Najważniejsze pytania o przepisy RODO

Poniżej znajdziesz odpowiedzi na najczęściej zadawane pytania o przepisy RODO - Rozporządzenie o Ochronie Danych Osobowych.

Czym jest RODO?

RODO (Rozporządzenie o Ochronie Danych Osobowych) lub GDPR (General Data Protection Regulation) to regulacja unijna, która będzie obowiązywała we wszystkich krajach Unii Europejskiej. W Polsce zastąpi ona obowiązującą dziś ustawę o ochronie danych osobowych. Przepisy, jakie wprowadza, dotyczyć będą wszystkich podmiotów będących administratorami danych osobowych.

Czy będę musiał zbierać zgody na nowo?

Nie, przepisy RODO nie wymagają zbierania zgód na przetwarzanie danych na nowo. Jeśli wcześniej były zebrane w prawidłowy sposób, to zachowują moc.

Czy muszę stosować wszystkie, skomplikowane regułki prawne?

Wręcz przeciwnie.  Przepisy RODO nakazują, by wszelkie komunikaty dotyczące ochrony danych osobowych pisać prostym, zrozumiałym językiem. Jak dla laika.

Czy będę musiał stosować mnóstwo check-boxów?

Ilość check-boxów po RODO nie powinna ulec zmianie, bo nowe przepisy nie wymagają wcale większej ilości zgód niż stara ustawa.
Ponadto RODO odchodzi od zasady, że zgoda na przetwarzanie danych osobowych musi mieć formę komunikatu pisanego (chek-box przy tekście, oświadczenie, mail itp.) Możliwe jest odebranie zgody w każdej, dostatecznie jednoznacznej formie. A więc możliwe są różne rozwiązania informatyczne.

Czy profilowanie bez zgody będzie zakazane?

Profilowanie, o jakim myśli większość firm interaktywnych, tj. operacje informatyczne, których celem jest kierowanie do klientów spersonalizowanych reklam, będzie nadal możliwe jako element marketingu własnych produktów lub usług. Możliwe też będzie profilowanie na cele zapewnienia bezpieczeństwa IT. Nowością jest to, że RODO wymaga rzetelnego (przejrzystego, zrozumiałego) informowania użytkownika o profilowaniu. Ponadto trzeba też będzie zapewnić możliwość sprzeciwu wobec profilowania.

Czy muszę udostępniać algorytmy profilowania, które stosuję?

Nie. RODO wymaga, żeby udzielać prostych i jasnych informacji o profilowaniu. Ma to być napisane językiem zrozumiałym dla użytkownika, który nie zna się na IT. Nie trzeba więc (a nawet będzie to zakazane) podawać matematycznych reguł. Powinno się raczej wytłumaczyć „kawa na ławę” jakie dane są zbierane i konkretnie do jakich celów (wyświetlanie reklam, wysyłanie spersonalizowanych e-mailingów itp.).

Czy wymagana jest zgoda na cookies?

Przepisy RODO nic nie zmieniają w kwestii ciasteczek, jeśli stosujesz je w sposób, który nie umożliwia Ci identyfikacji konkretnej osoby. Obecnie tworzony jest projekt jeszcze jednego rozporządzenia unijnego, tzw. rozporządzenia e-Privacy, który przewiduje w kwestii ciasteczek nawet ułatwienia w stosunku do obecnej sytuacji – informacja o ciasteczkach będzie musiała być udzielona przy każdej instalacji przeglądarki, a nie przy każdym wyświetleniu nowej strony WWWAdres internetowyAadres strony internetowej, na który zostanie przeniesiony użytkownik po jego kliknięciu lub wpisaniu w pasek adresu przeglądarki. Zwykle jest wyróżniony w tekście poprzez inny kolor i styl. Składa się zazwyczaj z protokołu (najczęściej http:// lub https:// dla zabezpieczonych stron), hosta/domeny (np. app.freshmail.pl) oraz z opcjonalnej ścieżki (np. /logowanie), np. http://app.freshmail/logowanie .
Jeśli stosujesz ciasteczka w połączeniu z innymi rozwiązaniami, które umożliwiają Ci identyfikację konkretnej osoby i przypisanie jej konkretnych cech – takie operacje będą traktowane tak samo jak każde inne przetwarzanie danych osobowych.

Czy przepisy RODO blokują możliwość korzystania z aplikacji amerykańskich, nawet za zgodą użytkownika?

RODO nie ma na celu zablokowania wymiany danych pomiędzy firmami z UE a USA. Jako podmiot unijny będziesz mógł przesyłać dane osobowe do kontrahentów w USA (korzystać z aplikacji amerykańskich), jeśli spełniony będzie chociaż jeden z tych warunków:
a) podmiot amerykański wpisany jest na tzw. listę Privacy Shield;
b) przekazanie danych do USA jest niezbędne do wykonania umowy między Tobą a osobą, której dane dotyczą;
c) osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, wyraźnie wyraziła zgodę na przekazanie swoich danych (nie musi być to zgoda pisemna, ważne żeby była wyraźna).

Czy prawo do bycia zapomnianym wiąże się z koniecznością usuwania danych z back-up’ów?

Prawo do bycia zapomnianym nie będzie bezwzględne. Chodzi w nim o zaprzestanie przetwarzania danych danej osoby oraz przede wszystkim o usunięcie publicznie dostępnych informacji o takim przetwarzaniu. Prawo do bycia zapomnianym nie może ingerować w bezpieczeństwo innych danych osobowych. Dlatego nie będzie konieczności ingerowania w back-up, jeśli wymagałoby to nadmiernych wysiłków technicznych i kosztowych.

Jakie są konsekwencje nieprzestrzegania RODO?

Rozporządzenie nakłada kary w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Są to kwoty maksymalne, jakie przewiduje rozporządzenie. Wysokość kary będzie proporcjonalna do zawinienia.

Jakie zmiany następują w związku z rozszerzonym obowiązkiem informacyjnym?

RODO wprowadza bardzo rozbudowany obowiązek informacyjny. Zbierając dane osobowe, administrator danych będzie musiał podawać:
a) dane kontaktowe
b) cel przetwarzania danych (cel ten nie powinien się zmieniać. W przypadku zmian należy poinformować osoby, których dane zostały wcześniej zebrane)
c) podstawę prawną przetwarzania danych
d) zamiar przekazania danych innemu podmiotowi - jeśli zamiar ten występuje
e) okres przechowywania danych
f) informację o prawie do:

  • wglądu do danych
  • zmiany danych lub ich usunięcia z bazy
  • wycofania zgody na przetwarzanie, które musi być tak samo proste, jak jej wyrażenie

g) informację o prawie do przeniesienia danych
h) informację o prawie wniesienia skargi do GIODO

Co z moją dotychczasową bazą?

Prawo nie działa wstecz, dlatego jeśli zbierałeś bazę zgodnie z obowiązującymi dotychczas przepisami oraz według dobrych praktyk email marketingu, możesz dalej używać swojej bazy. Pamiętaj jednak o rozbudowanym obowiązku informacyjnym. Rekomendujemy, aby po wejściu w życie RODO spełnić obowiązek w pierwszej kampanii, jaką wyślesz do swoich odbiorców.

W jaki sposób zbierać zgody, które będą zgodne z RODO?

Według RODO zgoda musi być:

  • dobrowolna
  • świadoma
  • konkretna i jednoznaczna

Oznacza to, że jest wyrazem woli użytkownika, dlatego, aby zbierać bazę w prawidłowy sposób, należy stosować model double opt-in oraz nie uzależniać realizacji usługi od wyrażenia zgody.

Jak długo można przetwarzać dane?

Czas przetwarzania danych osobowych uzależniony jest od celu przetwarzania. Zgodnie z RODO sam jako Administrator powinieneś zadbać o to, aby okres przetwarzania danych był ograniczony do czasu, jaki jest niezbędny do tego, aby osiągnąć założony cel przetwarzania danych.