W jaki sposób należy chronić dane osobowe w internecie? W których aspektach RODO zmieniło zasady ochrony danych obowiązujące do tej pory?
- Przetwarzający dane jest bezpośrednio odpowiedzialny
- Administrator musi zgłaszać naruszenia
- Nowe prawa obywateli
- Ograniczenie profilowania
- Inspektor Danych Osobowych
- Inwentaryzacja danych
- Ocena wpływu ochrony danych
Przetwarzający dane jest bezpośrednio odpowiedzialny
Zgodnie z przepisami RODO, ochrona danych w internecie to obowiązek przedsiębiorcy (informaticalegis.com) i w razie zaniedbań może on zostać pociągnięty do odpowiedzialności. Organizacje, które przetwarzają dane osobowe pochodzące z innych firm w trakcie świadczenia na ich rzecz usług, są bezpośrednio odpowiedzialne w razie złamania zapisów RODO. To oznacza, że w takim wypadku na organizację może zostać nałożona kara finansowa.
Administrator musi zgłaszać naruszenia
Jeżeli dojdzie do naruszeń danych, których skutkiem może być zagrożenie praw i swobód osób, których owe dane dotyczą, administrator ma obowiązek zgłosić to do właściwego organu nadzoru w ciągu 72 godzin od wykrycia. W określonych przypadkach może także istnieć konieczność bezzwłocznego zawiadomienia konkretnej osoby o ryzyku naruszenia jej praw i swobód – to też obowiązek administratora.
Nowe prawa obywateli
RODO wzmacnia prawo dostępu i wglądu obywatela w jego dane oraz rozszerza jego prawo sprzeciwu wobec ich przetwarzania, w tym prawo do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych.
Oprócz rozszerzenia pewnych praw, RODO wprowadza też nowe, takie jak prawo do żądania przeniesienia danych oraz prawo do bycia zapomnianym. To ostatnie daje obywatelom możliwość zażądania od konkretnego podmiotu usunięcia ich danych osobowych.
Ograniczenie profilowania
Profilowanie to zjawisko, polegające na tym, że informacje o konsumencie są zbierane na podstawie jego zachowań w sieci. W ten sposób można pozyskać dane między innymi o czyichś zainteresowaniach, lokalizacji, często odwiedzanych miejscach, sytuacji ekonomicznej czy stanie zdrowia.
RODO nakłada na ten proceder pewne ograniczenia. Jeżeli profilowanie odbywa się w celu marketingu bezpośredniego, mamy prawo zgłosić sprzeciw wobec takiego wykorzystania naszych danych. Firmy mają obowiązek informować o profilowaniu na etapie zbierania danych osobowych oraz na wniosek osoby fizycznej.
Inspektor Danych Osobowych
Niektóre firmy kontrolujące i przetwarzające dane osobowe zostały obarczone obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych. Obowiązek ten trzeba wypełnić, gdy przetwarzania dokonuje podmiot publiczny (wyjątek obejmuje sądy) oraz główna działalność administratora polega na przetwarzaniu danych, wymagającym ze względu na swój charakter, zakres lub cele regularnego i systematycznego monitorowania osób których dotyczą, a także jeśli rzecz dotyczy przetwarzania na dużą skalę szczególnych kategorii danych osobowych, na przykład medycznych.
Do zadań Inspektora Danych Osobowych należy informowanie administratora o spoczywających na nim obowiązkach, monitorowanie przestrzegania przepisów z zakresu ochrony danych osobowych, monitorowanie podziału obowiązków, przeprowadzanie szkoleń, prowadzenie audytów i współpraca z Prezesem Urzędu Ochrony Danych Osobowych.
Inwentaryzacja danych
Podmioty kontrolujące i przetwarzające dane osobowe są na mocy RODO zobowiązane do przygotowania i utrzymania rejestrów przetwarzanych danych. Rejestry te powinny uwzględniać między innymi powody, dla których dane są przetwarzane, kategorie danych, ich adresatów, rejestry naruszeń i incydentów, rejestry międzynarodowych transferów i potwierdzone zgody na przetwarzanie danych.
Ocena wpływu ochrony danych
Przed podjęciem działań wysokiego ryzyka, takich jak chociażby profilowanie na dużą skalę lub wykorzystanie danych szczególnych kategorii, na przykład dotyczących zdrowia, obowiązkowo należy wykonać analizę pozwalającą ocenić skutki zamierzonych działań dla ochrony danych osobowych.