Zaczyna obowiązywać RODO – co powinieneś wiedzieć?

Ogólne rozporządzenie o ochronie danych osobowych w części pokrywa się z obowiązującymi do tej pory przepisami. Nowe prawo doprecyzowuje jednak niektóre wytyczne. Zmiany dotyczą też firmowych stron internetowych, na których są przetwarzane dane osobowe. Rozporządzenie poza koniecznością dostosowania systemów wprowadza też kilka ułatwień w stosunku do obowiązujących do tej pory przepisów. Usunięto m.in. sztywne wymagania co do siły hasła, o której teraz będzie decydował Administratora Danych Osobowych na podstawie odpowiedniego oszacowania ryzyka. Innym ułatwieniem jest to, że umowa powierzenia przetwarzania danych osobowych będzie mogła być zawarta w formie elektronicznej, a nawet ustnej. Choć tego ostatniego rozwiązania nie polecamy ze względu na trudność udowodnienia takiej zgody.
Zaczyna obowiązywać RODO – co powinieneś wiedzieć?

Pierwszą rzeczą na jaką należy zwrócić uwagę jest konstrukcja samego tekstu zgody. Musi być sformułowany czytelnym i jasnym językiem. Dodatkowo, poszczególne zgody na przetwarzanie danych osobowych nie mogą być potraktowane zbiorczo, ani domyślnie zaznaczone. Użytkownik musi każdorazowo samodzielnie wyrazić zgodę zaznaczając każdy z checkboxów. Dodatkowo, można domagać się zgody na przetwarzanie danych tylko w wypadku, kiedy jest to konieczne do wykonania usługi. Z tego wynika m.in., że brak zgody na przetwarzanie danych w celach marketingowych nie może uniemożliwiać wykonania usługi zawartej w umowie. Dokument powinien zawierać informację o tym kto jest Administratorem Danych Osobowych. Musimy też umieścić kontakt do Inspektora Danych Osobowych (wcześniej to stanowisko nosiło nazwę Administrator Bezpieczeństwa Informacji), jeśli taka osoba została powołana.

Poza opracowaniem odpowiedniej polityki prywatności warto pomyśleć nad zabezpieczeniem strony protokołem SSL (graf. CHIP)

Z treści dokumentu użytkownik musi także wiedzieć o tym, że wykorzystujemy jego dane do profilowania. Powinniśmy go też poinformować o prawie do zmiany, usunięcia, ograniczenia przetwarzania, a także do przeniesienia danych. Ten ostatni punkt oznacza, że osoba, której dane są przetwarzane będzie mogła je pobrać, albo zażądać wysłania do innego usługodawcy. Użytkownik ma prawo wycofać w każdym momencie zgodę na przetwarzanie danych. Jednak w wypadku kiedy przetwarzanie danych jest konieczne do wykonania usługi, przed ich usunięciem umowa powinna zostać rozwiązana.

Przepisy co prawda wprost nie wymagają stosowania szyfrowania SSL na stronach internetowych, jednak jest to techniczne rozwiązanie, które wynika z konieczności zapewnienia bezpiecznej infrastruktury “by design”. Musimy też pamiętać o konieczności niezwłocznego poinformowania użytkowników i GIODO o wycieku danych. W przeciwnym razie możemy się narazić na ogromne kary finansowe, które mogą wynieść nawet 20 milionów euro lub 4 procent wartości rocznego światowego przychodu przedsiębiorstwa, w zależności od tego, która z tych kwot jest większa. | CHIP

Więcej:RODO