Nadchodzi RODO: jak się przygotować

Uwaga: ma to charakter wyłącznie informacyjny i nie stanowi analizy prawnej ani porady prawnej. Powinieneś skontaktować się z prawnikiem, aby dowiedzieć się więcej o swoich szczególnych obowiązkach wynikających z RODO.

Jeśli należysz do organizacji, która prowadzi interesy z obywatelami Unii Europejskiej, być może słyszałeś o nadchodzących zmianach dotyczących ogólnego rozporządzenia o ochronie danych (RODO). RODO to prawo Unii Europejskiej mające na celu wzmocnienie i ujednolicenie zasad ochrony danych i praw z korzyścią dla obywateli UE. RODO ma zastosowanie do organizacji z UE i organizacji spoza UE (dowolnej wielkości), które dostarczają towary i usługi do UE lub wykorzystują technologie śledzenia (takie jak pliki cookie lub piksele śledzące) w celu monitorowania zachowania użytkowników z UE.

RODO zacznie obowiązywać od 25 maja 2018 r.

W takim przypadku wszelkie organizacje, które nie przestrzegają przepisów, mogą podlegać karom grzywny i innym sankcjom regulacyjnym. Aby zapoznać się z omówieniem RODO, ten artykuł jest doskonałym miejscem na rozpoczęcie.

Kluczowe zasady RODO

Pamiętaj o następujących zasadach, przygotowując się wraz z zespołem na nadchodzące RODO:

• Gromadzone dane osobowe muszą być przetwarzane w sposób uczciwy, legalny i przejrzysty. Nie należy jej używać w sposób, którego dana osoba by się nie spodziewała.
• Dane osobowe powinny być gromadzone wyłącznie w określonym celu i nie powinny być dalej wykorzystywane w sposób niezgodny z tymi celami. Organizacje muszą określić, dlaczego potrzebują danych osobowych podczas ich zbierania.
• Posiadane dane osobowe muszą być aktualne i dokładne. Powinno się odbywać nie dłużej niż jest to konieczne do spełnienia jej celu.
• Obywatele UE mają prawo dostępu do własnych danych osobowych. Mogą również zażądać kopii swoich danych, a także ich aktualizacji, usunięcia, ograniczenia lub przeniesienia do innej organizacji bez przeszkód.
• Wszystkie dane osobowe muszą być bezpieczne, a firmy podejmujące określone rodzaje działań są obecnie zobowiązane do wyznaczenia inspektora ochrony danych.

Co to są dane osobowe?

Definicja danych osobowych RODO obejmuje to, co zazwyczaj uważamy za informacje umożliwiające identyfikację osoby (PII) — imię i nazwisko, numer paszportu, datę urodzenia itp. — ale obejmuje również dane, które możemy uznać za niebędące informacjami umożliwiającymi identyfikację, takie jak adresy IP lub urządzenie identyfikatory.

Dane osobowe mogą nawet obejmować dane osoby, które zostały zaszyfrowane lub zaszyfrowane.

Aby zapoznać się z pełną listą tego, co RODO uważa dane osobowe, przeczytaj art. 4 ust. 1 RODO.

Ponadto definicja danych osobowych obejmuje podzbiór danych znany jako „szczególne kategorie danych osobowych”. Szczególne kategorie danych osobowych to konkretna lista danych, wyraźnie określona w RODO i obejmująca takie elementy, jak rasa, religia, poglądy polityczne, dane dotyczące zdrowia itp.

Kroki, aby przygotować się na RODO

Mapowanie danych — określ (i udokumentuj) następujące elementy:

• Jakie dane osobowe posiadasz lub zbierasz?
• Do jakich celów wykorzystywane są dane osobowe?
• Skąd pochodzą te dane i jakim stronom zostały one udostępnione?
• Gdzie obecnie znajdują się te dane?
• Jak długo przechowywane są dane?
• W jaki sposób te dane zostaną usunięte lub zmodyfikowane, jeśli osoba, której dane dotyczą, złoży wniosek?

Prawa – Sprawdź swoje obecne procedury, aby upewnić się, że możesz przestrzegać praw osób, których dane dotyczą. Obywatele UE mają prawo dostępu do własnych danych osobowych. Mogą również zażądać kopii swoich danych, a także ich aktualizacji, usunięcia, ograniczenia lub przeniesienia do innej organizacji bez przeszkód, w określonych okolicznościach.

Zgoda – Powołując się na zgodę jako podstawę przetwarzania danych osobowych, ustal, w jaki sposób ubiegasz się, uzyskujesz i dokumentujesz zgodę. W przypadku niektórych (ale nie wszystkich) rodzajów działań zgoda powinna być zasadniczo uzyskana od osoby fizycznej w celu wykorzystania jej danych – na przykład podczas przetwarzania szczególnych kategorii danych osobowych. RODO stanowi, że zgoda powinna być wyrażona w wyraźnym akcie potwierdzającym – milczenie, wstępnie zaznaczone pola lub bezczynność zazwyczaj nie stanowią zgody. Zgoda powinna być również poinformowana.

Organizacje będą musiały podać informacje o tym, dlaczego zbierają dane osobowe i do czego będą one wykorzystywane.

Będziesz również zobowiązany do prowadzenia rejestru wszystkich uzyskanych zgód, w tym kto wyraził zgodę, kiedy i na jakie konkretne oświadczenia wyraża zgodę. Osoby z UE będą miały prawo do wycofania zgody w dowolnym momencie.

Polityka prywatności — zapoznaj się z aktualną polityką prywatności i ustal, czy potrzebne są aktualizacje.

Projektowanie produktu — należy wbudować prywatność w projekt w projektach i zastanowić się, w jaki sposób możesz zminimalizować wpływ swoich produktów na prywatność. Staraj się używać pseudonimizacji, anonimizacji i szyfrowania tam, gdzie jest to właściwe lub konieczne. Bardziej szczegółowe informacje na temat ochrony prywatności w fazie projektowania można znaleźć w art. 25 RODO.

Procedury dotyczące naruszenia danych — upewnij się, że posiadasz procedury wykrywania, zgłaszania i badania wszelkich naruszeń danych. RODO wymaga, aby organizacje zgłaszały naruszenie organom ochrony danych na ogół w ciągu 72 godzin od wykrycia, chyba że jest mało prawdopodobne, aby naruszenie spowodowało zagrożenie dla praw osób fizycznych do prywatności.

Inspektor ochrony danych — określ, czy powinieneś wyznaczyć inspektora ochrony danych (IOD). RODO stanowi, że inspektor ochrony danych musi zostać wyznaczony, gdy podstawowa działalność organizacji obejmuje „regularne i systematyczne monitorowanie osób, których dane dotyczą na dużą skalę” lub gdy organizacja prowadzi przetwarzanie na dużą skalę „szczególnych kategorii danych osobowych”. IOD jest odpowiedzialny za nadzór nad przestrzeganiem wymogów RODO i służy jako punkt kontaktowy pomiędzy organizacją a organami nadzorczymi.

Dostawcy zewnętrzni — sporządź listę wszystkich rozwiązań stron trzecich, z których obecnie korzystasz (w tym śledzących pliki cookie w witrynie), które mają dostęp do danych osobowych osób, których dane dotyczą lub je przetwarzają. Powinieneś przejrzeć wszystkie swoje umowy z zewnętrznymi dostawcami. Uwzględnij w umowach klauzule poufności i prywatności danych, które w razie potrzeby są zgodne z RODO. Zapytaj dostawców zewnętrznych, których określiłeś jako objętych zakresem, czy postępują zgodnie z rozporządzeniem RODO.

Świadomość – Poinformuj swoich pracowników o RODO i jego wpływie na gromadzenie i przetwarzanie danych osobowych klientów.

A co z Tarczą Prywatności?

RODO ma określone wymagania dotyczące przekazywania danych osobowych poza UE.

Na przykład transfer danych może mieć miejsce tylko w krajach, w których określono odpowiednie przepisy dotyczące ochrony danych lub w których wdrożono odpowiednie mechanizmy eksportu danych.

UE nie uważa, że ​​Stany Zjednoczone mają odpowiednie przepisy dotyczące ochrony danych – jednak Tarcza Prywatności to dobrowolny program samocertyfikacji, w którym organizacje amerykańskie mogą uczestniczyć, aby wykazać, że stosują odpowiednie praktyki w zakresie ochrony danych, aby spełnić ten wymóg RODO .

SendGrid posiada certyfikat Privacy Shield, a także oferuje klientom standardowe klauzule umowne jako alternatywny mechanizm eksportu danych.

Jak to wpływa na pocztę e-mail?

RODO będzie miało wpływ na praktyki marketingowe. Wszyscy marketerzy e-mailowi ​​zainteresowani RODO muszą zająć się tym, w jaki sposób starają się uzyskać, uzyskiwać i dokumentować zgodę tam, gdzie jest ona potrzebna. Marketerzy będą również chcieli mieć pewność, że mogą aktualizować, usuwać, ograniczać lub przenosić dane osoby na żądanie. Przestrzegając RODO i usuwając adresy e-mail niechcianych podmiotów ze swoich list, możesz poprawić swoją dostarczalność!

Co następne?

Jeśli uważasz, że RODO będzie miało wpływ na Twoją organizację, skontaktuj się z prawnikiem, aby dowiedzieć się więcej o Twoich szczególnych obowiązkach wynikających z RODO. Celem tego posta jest zwrócenie uwagi na niektóre zmiany, które mogą wystąpić w organizacjach w wyniku RODO. Pełny tekst RODO dostępny jest tutaj. Więcej informacji na temat korzystania z plików cookie, rozporządzenia o prywatności elektronicznej i jego związku z RODO można również znaleźć tutaj.