Zapowiedź zagłady RODO
Nadejście armagedonu w postaci RODO zwiastowały od dłuższego czasu nasze skrzynki mailowe. Działy marketingu firm zajmujących się konsultacjami prawnymi i sprzedażą rozwiązań z branży bezpieczeństwa starały się nas za wszelką cenę przekonać, że bez wydawania konkretnych sum na konsultacje, oprogramowanie i szkolenia nie będziemy w stanie sprostać wymogom nowych przepisów o ochronie danych osobowych.
I oto sądny dzień nastał. Mamy 25 maja 2018, od dzisiaj obowiązuje nas wszystkich Ogólne Rozporządzenie o Ochronie Danych (General Data Protection Resolution, Dz. Urz. UE L 119 z 04.05.2016 ), zwane nie wiadomo dlaczego RODO (wszakże skrót to OROOD, bądź z angielskiego GDPR).
RODO to nie rewolucja
Jeżeli tematowi RODO przyjrzymy się bez zbędnych emocji, okazuje się, że nowe przepisy to w znacznej mierze doprecyzowanie, uszczegółowienie i uporządkowanie zagadnień ochrony danych, które funkcjonowały od lat na mocy dotychczasowej Ustawy o Ochronie Danych Osobowych (R.I.P.).
W przepisach RODO definicje dotyczące danych osobowych, zbiorów danych, szczególnych kategorii danych, administratora, przetwarzania i powierzania zmieniły się w bardzo niewielkim stopniu, a czasami tylko składniowo. Praktycznie bez zmian zaimplementowano w RODO podstawy legalności przetwarzania danych osobowych. Warunki dotyczące pytania o zgodę na przetwarzanie danych i konieczność spełnienia obowiązku informacyjnego to również nie są nowości w RODO. Zostały one trochę poszerzone i dostosowane do zmieniającego się otoczenia. Nikt więc, kto znał i szanował dotychczasowe przepisy o ochronie danych osobowych nie powinien drżeć na hasło RODO.
To, co w RODO rzeczywiście stanowi novum opisałem już pokrótce w artykule GDPR / RODO i marketing zastraszany. Są to zmiany, które będą wymagały pewnego zaangażowania, ale na pewno nie ma się czego bać.
To skąd ten popłoch w mailach?
Maile, które trafiają do naszych skrzynek w ostatnich dniach sugerują, że dalsze przetwarzanie danych osobowych swoich klientów wymaga jakiś specyficznych formalności, pytań o zgody, regulaminów, polityk prywatności… Nie prawda. Żaden przepis RODO nie wymaga abyśmy wykonywali takie działania. Pytania o zgodę nie potrzeba ponawiać. Obowiązku informacyjnego nie trzeba wypełniać wstecz. Chyba, że… wcześniej kpiliśmy sobie z przepisów o ochronie danych osobowych i przetwarzaliśmy je bez spełnienia obowiązujących wymogów, czyli mówią wprost – nielegalnie.
Dane osobowe zebrane w sposób budzący wątpliwość co do legalności, domniemane zgody, których tak na prawdę nigdy nie było i nieinformowanie klientów o przysługujących im prawach dotychczas stanowiły przykrą codzienność. Złe standardy, do których wielu zdążyło się przyzwyczaić teraz skutkować mogą przykrymi konsekwencjami w postaci kar finansowych, których raczej już nie będzie się opłacało wliczyć w koszty kampanii. I stąd właśnie ten cały popłoch w naszych skrzynkach mailowych. Pytając nas o potwierdzenie zgody na przetwarzanie danych osobowych administratorzy danych najczęściej przyznają się, że tak naprawdę tej zgody wcześniej nie mieli (ewentualnie mogli mieć, ale nie potrafią tego dowieść).
Jednym z pozytywniejszych efektów RODO jest to, że w ostatnich dniach dowiedzieliśmy się jak wiele firm posiada nasze dane osobowe i przetwarzało je dotychczas w sposób nie do końca zgodny z prawem.
Co zatem powinien zrobić administrator danych?
Niezależnie od tego jakie działania w odniesieniu do ochrony danych osobowych były podejmowane w przeszłości, nadejście RODO jest dobrym momentem by przejść cały proces od początku. Umożliwi to nam zweryfikowanie dotychczasowych działań, zinwentaryzowanie danych i czynności polegających na ich przetwarzaniu, powierzaniu bądź udostępnianiu oraz podjęcie odpowiednich kroków dostosowawczych.
Już wkrótce przygotuję dla Państwa kilka artykułów, w których opiszę kolejne kroki wdrożenia RODO. Zaczniemy od inwentaryzacji zbiorów danych osobowych, identyfikacji procesów ich przetwarzania i ustalenia podstaw prawnych (lub też stwierdzeniu ich braku).
Przewodnik po RODO
Na dobry początek przygotowałem krótki przewodnik, który w przystępnej formie opisuje podstawowe zasady legalnego przetwarzania danych osobowych. Przewodnik skupia się na najistotniejszych definicjach i zagadnieniach, które pozwolą każdej osobie mającej do czynienia z danymi osobowymi szybko zapoznać się z wymogami dotyczącymi pytania o zgody, spełniania obowiązku informacyjnego czy realizowania praw osób, których dane przetwarzamy. Wszystko opatrzone przykładami i wzorami. Jest to takie RODO w najmniejszej możliwej pigułce. Na pewno nie odpowie on na wszystkie możliwe pytania i nie stanowi wystarczającego źródła wiedzy dla każdego rodzaju działalności ale stanowi dobry wstęp do tematu ochrony danych osobowych. Aby go otrzymać pozostaw swój e-mail w formularzu pod artykułem i potwierdź chęć zapisania się do newslettera.
Ten artykuł jest częścią cyklu poświęconego wdrażaniu przepisów RODO w organizacji. Poniżej znajdziesz wszystkie jego części:
- RODO – oswajamy potwora
- Darmowe szkolenie RODO dla pracowników
- Inwentaryzacja zbiorów i rejestr czynności przetwarzania
- Wymogi dla systemów informatycznych w RODO
- Analiza ryzyka – wspólny mianownik RODO, KRI i ISO 27001
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.