Z czym za kilka lat będziemy kojarzyć maj 2018? W 63. Konkursie Piosenki Eurowizja zwyciężyła reprezentantka Izraela, Olgę Tokarczuk uhonorowano Bookerem za “Biegunów”, a katastrofalne błędy bramkarza kosztowały FC Liverpool porażkę w finale Ligi Mistrzów. Przede wszystkim jednak zapamiętamy coś innego: wprowadzenie RODO. Usystematyzujmy, co uległo zmianie i na co musisz zwracać szczególną uwagę, aby uniknąć bolesnych kar.
O co właściwie chodzi? O rozporządzenie, które przyjął Parlament Europejski w sprawie ujednolicenia przepisów dotyczących ochrony danych osobowych we wszystkich 28 krajach członkowskich. Efekt? 28 porządków prawnych dotyczących ochrony danych zostało zastąpionych jednym aktem prawnym, obowiązującym w całej Unii.
W przepisach RODO sformułowanych zostało 7 zasad przetwarzania danych osobowych. Są to:
- zasada zgodności z prawem, rzetelności i przejrzystości;
- zasada ograniczenia celu przetwarzania danych;
- zasada minimalizacji danych;
- zasada prawidłowości danych;
- zasada ograniczenia przechowania danych;
- zasada integralności i poufności danych;
- zasada rozliczalności.
OK, ale co to właściwie znaczy? Zasady brzmią przecież jasno, wydają się być oczywiste w obecnych przepisach. Niestety, niezupełnie tak jest.
1. Zgodność z prawem, rzetelność i przejrzystość
Do tej pory, zasada mówiła, że Administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Owa szczególna staranność otwiera dyskretną furtkę dla kruczków prawnych, którymi mogłeś sformułować klauzulę na swój użytek lub je zwyczajnie ukryć. RODO tę furtkę zamyka na kłódkę. Nowa zasada narzuca obowiązek posługiwania się odpowiednią do okoliczności formą komunikacji, czyli prostym językiem. Dopuszcza nawet komunikacje w formie znaków graficznych. Administrator musi podać osobie, której dane dotyczą, wszelkie informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Twoja klauzula musi być dłuższa i bardziej precyzyjna.
2. Zasada ograniczenia celu przetwarzania danych
Podobnie jak dotychczas, cel przetwarzania danych musi być wyraźnie określony i oczywiście zgodny z prawem. Zapisy RODO normują i umożliwiają dalsze przetwarzanie danych:
- do celów archiwalnych w interesie publicznym,
- do celów badań naukowych lub historycznych,
- do celów statystycznych.
W odróżnieniu do dotychczasowych zasad – na liście brakuje przetwarzania danych w celach dydaktycznych, które łatwo można podpiąć pod skryte działania marketingowe. Zapomnij o tej możliwości
3. Zasada minimalizacji danych
To jedna z najistotniejszych zasad, jakie Administrator jest zmuszony uwzględniać przy wdrażaniu ochrony danych zarówno w fazie projektowania nowych rozwiązań, jak i podczas domyślnej ochrony danych osobowych. Przybliżę Ci jej funkcjonowanie na realnym przykładzie:
Masz grupę klientów sklepu online (własnych lub niekoniecznie). Chcesz dokonać prostej, jak sądzisz, analizy ich zachowań, aby sprofilować ofertę produktów lub usług. Pojawia się pytanie, czy możesz tej analizy dokonać bez przetwarzania danych osobowych tychże klientów? Zapewne natychmiast przytakniesz. RODO tymczasem zmusza do dłuższego zastanowienia się nad odpowiedzią. Może okazać się, że swoją analizę możesz wykonać bez operowania danymi takimi jak imię, nazwisko, adres, a jedynie bazując na informacji o płci i częstotliwości zakupów. Reasumując: jeżeli okaże się, że Twoja analiza jest możliwa do osiągnięcia bez przetwarzania danych osobowych to, aby zachować zgodność z zasadą minimalizacji należy zawsze wybrać właśnie takie rozwiązanie. Ograniczamy przetwarzanie danych do minimum.
4. Zasada prawidłowości danych
Zasada nie jest szczególną nowością, ale kładzie większy nacisk na Administratora, który teraz jest zobowiązany nie tylko do przetwarzania prawidłowych danych, ale także do regularnego sprawdzania ich zgodności, czyli bieżącej, cyklicznej weryfikacji.
5. Zasada ograniczenia przechowania danych
Ta zasada ogranicza okres przetwarzania danych jedynie do czasu niezbędnego, aby osiągnąć założonego celu przetwarzania danych. Odpowiedni zapis powinien znaleźć się w nowej klauzuli przetwarzania danych. Ściśle wiąże się to z zasadą minimalizmu. Chciałbyś mieć dane dłużej? RODO daje Ci prezent w postaci artykułu 89., mówiącego o wyjątkach. Jednak pamiętaj, dane mogą być przetwarzane dłużej wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych, historycznych lub do celów statystycznych. Żadne cele marketingowo-handlowe nie wchodzą w grę.
6. Zasada integralności i poufności danych
UWAGA!
Ta zasada nie ma swojego dokładnego odpowiednika w obecnych przepisach, choć jej sens jest zawarty w innych punktach. Realizacja tej zasady polega na wdrożeniu ,,odpowiednich środków technicznych i organizacyjnych”, które zapewnią bezpieczeństwo danych. Czym tak naprawdę są „odpowiednie środki”? Zasmucę Cię, ale… nie wiem. Ani ja, ani RODO. To pojęcie pozostaje bliżej niedookreślone, co działa na korzyść Administratorów. Zasada zostanie dopiero doprecyzowana w drodze dobrych praktyk, które ma wydać regulator czyli Prezes Urzędu Ochrony Danych Osobowych.
7. Zasada rozliczalności
Raz jeszcze UWAGA: Rozliczalność dla RODO ma wydźwięk szczególny i jest ściśle powiązana z wszystkimi opisanych wyżej zasadami przetwarzania danych. Administrator musi być zawsze w gotowości 24/h na udokumentowanie, że podejmowane przez niego działania są zgodne ze wszystkimi wymienionymi zasadami. Musi wykazać, a zatem udokumentować procedury panujące w firmie. Gdybyś zapomniał, dokładny tego zapis znajduje się w art. 5 ust. 2.
Nie taki diabeł straszny jak go malują. Z pozoru lekkie zmiany z pewnością będą egzekwowane, co pokazuje polityka innych unijnych krajów. Warto się do przygotować – w szczególności przez wzgląd na niemałe administracyjne kary pieniężne, grożące za nierespektowanie nowych przepisów.
