GDPR prostym językiem, część 2

Ile mamy czasu?

Zostało tylko 336 dni do wielkiej fali. W przeciwieństwie jednak do tradycyjnego Tsunami, wiemy, że GDPR-owe nadejdzie na pewno. Nie unikniemy go, ale możemy się do niego przygotować. Kto tego nie zrobi, zderzy się z wielką niszczycielską siłą - z nowopowstającym Urzędem Ochrony Danych Osobowych. Będzie współfinansować działalność nowego urzędu, ponieważ (informacja jest jeszcze nieoficjalna) UODO będzie finansowany z bardzo dotkliwych kar nakładanych na przedsiębiorców nieprzygotowanych do stosowania nowego prawa 


Akcja - reakcja!

Urząd Ochrony Danych Osobowych dostanie w swe ręce narzędzia nie mniej restrykcyjne (destrukcyjne?) od tych, którymi dysponuje Urząd Skarbowy. Kary bowiem będą nakładane obligatoryjnie, zawsze w przypadku wystąpienia nieprawidłowości a jej złagodzenie lub cofnięcie możliwe będzie jedynie w trybie odwoławczym. Aby dopełnić grozy - sami musimy zgłaszać incydenty związane z naruszeniami bezpieczeństwa przetwarzanych przez nas danych osobowych. Gdy taki incydent zataimy, wysokość kary rośnie. 

Do tej pory kary finansowe w sytuacjach łamania praw chroniących dane osobowe praktycznie nie istniały. GIODO nie miało narzędzi do karania i z tego względu interwencje były sporadyczne, a te które wystąpiły, w większości przypadków kończyły się zaleceniami ze strony Urzędu. GIODO nie było więc zainteresowane aktywną kontrolą przedsiębiorców. 

 

Z nowym Urzędem Ochrony Danych Osobowych będzie inaczej. GDPR niesie ze sobą kary do 20 000 000 EURO lub 4% całkowitego rocznego światowego obrotu! Tsunami GDPR już płynie, wielka fala nadejdzie 25 maja 2018 roku.

Ja na pewno nie muszę, mnie to minie, przeczekam. Powiem tylko - POWODZENIA! 

Fala tsunami jest szeroka jak nigdy dotąd! Zakres firm, jednostek, organizacji, instytucji, urzędów, przedsiębiorców i innych zobowiązanych do stosowania nowych przepisów znacznie się rozszerzy. Objęci nim będą teraz także administratorzy lub przetwarzający dane osobowe nie mający siedziby w państwie członkowskim UE. Wystarczy, że przetwarzają dane osób oferując towary lub usługi w UE (nawet te nieodpłatne) lub monitorują ich zachowania. Do "zabawy" wchodzą także relacje Business to Business! I tu zaczyna się walka o przetrwanie!

B2B oznacza, że przetwarzanie służbowych danych osobowych absolutnie podlega nowej ustawie. Służbowy adres e-mail i nr telefonu to dziś będą dane osobowe, na których przetwarzanie będzie musiał zgodę wyrazić każdy jej właściciel, personalnie. Nie może tego zrobić w jego imieniu firma, w której pracuje. Wystarczy wyobrazić sobie, że jeśli interpretacja przepisów będzie wyglądała dokładnie w ten sposób to WSZELKIE działania pomiędzy przedsiębiorcami, partnerami biznesowymi, klientami, ale też urzędami będą podlegały nowym obowiązkom niesionym przez wielką falę GDPR. 

Przedszkolanka nie będzie mogła zadzwonić do rodzica zgłaszając złe samopoczucie jego dziecka - bez stosownej zgody wyrażonej przez rodzica dla przedszkola w odpowiednim celu i na określony czas.

Koniec z kreatywnym copywritingiem

Informując o przetwarzaniu danych osobowych - wkracza zasada przejrzystości. Każdy właściciel danych musi być szczegółowo i przejrzystym językiem poinformowany o tym kto, w jakim celu i jak długo będzie przetwarzał jego dane, czy będzie je przekazywał podmiotom trzecim, jakie to podmioty. Musi być poinformowany o prawach: wglądu, poprawiania, usuwania lub przenoszenia danych, a także o prawie bycia zapomnianym. Przy informowaniu nie można pominąć informacji o wykorzystaniu danych do celów profilowania.


Usuwamy!

GDPR gwarantuje każdemu właścicielowi danych osobowych prawo do bycia zapomnianym. Brzmi niegroźnie i na pierwszy rzut oka nie widzimy utrudnień. W rzeczywistości to duży problem dla administratorów. Dotykamy tutaj zagadnienia zwanego retencją danych. Być zapomnianym to odebranie zgody administratorowi na dalsze przetwarzanie danych osobowych wraz z poleceniem ich usunięcia, a co za tym idzie, odnalezienia i usunięcia ich ze wszystkich kopii zapasowych, ze wszystkich produkcyjnych i testowych baz danych, raportów, dokumentów, urządzeń itp.


Czy jest z nami anonymous?

Czasami usunięcie danych jest niemożliwe - np. ze względu na zachowanie integralności bazy danych. Wówczas stosujemy tzw. anonimizację. W wielkim skrócie (urzędnicy poświęcili na opinię 42 strony), proces ten polega na pozbawieniu danych wystarczającej liczby elementów tak, aby nie było już możliwe zidentyfikowanie osoby, której dane dotyczą. Proces musi być jednorazowy i nieodwracalny i tylko w ten sposób zanonimizowane dane mogą zostać wyjęte spod obowiązku stosowania wobec nich Ustawy o Ochronie Danych Osobowych.


Projektowanie kontrolowane

Zasada ochrony prywatności by design (zasada  prywatności w fazie projektowania) nakłada na administratorów danych osobowych obowiązek uwzględnienia kilku czynników. Są to: stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania danych osobowych, a także ryzyko naruszenia praw lub wolności osób fizycznych i ocenę prawdopodobieństwa ich wystąpienia. Jednostka przetwarzająca dane osobowe ma obowiązek już na tym etapie wdrożyć odpowiednie środki techniczne i organizacyjne. 

 

Zbieranie kontrolowane

Zasada ochrony prywatności by default nakłada na administratora powściągliwość w zakresie zbieranych danych osobowych. Innymi słowy zbieramy tylko takie dane, jakie niezbędne są do realizacji celu, dla którego te dane zbieramy.  Nie możemy zatem żądać nr PESEL do realizacji nieskomplikowanej usługi, np. dostarczenia sygnału RTV. Wśród operatorów telewizji kablowych funkcjonuje niepisana zasada zbierania nr PESEL, które to numery jednoznacznie identyfikują konkretną osobę. Jest to ważne szczególnie w kontekście nowych przepisów dotyczących abonamentu RTV, nad którymi pracują nasi prawodawcy. Przepisy o przekazywaniu przez usługodawców danych osobowych swoich klientów Poczcie Polskiej SA celem nałożenia obowiązku płacenia abonamentu RTV wyglądają przynajmniej na kontrowersyjne w kontekście regulacji GDPR - usługodawcy bowiem muszą posiadać naszą wyraźną zgodę na przekazanie tych danych podmiotowi trzeciemu jakim jest w tym przypadku Poczta Polska. Cofnięcie więc zgody czy to na przetwarzanie czy na przekazanie do podmiotów trzecich powinno uchronić nas przed przekazaniem naszych danych osobowych innym organizacjom.

 

 Masz pytania? Zapraszam:

Anna Przygoda-Rostek

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.