Od momentu wdrożenia w maju 2018 r. GDPR (ang. General Data Protection Regulation) bezpieczne przechowywanie danych osobowych to nadal pole minowe dla wielu przedsiębiorców. Co naprawdę oznacza bezpieczeństwo danych? Eksperci wskazują 5 największych nieporozumień dotyczących RODO.
Czym są dane osobowe?
Rozporządzenie o Ochronie Danych Osobowych (RODO) to unijne prawo, które w zupełnie inny, niż dotychczas, sposób definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w firmach i urzędach. Biuro Informacji Komisarzy (ICO) definiuje dane osobowe jako „informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby". Oznacza to po prostu, że wszelkie informacje identyfikujące daną osobę, takie jak imię i nazwisko, numer lub adres IP są uważane za dane osobowe.
1: „Każdy zostanie ukarany”
Groźba wysokiej kary za nieprzestrzeganie RODO (nawet 20 mln euro lub do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) od początku wzbudzała obawy wielu przedsiębiorców. W rzeczywistości ta surowa kara została zastosowana tylko w przypadku firm, które nie podjęły żadnych wysiłków w celu spełnienia wymagań RODO, całkowicie nie przestrzegają przepisów czy wykorzystują dane w niewłaściwy sposób. Jednak kara wciąż jest możliwa i należy dołożyć wszelkich starań, aby spełnić wymagania związane z GDPR.
2: „Brexit przysporzy problemów”
We wtorek, 15 stycznia 2019 roku brytyjski parlament odrzucił umowę ws. brexitu. Warto przypomnieć, że wyjście Wielkiej Brytanii z UE ma nastąpić 29 marca br. Wynika to z art. 50 traktatu o UE przewidującego dwuletni termin przygotowań po zawiadomieniu Brukseli o brexicie przez brytyjski rząd. Organizacje powinny były jednak wywiązać się ze swojej zgodności z RODO na długo przed wejściem w życie tego rozporządzenia. Aby kontynuować handel z jak najmniejszymi zakłóceniami, przedsiębiorstwa muszą wykazać, że dysponują odpowiednimi środkami do ochrony danych swoich klientów. Brexit nie daje organizacjom żadnej klauzuli „wyciągania” danych – w szczególności tym, które będą przechowywać dane osobowe obywateli UE w przyszłości.
3: „To tylko zmiana polityki prywatności”
Wszelkie komunikaty, takie jak wiadomości e-mail i długotrwała polityka prywatności dotycząca przechowywania danych, są konieczną częścią GDPR, ale same w sobie nie wystarczą. RODO wymaga wykazania zgodności i udokumentowania decyzji podjętych w związku z przetwarzaniem działania oraz zapewnienia środków bezpieczeństwa w celu zapobiegania oszustwom.
4: „Wystarczy wdrożyć”
Błędem jest myślenie, że RODO wystarczy tylko wdrożyć i dalej można o nim zapomnieć. Zmiana regulaminu świadczonych usług, dostosowanie treści zgód oraz napisanie nowej polityki bezpieczeństwa w oparciu o nowe wytyczne jest niezbędne, ale nie wystarczające. RODO nakłada na przedsiębiorców obowiązek stałego kontrolowania procesów związanych z przetwarzaniem danych osobowych w firmie.
5: „GDPR jest tylko dla dużych firm”
Bez względu na wielkość przedsiębiorstwa, jeśli organizacja przechowuje lub w jakikolwiek sposób używa osobistych, identyfikowalnych danych, to pozostawanie ich w zgodzie z GDPR jest niezbędne. Nie ma zatem znaczenia, czy jest to jednoosobowa działalność gospodarcza, spółka cywilna czy spółka z o.o. - każde z tych podmiotów obowiązuje ochrona danych osobowych. RODO jest ważne zarówno dla właścicieli wielkich, jak i małych przedsiębiorstw.
...
Prawidłowo wdrożone obowiązki związane z RODO mogą przełożyć się na oszczędności, wyższą efektywność przetwarzania danych oraz wzrost zaufania i poprawę relacji z klientami. Większa świadomość klientów w zakresie przysługujących im praw i wykorzystania danych osobowych jest szansą dla tych firm, które zapewnią skuteczną ich ochronę – komentuje Jarosław Jastrzębski, radca prawny TWINO.
