• Strona główna
  • Artykuły
  • Tech
  • Czym jest ogólne rozporządzenie UE o ochronie danych (RODO) i jak wpłynie to na Twoją działalność internetową?

Czym jest ogólne rozporządzenie UE o ochronie danych (RODO) i jak wpłynie to na Twoją działalność internetową?

Opublikowany: 2018-06-04

Twoja skrzynka odbiorcza jest zalana e-mailami aktualizującymi politykę prywatności? Jest ku temu powód — a tym powodem jest ogólne rozporządzenie o ochronie danych lub RODO.

Wygląda na to, że w dzisiejszych czasach wszyscy mówią o RODO. Ale dlaczego teraz?

Chodzi o to, że RODO pracowało już od siedmiu lat. Ale ostatnio osiągnięto porozumienie co do tego, co naprawdę pociąga za sobą ta reforma ochrony danych.

Zasadniczo RODO to zbiór przepisów mających na celu zapewnienie większej kontroli nad danymi osobowymi obywateli Europy. Oprócz tego reforma ta ureguluje również ogólne przepisy dotyczące zgody i prywatności w świecie online, tworząc nowe standardy przetwarzania i przechowywania danych w ogóle.

Co najmniej 50 procent organizacji stwierdziło, że będzie mieć trudności z zachowaniem zgodności z RODO, chyba że znacząco zmienią swoje działanie. I może to być rozporządzenie europejskie, ale nie dotyczy tylko Europy.

Unia Europejska niedawno uchwaliła nowe przepisy internetowe dla firm, które dostarczają produkty lub usługi w Wielkiej Brytanii – czyli, no cóż, większość z nich. Na szczęście zgodność z RODO pomoże Twojej firmie na wiele sposobów.

Firmom internetowym na całym świecie zaleca się przestrzeganie nowych przepisów RODO — RODO ma zastosowanie do każdej firmy w Unii Europejskiej ORAZ każdej organizacji spoza UE, która dostarcza produkty lub usługi klientom lub firmom w UE. Są szanse, że większość światowych korporacji będzie musiała być zgodna z RODO… w tym Ty, jeśli Twoja firma podlega brytyjskiej ustawie o ochronie danych.

Pomyśl o tym w ten sposób – główna siedziba Facebooka znajduje się w Ameryce, ale ludzie mieszkający w Europie i na całym świecie mogą rejestrować się na Facebooku. Tak więc, ponieważ Facebook oferuje usługi Europejczykom i gromadzi ich dane, Facebook musi być zgodny z RODO, mimo że znajduje się głównie w Ameryce.

Nie bój się jednak, że staniesz się zgodny z RODO. Nawet jeśli technicznie nie musisz.

Zgodność z RODO może tylko pomóc. Będziesz korzystać z systemu, który będzie przetwarzał osobiste, wrażliwe informacje o Twoich klientach (lub subskrybentach wiadomości e-mail), jednocześnie zapewniając bezpieczeństwo wszystkich tych danych. W rzeczywistości każdy może skorzystać z RODO.

Dobrą rzeczą w RODO jest to, że zawiera surowe zasady i wytyczne dotyczące gromadzenia danych. To oznacza koniec rozmytych linii i więcej regulacji. Ale oznacza to również, że ci, którzy muszą być zgodni z RODO, poniosą kary, jeśli nie będą przestrzegać nowych przepisów.

Istnieją dwa różne rodzaje przetwarzania danych – osoby (lub agencja, organ itp.) odpowiedzialne za przetwarzanie danych oraz osoby odpowiedzialne za controlling. Przy takiej konfiguracji każda z dwóch stron ponosi pełną odpowiedzialność w przypadku nadużycia, ale jeśli wszyscy przestrzegają zasad ochrony danych, naruszenia będą mniej prawdopodobne. Przed RODO nie było realnego rozwiązania, gdyby coś się stało z danymi.

Jak Twoja firma może stać się zgodna z RODO

Pierwszym krokiem do uzyskania zgodności z RODO jest dokładne przyjrzenie się gromadzonym danym. Czy to dane osobowe? Jeśli tak, powinieneś zastosować zasady i przepisy RODO.

Jeśli jakiekolwiek dane (pojedynczy fragment lub cała grupa) mogą zidentyfikować osobę, to są to dane osobowe. W takim przypadku musisz uzyskać zgodę tych osób, poinformować je, w jaki sposób ich dane będą wykorzystywane i jak długo. Ponadto musisz dać im wgląd w posiadane dane i pozwolić im je usunąć, jeśli chcą.

Niektóre typowe przykłady danych osobowych obejmują nazwiska, adresy, zdjęcia, a nawet adres IP jest uważany za dane osobowe.

Ponadto, jeśli nie chcą usunąć danych, musisz wykonać określoną czynność, aby chronić te dane. Jednym ze sposobów na to jest pseudonimizacja.

Co to jest pseudonimizacja?

Choć nazwa jest skomplikowana, pomysł jest dość prosty. Pseudonimizacja to technika zarządzania danymi, której głównym celem jest depersonalizacja danych, tak aby nie można było ich powiązać z osobą, chyba że użyjesz dodatkowych danych — to jest jak klucz. Bez tego klucza nie można odkryć oryginalnego fragmentu danych, który powoduje jego zaszyfrowanie.

RODO zawiera również listę reguł dotyczących przechowywania wszystkich zaszyfrowanych kluczy, aby proces depersonalizacji i informacje pozostały bezpieczne.

Zarówno dane osobowe, jak i zaszyfrowane reprezentują różne elementy układanki, gdzie jeśli usuniesz jeden z równania, nie zobaczysz całego obrazu.

Różnica między pseudonimizacją a szyfrowaniem

Chociaż istnieją podobieństwa, główna różnica jest wyraźna. Szyfrowanie nie jest zaszyfrowane i można to osiągnąć na kilka sposobów. Efekt końcowy jest taki sam – dane są chronione i szyfrowane.

Różnica między szyfrowaniem a pseudonimizacją polega na tym, że nie można przetwarzać zaszyfrowanych danych, chyba że przywrócisz je do pierwotnego, niezaszyfrowanego stanu. W przypadku pseudonimizacji tylko tymczasowo anonimizujesz dane osobowe, aby podczas przetwarzania danych nikt nie mógł ich połączyć z faktyczną osobą.

Zasadniczo, chociaż szyfrowanie jest znacznie bezpieczniejsze i pełne, jest również technicznie bardzo skomplikowane do osiągnięcia, a pseudonimizacja umożliwia szyfrowanie tylko wrażliwych części danych. Można to z grubsza przełożyć na sytuację z prawdziwego życia, w której przeprowadzasz ankietę publiczną, a odpowiedzi są anonimowe, ale efekt końcowy jest taki sam – otrzymujesz dane, których szukasz.

RODO i skuteczna ochrona danych

Aby przetwarzać dane, firmy muszą stosować pseudonimizację, jeśli chcą być zgodne z RODO. Mogą zdecydować, że nie chcą być, ale będą musieli zapłacić wiele grzywien, które mogą wzrosnąć do milionów dolarów.

Dzięki pseudonimizacji dane mogą być wykorzystywane w badaniach analitycznych, eksploracyjnych i statystycznych, ale także za zgodą właściciela danych. Firmy również będą musiały mieć tę zgodę łatwo dostępną.

Oprócz pseudonimizacji istnieje kilka rozwiązań technicznych, które firmy mogą wdrożyć, aby zapewnić ochronę tych danych. Jeśli to możliwe, najlepiej jest osiągnąć pełne szyfrowanie, ale poza tym firmy mogą upewnić się, że ich obecne systemy będą w stanie utrzymać zmiany w polityce.

Innym sposobem ochrony danych jest wzmocnienie istniejących systemów. Zbuduj niezbędne zabezpieczenia w systemach, ale także upewnij się, że są one wbudowane w produkty i usługi już na wczesnych etapach rozwoju.

Przepisy RODO zaczną obowiązywać 25 maja 2018 r. Od tego dnia wszystkie organizacje i firmy UE będą musiały przestrzegać RODO.

Jakie są zalety RODO?

  • Mniej naruszeń danych, włamań i nadużyć.
  • Ochrona danych będzie od początku wbudowana w każdy produkt lub usługę.
  • Firmy nadal będą miały dostęp do niezbędnych danych, jeśli będą korzystać z mechanizmów ochrony danych, takich jak pseudonimizacja.
  • Powstaną nowe miejsca pracy.
  • Ludzie będą mieli pełną kontrolę nad swoimi danymi.
  • Firmy będą musiały powiadomić konsumentów, jeśli ich dane zostały włamane, co ogranicza ukrywanie danych.

Martwisz się, jak przepisy wpłyną na Twój biznes? Bądź na bieżąco, zapisując się na DesignRush Daily Dose!

Kary i grzywny RODO

Podczas gdy wiele firm uważa, że ​​RODO to tylko uciążliwość, są one zachęcane do przestrzegania nowych przepisów RODO, ponieważ kary są gigantyczne. Kary mogą wynosić od 10 milionów euro (ponad 11,5 miliona dolarów) do 20 milionów euro (23 miliony dolarów) lub od dwóch do czterech procent rocznego globalnego obrotu firmy, który w przypadku niektórych firm może być wart miliardy dolarów.

Firmy mogą zostać ukarane grzywną, jeśli przekazują dane bez upoważnienia, ignorując prośby ludzi o wgląd i usunięcie danych. Grzywny mogą również dotknąć firmy, które nie powiadomią użytkowników i władz w ciągu pierwszych 72 godzin po wystąpieniu naruszenia. Innym przypadkiem, który może zostać ukarany grzywną, jest niewyznaczenie osoby odpowiedzialnej za zasady i zgodność z RODO – osoby odpowiedzialnej za ochronę danych w organizacji.

Wyznaczanie administratora danych

Każda organizacja, która zajmuje się danymi wrażliwymi, w tym przetwarzaniem, monitorowaniem i śledzeniem zachowań, musi wyznaczyć inspektora ochrony danych. Oznacza to, że firmy stosujące strategie marketingu cyfrowego prawdopodobnie muszą być zgodne z RODO.

Bycie inspektorem ochrony danych nie wymaga zaświadczenia, a istnieje tylko zestaw wytycznych, a nie aktualne przepisy, określające, kto powinien być inspektorem ochrony danych. Przede wszystkim osoba ta powinna mieć doświadczenie i zrozumienie przepisów o ochronie danych oraz powinna być zobowiązana do prowadzenia działań w celu upewnienia się, że firma działa zgodnie z przepisami. Ta osoba ponosi również odpowiedzialność, jeśli firma nie spełnia wymogów.

Ponadto, w zależności od wielkości firmy, może być tylko jeden inspektor ochrony danych lub cały dział zajmujący się minimalizacją ryzyka i maksymalizacją ochrony danych.

Uczynienie RODO podstawową wartością

Istnieje kilka sposobów, w jakie firmy mogą zapewnić, że RODO będzie traktowane poważnie i realizowane przez firmę.

  • Szkolenie personelu
  • Recenzje zasad
  • Regulamin HR
  • Audyty wewnętrzne
  • Dokumentowanie wszystkich procesów i czynności związanych z wykorzystaniem danych
  • Minimalizowanie wykorzystania danych
  • Stosowanie taktyk, takich jak pseudonimizacja

Jak firmy mogą przygotować przepisy RODO

Działy marketingu w firmach to te, które na ogół wykorzystują wrażliwe dane od użytkowników, ale nie ma znaczenia, kto zajmuje się danymi w firmie. Firma jako całość musi być zgodna z przepisami, a oto lista kontrolna, która pomoże uprościć ten proces.

Krok 1 – Wyznacz inspektora ochrony danych

Potrzebujesz kogoś, kto będzie nadzorował i weryfikował wszystkie procesy wewnętrzne oraz upewniał się, że Twoja firma przestrzega wytycznych. Jeśli uważasz, że nie masz w firmie nikogo, kto mógłby pełnić taką rolę, powinieneś rozważyć zatrudnienie kogoś, kto może. Ponadto dostępne są teraz szkolenia dotyczące RODO, które Twoi obecni pracownicy mogą odbyć, aby dowiedzieć się więcej o RODO.

Krok 2 — Przejrzyj swoją listę mailingową

Zrób pełną rewizję całej swojej listy mailingowej. Wyślij niezbędne e-maile dotyczące nowej aktualizacji polityki prywatności i zapytaj ludzi, czy nadal chcą udostępniać Ci swoje dane. Jeśli nie udzielą Ci zgody, usuń ich z listy. Jeśli korzystasz z automatyzacji e-mail marketingu, po prostu użyj nowej listy, na której podzielisz europejskich użytkowników, aby uzyskać ich zgodę.

Krok 3 — Zatwierdź kampanie marketingowe przez inspektora ochrony danych

Dopóki personel marketingowy nie nauczy się podstaw, inspektor ochrony danych powinien nadzorować kampanie marketingowe i zatwierdzać je przed uruchomieniem. W ten sposób możesz mieć pewność, że wszystko jest w porządku i że zachowujesz zgodność z RODO.

Krok 4 – Przepływy i procesy dokumentów

Są szanse, że Twoja lista e-mailowa zostanie wykreślona, ​​ale jak już wiesz, jest to konieczność. Jednak nadal musisz upewnić się, że wszystkie przyszłe gromadzenie danych jest również zgodne z RODO. Twoje punkty wprowadzania danych również muszą być bezpieczne. Obejmują one zapis do newslettera, wszystkie rejestracje kont, różne wydarzenia, listy zakupów, zabezpieczanie przesyłanych danych partnerom oraz, cóż, wszelkiego rodzaju wykorzystanie i gromadzenie danych. Użytkownicy powinni wyrazić zgodę na wszystkie operacje na Twoich danych i wyraźnie wskazać wszystkie czynności, które wykonasz na ich danych.

Krok 5 – Zaktualizuj swoją politykę prywatności

Upewnij się, że Twoja witryna ma łatwo dostępną stronę polityki prywatności, na której możesz publicznie opisać, w jaki sposób gromadzisz i przetwarzasz dane oraz jakie działania podejmujesz, aby je chronić.

Krok 6 – Wdrożenie szkolenia personelu i kadry zarządzającej w zakresie RODO

Naucz wszystkich decydentów i personel ds. marketingu o ochronie danych i obowiązujących protokołach. Możesz nawet skalować to, aby edukować wszystkich swoich pracowników o nowych zasadach i procesach. Można to zrobić poprzez seminaria, szkolenia, rozdawanie broszur lub podręczników online — wszystko, co działa w Twojej firmie.

Krok 7 – Usuń dane, których Twoja firma nie używa

Jednym z kroków do uzyskania zgodności z RODO jest minimalizacja danych, których używasz w codziennych procesach, jeśli to możliwe, i usuwanie danych, gdy nie są już potrzebne.

Krok 8 – Ponowna weryfikacja

Wyślij e-mail do wszystkich mieszkańców Europy i poproś o odnowienie swojej zgody, jeśli chcą znaleźć się na Twojej liście. Można to zrobić za pośrednictwem poczty e-mail, aplikacji mobilnej, a nawet poczty bezpośredniej. Zasady RODO surowo zabraniają wysyłania nowych wiadomości e-mail do osób, które wcześniej wypisały się z Twojej listy.

Istnieje kilka technicznych sposobów podejścia do prywatności danych zgodnie z RODO — który z nich jest odpowiedni dla Twojej firmy?

Prywatność domyślna i prywatność według projektu — jaka jest różnica

Istnieją dwa nowe terminy, które należy rozpoznać i przestrzegać w nowej erze RODO. W zasadzie powiedzieliśmy już, że nowe produkty i usługi muszą mieć wbudowany mechanizm, który będzie zgodny z przepisami RODO. Prywatność w fazie projektowania oznacza, że ​​firmy powinny z wyprzedzeniem przemyśleć i zaplanować, jak uwzględnić zasady ochrony danych, nawet na wczesnych etapach projektu, a także w pozostałej części cyklu życia projektu.

Podmioty przetwarzające dane muszą domyślnie chronić prywatność danych, co oznacza, że ​​dane osobowe nie są dostępne dla nikogo poza właścicielem danych. Ponadto podmioty przetwarzające powinny gromadzić tylko minimum niezbędnych danych osobowych do celów przetwarzania, bez przechowywania tych danych po zakończeniu.

Co możesz zrobić, aby zautomatyzować proces

Spróbuj znaleźć rozwiązanie techniczne, które rozwiąże wiele z tych problemów. Może to być na przykład oprogramowanie, które automatycznie usunie określone dane osobowe.

Ponowna ocena i testowanie

Aby powstrzymać ewentualne naruszenia i zachować zgodność z RODO, lepiej, aby firmy uruchomiły różne testy, studia przypadków i procesy ponownej oceny.

Sporządź listę kontrolną zgodności z RODO dla każdego nowego systemu, kampanii medialnej, działań związanych z planowaniem projektu lub czegokolwiek podobnego. W ten sposób Twoi pracownicy mogą szybko ocenić proces i powiadomić osoby odpowiedzialne, jeśli projekt nie jest zgodny i w jakikolwiek sposób wykorzystuje dane w niewłaściwy sposób. Jasne, firmy lub pracownicy mogą uważać te dodatkowe kroki za obciążenie, ale lepiej być bezpiecznym niż żałować.

Pamiętaj tylko o tych milionowych grzywnach.

Nowe zasady gromadzenia danych

Oprócz zabezpieczenia wcześniej zebranych danych, musisz zadbać o to, aby przyszłe zbieranie danych było bezpieczne od samego początku. Prosząc o zgodę, możesz używać prostego, naturalnego języka.

Maskowanie go za skomplikowanym językiem może być bardzo mylące. Zgoda udzielana przez ludzi powinna być jasna i jednoznaczna. Upewnij się, że jasno określiłeś, w jaki sposób wykorzystasz nowo zebrane informacje.

Czas również na kolejną zgodę na politykę plików cookie w Twojej witrynie. Musisz upewnić się, że osoby subskrybujące są pełnoletnie, ponieważ zgodnie z nowymi przepisami RODO tylko osoby w wieku 16 lat i starsze mogą podać swoje dane osobowe. Dzieci poniżej 16 roku życia muszą mieć zgodę rodziców.

Firmy muszą zrozumieć, że nie mogą prosić o dane osobowe bez uzasadnionej przyczyny. Nawet jeśli przechowywanie tych informacji jest zgodne z zasadami RODO. Firmy powinny zwrócić się o pomoc prawną w celu przygotowania podstawy prawnej dla każdej czynności zbierania i przetwarzania danych.

Nowe formularze mogą obejmować wiek użytkownika, a nawet kraj zamieszkania, aby określić, czy zasady RODO mają zastosowanie, czy nie. Twoi klienci mają również prawo wiedzieć, czy ich dane będą przekazywane za granicę. Przez cały czas musisz upewnić się, że istnieje mechanizm, który pozwoli użytkownikom wycofać swoją zgodę, a nawet złożyć skargę.

Jeśli ludzie proszą o wgląd w swoje informacje, firmy muszą zastosować się do nich i udzielić odpowiedzi, która nie jest opóźniana bez powodu, a najpóźniej powinna zostać wysłana w ciągu miesiąca od otrzymania prośby.

Nowa ustawa o e-prywatności

Komisja Europejska opublikowała nowy projekt legislacyjny dotyczący rozporządzenia o prywatności i łączności elektronicznej. Ma to na celu aktualizację obowiązującego „Prawa o plikach cookie”, które będzie również zgodne z już stosowanym prawem RODO.

Różnica między RODO a ustawą o e-prywatności

Podczas gdy RODO dotyczy ochrony danych osobowych, prawo ePrivacy chce regulować prywatność życia osobistego użytkownika. W ten sposób komunikacja online może chronić użytkownika. Istnieje wiele sektorów i branż, których dotyczą te przepisy. Komisja Europejska uważa, że ​​powinny istnieć dwa różne zestawy przepisów, które opierają się na różnych prawach człowieka.

Ta nowa ustawa o prywatności i łączności elektronicznej może mieć duży wpływ na branżę marketingową. Ponad 92% osób martwi się o swoją prywatność w Internecie oraz o to, jak ich dane są wykorzystywane do celów marketingowych. Są bardzo zaniepokojeni wglądem, jaki firmy mają w ich życie, zwłaszcza podczas monitorowania ich aktywności online, treści e-maili i wiadomości. Dlatego pojęcie to ewoluowało od RODO i ochrony danych osobowych do prawa ePrivacy i reszty danych.

Zasadniczo będzie znacznie bardziej uregulowanych zasad i polityk dotyczących uzyskiwania zgody dla wszystkich celów marketingowych. Obejmuje to również strategie marketingu behawioralnego. Dzięki nowej ustawie o ePrivacy firmy nie będą mogły bez zgody użytkownika wykorzystywać żadnych danych pochodzących z komunikacji elektronicznej, informacji przechowywanych na urządzeniach używanych przez konsumentów, ani żadnych innych informacji, chyba że jest to potrzebne do niezwłocznego przetwarzania danych.

Słowa do mądrych — uważaj na oszustwa

Ponieważ firmy wysyłają e-maile oferujące użytkownikom możliwość rezygnacji ze swoich list mailingowych, oszuści wymyślili sposób na wykorzystanie pełnej zgodności z RODO w swoich oszustwach phishingowych. Nie można uciec od ironii, że hakerzy celowo atakują osoby, które próbują zabezpieczyć swoje dane za pomocą nowych zasad RODO.

Oto jak rozpoznać oszustwo związane z phishingiem RODO:

Jeśli firma pyta, czy chcesz pozostać w jej bazie danych, prawdopodobnie nie jest to oszustwo phishingowe. Jeśli jednak w dowolnym momencie otrzymasz wiadomość, w której masz ponownie wysłać jakiekolwiek dane osobowe lub informacje — takie jak nazwiska, adresy, nazwy użytkowników, hasła, a nawet informacje o płatnościach — trzymaj się z dala. Prawdziwa firma nigdy nie zrobiłaby tego przez e-mail.

Przyszłość ochrony danych i sposób, w jaki Twoja firma może wykorzystać te informacje

Ponownie, podobnie jak w przypadku RODO, władza kontroli prywatności powraca do właściciela danych. Dzięki nowemu prawu użytkownicy będą mogli wyrazić zgodę na używanie plików cookie lub ją wycofać bezpośrednio w swoich przeglądarkach internetowych.

Uważa się, że w ten sposób nie będzie musiała istnieć polityka dotycząca plików cookie dla każdej witryny, ale bardziej przypomina księgę oprogramowania, która się nią zajmie. Oznacza to również, że strony internetowe nie będą musiały używać nudnych wyskakujących okienek z prośbą o zgodę, jeśli strony wykorzystują wyłącznie anonimowe gromadzenie danych.

Te nowe przepisy dotyczące prywatności będą miały zastosowanie do wszystkich usług przesyłania wiadomości, w tym aplikacji Facebook Messenger, Viber, WhatsApp i Gmail.

Wiele z tych środków bezpośrednio wpłynie na przyszłość marketingu cyfrowego, ale jest jeszcze za wcześnie, aby powiedzieć, a nawet przewidzieć, jak to się potoczy. Musimy tylko poczekać i zobaczyć, w międzyczasie pilnując naszych danych.

Czy Twoja firma potrzebuje pomocy, aby być na bieżąco ze wszystkimi nowymi przepisami dotyczącymi danych? Zapoznaj się z listą DesignRush najlepszych firm zajmujących się cyberbezpieczeństwem i zarządzaniem ryzykiem, które mogą pomóc usprawnić proces, gdy pojawią się przepisy RODO.

Chcesz więcej informacji biznesowych? Zapisz się do naszego newslettera!