Czy wprowadziłbyś się do domu z przezroczystymi ścianami? Czy pozwoliłbyś wszystkim słuchać twoich rozmów, w tym tych prowadzonych z najlepszym przyjacielem lub terapeutą? Prawdopodobnie nie. Możliwe jednak, że już robisz coś podobnego.
W dzisiejszym świecie coraz więcej osób przenosi się w przestrzeń cyfrową, a poruszając się po niej zostawiają po sobie okruchy informacji. Na tych okruchach rozwijają się branże oparte na danych. Sprawdzają, jakich informacji poszukujesz w Internecie, jakie artykuły czytasz, próbują określić twoje zainteresowania, wyznanie, orientację, stan zdrowia lub wysokość dochodów. Następnie na podstawie tych danych próbują sprzedać coś tobie albo sprzedać cię komuś (sprzedając informacje o tobie firmom lub organizacjom).Aby chronić Twoje prawa i interesy, UE wdrożyła RODO (ogólne rozporządzenie o ochronie danych). Zbudowane na 7 zasadach, RODO ma na celu ochronę surfujących po sieci użytkowników. Nakłada również ograniczenia na strony internetowe pochłaniające dane osobowe, które zostawiają po sobie internauci.
Jakie jest 7 zasad RODO?
Artykuł 5 RODO określa 7 zasad dotyczących gromadzenia, porządkowania, organizowania i przechowywania naszych danych. Należy je rozumieć jako podstawowe i nadrzędne zasady, które dają administratorom i podmiotom przetwarzającym dane wskazówki dotyczące zrozumienia obowiązków w kwestii przetwarzanych przez nich danych. W następnym kroku przyjrzyjmy się bliżej tym zasadom i ich znaczeniu:
1. Zgodność z prawem, rzetelność, przejrzystość
Pierwsza zasada jest stosunkowo oczywista: osoby lub organizacje zajmujące się danymi osobowymi muszą upewnić się, że ich praktyki gromadzenia danych nie łamią prawa, że nie robią z nimi niczego, czego nie można by od ciebie racjonalnie oczekiwać, i że nie ukrywają przed tobą niczego istotnego.
Zasada zgodności z prawem oznacza dla przetwarzających dane dwie rzeczy: określenie właściwej podstawy prawnej do przetwarzania twoich danych i unikania przy tym działań niezgodnych z prawem. Może się to wydawać dość łatwe, ale nie zawsze tak jest. Podmioty przetwarzające dane mają do wyboru sześć alternatywnych podstaw prawnych: zgoda, wykonanie umowy, uzasadniony interes, ochrona żywotnych interesów, wymóg prawny i interes publiczny. Każdy z tych warunków ma swoje własne zasady, zalety i wady dla firm przetwarzających dane.Rzetelność oznacza, że przetwarzający nie powinni celowo wprowadzać ludzi w błąd co do sposobu przetwarzania ich danych, a jeśli przetwarzanie ma negatywny wpływ na osobę, której dane dotyczą, podmioty przetwarzające dane powinny móc to uzasadnić.
Idea przejrzystości wymaga wyraźnego zawiadomienia, co oznacza, że przy gromadzeniu danych należy jasno określić, dlaczego dane są gromadzone i w jaki sposób będą one wykorzystywane.
Kiedy organizacja prosi cię o przekazanie wszelkiego rodzaju informacji na twój temat (lub nawet o to nie pyta), nie mówiąc ci, co z tym zrobi i dlaczego – narusza RODO.
2. Ograniczenie celu
Jednym słowem: potrzebne są konkrety. Organizacje muszą mieć konkretny i uzasadniony powód przetwarzania twoich danych osobowych. Podmioty przetwarzające dane muszą odnotować te cele w swojej dokumentacji, a jeśli wybiorą zgodę jako podstawę prawną, muszą jasno przekazać swoje intencje. Jeśli w międzyczasie zdadzą sobie sprawę, że dane przydałyby się do innych celów, niestety. Na przykład, załóżmy, że piekarz Jan prosi swoich klientów o zgodę na przechowywanie ich adresów e-mail i wysyłanie im drogą mailową informacji dotyczących cotygodniowych ofert. Może wtedy chcieć poinformować ich również o otwarciu swojej nowej restauracji serwującej steki, ale nie ma na to zgody. Klienci nie zgodzili się na otrzymywanie wszelkiego rodzaju e-maili od Jana, zgodzili się tylko na otrzymywanie wiadomości o sprzedaży w jego piekarni.
3. Minimalizacja danych
Zgodnie z RODO dane osobowe powinny być „adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane”. W związku z tym celem RODO jest sprowadzenie zbierania danych do niezbędnego minimum. Oznacza to, że organizacje i ich administratorzy danych powinni przechowywać tylko minimalną ilość danych wymaganą do swoich celów. Na przykład wspomniany już Jan nie powinien zbierać informacji o tym, czy ktoś trzyma swoje oszczędności w gotówce, czy w banku, ponieważ ta wiedza po prostu nie jest mu potrzebna, aby informować klientów o ofertach piekarni. Ma to sens, po pierwsze, ponieważ sposób, w jaki jego klienci przechowują pieniądze, nie jest tak naprawdę sprawą Jana. Po drugie, im mniej informacji wyjdzie na jaw, jeśli ktoś włamie się do jego komputera, tym lepiej.
4. Prawidłowość
Prawidłowość danych osobowych jest integralną częścią ich ochrony. Dane osobowe muszą być: „prawidłowe i w razie potrzeby uaktualniane”. Oznacza to, że zgodnie z RODO „należy podjąć wszelkie rozsądne kroki”, aby usunąć lub poprawić dane, które są niedokładne lub niekompletne. Osoby zbierające dane muszą w sposób systematyczny sprawdzać przechowywane dane, aby poprawiać, równoważyć i aktualizować lub usuwać nieaktualne lub stare kontakty oraz inne niedokładne lub niekompletne dane osobowe. Na przykład, jeśli jeden z klientów Jana widniał na jego liście wraz z poprzednim adresem firmy, ale zmienił pracę i poprosił Jana o zmianę adresu, zgodnie z prawem Jan jest zobowiązany uaktualnić te informacje.
5. Ograniczenia przechowywania
Zasada ograniczenia przechowywania danych jest ściśle związana z minimalizacją danych i ma na celu uniemożliwienie administratorom przechowywania danych osobowych dłużej niż jest to potrzebne. Zasada ta stanowi, że dane osobowe należy przechowywać tylko tak długo, jak jest to konieczne, a następnie należy je usunąć. Na przykład, jeśli podasz swój numer telefonu w pubie, aby właściciele mogli cię powiadomić, jeśli ktoś znajdzie twoje zgubione klucze, nikt nie powinien przechowywać twojego numeru po znalezieniu kluczy. Albo, wracając do wcześniejszego przykładu, jeśli Jan zamknie swoją piekarnię, aby w pełni skoncentrować się na nowej restauracji serwującej steki, nie może zachować adresów e-mail swoich byłych klientów ze względu na „stare, dobre czasy”.
Oczywiście nie wszystkie sytuacje są takie proste. Firmy mogą być zmuszone do przechowywania niektórych danych osobowych swoich byłych klientów, aby móc rozpatrywać ich skargi. Banki nie mogą usunąć wszystkich twoich danych po zamknięciu kont, ponieważ są prawnie zobowiązane do prowadzenia niektórych rejestrów i udostępniania ich władzom na (uzasadnione) żądanie. Administratorzy danych i podmioty przetwarzające mogą być zmuszeni do przechowywania niektórych danych przez dłuższy czas, ale zawsze powinni mieć bardzo dobre uzasadnienie dla każdej informacji, którą przechowują w danym momencie.
6. Integralność i poufność
Istotą tej zasady jest: dbaj o bezpieczeństwo, ponieważ bezpieczeństwo naszych danych jest najważniejsze. Czemu? Wspomniany wcześniej Jan nie powinien zbierać nieistotnych i niepotrzebnych danych na twój temat, więc jeśli ktoś włamie się do jego komputera, potencjalna szkoda dla ciebie będzie stosunkowo niewielka. To jest punkt minimalizacji danych. Jednak nawet przy minimalizacji wiele firm będzie przetwarzać dane, których ujawnienie może cię zaniepokoić lub ci zaszkodzić. Pomyśl tylko o danych twojej karty kredytowej. Albo wyobraź sobie, że jesteś bardzo aktywny politycznie, a twój adres domowy wpada w niepowołane ręce. Aby uniknąć takich sytuacji, administratorzy danych muszą dołożyć wszelkich starań, aby chronić twoje dane. Im bardziej niebezpieczne mogą być dla ciebie takie dane, tym więcej wysiłku wymagają.
7. Rozliczalność
Zasadę rozliczalności można postrzegać jako nadrzędny zestaw wymagań związanych z pozostałymi sześcioma punktami. Odpowiedzialność za zgodność stosowanych praktyk z RODO spoczywa na osobach, które mają do czynienia z danymi. Organizacje muszą posiadać niezbędną dokumentację, aby udowodnić, że spełniają wymagania dotyczące zgodności. Dlatego dobra dokumentacja jest kluczowa, jeśli władze lub ubezpieczyciel wniosą o udowodnienia zgodności z zasadami RODO. Odbywa się to zwykle za pomocą środków, takich jak powiadomienia o prywatności pojawiające się podczas surfowania po Internecie, poprzez wewnętrzne zasady dotyczące przetwarzania danych, proszenie klientów offline o przeczytanie i podpisanie powiadomień o prywatności i tak dalej.
Naruszenie RODO i kary
Jednym z największych i najczęściej omawianych elementów RODO jest możliwość nałożenia ogromnych kar przez organy regulacyjne na firmy, które nie przestrzegają przepisów. Naruszenie opisanych powyżej zasad może okazać się dość kosztowne. Pogwałcenie niektórych artykułów RODO może skutkować wysokimi grzywnami (do 10 mln euro lub 2% światowych rocznych przychodów firmy z poprzedniego roku budżetowego, w zależności od tego, która kwota jest wyższa). Jednak gdy naruszenia dotyczą podstawowych zasad RODO, firma może zostać ukarana grzywną w wysokości do 20 mln euro lub 4% światowych rocznych przychodów firmy z poprzedniego roku budżetowego, w zależności od tego, która kwota jest wyższa.
