RODO UE

Kary mogą wynosić 4% rocznego globalnego obrotu za naruszenie RODO lub 20 milionów euro. To maksymalna kara, która może być nałożona za najcięższe naruszenia, np. brak wystarczającej zgody klientów na przetwarzanie danych lub naruszenie podstawowych zasad koncepcji „Prywatność przez projekt”.

Dane osobowe to wszelkie informacje, które mogą być użyte do bezpośredniego lub pośredniego zidentyfikowania osoby, takie jak imię, zdjęcie, adres e-mail, dane bankowe, posty na stronach społecznościowych, informacje medyczne lub adres IP komputera.

Zgoda musi być udzielona w zrozumiałej i łatwo dostępnej formie z dołączonym celem przetwarzania danych. Musi być jednoznaczna, łatwo identyfikowalna i używać clear oraz łatwego do zrozumienia języka. Musi być również tak samo łatwo wycofać zgodę, jak ją udzielić. Przy przetwarzaniu wrażliwych danych osobowych, nic mniej niż „zgoda aktywna” nie będzie wystarczające.

Jeśli osoba, której dane dotyczą, ma mniej niż 16 lat, wymagana będzie zgoda rodziców na przetwarzanie danych osobowych dziecka. Państwa członkowskie mogą obniżyć wiek zgody rodziców, ale nie poniżej 13 roku życia.

IOD musi być powołany w przypadku (a) organów publicznych, (b) organizacji, które prowadzą monitoring na dużą skalę lub systematyczne przetwarzanie danych, lub (c) organizacji, które uczestniczą w masowym przetwarzaniu wrażliwych danych osobowych (Art. 37). Jeśli Twoja organizacja nie należy do jednej z tych kategorii, nie musisz powoływać IOD.

Powiadomienie o naruszeniu

Zgodnie z RODO, powiadomienie o naruszeniu stanie się obowiązkowe we wszystkich państwach członkowskich, gdzie naruszenie danych może „prowadzić do ryzyka dla praw i wolności osób”. Powiadomienie musi nastąpić w ciągu 72 godzin od momentu, gdy staniesz się świadomy naruszenia. Przetwarzający dane będą również zobowiązani do powiadomienia administratorów „bez zbędnej zwłoki” po pierwszym uzyskaniu informacji o naruszeniu danych.

Prawo dostępu

Osoby, których dane dotyczą, mają prawo uzyskać potwierdzenie od administratora danych, czy ich dane osobowe były przetwarzane, gdzie i w jakim celu. Administrator danych powinien dostarczyć kopię danych osobowych, bezpłatnie, w formacie elektronicznym.

Prawo do bycia zapomnianym

Znane jako usunięcie danych, prawo do bycia zapomnianym uprawnia osobę, której dane dotyczą, do żądania od administratora danych usunięcia ich danych osobowych, zaprzestania dalszego rozpowszechniania danych oraz potencjalnego zatrzymania przetwarzania danych przez osoby trzecie. Dane muszą być już nieistotne dla pierwotnych celów przetwarzania lub osoba, której dane dotyczą, wycofuje zgodę. Należy również zauważyć, że to prawo wymaga od administratorów porównania praw osoby, której dane dotyczą, z „interesem publicznym w dostępności danych” przy rozpatrywaniu takich wniosków.

Przenoszenie danych

Osoba, której dane dotyczą, może otrzymać dane osobowe, które wcześniej dostarczyła w „powszechnie używanym i czytelnym formacie maszynowym” i ma prawo przesłać te dane do innego administratora.

Prywatność przez projekt

Prywatność danych musi być w centrum systemów technologicznych, które administratorzy i przetwarzający używają do zarządzania informacjami osób, których dane dotyczą, a nie tylko dodatkiem.

Informacje, które muszą być udostępnione osobie, której dane dotyczą, w momencie zbierania danych, zostały dokładnie zdefiniowane i obejmują:

• Tożsamość i dane kontaktowe administratora oraz IOD
• Cele przetwarzania, dla których dane osobowe są przeznaczone
• Podstawy prawne przetwarzania
• W stosownych przypadkach, uzasadnione interesy realizowane przez administratora lub przez osobę trzecią
• W stosownych przypadkach, odbiorcy lub kategorie odbiorców danych osobowych
• Okres, przez który dane osobowe będą przechowywane, lub jeśli to nie jest możliwe, kryteria użyte do określenia tego okresu
• Istnienie prawa do dostępu, sprostowania lub usunięcia danych osobowych
• Prawo do przenoszenia danych
• Prawo do wycofania zgody w dowolnym momencie
• Prawo do złożenia skargi do organu nadzorczego

Co ważne, jeśli dane nie zostały pozyskane bezpośrednio od osoby, której dane dotyczą (może to być przy użyciu listy osób trzecich), lista różni się i obejmuje źródło, z którego pochodzą dane osobowe:

• Istnienie jakiegokolwiek profilowania oraz istotne informacje o logice zaangażowanej w to przetwarzanie, a także znaczenie i przewidywane konsekwencje takiego przetwarzania dla osoby, której dane dotyczą.
• RODO stanowi poważny problem dla marketerów pozyskujących dane z list osób trzecich.

1. Wprowadź proaktywny plan dotyczący zgodności z RODO.
2. Przejrzyj powiadomienia o prywatności i polityki, aby upewnić się, że spełniają poziomy zgodności z RODO.
3. Przygotuj plan na wypadek naruszenia bezpieczeństwa.
4. Audytuj swoje zgody.
5. Uczyń zgody marketingowe opcjonalnymi.
6. Przejrzyj część dotyczącą uzasadnionego interesu dyrektywy z prawnikiem, aby upewnić się, że obejmuje twoją organizację w zakresie wykorzystania danych nabywcy do przetwarzania i zarządzania tym zamówieniem.
7. Uczyń język zgody łatwym do znalezienia i zrozumienia w kontekście wykorzystania danych osobowych.
8. Stwórz plan działania dla żądań osób, których dane dotyczą, dotyczących wykorzystania ich danych przez twoją organizację.
9. Weź odpowiedzialność za swoją zgodność.
10. Szkol swoich pracowników.
11. Miej clear procesy w miejscu, spisane i audytowane.
12. Wyznacz inspektora ochrony danych, gdzie to wymagane.
13. Upewnij się, że twoi partnerzy kontrolujący/przetwarzający są zgodni.

RODO dotyczy organizacji, kontrolerów i przetwarzających znajdujących się w UE i poza nią, którzy oferują towary lub usługi osobom, których dane dotyczą w UE. RODO dotyczy również organizacji, takich jak organizacje marketingowe lub te, które dostarczają lub wykorzystują dane monitorujące zachowanie osób w UE.

Kontroler określa cele, warunki i środki przetwarzania danych osobowych, podczas gdy przetwarzający przetwarza dane osobowe w imieniu kontrolera.