Zapis czynności
Od 25 maja administratorzy i przetwarzający dane nie muszą rejestrować zbiorów informacji u (nieistniejącego już) GIODO (Główny Inspektor Ochrony Danych Osobowych), ani tworzyć dokumentów, o których mówiła poprzednia ustawa. Powinni za to prowadzić tzw. rejestr czynności związanych z przetwarzaniem danych osobowych. Ministerstwo Cyfryzacji przyznaje, że to szerokie pojęcie, i proponuje rejestry podzielone na kategorie, np. bazę wykazującą cele przetwarzania danych – zatrudnienie, wysłanie na wyjazd służbowy, objęcie ubezpieczeniem. Na ulgę w tym zakresie mogą liczyć firmy zatrudniające poniżej 250 osób – te rejestrują tylko część czynności. Nadal powinny monitorować za to operacje np. na danych biometrycznych (w świetle RODO są to informacje dotyczące fizycznych czy fizjologicznych cech człowieka) oraz te, które są wykonywane bardzo regularnie, np. zarządzanie bazą klientów.
Część firm musi też wyłonić tzw. Inspektora Ochrony Danych, ale to raczej marginalny przypadek, dotyczący podmiotów z sektora publicznego i takich, których główna działalność polega oprócz przetwarzania danych na „regularnym i na dużą skalę” monitorowaniu osób, których dane dotyczą.
Zabezpieczenia i naruszenia
RODO nie narzuca sposobów zabezpieczania danych, nie ma więc konieczności inwestowania np. w komputery opatrzone określonym certyfikatem, choć PUODO (Prezes Urzędu Ochrony Danych Osobowych) będzie takie certyfikaty wydawał. Zamiast tego Unia Europejska przyjęła tzw. podejście oparte na ryzyku – każdy administrator danych musi sam ocenić, na ile zagrożone są przetwarzane przez niego dane i jak poważne mogą być konsekwencje ich wycieku, a następnie adekwatnie o nie zadbać. Na ocenę wpływa np. czas przetwarzania (im dłużej, tym lepiej trzeba się zabezpieczyć), miejsce przechowywania (zewnętrzne serwery są mniej pewne) i charakter danych (dane pacjentów przychodni wypada chronić lepiej niż zestawienie zakupów w markecie internetowym). Wśród środków zapobiegawczych RODO wymienia szyfrowanie i regularne tworzenie kopii zapasowych.
Jeśli jednak dojdzie do naruszenia integralności zbioru danych, np. baza adresów zostanie wykradziona przez hakerów albo pracownik zostawi w tramwaju pendrive’a
z rejestrem transakcji, w ciągu 72 godzin podmiot przetwarzający dane musi o tym poinformować PUODO, a także samych poszkodowanych, jeśli sprawa dotyczy szczególnie prywatnych informacji – np. loginów do banku internetowego czy dokumentacji medycznej – o ile np. zniszczone dane nie miały kopii zapasowej. Ministerstwo Cyfryzacji i tutaj planowało ulgę dla firm zatrudniających poniżej 250 osób dotyczącą naruszeń danych osobowych potrzebnych do zawierania umów i prowadzenia rachunkowości, ale wycofało się z tej propozycji.
Warto na koniec przypomnieć o kiju, którym przedsiębiorców straszy RODO – w przypadku naruszenia przepisów, np. pogwałcenia podstawowych zasad zezwalających na przetwarzanie danych osobowych, nieuczciwa firma może otrzymać karę administracyjną wynoszącą do 20 milionów euro lub równowartość 4 proc. jej rocznego obrotu w zależności od tego, która kwota jest wyższa. Kary te nakłada ustanowiony w nowej ustawie o ochronie danych osobowych PUODO, a postępowanie w rozpatrywanych przez niego sprawach jest jednoinstancyjne. W razie stwierdzenia przekroczenia przepisów prawa można więc liczyć, że przedsiębiorcy łamiący przepisy, np. szemrani telemarketerzy, szybciej poniosą karę.
Zachowaj czujność
Niewiedzę na temat RODO wykorzystują cyberprzestępcy. Do osób udostępniających mieszkania w serwisie Airbnb trafiły wiadomości z informacją o konieczności zaakceptowania nowej polityki prywatności. Kliknięcie linku miało być konieczne, by móc dalej gościć turystów – ale odnośnik prowadził do strony wyłudzającej m.in. numer karty kredytowej. Z kolei serwis Niebezpiecznik.pl ostrzegał o SMS-ach, w których pod pretekstem „wejścia w życia ustawy RODO” dawano odbiorcy dwa dni na instalację rzekomo koniecznego do dzwonienia „certyfikatu LTE 5+”. Wykonanie instrukcji skutkowało pobraniem złośliwej aplikacji, która prosiła o niebezpieczne uprawnienia.
Co wiedzą Google i Facebook?
RODO umożliwia wnioskowanie do usługodawców o udostępnienie kopii danych, które mają na nasz temat – i ci muszą ten wniosek uwzględnić. O tym, ile informacji da się zgromadzić przez lata, przekonasz się, pobierając kopie danych, które zebrały na twój temat Google i Facebook. Jeśli nie zmieniałeś ustawień prywatności, rozmiar i zawartość paczek mogą cię zdziwić.
Wejdź na stronę http://pcformat.pl/u/3233 i przejrzyj listę źródeł danych. Odznacz niepotrzebne usługi (kopie plików z Dysku i albumów Zdjęć ważą najwięcej) i doprecyzuj zakres pobieranych danych na listach ukrytych pod czarną strzałką (by odznaczyć np. kosz Gmaila). Na kolejnym ekranie pozostaw opcje bez zmian i kliknij Utwórz archiwum. Po kilku godzinach archiwum będzie gotowe i otrzymasz e-mailem odnośniki do podzielonego na części archiwum ZIP. Część pakietu wymaga użycia odpowiedniego programu, np. poczta trafi do ciebie jako plik MBOX, który przed importem do Outlooka trzeba skonwertować na format PST.
Facebook działa podobnie. By sprawdzić, jak widzi cię Mark Zuckerberg, wejdź na stronę http://pcformat.pl/u/3234. Naciśnij odnośnik Zobacz w sekcji Pobieranie Twoich informacji.
Dobierz zakres dat i przejrzyj kategorie danych, odznacz niepotrzebne i naciśnij Utwórz plik. Przygotowanie archiwum ze wszystkimi „lajkami” również może zająć kilka godzin.
