Co warto wiedzieć o nowych przepisach dotyczących Ochrony Danych Osobowych?
25 maja 2018 roku weszło w życie Rozporządzenie o Ochronie Danych Osobowych (ang. General Data Protection Regulation). Każde przedsiębiorstwo przetwarzające dane osobowe swoich klientów lub partnerów biznesowych jest zobowiązane do wprowadzenia wszelkich właściwych i koniecznych zmian organizacyjnych i technicznych. Ten obowiązek dotyczy również aplikacji, stron internetowych oraz sklepów WWW.
Jeśli planujesz stworzenie nowej strony WWW lub aktualizację już istniejącej koniecznie sprawdź, jak powinna być skonstruowana strona internetowa twojej firmy, żeby działać zgodnie z nowymi przepisami przepisami RODO.
RODO – nie taki diabeł straszny…
<>Dokumentację zgodną z RODO możemy kupić w sieci. Jej cena wacha się od kilkuset do nawet kilku tysięcy złotych. Na tej podstawie można by sądzić, że zmiany jakie niesie za sobą RODO w dziedzinie przetwarzania i ochrony danych osobowych to prawdziwa rewolucja…
Tymczasem, jeśli Twój serwis internetowych został przygotowany zgodnie z obowiązującymi dotychczas przepisami o
ochronie danych osobowych
, to większość koniecznych zmian okazuje się czystą kosmetyką.
Jak to możliwe?
Przetwarzanie danych osobowych nadal wymaga zgody. Treść samej zgody, która wcześniej nie musiała być notowana teraz powinna się znajdować obok faktu jej wyrażania, a więc powiązanego z treścią check-boxa. Niezmienny pozostaje również obowiązek informowania o tym, kto jest administratorem danych. Dodatkowo użytkownikom serwisu należy udostępnić kontakt do Inspektora Ochrony Danych, jeśli takowy został powołany. Zniesiony natomiast został obowiązek zgłaszania zbiorów do zewnętrznego rejestru centralnego. Dawniej zbiory musiały być zgłaszane w GIODO lub ABI, obecnie wystarczy rejestr wewnątrz organizacji. Zniesiono również arbitralne wymagania minimalne m.in. dotyczące złożoności haseł. Po 25 maja 2018 roku o złożoności haseł oraz innych środkach bezpieczeństwa decyduje administrator bazy danych na podstawie szacowanego ryzyka.
RODO – jak to wygląda w praktyce?
Czynności takie, jak tworzenie stron www czy też wdrażanie sklepu internetowego zgonie z założeniami znowelizowanych przepisów o ochronie danych osobowych nie jest wcale takie trudne i skomplikowane, jak mogłoby się wydawać. Wystarczy pamiętać o kilku ważnych rzeczach:
• Zawarciu z firmą hostingową umowy powierzenia przetwarzania danych osobowych. Zgodnie ze znowelizowanymi przepisami umowa powierzenia nie wymaga formy pisemnej (papierowej), co daje możliwość jej zawierania w formie czysto elektronicznej. • Projektowaniu nowych aplikacji z uwzględnieniem zasad ochrony danych osobowych. Z pomocą przychodzą tutaj mechanizmy wspierające ochroną serwisów. Warto również rozważyć szyfrowanie przesyłanych danych (Certyfikat SSL) oraz możliwość szyfrowania danych w bazie. Oczywiście wszelkie projektowane środki ostrożności i zabezpieczenia powinny być adekwatne do oszacowanego wcześniej ryzyka.
Obowiązku informacyjnym. Zbierając dane osobowe administrator serwisu jest zobowiązany do dopełnienia obowiązków informacyjnych względem osób, których dane dotyczą. Oznacza to, że na stronie www powinny znaleźć się następujące informacje:
- dane administratora danych,
- kontakt do Inspektora Ochrony Danych,
- cel przetwarzania danych,
- podstawa prawna przetwarzania danych,
- informacje o zamiarze przekazania danych innemu podmiotowi (jeśli takowy występuje),
- informacje o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej (jeśli takowy występuje),
- okresie przechowywania danych,
- informacje o prawie do wglądu w dane, ich zmiany lub usunięcia, możliwości wycofania zgodny na przetwarzanie danych oraz możliwości przeniesienia danych,
- informację o możliwości wniesienia skargi do organu nadzorczego,
- informację o profilowaniu.
Dostosowaniu obowiązków administratora do ryzyka, na jakie narażone są przetwarzane dane osobowe. Stosowane przez administratora serwisu zabezpieczenia powinny być adekwatne do chronionych danych oraz sposobu ich przetwarzania, a także związanego z tym ryzyka pozyskania danych przez osoby trzecie. Im większe ryzyko, tym częściej powinno być zmieniane hasło chroniące dane.
Zawarciu z firmą hostingową umowy powierzenia przetwarzania danych osobowych. Zgodnie ze znowelizowanymi przepisami umowa powierzenia nie wymaga formy pisemnej (papierowej), co daje możliwość jej zawierania w formie czysto elektronicznej.
Projektowaniu nowych aplikacji z uwzględnieniem zasad ochrony danych osobowych. Z pomocą przychodzą tutaj mechanizmy wspierające ochroną serwisów. Warto również rozważyć szyfrowanie przesyłanych danych (Certyfikat SSL) oraz możliwość szyfrowania danych w bazie. Oczywiście wszelkie projektowane środki ostrożności i zabezpieczenia powinny być adekwatne do oszacowanego wcześniej ryzyka.
Nie trać głowy!
Jak każda zmiana RODO budzi wiele obaw. Podmioty, które chcą szybko zarobić na nowelizacji przepisów straszą nas częstymi kontrolami i wysokimi karami. Wszystko po to, żebyśmy skorzystali z ich oferty. W praktyce administratorzy serwisów, które dotychczas funkcjonowały zgodnie z przepisami o ochronie danych osobowych nie mają się czego obawiać, a wymagane nowymi regulacjami zmiany z pewnością Was nie przerosną. Przedsiębiorcom, którzy dopiero planują wdrożenie sklepu www lub utworzenie strony www firmy polecamy współpracę z profesjonalnym webmasterem.