana za dobrowolną. Analogicznie, za dobrowolną zgodę nie uważa się takiej, której udzielenie warunkuje wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

Jednocześnie, aby ukrócić ewentualne „obejścia” od przepisów, RODO zawiera wymagania stawiane wobec treści zgód – w myśl nowych przepisów mają być one:

  • zrozumiałe
  • mieć łatwo dostępną formę,
  • być sformułowane jasnym i prostym językiem
  • nie powinno zawierać nieuczciwych warunków.

Jak zostało wspomniane, wyrażenie zgody na przetwarzanie danych osobowych powinno być dobrowolne, wynikać z wolnego wyboru, a ewentualne odmówienie zgody lub późniejsze jej wycofanie nie powinno pociągać żadnych niekorzystnych konsekwencji dla osoby, której dane dotyczą. Innymi słowy, wycofanie zgody powinno być równie łatwe i bezproblemowe jak jej wyrażenie.

Jeszcze na koniec szybkie pytanie...
Korzystasz z EXCEL lub PowerPoint?
Poznaj Naukę na przykładach!
500 funkcji Excel + 500 slajdów PowerPoint

Zobacz podręcznik =>

Dodaj komentarz