Już 25 maja 2018 roku w życie wejdzie iście rewolucyjna zmiana dotycząca ochrony danych osobowych. RODO – bo o nim mowa – zmusi wszystkie działające w internecie firmy do wprowadzenia wielu zmian. Co to w praktyce oznacza dla Twojego biznesu?

Czym jest RODO?

Nasz dzisiejszy artykuł zacznijmy od rozwinięcia enigmatycznego skrótu, który pojawił się w leadzie. RODO to unijne Ogólne Rozporządzenie o Ochronie Danych Osobowych. Jego wejście w życie dotyczy wszystkich przedsiębiorców, którzy prowadzą działalność gospodarczą, w ramach której w dowolny sposób przetwarzają dane osobowe. Eksperci niemal jednym głosem twierdzą, że to największa zmiana w tej tematyce od ponad 20 lat. Jej głównym celem, jak zapewnia prawodawca, jest zwiększenie ochrony praw jednostki w sieci.

Unijne rozporządzenie precyzyjnie określa w jaki sposób firma może uzyskać zgodę na przechowywanie i wykorzystanie danych osobowych. Jednocześnie RODO sprawi, że żadne dane o użytkownikach nie będą traktowane jako anonimowe. Nowe przepisy są bardzo „sprawiedliwie” i tak samo traktują wszystkie biznesy – czy to duże korporacje, czy też małe sklepy internetowe lub zakłady fryzjerskie. Co ciekawe, RODO nie dotyczy wyłącznie obywateli Unii Europejskiej, ale wszystkich osób prowadzących działalność gospodarczą na obszarze UE.

Już od 25 maja 2018 roku każda, nawet najmniejsza informacja, która potencjalnie może doprowadzić do identyfikacji danej osoby, będzie szczególnie chroniona. Poza takimi oczywistymi danymi jak imię i nazwisko, adres pocztowy i mailowy, mowa również o adresie IP, plikach cookies, dokumentacji zdrowotnej czy nawet informacjach o sytuacji zdrowotnej, poglądach politycznych czy orientacji seksualnej jednostki.

Kto jest odpowiedzialny za wdrożenie RODO w firmie?

Niestety tutaj mamy dla Was złą wiadomość… Ustawodawca całkowitą odpowiedzialność za wdrożenie nowych przepisów obarczył Was, Drodzy przedsiębiorcy. To właśnie Wy będziecie musieli już niedługo dokonać zabezpieczenia zbioru danych adekwatnego do zakresu ich przetwarzania. Nowe przepisy dotykają również przedsiębiorstw, które realizując swoją usługę biznesową mają styczność z danymi osobowymi z innych firm. W przypadku złamania zapisów RODO przez taki podmiot obowiązuje go pełna odpowiedzialność prawna oraz znaczna kara finansowa.

Co także warte podkreślenia, w każdej firmie, która gromadzi, przetwarza lub kontroluje dane będzie musiał zostać powołany Inspektor Ochrony Danych Osobowych. Osoba sprawująca to stanowisko będzie musiała posiadać określoną wiedzę ekspercką związaną z ochroną danych osobowych.

Czym RODO różni się od dotychczasowych przepisów w zakresie ochrony danych osobowych?

Tak jak wspomnieliśmy już na początku tego artykułu głównym celem wprowadzenia zmian jest przede wszystkim zwiększenie ochrony jednostki. Po wejściu w życie RODO każda firma gromadząca w jakikolwiek sposób dane (któż dziś tego nie robi?!) będzie zobowiązana prawnie do poinformowania – teraz przechodzimy do sedna sprawy – w sposób zrozumiały i zwięzły każdej osoby, w jakim celu jej dane są gromadzone, jak będą przetwarzane (np. jakim innym podmiotom zostaną udostępnione) oraz kto będzie administratorem tych danych. Firma musi również poinformować takową osobę, jakie prawa w tym zakresie jej przysługują.

Obecnie niektóre firmy w regulaminach dotyczących przetwarzania danych użytkownika korzystają z żargonowego i/lub nasiąkniętego prawem języka. W praktyce wygląda to tak, że dana osoba, mimo iż akceptuje gromadzenie i przetwarzanie swoich danych, po prostu nie ma pojęcia na jakich zasadach będzie się to odbywało. Jednak już od 25 maja ulegnie to zmianie, a wszelkie dokumenty w tym zakresie będą musiały być napisane przejrzyście, krótko i logicznie.

To jednak nie wszystko. Do obowiązków firm będzie należeć również tworzenie i prowadzenie skrupulatnych baz danych zawierających m.in. informacje na temat powodów przetwarzania danych, różne ich kategorie, zgody na ich przetwarzanie, wszelkie rejestry transferów, a także pełny spis naruszeń związanych z zasadami ochrony prywatności.

Nowe przepisy „uderzą” szczególnie w firmy działające w branży interaktywnej, np. oferujące usługi reklamy w internecie. Jednym z głównym obszarów działań takich biznesów jest tworzenie spersonalizowanych treści i ofert. Wykorzystywane w tym procesie są różne dane w celu profilowania danego użytkownika. Po 25 maja firma będzie musiała przedstawić klarowną podstawę prawną (np. zgodę użytkownika) do realizacji tego typu działań. Mało tego! Użytkownik będzie musiał zostać poinformowany o wszystkich etapach działań związanych z wykorzystaniem jego działań oraz potencjalnych konsekwencjach. Przyznacie sami, że w takiej rzeczywistości każdorazowe pozyskanie chociaż jednej zgody będzie sporym sukcesem…

co jeszcze trzeba wiedzieć o rodo?

Jak już wspomnieliśmy, jednym ze sztandarowych powodów wejścia w życie nowych przepisów jest umożliwienie osobom fizycznej możliwości większej kontroli nad swoimi danymi osobowymi. Jednym z przejawów tego stanu rzeczy będzie możliwości korzystania z tzw. „prawa do bycia zapomnianym”, które w praktyce nakazuje administratorowi danych bezwględne ich usunięcie ze wszystkich swoich baz na wniosek użytkownika.

Co więcej, każdy użytkownik będzie mógł zakazać wykorzystywania swoich danych do prowadzenia przez firmy działań związanych z marketingiem bezpośrednim. Stały wgląd do gromadzonych informacji również stanie się standardem, a jeśli użytkownik będzie chciał przenieść uporządkowany zbiór swoich danych od jednego do drugiego administratora, wówczas ten pierwszy będzie musiał to pokornie zrobić.

W przypadku naruszenia któregoś z wyżej opisanych postanowień użytkownik będzie mógł złożyć do GIODO (w Polsce) lub do innego organu nadzoru w państwie, w którym dokonano naruszenia tychże postanowień, oficjalną skargę. Z kolei organ nadzoru otrzyma możliwość nakładania kar finansowych – bardzo wysokich (kara może wynosić nawet 20 milionów euro albo 4 procent. rocznego obrotu firmy) – na podmiot, który dopuścił się naruszenia przepisów RODO. Od decyzji tego organu będzie firmom przysługiwało odwołanie się wyłącznie do sądu.

Podsumowując, ostatnie tak poważne zmiany dotyczące ochrony danych osobowych miały miejsce w 1995 roku. Biorąc pod uwagę tempo zmian, które zaszły i nieustannie zachodzą od tego czasu m.in. w rozwoju technologii, marketingu cyfrowym oraz coraz większej popularności wykorzystywania tzw. big data, nowe przepisy były po prostu potrzebne. RODO z jednej strony ma dać osobom fizycznym poczucie bezpieczeństwa w dzisiejszej cyfrowej rzeczywistości, a z drugiej wprowadzić klarowne standardy zbierania i przetwarzania danych przez firmy.