Sytuacja z RODO przypomina trochę opowieści o czarnej wołdze, której nikt tak naprawdę nie widział, ale strach jednak był. Młodszym czytelnikom należy się tu wyjaśnienie - w głębokich czasach PRL krążyły opowieści o jeżdżącej po zmroku czarnej wołdze, którą porywano dzieci. Raz jeździli nią księża, innym razem Żydzi lub Niemcy, pojawiali się też w tym kontekście agenci bezpieki. Widywano ją w tym samym czasie w Warszawie i w Krakowie, na wybrzeżu i w górskich miasteczkach. Jednym słowem, narosło wiele mitów i legend, matki opowiadały tę historię przerażonym dzieciom, dając im jednocześnie szlaban na wychodzenie po zmroku.
Z RODO sytuacja zaczyna wyglądać podobnie - regulacje jeszcze nie weszły w życie, ale marketerzy już są straszeni karami 20 milionów euro, koniecznością rezygnacji z automatyzacji marketingu, brakiem możliwości przetwarzania danych osobowych do działań marketingowych czy sprzedażowych.
Szukając w internecie informacji na temat zmian, jakie czekają nas od 25-go maja 2018 roku, możesz natrafić na określenia RODO lub GDPR. Chodzi o ten sam dokument. Akronim RODO (Rozporządzenie o Ochronie Danych Osobowych) jest polskim tłumaczeniem GDPR (General Data Protection Regulation). Jest to regulacja unijna, która będzie obowiązywała we wszystkich krajach Unii Europejskiej. W Polsce zastąpi ona obowiązującą dziś ustawę o ochronie danych osobowych.
Skąd w ogóle powstała konieczność uregulowania ochrony danych osobowych na terenie całej Unii? Przede wszystkim dlatego, że ustawodawstwa krajowe państw wchodzących w jej skład bardzo różnie podchodziły (i nadal podchodzą) do kwestii ochrony danych osobowych. Brakowało przejrzystości i pewności stosowania prawa w tym obszarze. Zaistniała potrzeba stworzenia przepisów gwarantujących równorzędny stopień ochrony danych osobowych na terenie całej Unii. Jeśli do tego dodamy kwestię swobodnego przepływu pracy, ludzi czy informacji (w tym także danych osobowych), jakie mają miejsce na obszarze UE, konieczność uregulowania ochrony danych osobowych stała się oczywista. RODO jako regulacja nie jest zbiorem przepisów czy gotowych rozwiązań, które muszą zostać dosłownie zastosowane.
Obowiązki, których już nie będzie
Z punktu widzenia osób, które przetwarzają dane osobowe, najważniejsze ułatwienie jakie wprowadza regulacja to brak obowiązku zgłaszania zbioru danych osobowych do GIODO. Oczywiście do 25 maja 2018 ten obowiązek ma zastosowanie, póżniej jednak już nie. Niestety do tej pory obowiązek ten był różnie traktowany przez osoby, które powinny zgłaszać zbiory danych do GIODO. W wielu przypadkach była to ostatnia rzecz, o której pamiętali przedsiębiorcy czy firmy, gromadzący dane osobowe swoich klientów, kontrahentów, subskrybentów, etc.
Jest to też o tyle istotna zmiana, że do tej pory, lista osób, które zgłaszały takie zbiory, jest jawna. Oznacza to, że każdy może sprawdzić, czy dana firma, która powinna wypełnić taki obowiązek, to uczyniła. O ile transparentność zachowania firm z punktu widzenia osoby, której dane osobowe są przetwarzane, jest absolutnie właściwa, o tyle z otwartego rejestru korzystały do tej pory firmy, które sprawdzały, czy konkurencja takie zgłoszenie wykonała. Jeśli nie, pozostawał mail lub list polecony do GIODO rozpoczynający się od znanego starszemu pokoleniu zwrotu “Uprzejmie donoszę, że…”
Zmieni się też sam organ, który do tej pory zajmował się ochroną danych osobowych - GIODO, który zmieni swoją nazwę na PUEDO albo PUODO, czyli Prezesa Urzędu Ochrony Danych Osobowych. Jest to jednak niewielka zmiana, gdyż urząd ten w dużej mierze, będzie miał dotychczasowe kompetencje.
Ostatnią znaczącą zmianą jest brak narzuconych z góry wytycznych, ile razy hasła do systemów, w których są obecne lub przetwarzane dane osobowe, muszą być zmienione. Jest to o tyle ważne, że coś, co do tej pory irytowało ludzi, czyli konieczność zmiany hasła po upływie określonego czasu np. w bankowości elektronicznej, przestaje mieć zastosowanie.
Obowiązki, które dopiero wejdą
Czas przyjrzeć się nowym obowiązkom, które będziemy musieli jako przetwarzający dane osobowe spełniać już od 25 maja. Kluczowe zmiany to:
- privacy by design oraz privacy by default,
- rejestr czynności przetwarzania,
- obowiązek zgłaszania naruszeń,
- obowiązek informacyjny.
Privacy by design oraz privacy by default
Privacy by design literalnie określa obowiązek zastosowania przepisów o ochronie danych osobowych już na etapie projektowania czy tworzenia strony, serwisu, landing page, etc, w tym także stron będących w fazie beta testów, czy jeszcze nie opublikowanych.
Z kolei privacy by default oznacza, że możemy zbierać te dane osobowe, które są niezbędne do procesu realizacji zamówienia, skorzystania z serwisu, usługi, aplikacji. Chodzi o to, żeby nie zbierać danych, które nie są potrzebne. To może być największa zmiana gdy chodzi o podejście marketerów, którzy do tej pory często zbierali dane “na zapas”, wymagając np. podania numerów telefonów czy adresów zamieszkania osób, które chciały się zapisać na newsletter. Pomijając nieracjonalność takiego działania marketerów (konwersja drastycznie spada przy konieczności podania 4 i więcej danych w formularzu zapisu), zbieranie niepotrzebnych danych jest po prostu złą praktyką z punktu widzenia ochrony danych osobowych.
Nie oznacza to, że nie będzie możliwe w ogóle zbieranie danych “na zapas”. Będzie jednak istniała konieczność wykazania, że dane te będą nam potrzebne w przyszłości (np. adres zamieszkania dla sklepów planujących otworzenie swoich punktów odbioru w różnych miastach Polski).
Rejestr czynności przetwarzania
Najważniejsza zmiana, jaką wprowadza RODO. Jest to konieczność posiadania dokumentu, w którym zamieszczone są cele, dla jakich dane osobowe są przetwarzane oraz namiary na osoby, które są administratorami tych danych.
Jest to kluczowy dokument, który określa:
- jakie są to dane,
- sposób, w jaki chronimy dane,
- kto danymi administruje i ma do nich dostęp.
Co ważne, nie ma żadnego wymogu co do formy tego dokumentu, może to być nawet zwykły dokument tekstowy czy plik .xlsx, z którego jednak jasno mają wynikać ww. informacje. Biorąc pod uwagę nowe prawa osób, których dane będziemy przetwarzać, każdy z nich może zgłosić się do nas z prośbą o informację, jakie jego dane przetwarzamy, a co za tym idzie:zmienić je lub usunąć. Wtedy ten dokument może okazać się kluczowy.
Obowiązek zgłaszania naruszeń
Całkowitą nowością będzie też obowiązek zgłoszenia naruszenia ochrony danych osobowych przez osoby, które się tego dopuściły. Mówimy więc o konieczności donosu na siebie, jeśli wykryjemy, że nie przestrzegaliśmy regulacji wprowadzanych dla danych osobowych. Będziemy mieć na to 72 godziny od momentu, w którym wykryliśmy taką sytuację.
Obowiązek informacyjny
Już teraz jesteśmy zobowiązani do informowania osób, że przetwarzamy ich dane osobowe. Jednak RODO reguluje tę kwestię szerzej, nakładając m.in. obowiązek podania przepisów prawa, na podstawie których te dane przetwarzamy. Obecnie sama formułka “Zgadzam się na przetwarzanie moich danych osobowych przez firmę XYZ” często okazuje się być wystarczająca.
Od maja 2018 roku już tak nie będzie. W komunikacji newsletterowej konieczne będzie zamieszczenie pełnych informacji o samym fakcie przetwarzania danych, celu przetwarzania oraz danych administratora, a także o przysługujących odbiorcom prawach. Jak widać, obowiązek ten będzie bardziej rozbudowany, jednak ma to także dobre strony.Każdy z nas będzie miał szansę uświadomić sobie, przeglądając swoją skrzynkę, ilu podmiotom przekazał swoje dane osobowe.
Nowe prawa osób, których dane przetwarzamy
Zacznijmy od kwestii, która chyba w największym stopniu wywołuje zamęt, obawy i jednocześnie niezrozumienie marketerów. Przede wszystkim należy wyjaśnić, czym jest profilowanie. Jest to wnioskowanie o jednych cechach na podstawie innych tej samej osoby, której dane osobowe zbieramy i przetwarzamy.
Inny przykład - zbieranie informacji o posiadanych dzieciach po to, by przed pierwszym wrześniowym szkolnym dzwonkiem zaoferować kredyt “chwilówkę” na zakupy książek i materiałów do szkoły. To również jest profilowanie.
Jednak profilowaniem nie jest aktywność użytkownika na stronach internetowych, mailingach, newsletterach, wykorzystanie cookiesów, etc. Czyli danych w jakie rzeczy klika, co odwiedza, co przegląda. Targetowanie behawioralne, na podstawie aktywności odbiorcy jest więc jak najbardziej w porządku. Gorzej z targetowaniem behawioralnym, w oparciu o dane deklaratywne, z których możemy przewidzieć inne cechy danej osoby.
Jest jeszcze kwestia ograniczenia, która… wcale nie jest ograniczeniem. Firmy będą mogły profilować osoby, ze względu na posiadane dane, ale osoba, której takie profilowanie nie odpowiada (bo wywołuje określone skutki prawne czy jakiekolwiek inne) ma prawo się nie zgodzić na takie profilowanie swojej osoby, a firma ma obowiązek zaprzestania takich działań.
Prawo do bycia zapomnianym
Czyli coś, co de facto już funkcjonuje. Do tej pory jednak słyszeliśmy wyłącznie o przypadkach wyroków sądowych osób, które domagały się od wyszukiwarek (głównie od Google) usunięcia informacji na ich temat w wynikach wyszukiwania. Rzeczywiście takie wyroki zapadały, ale osadzały się one na precedensach i podobnych sprawach z historii. RODO wprowadza prawo do bycia zapomnianym, jako wprost zapisany przepis, przysługujący każdej osobie, których dane są przetwarzane.
Prawo do sprostowania
RODO daje też każdej osobie możliwość wglądu do swoich danych osobowych. Każdy z nas będzie mógł nie tylko zobaczyć w dowolnym momencie, jakie dane osobowe są przetwarzane przez podmioty, ale również będzie mógł tę zgodę cofnąć, zmienić, ograniczyć do mniejszej ilości danych, słowem - sprostować.
Powyższe zmiany nie są jedynymi, które zaczną obowiązywać po 25 maja 2018 roku. Są one jednak kluczowe, bo ich obecne niezrozumienie powoduje powstanie niepotrzebnych obaw. RODO wprowadza większą niż dotychczas ochronę danych osobowych, co dla nas wszystkich jest dobrą informacją - zarówno z punktu widzenia osób, których dane się przetwarza, ale i marketerów.
Źródło: www.freshmail.pl
