Wejście w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) spowoduje wiele zmian w dotychczasowym systemie przetwarzania danych osób fizycznych. Choć dyskusja na temat zmian trwa już od dłuższego czasu, to wokół stosowania nowego prawa narosło sporo mitów.
– Przetwarzanie danych osobowych to temat, który dotyczy w zasadzie każdej branży. Przecież nie ma pod tym względem wielu różnic w przypadku m.in. biur podróży, doradców finansowych czy agentów obrotu nieruchomościami. Skalę wprowadzenia w życie RODO dobrze obrazuje też przykład dystrybutorów ubezpieczeń. W szczególności agentów ubezpieczeniowych, których według KNF działa w Polsce prawie 32 tys., a kolejnych 233,5 tys. osób wykonuje czynności agencyjne w tym obszarze. Co ważne, przedsiębiorcy stykają się z opiniami na temat nowych przepisów, które mogą niekiedy prowadzić do błędnej ich interpretacji. Warto też pamiętać, że celem RODO jest wyznaczenie ram postępowania i ogólnych standardów – wskazuje Piotr Bartos, Country Manager Insly w Polsce.
Do mitów na temat RODO należą m.in. te opinie:
„Za każde naruszenie zasad RODO grozi wielomilionowa kara”
To nieprawda. Owszem, rozporządzenie określa kary finansowe w wysokości do 20 mln euro lub do 4% wartości obrotu przedsiębiorstwa. Jest to jednak maksymalny dopuszczalny wymiar sankcji. Każdy przypadek naruszeń nowych zasad będzie rozpatrywany indywidualnie, a kara ustalana adekwatnie do popełnionego wykroczenia. O jej wysokości będą decydowały: charakter naruszenia, waga i czas jego trwania, zakres i cel przetwarzania, liczba poszkodowanych czy rozmiar wyrządzonej szkody. Ponadto, posiadanie odpowiednich certyfikatów bezpieczeństwa czy ścisła współpraca z organem administracyjnym mogą się również przyczynić do obniżenia nałożonych sankcji.
„To mnie nie dotyczy”
Przetwarzanie danych osobowych nie musi wiązać się ze skomplikowanym procesem, w którym analizujemy dużą liczbę informacji. Należy pamiętać, że jest nimi każdy zbiór danych, na podstawie którego jesteśmy w stanie zidentyfikować konkretną osobę fizyczną. Są to zatem nie tylko dane jak imię i nazwisko czy dane teleadresowe, ale także adres IP czy identyfikator plików cookie. Ma z nimi zatem do czynienia każdy przedsiębiorca obsługujący klientów indywidualnych lub jednoosobowe działalności gospodarcze. Ułatwieniem w interpretacji przepisów jest przykładowy zbiór czynności podany przez unijnego prawodawcę, które są traktowane jako przetwarzanie danych, czyli: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie i modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, rozpowszechnianie, łączenie, przesyłanie czy usuwanie danych. Jak widać katalog działań jest bardzo szeroki…
„RODO wyklucza korzystanie z rozwiązań w chmurze”
Wśród niektórych polskich przedsiębiorców panuje przekonanie, że najlepszym zabezpieczeniem danych jest przetrzymywanie ich na fizycznych nośnikach zamkniętych w specjalnie przygotowanych i zabezpieczonych szafach czy pomieszczeniach. Dotyczy to również informacji gromadzonych w formie elektronicznej, które najchętniej trzymamy na własnych serwerach czy innym firmowym sprzęcie. Jako podstawę zabezpieczenia często przyjmuje wyłącznie hasło i jego cykliczną zmianę.
– Należy pamiętać, że RODO nakłada obowiązek przygotowania bezpiecznego ekosystemu IT służącego do przechowywania i ochrony danych osobowych na najwyższym poziomie. Nie wskazuje konkretnych rozwiązań, zatem korzystanie z oprogramowania w chmurze nie jest ani zakazane, ani nie naraża nas na kary administracyjne za nieodpowiednie zarządzanie danymi za sam fakt jego użytkowania. Co więcej, może zapewniać nawet większe bezpieczeństwo, ponieważ nad poufnością gromadzonych informacji będzie czuwał nie tylko przedsiębiorca, ale też profesjonalny zespół IT po stronie dostawcy oprogramowania. Trzeba jednak pamiętać o odpowiednich formalnościach, jak umowa o powierzeniu danych – dodaje Piotr Bartos z Insly.
Istotnym elementem RODO jest również prawo do bycia zapomnianym, czyli obowiązek niezwłocznego usunięcia danych ze zbioru na wniosek osoby fizycznej, której dotyczą lub w momencie, kiedy ich przetwarzanie nie będzie już konieczne, np. w przypadku wygaśnięcia umowy czy cofnięcia wyrażonej wcześniej zgody. Rozwiązania oparte na chmurze pozwalają na automatyczne zarządzanie danymi w takich sytuacjach.
Kto musi dopłacić do podatków?
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?
