Od 25 maja 2018 roku, czyli od wczoraj zaczęło obowiązywać w Polsce ogólne rozporządzenie o ochronie danych osobowych nazwanym RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). Poza Polską przepisy te kryją się pod skrótem GDPR (General Data Protection Regulation). Ten akt prawny reguluje zasady ochrony danych osobowych na terenie całej Unii Europejskiej oraz zabezpiecza nas przed nadużyciem naszych danych przez firmy.
Nowy akt prawny zastąpi dotychczasową ustawę o danych osobowych. Zmiany pojawią się również w kodeksie pracy gdyż pracodawca nie może przechowywać wrażliwych danych o swoich pracownikach (stan zdrowia, orientacja seksualna, czy poglądy religijne). Za niezastosowanie się do obowiązujących przepisów zostaną nałożone kary nawet do 20 mln euro.
Najważniejsze zasady RODO, które każdy z nas powinien znać i je przestrzegać:
– Firmy jak i osoby, które przechowują dane osobowe muszą bezwzględnie umożliwić klientowi do skorzystania z jego praw, które wprowadza RODO. Każdy z nas ma prawo do żądania, aby nasze dane zostały usunięte z bazy, mamy prawo do zmiany informacji bądź do przeniesienia do innego administratora danych na ujednoliconym pliku.
– Trudniejsze będzie przydzielanie klientów do danej grupy odbiorców, czyli tzw. profilowanie i automatyczne przetwarzanie danych osobowych.
– Minimalizacja danych, czyli przetwarzanie takich danych (imię, nazwisko, adres zamieszkania, data urodzenia, PESEL), które są nam niezbędne do prawidłowej pracy firmy. Ten zapis porządkuje sprawę związaną ze SPAMEM lub niechcianymi ofertami sprzedaży oferowanych przez telemarketowców.
– Dokładniejsze i mocno rozbudowane umowy o powierzeniu i o podpowierzeniu danych.
– Dwie nowe zasady ,,To privacy by design i privacy by default”, które mają wpływ na sposób przetwarzania danych osobowych przez firmy oraz wymagają, aby nowe systemy i technologie implementowane w przedsiębiorstwach były dostosowanie do przepisów RODO.
– Zachęcanie przedsiębiorców i wielkich przedsiębiorstw do rozwiązań ułatwiających ochronę danych osobowych poprzez ich personalizacje, pseudonimizacje i szyfrowanie.
– Zapytania o przetwarzanie danych osobowych muszą być rozbudowane i dopasowane do obowiązujących przepisów.
– Aby firma udowodniła, że w sposób należyty przygotowała się do wejścia w życie RODO musi wykonać ocenę skutków dla ochrony danych osobowych.
– W przypadku, gdy nastąpi naruszenie praw o ochronie danych osobowych ich usunięcie powinno obyć się w ciągu 72 godzin wówczas unikniemy wysokich kar. Sposób zgłaszania i usuwania wad opisany jest w RODO.
– Nie wystarczy już samo zarejestrowanie zbioru danych w GIODO, teraz należy prowadzić rejestr czynności przetwarzania danych osobowych.
– W niektórych firmach będzie wymagane zatrudnienie inspektora ochrony danych osobowych. Dotychczas obecność administratora bezpieczeństwa informacji w firmie była dobrowolna.
– RODO podtrzymuje konieczność upoważniania poszczególnych pracowników do przetwarzania danych osobowych i konieczności stosowania umów o zachowanie tajemnicy i należytej ochronie danych osobowych.
– RODO dotyczy również firm spoza obszaru Unii Europejskiej, jeżeli ich działalność odbywa się na terenie UE.
Mimo, że to wszystko tak strasznie brzmi, to w praktyce wymaga od nas po prostu przyzwyczajenia. Myślę, że każdy z nas nauczy się i każdy z nas zacznie stosować wprowadzone przepisy, które wprowadza RODO.
Opracowanie własne