N
owe europejskie prawo, dotyczące prywatności i bezpieczeństwa danych obejmuje setki stron nowych wymagań dla organizacji na całym świecie. Ogólne rozporządzenie o ochronie danych (RODO) jest najostrzejszym prawem dotyczącym prywatności i bezpieczeństwa informacji na świecie. Nowe rozporządzenie zostało opracowane i przekazane przez Unię Europejską (UE), nakłada obowiązki na organizacje w każdym miejscu, o ile są one ukierunkowane lub gromadzą dane dotyczące osób w UE. Rozporządzenie weszło w życie 25 maja 2018 r. RODO nakłada surowe kary na tych, którzy naruszają jego normy prywatności i bezpieczeństwa, a kary sięgają dziesiątek milionów euro.
Wraz z RODO Europa sygnalizuje swoje zdecydowane stanowisko w sprawie prywatności i bezpieczeństwa danych w czasach, gdy coraz więcej osób powierza swoje dane osobowe usługom w chmurze, a naruszenia stają się codziennością. Samo rozporządzenie jest duże, dalekosiężne i dość restrykcyjne pod względem szczegółów, co sprawia, że przetwarzanie danych zgodne z RODO jest dużym utrudnieniem, szczególnie dla małych i średnich przedsiębiorstw.
Artykuł, który stworzyliśmy, jako Kryptos72, powstał, żeby służył właścicielom i menadżerom, jako źródło informacji na temat konkretnych wyzwań, jakie mogą napotkać, oferujemy także program do RODO. Chociaż nie jest to substytut porady prawnej, ale może pomóc w zrozumieniu, na czym należy skoncentrować wysiłki związane z przestrzeganiem RODO. Oferujemy również wskazówki dotyczące narzędzi ochrony prywatności i sposobów ograniczania ryzyka (stworzyliśmy oprogramowanie do wdrożenia RODO). W dalszym ciągu RODO nadal jest interpretowane, tak, że będziemy Cię na bieżąco informować o zmieniających się przesłankach prawnych.
Jeśli znalazłeś tę stronę – „co to jest RODO?” – istnieje szansa, że szukasz kursu, wiedzy, bądź programu do zarządzania. Ta strona jest dla dedykowana dla Ciebie. W tym artykule staramy się wyjaśnić RODO i, mamy nadzieję, uczynić go mniej przytłaczającym dla zaniepokojonych przestrzeganiem RODO.
Historia RODO
Prawo do prywatności jest częścią Europejskiej konwencji praw człowieka z 1950 r., która stanowi: „Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i korespondencji”. Na tej podstawie Unia Europejska dąży do zapewnienia ochrony tego prawa poprzez ustawodawstwo.
W miarę postępu technologii i wynalezienia Internetu UE uznała potrzebę nowoczesnych zabezpieczeń. W 1995 r. uchwalono Europejską dyrektywę o ochronie danych, ustanawiającą minimalne standardy prywatności i bezpieczeństwa danych, na których każde państwo członkowskie oparło własne prawo wykonawcze. W 1994 r. pierwsza reklama banerowa pojawiła się w Internecie. W 2000 r. Większość instytucji finansowych oferowała bankowość internetową. W 2006 r. Facebook został otwarty dla publiczności. W 2011 r. Użytkownik Google pozwał firmę za skanowanie jej e-maili. Dwa miesiące później europejski organ ochrony danych stwierdził, że UE potrzebuje „kompleksowego podejścia do ochrony danych osobowych” i rozpoczęto prace nad aktualizacją dyrektywy z 1995 r.
RODO weszło w życie w 2016 r. Po uchwaleniu Parlamentu Europejskiego, a od 25 maja 2018 r. Wszystkie organizacje musiały zachować zgodność.
Zakres, kary i kluczowe definicje
Po pierwsze, jeśli przetwarzasz dane osobowe obywateli lub osób UE lub oferujesz towary lub usługi takim osobom, wówczas RODO dotyczy Ciebie, nawet jeśli nie jesteś w UE. Więcej o tym mówimy w innym artykule.
Po drugie, kary za naruszenie RODO są bardzo wysokie. Istnieją dwa poziomy kar, które maksymalnie wynoszą 20 mln EUR lub 4% globalnych dochodów (w zależności od tego, która wartość jest wyższa), a osoby, których dane dotyczą, mają prawo dochodzić odszkodowania. Mówimy również o grzywnach RODO.
RODO szczegółowo określa szereg terminów prawnych. Poniżej znajdują się niektóre z najważniejszych, o których mowa w tym artykule:
Dane osobowe – to wszelkie informacje, które dotyczą osoby fizycznej, którą można zidentyfikować bezpośrednio lub pośrednio. Nazwiska i adresy e-mail są oczywiście danymi osobowymi. Informacje o lokalizacji, pochodzenie etniczne, płeć, dane biometryczne, przekonania religijne, internetowe pliki cookie i opinie polityczne mogą być również danymi osobowymi. Dane pseudonimowe mogą również podlegać definicji, jeśli stosunkowo łatwo jest zidentyfikować kogoś na ich podstawie.
Przetwarzanie danych – wszelkie działania wykonywane na danych, automatyczne lub ręczne. Przykłady cytowane w tekście obejmują zbieranie, nagrywanie, organizowanie, tworzenie struktury, przechowywanie, używanie, kasowanie… czyli w zasadzie wszystko.
Osoba, której dane dotyczą – osoba, której dane są przetwarzane. To są Twoi klienci lub odwiedzający witrynę.
Administrator danych – osoba, która decyduje o tym, dlaczego i jak będą przetwarzane dane osobowe. Jeśli jesteś właścicielem lub pracownikiem w organizacji, który obsługuje dane, to ty.
Przetwarzanie danych – podmiot zewnętrzny przetwarzający dane osobowe w imieniu administratora danych. RODO ma specjalne zasady dla tych osób i organizacji.
RODO to twardy orzech do zgryzienia. Do 2020 roku liczba gromadzonych danych osiągnie 40 zettabajtów (ZB). Przy takim zalewie informacji firmy tracą kontrolę nad przetwarzaniem danych.
Co mówi RODO o…
W pozostałej części tego artykułu krótko wyjaśnimy wszystkie kluczowe punkty regulacyjne o RODO.
Zasady ochrony danych
Jeśli przetwarzasz dane, musisz to zrobić zgodnie z siedmioma ochronami i rozliczeniami związanymi z art. 5.1-2:
Zgodność z prawem, uczciwość i przejrzystość – przetwarzanie musi być zgodne z prawem, uczciwość i przejrzystość dla osób, jakie dane dotyczą.
Ograniczenie celu – musisz przetwarzać dane w uzasadnionych danych, które zostały określone określone dla osób, które dane dotyczą, podczas ich gromadzenia.
Minimalizacja danych – należy gromadzić i przetwarzać tylko tyle danych, ile jest absolutnie konieczne do wykonania połączeń.
Dokładność – dane osobowe muszą być dostosowane i aktualne.
Ograniczenie dostępności – możesz korzystać z danych osobowych tylko tak długo, jak to jest konieczne do zastosowania celu.
Uczciwość i poufność – przetwarzanie musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo, integralność i poufność (np. przy użyciu szyfrowania).
Odpowiedzialność – administrator danych jest odpowiedzialny za wykaz zgodności z RODO we wszystkich tych zasad.
Odpowiedzialność RODO
RODO mówi, że administratorzy danych muszą być w stanie wykazać, że spełniają wymogi RODO. I nie jest to coś, co można zrobić po fakcie: jeśli uważasz, że jesteś zgodny z RODO, ale nie możesz pokazać, w jaki sposób, to nie jesteś zgodny z RODO. Wśród sposobów, które możesz to zrobić:
Wyznacz swoje obowiązki w zakresie ochrony danych.
Zachowaj szczegółową dokumentację gromadzonych danych, sposobu ich wykorzystania, miejsca ich przechowywania, odpowiedzialnego za nie pracownika itp.
Przeszkol swój personel i zastosuj techniczne i organizacyjne środki bezpieczeństwa.
Zawrzyj umowy o przetwarzaniu danych ze stronami trzecimi, z którymi podpisujesz umowę na przetwarzanie danych za Ciebie.
Wyznacz Inspektora Ochrony Danych (choć nie wszystkie organizacje go potrzebują)
Ochrona danych osobowych
Musisz bezpiecznie przetwarzać dane, wdrażając „odpowiednie środki techniczne i organizacyjne”.
Środki techniczne oznaczają wszystko, od wymagania od pracowników używania uwierzytelniania dwuskładnikowego na kontach, na których przechowywane są dane osobowe, po zawieranie umów z dostawcami usług w chmurze, którzy stosują szyfrowanie kompleksowe.
Środki organizacyjne to na przykład szkolenia pracowników, dodanie polityki prywatności danych do podręcznika pracownika lub ograniczenie dostępu do danych osobowych tylko tym pracownikom w organizacji, którzy ich potrzebują.
W przypadku naruszenia ochrony danych masz 72 godziny na poinformowanie osób, których dane dotyczą, lub na ukaranie ich karą. (Ten wymóg powiadomienia może zostać uchylony, jeśli użyjesz zabezpieczeń technologicznych, takich jak szyfrowanie, aby dane były bezużyteczne dla atakującego.)
Ochrona danych od samego początku i domyślnie
Odtąd wszystko, co robisz w swojej organizacji, musi „z założenia i domyślnie” uwzględniać ochronę danych. W praktyce oznacza to, że należy uwzględnić zasady ochrony danych przy projektowaniu każdego nowego produktu lub działalności. RODO obejmuje tę zasadę w art. 25.
Załóżmy na przykład, że uruchamiasz nową aplikację dla swojej firmy. Musisz pomyśleć o tym, jakie dane osobowe aplikacja mogłaby gromadzić od użytkowników, a następnie zastanowić się, jak zminimalizować ilość danych i jak zabezpieczyć je za pomocą najnowszej technologii. Jak to mówią…sam wdrożysz RODO najlepiej.
Kiedy możesz przetwarzać dane?
W art. 6 wymieniono przypadki, w których przetwarzanie danych osób jest legalne. Nie myśl nawet o dotykaniu czyichś danych osobowych – nie zbieraj ich, nie przechowuj, nie sprzedawaj reklamodawcom – chyba że możesz to uzasadnić jednym z poniższych:
Podmiot danych udzielił Ci konkretnej, jednoznacznej zgody na przetwarzanie danych. (np. wybrali Twoją marketingową listę e-mail).
Przetwarzanie jest konieczne do wykonania lub przygotowania się do zawarcia umowy, której stroną jest osoba, której dane dotyczą. (np. przed wynajęciem nieruchomości potencjalnemu najemcy musisz przeprowadzić sprawdzenie przeszłości).
Musisz go przetworzyć, aby spełnić twoje prawne zobowiązania. (np. otrzymasz orzeczenie od sądu w Twojej jurysdykcji).
Musisz przetwarzać dane, aby uratować komuś życie. (np. cóż, prawdopodobnie będziesz wiedzieć, kiedy to dotyczy).
Przetwarzanie jest konieczne do wykonania zadania w interesie publicznym lub do wykonania jakiejś oficjalnej funkcji. (np. jesteś prywatną firmą zajmującą się zbieraniem śmieci).
Masz uzasadniony interes w przetwarzaniu czyichś danych osobowych. Jest to najbardziej elastyczna podstawa prawna, chociaż „podstawowe prawa i wolności osoby, której dane dotyczą”, zawsze mają pierwszeństwo przed twoimi zainteresowaniami, szczególnie jeśli są to dane dziecka.
Po ustaleniu legalnej podstawy przetwarzania danych musisz udokumentować tę podstawę i powiadomić osobę, której dane dotyczą (przejrzystość!). Jeśli później zdecydujesz się zmienić swoje uzasadnienie, musisz mieć dobry powód, udokumentować ten powód i powiadomić osobę, której dane dotyczą.
Zgoda na przetwarzanie danych
Istnieją surowe nowe zasady dotyczące tego, co oznacza zgodę osoby, której dane dotyczą, na przetwarzanie jej informacji.
Zgoda musi być „dobrowolnie udzielona, konkretna, poinformowana i jednoznaczna”.
Wnioski o zgodę muszą być „wyraźnie odróżnialne od innych kwestii” i przedstawione w „jasnym i prostym języku”.
Osoby, których dane dotyczą, mogą wycofać uprzednio udzieloną zgodę, kiedy tylko chcą, i musisz honorować ich decyzję. Nie możesz po prostu zmienić podstawy prawnej przetwarzania na inne uzasadnienie.
Dzieci poniżej 13 roku życia mogą wyrazić zgodę tylko za zgodą rodzica.
Musisz przechowywać dokumentację potwierdzającą zgodę.
Inspektorzy ochrony danych
Wbrew powszechnemu przekonaniu nie każdy administrator lub podmiot przetwarzający dane musi wyznaczyć inspektora ochrony danych (DPO). Istnieją trzy warunki, pod którymi musisz wyznaczyć inspektora ochrony danych:
Jesteś organem publicznym innym niż sąd działający, jako władza sądownicza.
Twoje podstawowe działania wymagają systematycznego i regularnego monitorowania ludzi na dużą skalę. (np. jesteś Google).
Twoje główne działania to przetwarzanie na dużą skalę specjalnych kategorii danych wymienionych w art. 9 RODO lub danych związanych z wyrokami skazującymi i przestępstwami wymienionymi w art. 10. (np. Jesteś gabinetem lekarskim).
Możesz również wyznaczyć DPO, nawet jeśli nie jest to wymagane. Korzyści z posiadania kogoś w tej roli. Ich podstawowe zadania obejmują zrozumienie RODO i jego zastosowania do organizacji, doradzanie pracownikom w zakresie ich obowiązków, prowadzenie szkoleń z zakresu ochrony danych, przeprowadzanie audytów i monitorowanie zgodności z RODO oraz służenie jako łącznik z organami regulacyjnymi.
Prawa osób do prywatności
Jesteś administratorem danych i / lub podmiotem przetwarzającym dane. Jako osoba korzystająca z Internetu jesteś także osobą, której dane dotyczą. RODO uznaje litanię nowych praw do prywatności podmiotów danych, które mają na celu zapewnienie osobom fizycznym większej kontroli nad danymi, które pożyczają organizacjom. Jako organizacja ważne jest zrozumienie tych praw, aby zapewnić zgodność z RODO.
Poniżej znajduje się podsumowanie praw osób, których dane dotyczą:
- Prawo do informacji
- Prawo dostępu
- Prawo do sprostowania
- Prawo do usunięcia
- Prawo do ograniczenia przetwarzania
- Prawo do przenoszenia danych
- Prawo do sprzeciwu
- Prawa związane ze zautomatyzowanym podejmowaniem decyzji i profilowaniem.
Podsumowanie
Co to jest RODO?
Właśnie omówiliśmy wszystkie główne punkty RODO w nieco ponad 2000 słów. Samo rozporządzenie (bez dyrektyw towarzyszących) ma 88 stron. Jeśli dotyczy Cię RODO, zalecamy, aby ktoś z Twojej organizacji go przeczytał i skonsultował się z Naszym prawnikiem, aby upewnić się, że spełniasz RODO.
Z PROGRAMEM DO RODO
- Zapewnienie odpowiedniego narzędzia
- Dokumentacja w wersji elektronicznej
- Zarządzanie jednostką
BEZ PROGRAMU DO RODO
- Duża ilość obowiązków
- Weryfikacja wdrożonych procedur
- Zarządzanie obiegiem dokumentów