RODO – co musisz wiedzieć jako właściciel strony WWW?

RODO weszło w życie wraz z dniem 25 maja. Nowe regulacje prawne, mające zapewnić lepszą ochronę naszym danym osobowym, wiążą się z wieloma zmianami dla większości przedsiębiorstw. Zwłaszcza tych, które prowadzą swoje strony lub sklepy internetowe. Czym jest RODO? Jakie zmiany wprowadza? Jakich działań wymaga od właścicieli stron WWW? O tym przeczytasz w poniższym artykule!

 

RODO, czyli zbiór nowych obowiązków 

RODO (Rozporządzenie o Ochronie Danych Osobowych, lub – w wersji angielskiej GDPR – General Data Protection Regulation) jest aktem prawnym, na nowo regulującym zagadnienia ochrony i przetwarzania danych osobowych. W praktyce stanowi on zbiór obowiązków dla podmiotów, które przetwarzają szeroko pojęte dane osobowe. Zadaniem RODO jest skuteczniejsza ochrona interesów osób fizycznych, mających prawo do prywatności i bezpieczeństwa danych.

Kogo dotyczy RODO? 

Wdrożone w życie przepisy obejmują wszystkie podmioty, które gromadzą i wykorzystują dane osób fizycznych. Nowe obowiązki stanowią wyzwanie zarówno dla dużych, jak i małych firm, urzędów, szkół, domów kultury i innych działalności, które muszą przetwarzać dane zgodnie z nowym prawem.

Czym są dane osobowe według RODO?

Za dane osobowe przyjmuje się wszelkie dane, które pozwalają na identyfikację osoby fizycznej, której te dane dotyczą, bez używania niewspółmiernych środków i sił. Do identyfikatorów, na podstawie których osoba fizyczna może być zidentyfikowana należą w szczególności: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy oraz jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

RODO – zmiany przed i po

RODO wprowadza szereg zmian w zakresie ochrony i przetwarzania danych osobowych. Niektóre z wcześniejszych obowiązków, jak choćby konieczność wyrażenia zgody na przetwarzanie danych, zostały podtrzymane. Nowością są natomiast:

• konieczność notowania treści zgody obok faktu jej wyrażenia,
• obowiązek informowania o tym, kto jest administratorem oraz kontaktu do Inspektora Ochrony Danych, jeśli został powołany,
• zniesienie obowiązku zgłaszania do zewnętrznego, centralnego rejestru, wymóg prowadzenia rejestru wewnątrz organizacji,
• zasada szacowania ryzyka – administrator sam decyduje o sile hasła i innych środkach bezpieczeństwa,
• Administratora Bezpieczeństw Informacji zastępuje Inspektor Ochrony Danych,
• obowiązek informowania o naruszeniu danych osobowych i profilowaniu,
• prawo do sprawdzania, poprawiania, przenoszenia oraz żądania zaprzestania przetwarzania swoich danych osobowych,
• zwiększenie kar administracyjnych (do 4% obrotu rocznego lub do 20 mln EUR w razie nieprawidłowości).

Zasady dotyczące przetwarzania danych osobowych 

W przepisach RODO sformułowanych zostało 7 zasad przetwarzania danych osobowych. Są nimi:

• zasada zgodności z prawem, rzetelności i przejrzystości – dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą,
• zasada ograniczenia celu przetwarzania danych – dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
• zasada minimalizacji danych – dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
• zasada prawidłowości danych – dane muszą być prawidłowe i w razie potrzeby uaktualniane, należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,
• zasada ograniczenia przechowania danych – dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
• zasada integralności i poufności danych – dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,
• zasada rozliczalności – administrator jest odpowiedzialny za przestrzeganie przepisów ustawy i musi być w stanie wykazać ich przestrzeganie.

 

RODO a wymagania dla właścicieli stron WWW 

1. Zgody – właściciele stron WWW zobowiązani są do informowania użytkowników o prawie do przenoszenia danych, okresie przechowywania, zamiarze ich przekazania i wykorzystywaniu danych do profilowania. Treść zgody musi być zapisana w rejestrze zgód.

2. Zmiana haseł – zadaniem administratora jest zapewnienie maksymalnej ochrony danych, między innymi poprzez stosowanie zabezpieczeń adekwatnych do chronionych danych i sposobu ich przetwarzania. Do oceny administratora zależy ocena częstotliwości zmiany haseł (np. co 30 dni).

3. Zgłaszanie naruszeń – nowe przepisy nakazują administratorom zgłaszać wszelkie naruszenia bezpieczeństwa danych poprzez informowanie o tym fakcie osoby, której te dane dotyczą oraz odpowiedniego organu nadzoru.

4. Obowiązek informacyjny – właściciele stron WWW mają obowiązek informować użytkowników o: danych administratora danych i Inspektora Ochrony Danych, celu przetwarzania danych, podstawie prawnej przetwarzania danych oraz zamiarze przekazywania danych innemu podmiotowi, państwu trzeciemu lub organizacji międzynarodowej, jeśli taki występuje.

5. Privacy by design – nowe regulacje zakładają konieczność uwzględniania przez właścicieli stron WWW zasad ochrony danych osobowych już w fazie projektowania witryny.

6. Umowy zewnętrzne – RODO nakłada na właścicieli stron WWW obowiązek zawierania umów powierzenia przetwarzania danych osobowych z firmami hostingowymi.