Od wejścia w życie to unijne rozporządzenie nie schodzi z ust w sklepach, szkołach, urzędach, punktach usług. Jest tematem żartów i dyskusji. Jeśli nadal zastanawiasz się co jest RODO, kogo dotyczy i co wynika reguł wprowadzonych przez urzędników UE, odpowiedzi znajdziesz w tym tekście.
Co oznacza skrót RODO?
Skrót RODO to Rozporządzenie o Ochronie Danych Osobowych, które zostało przyjęte przez Parlament Europejski i Unię Europejską i weszło w życie 25 maja 2018 roku (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Od tego dnia europejskie przepisy zastępują polską ustawę o danych osobowych, wprowadzając szereg zmian, które mają na celu lepszą ochronę wrażliwych informacji.
Czym są dane osobowe w świetle nowych przepisów?
Definicja danych według RODO jest bardzo szeroka i właśnie to jest powodem kontrowersji i obaw. Dane osobowe według nowego rozporządzenia to najogólniej mówiąc wszelkie informacje, które pozwalają na zidentyfikowanie osoby fizycznej. Do danych osobowych zaliczymy imię i nazwisko, pesel, adres e-mail, który pozwoli zidentyfikować osobę, a nawet informacje, które pozwalają określić genetyczną, psychiczną, fizjologiczną (np. płeć, kolor oczu, waga, dane o stanie zdrowia), kulturową i społeczną tożsamość (przynależność religijną, poglądy). Oznacza to, że dane chronione przez RODO nie muszą być podane wprost, tak jak ma to miejsce w przypadku imienia, nazwiska czy daty urodzenia. Wystarczy, że będzie to konkretna informacja, którą będzie można powiązać z określoną osobą fizyczną.
Kto powinien zwrócić szczególną uwagę na zmiany wprowadzone przez rozporządzenie RODO?
Zmiany dotyczą zarówno mikrofirm, jak i dużych spółek, także spoza UE, czyli każdego podmiotu, który gromadzi, utrwala, przechowuje, wykorzystuje i usuwa dane osobowe. Może być to np. jednoosobowa działalność, polegająca na sprzedaży w sklepie internetowym i zbierające dane swoich klientów. Przedsiębiorcy mają obowiązek znać i wprowadzać w życie zasady wprowadzone przez RODO.
Najważniejsze zasady RODO
Nowe przepisy wprowadzają sporo zmian, już teraz zauważalnych zarówno wśród klientów i interesantów różnego rodzaju urzędów, placówek i instytucji, jak i pracowników podmiotów, gromadzących i wykorzystujących dane osobowe.
Jedną z podstawowych zasad jest przetwarzanie tylko tych danych, które są potrzebne w danym celu, np. do złożenia zamówienie w sklepie internetowym.
Podmiot przechowujący dane ma obowiązek określenia przez jaki okres będzie przechowywać dane lub określić kryteria, które umożliwią wyznaczenie tego okresu.
Wprowadzona została także konieczność informowania klienta o naruszenia jego danych oraz zawiadamiania Prezesa Urzędu Danych Osobowych w ciągu 72 godzin o naruszeniu danych osobowych.
Kolejnym ważnym prawem, przysługującym klientom udostępniającym informacje o sobie jest prawo do bycia zapomnianym. Oznacza ono, że osoba fizyczna ma prawo do złożenia wniosku o usunięcie jego danych osobowych z bazy danego podmiotu.
Osoba fizyczna ma także prawo do wnioskowania o przekazanie swoich danych innemu podmiotowi.
Co RODO oznacza w praktyce?
Po zapoznaniu się ze wszelkim informacjami o nowych przepisach, chroniących dane osobowe, warto, aby przedsiębiorca zadał sobie pytanie: co RODO oznacza w praktyce dla mojej firmy? To znaczy, przyjrzeć się temu jak gromadzi i przetwarza dane osobowe swoich klientów, czy gromadzonych informacji nie jest za dużo, a jeśli tak usunąć je. Po wejściu w życie ustawy, niezbędne jest, aby przed każdym pobraniem danych osobowych od klienta uzyskać zgodę na ich przetwarzanie.
A co jeśli chcemy korzystać ze zgromadzonej wcześniej bazy klientów? Wszystko zależy od tego, w jaki sposób były pozyskiwane ich dane. Jeśli odbyło się to zgodnie z obowiązującymi obecnie przepisami, czyli klient wyraził wyraźną zgodę na określone działanie, np. otrzymywanie maili z informacją o promocjach, nie ma potrzeby ponownego pytania o zgodę.
Warto pamiętać, że o zgodę na przetwarzanie danych osobowych trzeba pytać także podczas stacjonarnej obsługi klientów. Innym ważnym szczegółem, o który trzeba zadbać to upoważnienie dla osób zarządzających gromadzonymi i przetwarzanymi informacjami.
W razie kontroli, przedsiębiorca będzie musiał także wykazać, że informacje o klientach są odpowiednio zabezpieczone przed wyciekami. Jak można to udowodnić? W małych firmach może to być np. zabezpieczenie hasłowe, program antywirusowy i bezpieczne przechowywanie urządzenia, na którym gromadzone są dane.
Nie zapominajmy także o konieczności informowania Prezesa Urzędu Ochrony Danych Osobowych o wszelkich przypadkach naruszenia danych, takich jak włamanie na skrzynkę pocztową, czy dostęp niepowołanych osób do komputera z danymi osobowymi. Należy to zrobić w ciągu 72 godzin. Gdy ryzyko wycieku jest wysokie, czyli np. w przypadku danych o stanie zdrowia, przedsiębiorca ma obowiązek zawiadomić swoich klientów.