RODO i bezpieczeństwo danych: jak do tego podejść?

W dzisiejszej rzeczywistości przetwarzana jest masa danych Klientów oraz ich różne zachowania: korzystanie z Internetu, wiedza o tym, gdzie lubią przebywać, co jedzą itd. Ustawa RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych powstała z myślą o ochronie danych użytkowników i zmniejszeniu ryzyka ataków hackerskich. Dotyczy ona wszystkich przedsiębiorców, którzy przetwarzają dane i poddają je profilowaniu. Jak odnaleźć się w tym gąszczu zawiłości i niedomówień związanych z RODO?

Wejście w życie RODO 25 maja 2018 mogło być odebrane jako „urzędnicza uciążliwość”, ale tak naprawdę jej zamierzeniem było zwiększenie bezpieczeństwa danych przetwarzanych w przedsiębiorstwach oraz wzmocnienie praw osób, które udostępniają swoje dane, w tym osobowe. RODO jest dostosowaniem prawa polskiego do norm prawa Unii Europejskiej. Mimo że od momentu wprowadzenia rozporządzenia w Polsce minął ponad rok, to jednak wiele kwestii nadal wymaga wyjaśnienia.

RODO w praktyce: o jakich danych mowa?

RODO lub GDPR (z ang. General Data Protection Regulation) to unijna regulacja prawna, dzięki której użytkownicy zyskali większą kontrolę nad swoimi danymi. Są to dane strukturalne, czyli te znajdujące się w bazach oraz niestrukturalne, zgromadzone na wszelakich nośnikach, poczcie internetowej, urządzeniach mobilnych etc. Trzeba zatem chronić dane oraz urządzenia, czyli stworzyć spójną infrastrukturę informatyczną, która umożliwi takie działania. Za nieprzestrzeganie prawa przewidziane są kary do równowartości kwoty 20 mln euro lub do czterech procent rocznego obrotu przedsiębiorstwa. Kara jest oczywiście zależna od wielkości danej firmy, jej obrotów – mała firma nie zostanie ukarane taką samą kwotą, co duże przedsiębiorstwo. W momencie karania bierze się pod uwagę charakter, wagę i czas trwania naruszenia, motywację (czy doszło do tego umyślnie czy nieumyślnie), kategorie naruszonych danych oraz „działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą”.

Ustawa RODO. Nowe prawa konsumenta w kwestii przetwarzania danych

Najważniejsza rzecz RODO dotyczy zgody konsumenta na przetwarzanie informacji. Co to oznacza?

• każda zgoda użytkownika musi być dobrowolna, a brak zgody nie może znaczyć, że posiadacz danych poniesie negatywne konsekwencje z tego powodu
• Trzeba uprościć formułowanie zgód we fragmentach dotyczących ochrony danych osobowych i umieścić je tak, by były widoczne i czytelne dla wszystkich. Użytkownik ma prawo odwołania zgody
• Istnieje również prawo do bycia zapomnianym, tzn. użytkownik może zażądać wykreślenia jego danych z wszelkich baz, serwerów, urządzeń
• Użytkownik ma również prawo do zmiany informacji oraz przeniesienia danych do innego administratora
• Użytkownik musi zostać świadomie poinformowany nie tylko o zgodzie na przetwarzanie danych, ale także o tym, że jego dane będą profilowane. Profilowanie to zbieranie informacji o konsumencie na podstawie jego zachowań w sieci. Firma powinna szczegółowo objaśnić, do czego potrzebuje danych osobowych i czemu służy profilowanie.

Privacy by Design i Privacy by Default

Te dwa zapiski są częścią rozporządzenia RODO (art. 25) i dotyczą tych przedsiębiorców, którzy zamierzają np. otworzyć sklep internetowy lub zaprojektować aplikację.

1. Privacy by Design – administrator danych osobowych („organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych”, a w przypadku działalności gospodarczej, to sam przedsiębiorca) powinien już na etapie projektowania swojego biznesu uwzględnić ochronę danych userów oraz sposoby zabezpieczeń adekwatne do sposobu, celu i charakteru przetwarzania. Dane mogą być np. pseudonimizowane, ich ilość minimalizowana i oczywiście użytkownicy muszą mieć do nich wgląd.
2. Privacy by Default – domyślna ochrona danych, czyli spełnianie wymaganego poziomu bezpieczeństwa. Jeśli np. prowadzimy sklep internetowy i na stronie umieściliśmy formularz z zapytaniem o produkt, to niech znajdą się w nim jedynie podstawowe pola do uzupełniania, a nie np. nazwisko, data urodzin czy inne dane wrażliwe etc. Potrzebne są tutaj jedynie te dane, które są niezbędne do wykonania polecenia. Ten zapis mówi również o tym, że nie powinniśmy domyślnie udostępniać danych osobowych nieokreślonej liczbie osób, jeśli nie odbywa się to na żądanie osoby, której dane dotyczą. Ten zapis wskazuje też na fakt, żeby nie przechowywać danych zbyt długo.

Firmy telekomunikacyjne, zgodnie z art. 159 tajemnicy telekomunikacyjnej, chronią:

1. dane dotyczące użytkownika;
2. treść indywidualnych komunikatów;
3. dane transmisyjne;
4. dane o lokalizacji;
5. dane o próbach połączenia.

RODO w ITH.EU

Jako firma telekomunikacyjna, kładziemy szczególny nacisk na ochronę danych Klientów i wiemy, do czego ich używamy. Bezpieczeństwo w sieci to dla nas priorytet, dlatego oferujemy usługę ITH Ochrona, w którym oferujemy audyt i monitoring, ochronę sieci, firewall w chmurze oraz VPN. Zapraszamy do skorzystania z usług naszych specjalistów.