Mogłoby się wydawać, że RODO nie dotyczy startupów, które najczęściej nie prowadzą jeszcze działalności gospodarczej. Nic bardziej mylnego! Z niniejszego artykułu dowiesz się, dlaczego RODO dotyczy także startupów.

fot. unsplash.com

Wcześniej jednak dowiesz się:

  1. Co to jest RODO i jakie są jego główne założenia,
  2. Jakie nowe prawa zyskują konsumenci w ramach RODO,
  3. Jakie są nowe zasady przetwarzania danych w RODO,

oraz oczywiście, w jakim zakresie RODO dotyczy startupów. 

Rozporządzenie RODO to nie tylko nowe przepisy, to nowa filozofia podejścia do ochrony i przetwarzania danych osobowych. Dotychczasowa praktyka określania sztywnych reguł w przepisach pokazała, że szybko się one dezaktualizują. Dlatego RODO nie daje wytycznych jak chronić dane osobowe, stawia tylko cel przed firmą – obowiązek ochrony danych osobowych, ale nie określa, jak ten cel ma być zrealizowany. Innymi słowy mówiąc, RODO wymusza obowiązek aktywnego działania w celu ochrony gromadzonych i przetwarzanych danych osobowych, w myśl zasady nie czekaj na naruszenia, lecz zapobiegaj im. 

1. Co to jest RODO i jakie są jego główne założenia

RODO jest to skrót od Rozporządzenie ogólne o Ochronie Danych Osobowych (ang. GDRP). Głównym celem rozporządzenia RODO jest wzmocnienie prawa osób fizycznych do prywatności oraz: 

  • wprowadzenie jednolitych przepisów w zakresie ochrony i przetwarzania danych osobowych w całej Unii Europejskiej,
  • przyznanie osobom fizycznym większej kontroli nad swoimi danymi osobowymi,
  • zmiana zasięgu geograficznego obowiązywania rozporządzenia,
  • przyznanie krajowym organom regulacyjnym nowych uprawnień w zakresie kontroli i nakładania kar na organizacje, które łamią nowe rozporządzenie,
  • ograniczenie prawa do profilowania danych osobowych,
  • wprowadzenie obowiązku zgłaszania naruszeń oraz prowadzenia inwentaryzacji i przestrzegania wymagań RODO.

W celu realizacji zasadniczego celu RODO, tj. ochrony danych osobowych uściślono w nim pojęcie „dane osobowe”. Uwzględniono w nim fakt, że upowszechnianie się technologii informatycznych zmieniło zakres tego pojęcia. Wyodrębniono też nowe kategorie danych, a mianowicie kategorię danych wrażliwych i kategorię danych poufnych. 

Według RODO za dane osobowe uznaje się połączenie imienia i nazwiska z co najmniej jednym identyfikatorem z poniższej listy:

  • NIP
  • PESEL
  • pseudonim
  • numer telefonu
  • adres e-mail (jeśli zawiera imię i nazwisko)
  • adres IP
  • identyfikator plików cookie
  • historia zakupów
  • zdjęcie

bądź co najmniej z jednym z czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

2. Jakie nowe prawa zyskują konsumenci w ramach RODO

Jako konsumenci, dzięki RODO, zyskujemy: 

  • prawo do informacji – kto, w jakim celu i jak długo będzie przetwarzał nasze dane oraz do kogo mogą one trafić,
  • prawo do bycia zapomnianym, czyli prawo do całkowitego usunięcia naszych danych,
  • prawo do poprawiania błędów w naszych danych oraz zmiany zakresu udzielonych zgód,
  • prawo do przekazania naszych danych wskazanej przez nas organizacji,
  • prawo do odmowy lub ograniczenia przetwarzania naszych danych.

3. Jakie są nowe zasady przetwarzania danych w RODO

Zgodnie z RODO proces przetwarzania danych osobowych może mieć miejsce tylko wtedy, gdy jest to konieczne w celu prowadzenia działalności biznesowej i gdy określony cel przetwarzania nie może być osiągnięty innymi środkami tj. bez dostępu do danych identyfikujących konkretne osoby. Oprócz tego, aby móc przetwarzać dane osobowe niezbędne jest uzyskanie zgody osoby, której dane dotyczą. Zgoda ta musi być udzielona jednoznacznie, świadomie i dobrowolnie. 

W przepisach RODO sformułowanych zostało kilka zasad przetwarzania danych osobowych. Wynikające z nich obowiązki przedstawię w tej części artykułu. Natomiast dwie główne zasady RODO, które mają największy wpływ na działalność startupów tj. – zasada prywatności w fazie projektowania (ang. privacy by design) oraz zasada prywatności w ustawieniach domyślnych (ang. privacy by default) bliżej omówię w IV) części artykułu.

1) Z zasady zgodności z prawem, rzetelności i przejrzystości wynika obowiązek posługiwania się jasnym i prostym językiem (szczególnie w przypadku komunikatów kierowanych do dzieci). Zalecane jest wykorzystywanie wizualizacji. 

2) Zasada ograniczenia celu oznacza, że cel przetwarzania danych musi być wyraźnie określony oraz zgodny z prawem. Dodatkowo cel przetwarzania danych musi być określony już w momencie ich pozyskiwania. Jeśli podstawą przetwarzania danych jest zgoda, to odnosi się ona jedynie do konkretnie wskazanego celu przetwarzania. 

3) Zgodnie z zasadą minimalizacji danych, zakres przetwarzanych danych powinien być taki jaki jest niezbędny do osiągnięcia określonego celu przetwarzania danych. Inaczej mówiąc, każda organizacja przetwarzająca dane osobowe musi dokonać ich selekcji oraz wybrać tylko taką ich ilość i rodzaj, jakie są dla niej rzeczywiście niezbędne. Realizacja tej zasady wymaga, aby przed rozpoczęciem procesu pozyskiwania danych, a następnie ich przetwarzania precyzyjnie określić cele oraz odpowiadające im ściśle określone rodzaje danych.

4) Zasada ograniczenia czasu przechowania danych jest ściśle związana z opisaną wyżej zasadą minimalizmu danych. Zgodnie z tą zasadą okres przetwarzania danych ma być ograniczony do czasu, jaki jest rzeczywiście niezbędny do tego, aby osiągnąć założony cel przetwarzania danych.

5) Zgodnie z zasadą rzetelności i prawidłowości danych należy zadbać o to, aby zgromadzone dane osobowe były poprawne i aktualne, a ich przetwarzanie przebiegało bez zakłóceń. Przestrzeganie tej zasady nakłada na organizację obowiązek wdrożenia odpowiednich rozwiązań technicznych oraz organizacyjnych umożliwiających korygowanie nieprawidłowych lub nieaktualnych danych.

6) zasada integralności i poufności nakłada na organizację obowiązek przetwarzania danych w sposób gwarantujący odpowiedni poziom bezpieczeństwa. Zgodnie z tą zasadą należy zadbać o to, aby dane osobowe nie były udostępniane lub ujawniane nieautoryzowanym podmiotom czy procesom. Dodatkowo dane nie mogą być modyfikowane, usunięte, dodane czy zniszczone w sposób nieautoryzowany

7) zgodnie z zasadą rozliczalności nie wystarczy przestrzegać rozporządzenia RODO. Organizacja musi móc wykazać, że podejmowane przez nią działania oraz stosowane środki są zgodne z celem i wymaganiami RODO. Przepisy RODO nakładają bowiem na organizacje obowiązek stosowania środków adekwatnych do stwierdzonych zagrożeń i ryzyk, a nie ustandaryzowanych rozwiązań.

4. RODO a startupy

Niektórzy mówią o rozporządzeniu RODO, że jest to „inteligentny akt prawny”, ponieważ pełni tylko funkcję drogowskazu wskazującego organizacjom kierunek, mówiąc – prowadzicie działalność, która wymaga przetwarzania danych osobowych, musicie więc określić poziom zagrożeń i ryzyk z tym związany i na tej podstawie dobrać adekwatne środki zabezpieczające. 

„Inteligencja rozporządzenia RODO” przejawia się także w tym, że pełni również funkcję drogowskazu dla startuperów mówiąc: 

1) projektując nową aplikację czy system informatyczny, zasadę ochrony przetwarzanych danych osobowych musisz brać pod uwagę od samego początku zgodnie z zasadą prywatności w fazie projektowania (ang. privacy by design). W tym celu, biorąc pod uwagę 

  • stan wiedzy technicznej
  • koszty wdrożenia procedur
  • charakter, zakres, kontekst i cel przetwarzania danych
  • procesy przetwarzania danych

musisz zbadać i przeanalizować możliwe zagrożenia i ryzyka związane z przetwarzaniem danych, a następnie wbudować w aplikację czy system odpowiednie mechanizmy do ochrony tych danych. 

2) zadbaj o to, aby domyślne ustawienia aplikacji czy systemów przetwarzających dane osobowe udostępniały minimalną ilość informacji o użytkowniku zgodnie z zasadą prywatności w ustawieniach domyślnych (ang. privacy by default). Co więcej, RODO wymaga, aby zwiększenia zakresu udostępnianych danych mógł dokonać jedynie ich właściciel lub upoważniona przez niego osoba.  

3) Dopilnuj, aby realizacja praw klienta opisanych w drugiej sekcji tego artykułu w tym realizacja prawa do dostępu do informacji o sobie oraz realizacja prawa do bycia zapomnianym była tak samo łatwo dostępna dla klienta, jak możliwość wyrażenia zgody na przetwarzanie danych, np.: jeśli zgoda na przetwarzanie danych wyrażana jest na stronie internetowej poprzez tzw. checkboxy, to na tej stronie powinna pojawić się dodatkowa zakładka umożliwiająca wycofanie zgody.

Pamiętaj: To nie są dobre praktyki, to jest obowiązek. 

Podsumowanie

Rozporządzenie RODO wprowadza szereg istotnych zmian w podejściu do ochrony danych osobowych, które mają znacząco wzmocnić prawa osób fizycznych do prywatności. Wprowadza także dotkliwe kary za nieprzestrzeganie tych zasad. Odpowiadając na tytułowe pytanie, dlaczego RODO to szansa dla starupów, odpowiem krótko. Ze względu na wysokie kary przewidziane przez RODO, jest duża szansa, że wkrótce bezpieczeństwo informacji stanie się powszechną normą. Tym bardziej że już teraz wiele organizacji traktuje bezpieczeństwo informacji bardzo poważnie. A to oznacza, że wiele firm chętniej kupi nową aplikację czy system informatyczny z „wbudowanym” nowoczesnym, inteligentnym podejściem do ochrony danych niż „łatkę” aktualizującą do używanego obecnie systemu.

Przeczytaj również artykuł pt. "RODO w dziale sprzedaży - to szansa czy kłopot?"

Tadeusz Woronowicz  

wiceprezes ds. sprzedaży i rozwoju w Higea 

Ekspert w zarządzaniu zespołami handlowców w sektorze B2B. W ramach usługi „Sales Activity Management as a Service” (SAMaaS) definiuje i wdraża strategię sprzedaży oraz buduje zespoły handlowe w start-upach. Jako wieloletni praktyk sprzedaży uważa, że sprzedaż to połączenie procesowego podejścia do sprzedaży z interpersonalnymi kompetencjami handlowców. Autor metodyki „Złoty trójkąt Sukcesu P.L.N.” (P-proces, L-ludzie, N -narzędzia), którą wykorzystuje do zwiększania efektywności i produktywność zespołów sprzedaży.

Komentarze (0)