GDPR prostym językiem, część 1.

27 kwietnia zeszłego roku weszło w życie rozporządzenie Parlamentu Europejskiego i Rady Europy w sprawie osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu tych danych. Nowe rozporządzenie, zwane GDPR zastąpiło dotychczasowe, uchylając jednocześnie stare regulacje.

Oznacza to, że obecnie jesteśmy w tzw. okresie przygotowawczym. Każdy kraj członkowski UE do dnia 25 maja 2018 roku musi dostosować swoje prawo do nowego rozporządzenia. Tego dnia skończy się także okres ochronny, a to oznacza, że nowe prawo zacznie być egzekwowane pod rygorem kar finansowych. 

Kary finansowe to zupełna nowość w kontekście ochrony danych osobowych w Polsce. Do tej pory GIODO (Główny Inspektor Ochrony Danych Osobowych) wprawdzie miał ustawę o ochronie danych osobowych, ale nie miał narzędzi do karania za jej nieprzestrzeganie - stąd w zasadzie działania niezgodne z tą ustawą nie niosły za sobą żadnych konsekwencji.

To pierwsza z dużych zmian.

Kolejna, która wprowadza ogromne zamieszanie, to wyjęcie spod ochronnego klosza danych osobowych w relacji Business to Business. Tak, od teraz np. pracownik z S4E, z adresem Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. to dane osobowe i każdy chcący wykorzystać je do jakiejkolwiek biznesowej aktywności, musi posiadać jego osobistą zgodę. I nie ma przy tym znaczenia, czy dane te są ogólnodostępne i np. znajdziemy je na firmowej stronie internetowej. 

Zgody osoba ma prawo udzielić osobno w zakresie niezbędnym do realizacji usługi, osobno do działań marketingowych podmiotu z którym wchodzi w relację, a jeszcze osobno na przekazanie danych podmiotom trzecim. Należy przy tym pamiętać, że zakres zbieranych danych osobowych musi być adekwatny do potrzeb, a to oznacza, że np. operatorzy telewizji nie będą mogli żądać od swoich klientów np. nr PESEL by świadczyć im usługi. Chyba, że w jakiś kreatywny sposób uzasadnią taką konieczność.

A zatem za pół roku każdy z nas musi posiadać zgodę od swoich klientów i partnerów biznesowych na wysłanie oferty handlowej, ale także wyceny, informacji o przebiegu zgłoszenia serwisowego, czy tak jak było do tej pory - korespondencji czysto promocyjnej. Tym razem jednak - pod rygorem otrzymania wysokiej kary finansowej. 

Chciałbym uświadomić, że pojawia się coś takiego jak profilowanie, na które właściciel danych osobowych musi udzielić odrębnej zgody. Profilowanie to ustalenie preferencji zakupowych, ale też zachowań, lokalizacji, wieku, płci. Profilowaniem będzie także analiza wypłacalności naszych klientów i grupowanie ich na tych wypłacalnych, spóźniających się z płatnościami oraz niepłacących! To zagadnienia, z którymi zderzy się lada moment każdy z nas i bez jednoznacznej zgody nie będzie mógł analizować danych osobowych pod wieloma względami.

Ustawa nie narzuca jednoznacznie, zero-jedynkowo wszystkich wymagań jakie należy spełniać. Zaangażowanie sił i środków, np. w zabezpieczenie danych osobowych musi być ADEKWATNE do ryzyka, wielkości bazy danych, rodzaju przechowywanych w niej danych, wielkości przedsiębiorstwa. Każda firma sama ocenia czy zakres podjętych środków jest wystarczający. Wyprowadzić z błędu może nas ewentualna kontrola, które z pewnością staną się codziennością. GIODO zamieni się w Urząd Ochrony Danych Osobowych, a ten otrzyma w swe ręce bat nie mniej bolesny od bata Urzędu Skarbowego. Ustawodawca przygotował bolesne kary finansowe, sięgające 20 000 000 € lub 4% całkowitego rocznego światowego obrotu - wskazując na tę wyższą. Nie bez znaczenia jest fakt, że Urząd Ochrony Danych Osobowych prawdopodobnie (nie jest to jeszcze wiadome oficjalnie) utrzymywał się będzie właśnie z kar finansowych. 

Wśród nas jest wielu takich, którzy mają świadomość zbliżających się zmian i rozpoczęli lub zaraz rozpoczną przygotowania swoich firm na gwizdek rozpoczynający mecz.

Są też tacy, którzy czekają na rozwój wydarzeń, z nadzieją na łagodny ich przebieg.

Najwięcej jest jednak tych, którzy nie wiedzą w ogóle o co chodzi i co to takiego ten GDPR. Z doświadczeń mogę stwierdzić, że są to głównie przedstawiciele małych i średnich firm. Nieświadomym życzę powodzenia i trzymam mocno kciuki, jednocześnie namawiając na szybkie pochylenie się nad tematem.

Wychodząc na przeciw, przygotowaliśmy kompleksową pomoc ułatwiającą przebrnięcie przez proces dostosowań. Przygotowaliśmy całodniowe szkolenie kierowane do oddelegowanych przez Was osób, na którym dowiedzą się o wszystkich aspektach nowej ustawy. Szkolenie daje obraz całości a także wskazuje na obowiązki jakie musi spełnić powołany w większości organizacji tzw. DPO (Data Protection Officer). DPO to dawny ABI (Administrator Bezpieczeństwa Informacji), którego jednak teraz będzie musiało mieć każde przedsiębiorstwo spełniające określone warunki - w praktyce większość organizacji. Osoba będzie na styku organizacji i Urzędu Ochrony Danych Osobowych.

W naszej apteczce pierwszej pomocy mamy także audyt. Pozwoli on przyjrzeć się wszystkim obszarom w firmach naszych Partnerów lub w firmach Klientów pod kątem zgodności z nową ustawą. Audyt to analiza prawna, pozwalająca przyjrzeć się wszelkiej dokumentacji, umowom, klauzulom, procedurom, politykom bezpieczeństwa. Analiza techniczna to audyt systemów informatycznych, przegląd procedur dotyczących zarządzania ryzykiem czy incydentami.

Wynikiem powyższych działań jest raport dający pogląd na aktualną sytuację w organizacji. Ważnym elementem raportu jest harmonogram z zalecaną kolejnością działań. Raport zatem to plan działania dla grupy wdrożeniowej. Etap ten to dostosowanie dokumentów i procedur oraz wsparcie przy modyfikacjach oprogramowania.

Całości dopełnia usługa wsparcia i konsultacji powdrożeniowych. Każdy może liczyć na pomoc S4E przy bieżących, codziennych działaniach.

Nie bez znaczenia jest także to, że S4E posiada szereg rozwiązań technicznych, które w sposób bezpośredni realizują wymagania stawiane przez nową ustawę GDPR. Po szczegóły odsyłam Państwa do naszej dedykowanej temu zagadnieniu strony gdpready.pl!

Masz pytania? Zapraszam:

Anna Przygoda-Rostek

Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.