RODO – ochrona danych osobowych

with Brak komentarzy

Prowadzenie tak ciekawego przybytku jak sklep internetowy ob┼éo┼╝one jest – podobnie jak niemal ka┼╝da dziedzina naszego ┼╝ycia – wieloma przepisami reguluj─ůcymi jego dzia┼éalno┼Ť─ç. Podstawowymi aktami tego typu jest mi─Ödzy innymi „Ustawa o ┼Ťwiadczeniu us┼éug drog─ů elektroniczn─ů” czy „Ustawa o ochronie danych osobowych”. Tak si─Ö sk┼éada, ┼╝e w┼éa┼Ťnie w kwestii ochrony danych osobowych szykuj─ů si─Ö pewne zmiany.
Od dnia 25 maja 2018 rozpoczn─ů obowi─ůzywanie zapisy europejskiego rozporz─ůdzenia o ochronie danych osobowych, nazywane w skr├│cie RODO. Zapisy tego rozporz─ůdzenia zast─ůpi─ů obowi─ůzuj─ůc─ů obecnie Ustaw─Ö o ochronie danych osobowych i obowi─ůzywa─ç b─Öd─ů one zar├│wno wielkie korporacje jak i firmy jednoosobowe.
Aby si─Ö dostosowa─ç do zapis├│w RODO czasu zosta┼éo niewiele, a dostosowa─ç si─Ö warto, gdy┼╝ unijne rozporz─ůdzenie ustala dosy─ç wysokie kary pieni─Ö┼╝ne za naruszenie przepis├│w. Wysoko┼Ť─ç takiej kary to nawet 20 milion├│w euro b─ůd┼║ do 4% obrotu danego przedsi─Öbiorstwa z poprzedniego roku.
A zatem co si─Ö zmieni? Podstawowe zmiany zwi─ůzane z RODO to:

1. Samodzielna analiza ryzyka zwi─ůzanego z przetwarzaniem danych osobowych.
To chyba jedna z najdalej id─ůcych zmian i najbardziej z┼éo┼╝ona.
Przeprowadzaj─ůc analiz─Ö ryzyka, nale┼╝y zidentyfikowa─ç zagro┼╝enia z jakimi mo┼╝e spotka─ç si─Ö nasze przedsi─Öbiorstwo (np. katastrofa budowlana, po┼╝ar, zalanie, przerwa w dost─Öpie pr─ůdu lub brak dost─Öpu do Internetu, kradzie┼╝ dokument├│w, w┼éamanie, b┼é─ůd administratora, atak hakerski). W nast─Öpnej kolejno┼Ťci nale┼╝y rozwa┼╝y─ç jakie zasoby (np. budynki, dokumenty lub zawarto┼Ť─ç baz danych) mog─ů by─ç zagro┼╝one w wyniku tych zdarze┼ä oraz okre┼Ťli─ç prawdopodobie┼ästwo ich wyst─ůpienia. Na podstawie tych ustale┼ä, nale┼╝y przygotowa─ç odpowiednie procedury awaryjne i zaradcze.

2. Brak obowi─ůzku zg┼éaszania zbioru danych do GIODO
Dotychczas, gdy gromadzone i przetwarzane by┼éy jakiekolwiek dane osobowe, na firm─Ö nak┼éadany by┼é obowi─ůzek zg┼éoszenia tego faktu do Generalnego Inspektoratu Danych Osobowych (oczywi┼Ťcie poza wyj─ůtkiem, gdy dane te nie by┼éy wra┼╝liwe i powo┼éali┼Ťmy Administratora Bezpiecze┼ästwa Informacji). Nale┼╝a┼éo wype┼éni─ç te┼╝ dodatkowy, szczeg├│┼éowy wniosek o wpisanie takiego zbioru do rejestru zbior├│w danych osobowych. Opr├│cz tego, nale┼╝a┼éo przygotowa─ç takie dokumenty jak polityka bezpiecze┼ästwa i instrukcja zarz─ůdzania systemem informatycznym.
Po 25 maja 2018 roku, takie oboAwi─ůzki zostan─ů zniesione.

3. Zmiana definicji danych osobowych
Zapisy RODO poszerzaj─ů definicj─Ö danych osobowych. Od maja 2018 roku, b─Ödzie to teraz ka┼╝da informacja, kt├│ra pozwoli na ustalenie to┼╝samo┼Ťci osoby. Zgodnie z tymi zapisami, danymi osobowymi b─Öd─ů te┼╝: dane o stanie zdrowia, dane genetyczne, dane o lokalizacji, adres IP czy nawet pliki cookies.

4. Zwi─Ökszony obowi─ůzek informacyjny
W chwili pozyskiwania danych osobowych (np. podczas sk┼éadania zam├│wienia w sklepie) nale┼╝y obowi─ůzkowo w prosty i zrozumia┼éy spos├│b poinformowa─ç klienta:
– o celu pozyskiwania danych,
– o okresie czasu, przez jaki b─Ödziemy te dane przetwarza─ç,
– je┼Ťli mamy taki zamiar, to komu b─Öd─ů te dane przesy┼éane dalej,
– sk─ůd posiadamy dane, je┼Ťli nie uzyskali┼Ťmy ich bezpo┼Ťrednio od klienta.

5. Zwi─Ökszone uprawnienia w┼éa┼Ťcicieli danych
Osoba b─Öd─ůca w┼éa┼Ťcicielem danych b─Ödzie mog┼éa za┼╝─ůda─ç usuni─Öcia danych z naszej bazy, gdy dane te nie b─Öd─ů ju┼╝ niezb─Ödne do cel├│w, w kt├│rych zosta┼éy zebrane lub gdy cofn─Ö┼éa zgod─Ö, na podstawie kt├│rej dane te przetwarzano.
W┼éa┼Ťciciel mo┼╝e te┼╝ ┼╝─ůda─ç usuni─Öcia danych, gdy by┼éy one przetwarzane niezgodnie z prawem lub gdy zosta┼éy zebrane w zwi─ůzku z zaoferowaniem dziecku „us┼éug spo┼éecze┼ästwa informacyjnego”.
Co wi─Öcej, osoba b─Öd─ůca w┼éa┼Ťcicielem danych ma tak┼╝e prawo do przeniesienia danych do innej firmy oraz wgl─ůdu w histori─Ö przetwarzania swoich danych (czyli np. w histori─Ö dokonywanych zakup├│w).

6. Wyznaczenie Inspektora Ochrony Danych Osobowych
W chwili obecnej, zgodnie z zapisami Ustawy o ochronie danych osobowych, istnieje mo┼╝liwo┼Ť─ç powo┼éania Administratora Bezpiecze┼ästwa Informacji (ABI), co zwalnia┼éo firm─Ö z obowi─ůzku zg┼éaszania do GIODO rejestru tzw. danych niewra┼╝liwych.
Wraz z nadej┼Ťciem regulacji RODO, podmiot przetwarzaj─ůcy dane osobowe (z wyj─ůtkiem kilku kategorii – art. 37 RODO) ma obowi─ůzek powo┼éa─ç Inspektora Ochrony Danych Osobowych, kt├│rego zadaniem b─Ödzie doradztwo i monitorowanie dzia┼éa┼ä administratora danych. Jako administratora danych rozumie si─Ö tu osob─Ö fizyczn─ů lub prawn─ů, organ publiczny lub jednostk─Ö organizacyjn─ů samodzielnie lub wsp├│lnie z innymi ustalaj─ůc─ů cele i spos├│b przetwarzania danych (takim administratorem jest wi─Öc np. firma lub osoba prowadz─ůca dzia┼éalno┼Ť─ç gospodarcz─ů, dysponuj─ůca danymi swoich klient├│w).

7. Powiadamianie o naruszeniach ochrony danych
W sytuacji gdy dojdzie do kradzie┼╝y lub wycieku danych klient├│w z bazy, podmiot zarz─ůdzaj─ůcy danymi zmuszony jest do powiadomienia o tym fakcie zar├│wno os├│b kt├│rych dane wykradziono, jak r├│wnie┼╝ organ├│w nadzoruj─ůcych. Niedopuszczalna stanie si─Ö wi─Öc sytuacja – niestety obecnie dosy─ç cz─Östa – ┼╝e w┼éa┼Ťciciele danych jako ostatni dowiaduj─ů si─Ö o ich wycieku i to najcz─Ö┼Ťciej z prasy, telewizji czy portali internetowych.

8. Umowy z firmami zewn─Ötrznymi
To chyba jedna z tych istotniejszych zmian, je┼Ťli chodzi o dzia┼éalno┼Ť─ç sklep├│w internetowych.
Praktycznie wszystkie firmy prowadz─ůce dzia┼éalno┼Ť─ç handlow─ů w Internecie, korzystaj─ů z us┼éug podwykonawc├│w. S─ů nimi np. firmy ┼Ťwiadcz─ůce us┼éugi e-mail marketingowe, firmy kurierskie, firmy hostingowe czy ksi─Ögowe.
Od maja 2018 roku, konieczne b─Ödzie stworzenie dokumentacji uzasadniaj─ůcej przekazywanie danych konkretnej firmie, a opr├│cz tego, uaktualni─ç nale┼╝y bie┼╝─ůce umowy o zapisy o powierzeniu danych osobowych. Dane w tych zapisach musz─ů by─ç szczeg├│┼éowe i zwiera─ç np. informacje o czasie trwania powierzenia danych, charakterze tego powierzenia oraz rodzaju danych jakie b─Öd─ů przekazywane firmie zewn─Ötrznej.

Zmian jak wida─ç troch─Ö jest, a termin ich wprowadzenia jest coraz bli┼╝ej.
Gdyby kto┼Ť mia┼é ochot─Ö zapozna─ç si─Ö z ca┼éym dokumentem RODO, link do tego rozporz─ůdzenia znajduje si─Ö tutaj.

http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL