Wybór kraju

Wybór kraju

RODO: Rewolucja w ochronie danych osobowych (i w Twojej firmie)

31 Lip 2017   Aktualizacja: 31 Lip 2017

Marta Siekierska

RODO, czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych, to prawdziwa rewolucja również dla Twojego e-przedsiębiorstwa. Wyjaśniamy, co trzeba zmienić w biznesie internetowym i dlaczego należy się pospieszyć.

Ochrona danych osobowych to drażliwy temat. I skomplikowany, zwłaszcza, jeśli prowadzi się działalność w wielu krajach. Teraz tę sferę czeka wiele zmian, bo po czterech latach burzliwych dyskusji i przygotowań w kwietniu ubiegłego roku Parlament Europejski i Rada Unii Europejskiej przyjęły Rozporządzenie Ogólne o Ochronie Danych Osobowych (RODO), zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych”. Chodzi o nowe wytyczne dla prowadzących działalność gospodarczą, dotyczące tego, w jaki sposób mają chronić dane osobowe użytkowników.

Urzędnicy unijni musieli uwspółcześnić regulacje, bo obowiązujące do dziś przepisy zostały ustanowione w 1995 roku – trzy lata przed powstaniem Google. To właśnie rewolucja technologiczna w największym stopniu wymusiła reformę przepisów dotyczących danych osobowych.

Od maja 2018 roku będą obowiązywać ujednolicone przepisy dla wszystkich 28 państw unijnych. W Polsce ich uzupełnieniem będzie ustawa, nad którą pracę ruszą jeszcze w tym roku.

Na jakie zmiany muszą przygotować się właściciele biznesów internetowych?

Otwarty model danych

Nowe prawo będzie dotyczyć praktycznie wszystkich, ponieważ nie ma już w zasadzie przedsiębiorstw, które nie gromadzą w jakikolwiek sposób danych osób fizycznych. Regulacje mają być jednocześnie technologicznie neutralne. To oznacza, że mają mieć zastosowanie niezależnie od zachodzących zmian w sposobie prowadzenia biznesu. Stąd odejście od zbioru sztywnych rozwiązań.

Oznacza to, że każdy przedsiębiorca będzie musiał ustalać indywidualnie konkretne sposoby zabezpieczania danych osobowych w swojej firmie. Ich kształt będzie zależeć m.in. od specyfiki branży, w jakiej działa.

– Każdy przedsiębiorca działa inaczej. Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu. Przechodzimy z zamkniętego do otwartego modelu ochrony danych. Można powiedzieć, że to taka ochrona danych 2.0 – wyjaśniał w rozmowie z Onetem dr Maciej Kawecki, doradca ministra w resorcie cyfryzacji.

RODO: Co oznacza w praktyce?

Tworząc zabezpieczenia dotyczące danych swoich klientów, przedsiębiorcy będą musieli oczywiście uwzględnić określone wytyczne.

- Każde przetwarzanie danych osobowych wymagać będzie stosownej podstawy prawnej. W praktyce marketingowej najpopularniejsze będą: zgoda osoby, której dane dotyczą, oraz tzw. prawnie uzasadniony interes administratora danych, do którego można zaliczyć m.in. własny marketing bezpośredni – wyjaśnia mec. Maciej Kubiak, adwokat, wspólnik w kancelarii LSW Leśnodorski, Ślusarek i Wspólnicy.

Dla właścicieli sklepów internetowych oznacza to zmiany, których część prawdopodobnie ułatwi, a część skomplikuje prowadzenie biznesu.

Oto najważniejsze z nich w skrócie:

 

Poniżej znajdziesz więcej informacji o tym, co wprowadzenie RODO oznacza dla Twojego biznesu.

Skutki wprowadzenia RODO dla Twojej firmy

1. Zniknie obowiązek rejestracji zbiorów danych osobowych w GIODO.

Administratora Bezpieczeństwa Informacji (teraz zwanego Inspektorem Ochrony Danych Osobowych) powoływać będą musiały jedynie duże podmioty (zatrudniające od 250 osób), przetwarzające dane regularnie na dużą skalę (np. banki, firmy przetwarzające dane medyczne, czy marketingowe) oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

2. Według RODO zgoda na przetwarzanie danych osobowych musi być:

  • jawna
  • świadoma
  • dobrowolna
  • potwierdzona

Uwaga, to oznacza, że nie wystarczy już jeden przycisk („checkbox”), po wciśnięciu którego klient często zezwalał na przetwarzania jego danych w celach marketingowych czy udostępnianie ich podmiotom trzecim. Zgoda nie może być też ukryta w regulaminie, czy ukryta w jakikolwiek inny sposób. Klient, zapisując się na newsletter, musi wyrazić:

  • zgodę na przetwarzanie danych osobowych do celów marketingowych
  • zgodę na przesyłanie informacji handlowych środkami komunikacji elektronicznej.

Najlepiej stosować model double opt-in. Polega on na wysłaniu na podany przy zapisie adres mailowy wiadomości z linkiem aktywacyjnym z prośbą o potwierdzenie subskrypcji. Dopiero, gdy potencjalny subskrybent kliknie w link, można umieścić jego adres na liście odbiorców i kontynuować komunikację.

Zobacz: Jak nie wysyłać spamu

3. Prawo do usunięcia danych („Prawo do bycia zapomnianym”)

Konsument zyska większą kontrolę nad swoimi danymi – będzie mógł np. zażądać od administratora danych, aby przestał je przetwarzać. Administrator, który upublicznił dane osobowe, będzie musiał poinformować innych administratorów, którzy je przetwarzają, o usunięciu wszelkich łączy do tych danych, kopii lub ich replikacji.

4. Każda umowa między firmami zostanie wzbogacona o zapis dotyczący ochrony danych osobowych.

Do tej pory jedynie mógł – a nie musiał – znajdować się w takich umowach zapis dotyczący poufności.

5. Pojawia się mechanizm i prawo sprzeciwu jednostki wobec tzw. profilowania „zwykłego” czyli takiego, które najczęściej będzie wykorzystywane przy targetowaniu behawioralnym i reklamach kontekstowych.

- Oznacza to, że w razie sprzeciwu, profilowanie klienta związane z marketingiem bezpośrednim nie będzie dłużej dopuszczalne. Zdecydowanie szersze obowiązki i ograniczenia będą dotyczyły administratorów, którzy dokonywać będą profilowania wykorzystywanego na potrzeby zautomatyzowanych decyzji, np. o przyznaniu kredytu – dodaje mec. Maciej Kubiak.

Przeczytaj też: Jak zniknąć z sieci?

6. Firmy będą mieć obowiązek zgłaszania w ciągu 72 godzin nadzorującym je jednostkom (aktualnie jest to GIODO) wszystkich incydentów, w wyniku których dojdzie do wycieku danych.

Ile czasu na wdrożenie zmian?

Firmy muszą wdrożyć zmiany dokładnie do 25 maja 2018 roku. Nie będzie bowiem okresu przejściowego, czyli czasu na poprawienie zmian, dotarcie się prawa, lepsze „sklejenie” go z rynkiem.

Przy tej skali zmian może to być spore wyzwanie. Zwłaszcza że – jak pokazało zeszłoroczne badanie Della – ponad 80 proc. przedstawicieli ankietowanych firm nie ma pojęcia o nowym rozporządzeniu lub dysponuje jedynie szczątkową wiedzą na jego temat. Jeszcze rok temu odpowiedni plan wprowadzenia RODO miało tylko 3 proc. firm.

Tymczasem nowe przepisy zakładają wysokie kary za łamanie prawa, które mogą sięgnąć aż 20 mln euro lub 4 proc. całkowitego światowego obrotu spółki.

Przeczytaj też przewodnik kancelarii LSW Leśnodorski, Ślusarek i Wspólnicy: Co oznacza RODO?