RODO - ostateczne starcie

RODO – czyli unijne Rozporządzenie Ogólne o Ochronie Danych Osobowych, zwane też GDPR od angielskiego określenia General Data Protection Regulation – dotyczy praktycznie wszystkich firm, które w jakikolwiek sposób przetwarzają dane osobowe.

Sęk w tym, że robią to praktycznie wszyscy… Bazy mailingowe, adresy dziennikarzy, osoby zapisane na newsletter, umowy z prywatnymi odbiorcami, identyfikatory klientów sklepu internetowego, a nawet dane pracowników. One wszystkie podlegają ochronie. O RODO “trąbi się” już od jakiegoś czasu.

Nic dziwnego, 25 maja 2018 roku weszło w życie RODO (GDPR), czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Zmiany, jakie do tego czasu muszą wprowadzić firmy w krajach członkowskich są poważne, a w powietrzu wisi widmo wielomilionowych kar.

Kogo dotyczy RODO?

Tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych.

Mogą to być zarówno duże korporacje – na przykład firmy ubezpieczeniowe czy instytucje finansowe – oraz niewielkie rodzinne przedsiębiorstwa, jak sklep internetowy czy salon kosmetyczny.
Od maja tego roku przepisy dotyczące ochrony danych osobowych dla wszystkich 28 państw członkowskich mają być ujednolicone. Intencją unijnych urzędników było unowocześnienie regulacji o ochronie danych osobowych, które obowiązuje od 1995 r. i w dobie postępującej cyfryzacji mają coraz mniejsze zastosowanie praktyczne. Jednocześnie nowe prawo zostało stworzone tak, aby było „technologicznie neutralne”, czyli aktualne niezależnie od rozwoju technologii.
Dlatego unijne rozporządzenie nie zawiera żadnych konkretnych wytycznych, jak zabezpieczać dane osobowe. Bo nie dość, że wytyczne te musiałyby być inne dla każdej branży, to jeszcze szybko mogłoby się okazać, że trzeba je na nowo dostosowywać do zmieniających się warunków.

Każdy przedsiębiorca działa inaczej.

Inaczej zabezpiecza się dane w sektorze ubezpieczeniowym, inaczej w bankowym, a jeszcze inaczej w handlu internetowym. W związku z tym nie ma jednego szablonu, tylko każdy dostanie obowiązek stworzenia go sobie samemu – jest to problematyczne oraz stanowi swoiste wyzwanie dla pomniejszych firm, które są zmuszone inwestować środki w profesjonalne doradztwo w tym zakresie.

Główny kierunek zmian jakie wprowadza rozporządzenie to wprowadzenie większego nacisku na administratorów, aby do ich zadań nie należało tylko zapewnienie odpowiedniej ochrony danych osobowych, ale przede wszystkim zdolność wykazania przestrzegania przepisów i wdrożenia środków narzuconych przez RODO.

Zmniejsza się ilość „twardych” wytycznych i minimalnych środków ochrony na rzecz samodzielnego dobrania przez administratora właściwych środków biorąc pod uwagę kategorie, zakres, charakter i kontekst przechowywanych danych. Istotne będzie faktyczne zapewnienie ochrony danych osobowych, a samo sporządzanie dokumentacji nie będzie wystarczające dla udowodnienia przestrzegania przepisów.

Teoretycznie, im bardziej ogólne prawo, tym lepiej – można tworzyć wiele jego interpretacji oraz sposobów na jego “obejście”. Co się jednak jeszcze zmieni?
Powinniśmy zauważyć spadek liczby dzwoniących do nas telemarketerów. To zasługa regulacji e-Privacy, która jest powiązana z RODO. Zakłada ona, że każdy będzie mógł zażądać trwałego usunięcia wszystkich swoich danych z baz kontaktów. Co więcej, firmy wykorzystujące dane klientów do nabycia kontaktów będą musiały mieć wyraźnie udzieloną przez nas zgodę. Skończy się więc udawane zdziwienie telemarketerów, którzy zapytani o to, skąd mają nasz numer, mętnie odpowiadają, że zostaliśmy wylosowani przez komputer.