Dziennik Przedsiebiorcy

Publikacja 08.11.2017

KW_TAGS

RODO-Privacy-by-design

Nowe przepisy o ochronie danych osobowych będą obowiązywać w pełni od maja 2018 roku. Przygotowań nie warto odkładać na ostatnią chwilę. Tym razem, aby spełnić wymogi prawne, nie wystarczy kolejny dodatek czy nakładka do systemu. Wysokie kary finansowe nie będą jedynymi konsekwencjami braku proaktywnego podejścia.

Nie wszyscy przedsiębiorcy mają świadomość, że ich działalność regulowana jest przez Rozporządzenie Ogólne o Ochronie Danych Osobowych (tzw. RODO). Tymczasem praktycznie każde rozwiązanie online lub offline zawierające informacje o osobie fizycznej, bądź którego end-userem jest osoba fizyczna (konsument czy reprezentant firmy), oznacza przetwarzanie danych osobowych. Pojęcie to jest niezwykle szerokie i obejmuje nie tylko czynności powszechnie uważane za przetwarzanie, takie jak zbieranie, aktywne korzystanie czy też modyfikowanie danych. Przetwarzanie danych ma miejsce także w mniej oczywistych sytuacjach przechowywania danych czy też teoretycznej możliwości dostępu do danych (nawet jeżeli dane nie są wykorzystywane). W rzeczywistości przedsiębiorcy nieprzetwarzający danych osobowych i tym samym niepodlegający przepisom RODO należą do absolutnych wyjątków.

O co chodzi?

Celem wspomnianego rozporządzenia jest oczywiście ochrona prawa do prywatności, ale również dążenie do stworzenia jednolitego rynku cyfrowego w UE i ochrona przed cyberprzestępczością, która zbiera żniwo między innymi wśród przedsiębiorców. RODO ma zbudować nowy porządek i wprowadzić nową jakość w kwestii prywatności. W szczególności, przepisy RODO wprowadzają szereg nowych obowiązków adresowanych do przedsiębiorców przetwarzających dane osobowe.
Wielu przedsiębiorców jest zdania, że wymogi w zakresie ochrony danych osobowych są nie do pogodzenia z funkcjonalnością produktu, a przy tym rodzą znaczne koszty. Jest to prawdą, jednak wyłącznie wtedy, gdy ustawienia prywatności są korygowane bądź nadbudowywane na system post factum, np. już w fazie komercjalizacji rozwiązania. Do działania skłania wówczas przedsiębiorców refleksja, że rozwiązanie jest obarczone ryzykiem kary finansowej, kontroli organu czy utraty reputacji. Dostrzegają oni również niebezpieczeństwo utraty rynku, gdy wskaźnik UX u konkurencji, która pomyślała o prywatności z wyprzedzeniem, stanie się już nie do pokonania. W branżach typu FinTech, InsurTech, HealthTech, e-commerce, a nawet IoT ma to ogromne znaczenie.

Jak uniknąć wysokich kosztów i innych konsekwencji?

Podstawowe założenia dotyczące bezpieczeństwa i ochrony danych klienta, zapewnienie oraz zarządzanie prywatnością powinny być rozważane i wdrażane już na etapie tworzenia koncepcji projektu, a następnie udoskonalane podczas jego testowania oraz dalszego rozwijania. Ochronę prywatności bardziej opłaca się wbudować w architekturę systemu, niż fragmentarycznie tworzyć przez dodatki czy nakładki. Podejście to, zwane privacy by design, do tej pory postrzegane było jako dobra praktyka, jednak zgodnie z nowymi regulacjami staje się obowiązkiem. Ustawodawca promuje tym samym postawę proaktywną zamiast czysto reaktywnej, spodziewając się, że działania prewencyjne osiągną większą skuteczność niż zaradcze.
Po 25 maja 2018 roku, kiedy to w pełni stosujemy przepisy RODO, zaczyna istnieć realne ryzyko kontroli przedsiębiorców. Organ będzie badał, czy zasada privacy by design jest stosowana. Najlepiej na taką okoliczność posiadać dobrą dokumentację projektową lub chociaż dowody w postaci np. ustaleń mailowych. Za naruszenie obowiązku uwzględnienia prywatności w fazie projektowania, brak tego proaktywnego podejścia, przewidziano karę finansową do 10 mln EUR bądź 2 % światowego rocznego obrotu organizacji.

Ryzyko finansowe ponoszone przez przedsiębiorcę nie jest jedynym czynnikiem, który powinien mobilizować do stosowania koncepcji privacy by design. Uwzględnienie jej w działaniach przedsiębiorstwa będzie przecież weryfikowane również przez klientów i inwestorów. Ryzyko nałożenia kary może być niezwykle skuteczną przeszkodą dla pozyskania finansowania z zewnętrznych źródeł, w szczególności od VC, PE i instytucji finansowych. Niedostosowanie produktu do obowiązującego prawa stanowić będzie też istotną barierę w wejściu na rynek zarówno w krajach UE, jak i w USA, Kanadzie czy Izraelu.

Intro to privacy - o czym należy pamiętać:

  1. Jeśli do działania Twojego produktu nie musisz posiadać danych użytkownika, to ich nie zbieraj – zasada minimalizmu.
  2. Zastanów się, komu będziesz przekazywał zebrane dane – informuj użytkowników o odbiorcach.
  3. Przemyśl, czy komuś będziesz zlecał jakieś operacje na danych (outsourcing pewnych czynności) – jeśli tak, podpisz z nim umowę i określ dokładnie zakres i cel tej współpracy. W razie incydentu musisz wiedzieć, kto zawinił.
  4. Ustal, na jakich serwerach będziesz przechowywał dane i czy serwery te będą fizycznie znajdowały się w Europejskim Obszarze Gospodarczym czy poza nim? Sprawdź też umowy ze swoim dostawcą usług chmurowych.
  5. Pamiętaj o informowaniu użytkowników o tym, co robisz z ich danymi, gdzie one są przekazywane i jakie prawa mają użytkownicy. Stwórz łatwe kanały komunikacji z użytkownikiem.
  6. Pamiętaj o prawidłowym sformułowaniu treści klauzul zgody na przetwarzanie danych.
  7. Zaprojektuj realizację prawa do przenoszenia danych osobowych i prawa do bycia zapomnianym.
  8. Przed dużymi krytycznymi projektami (w tym z wrażliwych branż typu zdrowie, ubezpieczenia, obsługa bankowa) zrób tzw. Privacy Impact Assessment – ocenę skutków przetwarzania danych tego projektu. Stwórz dokumentację.
  9. Zastosuj najwyższe środki zabezpieczenia systemu przed cyberatakami, monitoruj system i go aktualizuj.
  10. Osoby w Twoim zespole muszą być przeszkolone i posiadać upoważnienia do przetwarzania danych – człowiek jest najsłabszym ogniwem w strukturze bezpieczeństwa informacji.
  11. Projektując rozwiązanie zaplanuj, jak rozwiążesz kwestie ochrony danych osobowych, wpisz je w biznes plan, uwzględnij w prezentacji dla inwestora. Bądź przygotowany na jego pytania.
 
Opracowanie: Wioletta Kulińska, adwokat w Kancelarii Magnusson

Dołącz do dyskusji

Kod antyspamowy
Odśwież

FacebookGoogle Bookmarks

Czytaj również

Czy pracodawca może odmówić udzielenia urlopu na żądanie

W ramach urlopu wypoczynkowego, każdemu pracownikowi przysługują cztery dni tak zwanego urlopu na żądanie.

Ile wynosi całkowity koszt zatrudnienia pracownika?

Ile kosztuje zatrudnienie przez przedsiębiorcę pracownika w oparciu o różnorodne umowy, ile wynoszą składki na ZUS, a ile pokrywa pracownik.

Rower, skuter czy motocykl - co korzystniejsze dla przedsiębiorcy?

Choć z firmowym środkiem transportu kojarzy się najczęściej samochód, to warto pamiętać, że przepisy nie zabraniają używania w przedsiębiorstwie także...

VAT: jak przeliczyć walutę obcą na złotówki?

Należy prawidłowo przeliczyć podstawę opodatkowania na złotówki. Podatnik nie musi stosować kursów wymiany ogłaszanych przez NBP...

Amortyzacja i środki trwałe - w pytaniach i odpowiedziach.

Co to jest amortyzacja i jak ją obliczać? - definicje i pojęcia księgowe, które musi sobie przyswoić każdy przedsiębiorca

Etat-czy-wlasna-firma

Co lepsze: własna firma czy etat?

Pytanie postawione w tytule zdaje się być nierozstrzygalnym dylematem. To tak, jakby zapytać czy lepszy jest rosół czy pomidorowa? Nie ma dobrej...

Zawieszenie działalności na czas choroby

Zawieszenie działalności w czasie choroby również jest możliwe.  Czy świadczenia z tytułu niezdolności do pracy wypłacane z ZUS-u nie będą w takiej...

Cena na metce ceną sprzedaży - uważaj na błędy!

Co w sytuacji gdy przy kasie klient dowiaduje się że wybrany produkt, w rzeczywistości jest droższy niż cena na metce?