Rozporządzenie o Ochronie Danych Osobowych z dnia 25 maja 2018 roku nakłada na administratora danych szereg obowiązków. Wywiązywać się z nich trzeba z wysoką starannością, ściśle trzymając wyznaczonych przez prawo zasad. Dowiedz się, co zrobić, aby osiągnąć stu procentową zgodność z RODO.
Dlaczego warto dbać o zgodność z RODO?
Przetwarzanie danych osobowych zgodnie z RODO jest szczególnie ważne ze względu na szeroko zakrojone i drobiazgowe kontrole Urzędu Ochrony Danych Osobowych. Instytucja ta ma uprawnienia nie tylko do przeprowadzania audytów w firmach przetwarzających dane osobowe, ale także do nakładania dotkliwych dla firm kar.
Rekordowa kara wyniosła 2,8 mln złotych i została nałożona we wrześniu 2019 na spółkę Morele.net. Firma została obarczona przez UODO odpowiedzialnością za efekt cyberataku, w wyniku którego wyciekło ponad 2 miliony danych klientów. Winą spółki były oczywiście nie działania cyberprzestępców, ale brak odpowiednich zabezpieczeń przetwarzanych danych osobowych.
Przypadek ten dowodzi, jak ważne jest, by nasze działania dotyczące danych osobowych odbywały się w ścisłej zgodności z RODO.
Zgodność z prawem
Każdy proces przetwarzania danych osobowych powinien opierać się na co najmniej jednej ze wskazanych w Rozporządzeniu podstaw prawnych. Przetwarzać dane możemy tylko w określonych sytuacjach:
- Gdy uzyskaliśmy zgodę osoby, której dotyczy przetwarzanie.
- Treść zgody powinna odpowiadać wymaganiom ściśle zdefiniowanym w Rozporządzeniu. Nie można pozwolić sobie na swobodę w konstruowaniu klauzul (czyli treści zgód) i dlatego najlepiej przy ich tworzeniu skonsultować się z osobą, która specjalizuje się w tematyce ochrony danych osobowych.
- Gdy przetwarzanie jest konieczne, aby:
- zawrzeć lub wykonywać umowę o współpracy,
- wykonywać obowiązek prawny ciążący na administratorze (dla przykładu są to wszelkie działania wynikające z Ustawy o rachunkowości),
- realizować uzasadnione interesy administratora (prowadzenie akcji marketingowych, zapobieganie oszustwom czy wykonywanie wewnętrznych czynności administracyjnych),
- wykonać zadanie realizowane w interesie publicznym,
- chronić żywotne (ściśle związane z życiem) interesy osoby fizycznej..
Prawidłowość
Przetwarzając dane osobowe, należy zadbać o to, by były one prawidłowe i aktualne. W rozporządzeniu jest mowa o podejmowaniu „rozsądnych” działań w tym celu i doborze „odpowiednich” środków, co jest trudne do interpretacji. Należy jednak założyć, że podmiot przetwarzający dane nie jest w stanie monitorować ich pod względem aktualności. Ważne jest jednak, aby gromadząc dane zadbać o ich poprawność, na przykład poprzez odpowiednie funkcje w formularzach (jak na przykład formatowanie numeru telefonu). Należy także umożliwić osobie niezwłoczne usunięcie swoich danych oraz ich sprostowanie.
Rzetelność i przejrzystość
Podmiot, którego dane przetwarzamy, powinien być w pełni świadomy tego, że proces ten będzie miał miejsce. Istotne jest, aby informacja, którą otrzymuje, była przedstawiona za pomocą prostego i przejrzystego języka. Konstruując komunikaty, należy dostosować je do odbiorcy niekoniecznie spotykającego się na co dzień ze specjalistycznym językiem prawniczym. Powinny być one zwięzłe i można je uzupełnić o elementy graficzne wizualizujące treść tekstu. Bardzo istotne znaczenie ma, aby pamiętać o przekazaniu informacji o profilowaniu (czyli analizowaniu i prognozowaniu zachowań na podstawie pozyskanych danych), o ile ma ono miejsce.
Wskazany cel
Trzeba pamiętać, że osoba wyrażająca zgodę na przetwarzanie swoich danych robi to w konkretnym, wskazanym np. w formularzu celu (a zatem musi być należycie o nim poinformowana). Jeśli celem tym będzie realizacja zamówienia, niedopuszczalne jest wykorzystanie danych np. do wysyłania informacji marketingowych, takich jak newsletter. Aby to móc to robić, klient powinien wyrazić osobną zgodę na otrzymywanie informacji handlowych, np. poprzez zaznaczenie odpowiedniego pola w formularzu.
Minimalizacja danych
Dane osobowe należy zbierać zgodnie z zasadą adekwatności (zwaną „minimalizacją danych”). Oznacza to w uproszczeniu, że danych należy gromadzić jedynie tyle, ile jest to potrzebne do realizacji zamierzonego przez nas celu. Zakres zbierania danych musi zatem mieć wyraźne usprawiedliwienie i należy zbierać ich najmniej jak to możliwe.
Usuwanie danych, po realizacji celów (ograniczenie przetwarzania)
Przetwarzanie danych osobowych zgodnie z RODO oznacza, że mogą być przetwarzane jedynie przez okres, w którym realizowany jest cel ich przetwarzania. Jeżeli z jakiegoś powodu proces ulega zakończeniu, dane należy bezzwłocznie usunąć (chyba że istnieją podstawy prawne do dalszego przetwarzania). Może to dotyczyć np. sytuacji usunięcia konta w serwisie przetwarzającym dane osobowe. Gdy nie świadczy on już danej osobie usługi, jej dane powinny zostać usunięte, zanonimizowane lub nadpisane.
Zabezpieczenie – integralność i poufność
Na administratorze ciąży obowiązek zadbania o właściwe zabezpieczenie przetwarzanych danych przed nieuprawnionym dostępem, utratą lub zniszczeniem. Oznacza to, że niezwykle ważne jest korzystanie z odpowiednich środków technicznych i organizacyjnych. Celowe jest wdrożenie Polityki Bezpieczeństwa Informacji.
Rozliczalność
Administrator musi być zdolny wykazać, że wywiązał się z obowiązków nałożonych na niego przez RODO. Oznacza to konieczność prowadzenia rzetelnej dokumentacji przeprowadzonych procesów. Należy także informować organ nadzorujący o przypadkach naruszeń ochrony, czyli np. wyciekach danych.
Aby mieć pewność, że sposób, w jaki przetwarzasz dane osobowe, jest zgodny z aktualnymi przepisami, skorzystaj z naszego audytu RODO! Eksperci ESKOM przeprowadzą kompleksowy przegląd Twojej firmy pod kątem realizacji przepisów obowiązującego Rozporządzenia o Ochronie Danych Osobowych. Efektem ich pracy będą konkretne zalecenia, które w dalszym ciągu współpracy pomogą wdrożyć.