Pułapki ochrony danych osobowych, czyli błędy w sprawie RODO

Prawo i regulacje

Kartka z napisem RODO na klawiaturze komputera
Fot. stock.adobe.com/bnorbert3

Od momentu wdrożenia w maju 2018 r. GDPR (ang. General Data Protection Regulation) bezpieczne przechowywanie danych osobowych to nadal pole minowe dla wielu przedsiębiorców.

#Brexit umożliwi firmom wyłudzanie naszych #daneosobowe? Oto 5 największych nieporozumień dotyczących #RODO

Czym są dane osobowe?

Rozporządzenie o Ochronie Danych Osobowych (RODO) to unijne prawo, które w zupełnie inny, niż dotychczas, sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Biuro Informacji Komisarzy (ICO) definiuje dane osobowe jako „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby”. Oznacza to po pro-stu, że wszelkie informacje identyfikujące daną osobę, takie jak imię i nazwisko, numer lub adres IP są uważane za dane osobowe.

1: „Każdy zostanie ukarany”

Groźba wysokiej kary za nieprzestrzeganie RODO (nawet 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) od początku wzbudzała obawy wielu przedsiębiorców. W rzeczywistości ta surowa kara została zastosowana tylko w przypadku firm, któ-re nie podjęły żadnych wysiłków w celu spełnienia wymagań RODO, całkowicie nie przestrzegają przepisów czy wykorzystują dane w niewłaściwy sposób. Jednak kara wciąż jest możliwa i należy dołożyć wszelkich starań, aby spełnić wymagania związane z GDPR.

2: „Brexit przysporzy problemów”

We wtorek, 15 stycznia 2019 roku brytyjski parlament odrzucił umowę ws. brexitu. Warto przypomnieć, że wyjście Wielkiej Brytanii z UE ma nastąpić 29 marca br. Wynika to z art. 50 traktatu o UE przewidującego dwuletni termin przygotowań po zawiadomieniu Brukseli o brexicie przez brytyjski rząd. Organizacje powinny były jednak wywiązać się ze swojej zgodności z RODO na długo przed wejściem w życie tego rozporządzenia. Aby kontynuować handel z jak najmniejszymi zakłóceniami, przedsiębiorstwa muszą wykazać, że dysponują odpowiednimi środkami do ochrony danych swoich klientów. Brexit nie daje organizacjom żadnej klauzuli „wyciągania” danych – w szczególności tym, które będą przechowywać dane osobowe obywateli UE w przyszłości.

3: „To tylko zmiana polityki prywatności”

Wszelkie komunikaty, takie jak wiadomości e-mail i długotrwała polityka prywatności dotycząca przechowywania danych, są konieczną częścią GDPR, ale same w sobie nie wystarczą. RODO wy-maga wykazania zgodności i udokumentowania decyzji podjętych w związku z przetwarzaniem dzia-łania oraz zapewnienia środków bezpieczeństwa w celu zapobiegania oszustwom.

4: „Wystarczy wdrożyć”

Błędem jest myślenie, że RODO wystarczy tylko wdrożyć i dalej można o nim zapomnieć. Zmiana regulaminu świadczonych usług, dostosowanie treści zgód oraz napisanie nowej polityki bezpieczeństwa w oparciu o nowe wytyczne jest niezbędne, ale nie wystarczające. RODO nakłada na przedsiębiorców obowiązek stałego kontrolowania procesów związanych z przetwarzaniem danych osobowych w firmie.

5: „GDPR jest tylko dla dużych firm”

Bez względu na wielkość przedsiębiorstwa, jeśli organizacja przechowuje lub w jakikolwiek sposób używa osobistych, identyfikowalnych danych, to pozostawanie ich w zgodzie z GDPR jest niezbędne. Nie ma zatem znaczenia, czy jest to jednoosobowa działalność gospodarcza, spółka cywilna czy spółka z o.o. – każde z tych podmiotów obowiązuje ochrona danych osobowych. RODO jest ważne zarówno dla właścicieli wielkich, jak i małych przedsiębiorstw.

– Prawidłowo wdrożone obowiązki związane z RODO mogą przełożyć się na oszczędności, wyższą efektywność przetwarzania danych oraz wzrost zaufania i poprawę relacji z klientami. Większa świadomość klientów w zakresie przysługujących im praw i wykorzystania danych osobowych jest szan-są dla tych firm, które zapewnią skuteczną ich ochronę – komentuje Jarosław Jastrzębski, radca prawny w TWINO (właściciel netrcredit.pl i incredit.pl).

Źródło: TWINO

 

Udostępnij artykuł: