O co chodzi z tym GDPR?
Na początku wspomnę, że świetnym źródłem wiedzy na temat GDPR jest ta strona i znajdziecie na niej szczegółowe odpowiedzi na wszystkie pytania. A jeżeli chcielibyście skróconego podsumowania to prezentuje się one następująco:
Co to: GDPR to regulacja przygotowana przez EU, zaostrzająca podejście do danych osobowych ich bezpieczeństwa
Kiedy wchodzi w życie: Została zaakceptowana w maju 2016, zacznie nas obowiązywać od 25 maja 2018
Kogo dotyczy: Każdą organizację, która przetwarza dane osobowe (daną osobową jest np. adres IP, pliki cookie, geolokalizacja, dane biometryczne, dane genetyczne itp.)
Jakie są przewidziane kary: 10 mln – 20 mln euro, lub 2% – 4% rocznego globalnego dochodu za rok poprzedni (przy czym warto wspomnieć, że są to najwyższe możliwe kary, co wcale nie oznacza, że będą one często nakładane)
A jeżeli interesuje was ten temat nieco bardziej szczegółowo, to poniżej postanowiłem w skrócie opisać, co o GDPR/RODO wiem.
Czym jest General Protection Data Regulation (GDPR)?
GDPR (możecie również spotkać się ze spolszczeniem RODO – Rozporządzenie o Ochronie Danych Osobowych) jest regulacją wprowadzoną przez Unię Europejską w celu podniesienia świadomości i bezpieczeństwa danych osobowych. Mimo, że rozporządzenie nie jest niczym nowym (zostało zaakceptowane w maju 2016 roku) i wydawało mi się, że na ten temat napisano już wszystko, to w rozmowach z osobami z branży wciąż często widzę zdziwienie, kiedy ktoś poruszy ten temat. Najbardziej istotną rzeczą, o której powinniśmy pamiętać, to data od której regulacja zacznie obowiązywać – 25 maja 2018.
Kogo będzie dotyczyć? Praktycznie każdą firmę która przetwarza jakieś dane osobowe. Warto w tym momencie zadać sobie pytanie, czym są wspomniane dane osobowe. W praktyce są to wszelkie informacje, które mogą pośrednio lub bezpośrednio doprowadzić do identyfikacji użytkownika naszej aplikacji. GDPR dzieli je na dwie grupy: standardowe i specjalne. Poniżej znajdziecie przykłady, co można zaliczyć do każdej z grup:
| Standardowe Dane Osobowe | Specialne Dane Osobowe |
| Imię i Nazwisko
Adres Numer telefonu Geolokalizacja Adres IP Pliki Cookie Informacje zakupowe |
Przynależność rasowa
Opinie polityczne Wyznanie Filozofia Informacja o przynależności do związków zawodowych Dane genetyczne Dane biometryczne Informacje dotyczące zdrowia Informacje dotyczące orientacji seksualnej |
Co to oznacza w praktyce? Rozważmy pewien przykład – pozwalasz swojemu użytkownikowi na wrzucenie zdjęcia profilowego do twojej aplikacji. Czy taka funkcjonalność – bardzo popularna i dostępna w większości serwisów internetowych – może być problematyczna w momencie wejścia w życie nowej regulacji? Jak zwykle w tym przypadku powinna paść odpowiedź „to zależy” – przede wszystkim od tego jak podchodzisz do tematu. Czyścisz metadane z plików wrzucanych przez twoich użytkowników? Jeżeli nie, to każdy może sobie taki obrazek pobrać, a następnie wrzucić w aplikację która odczytuje metadane (np. taką, a dla fanów hakerskich narzędzi konsolowych, polecam Metagoofil) i sprawdzić m.in. geolokalizację z dokładnością do kilku metrów, urządzenie z jakiego zostało wykonane zdjęcie, w niektórych przypadkach katalog na komputerze w którym został on zapisany i wiele innych równie cennych informacji.
Czyli w praktyce skoro nie usunąłeś moich metadanych ze zdjęcia, które wrzuciłem na twoją stronę, w związku z czym ktoś był w stanie wyciągnąć na tej podstawie moją dokładną lokalizację i w jakiś sposób na tym ucierpiałem, to oberwiesz karą pieniężną + wypłacisz mi odszkodowanie? W teorii tak może się to zakończyć.
Kary finansowe
Teraz powinniśmy sobie zadać pytanie – kto mnie zmusi do dostosowania się do GDPR? A jeśli się nie dostosuje, to co mi zrobią hehe? Wygląda na to, że Unia Europejska wzięła sobie temat danych osobowych bardzo do serca i dobrze przemyślała metody egzekwowania nowych zasad. Organem nadzorczym będzie GIODO (Generalny Inspektor Ochrony Danych Osobowych), który swoją drogą już odlicza czas, pozostały do przydzielenia mu dodatkowych uprawnień 🙂
Tak więc GIODO (lub odpowiednik GIODO po jego reorganizacji) jako organ odpowiedzialny, będzie miał możliwość przeprowadzenia kontroli na wniosek własny lub poszkodowanego użytkownika. Teraz wysokość kar – spotkacie się zwykle z informacjami 10 mln – 20 mln euro lub 2% – 4% rocznego globalnego dochodu (za rok poprzedni) z tym że pod uwagę będzie brana kwota wyższa. Oczywiście te wysokie kary są przewidziane za rażące uchybienia – firmy będą mogły się ratować okolicznościami łagodzącymi (o ile takie posiadają).
Moja firma znajduje się poza Unią Europejską, czy GDPR mnie dotyczy? Tak. GDPR dotyczy każdej firmy, która przetwarza dane osobowe obywateli i rezydentów Unii Europejskiej. A w wypadku kiedy siedziba firmy znajduje się poza granicami unii, ma ona obowiązek wyznaczyć reprezentanta.
Nowa prawa przyznane użytkownikom
Kwestia zabezpieczenia w odpowiedni sposób danych osobowych to dopiero część obowiązków nałożonych na kontrolerów danych osobowych. Druga kwestia, to nowe uprawnienia, z których od połowy przyszłego roku będą mogli skorzystać nasi użytkownicy. Jest ich kilka:
Prawo dostępu do danych osobowych
Jako kontroler danych osobowych będziesz musiał umożliwić użytkownikowi – na jego żądanie – dostęp do danych osobowych, które aktualnie przetwarzasz w swoich systemach.
Prawo do sprostowania i uzupełnienia danych osobowych
Będziesz zobowiązany do umożliwienia użytkownikowi edycji/aktualizacji danych osobowych, które przetwarzasz.
Prawo do bycia zapomnianym
Ze wszystkich nowych przywilejów, ten wydaje mi się najbardziej praktyczny – z punktu widzenia konsumenta. W teorii oznacza to, że będę mógł w każdej chwili poprosić kontrolera danych o to, żeby wszystkie moje dane personalne bezpowrotnie skasował. Serwisy oparte na call center i spamerzy – drżyjcie. Z punktu widzenia organizacji przetwarzającej dane osobowe powinniście być przygotowani na dużą ilość tego typu zapytań, co z kolei powinno przełożyć się na przygotowanie odpowiednich procedur (pamiętajcie o bezpiecznym usuwaniu danych!)
Prawo do ograniczenia przetwarzania danych osobowych
Użytkownik będzie miał możliwość zgłoszenia żądania dotyczącego ograniczenia przetwarzania danych osobowych w kilku przypadkach – gdy przetwarzane dane są nieprawidłowe, gdy przetwarzanie jest niezgodne z prawem (ale zgłaszający chce, aby dane pozostały u kontrolera) lub w momencie kiedy administrator zaprzestanie przetwarzania, ale są one potrzebne użytkownikowi z innych powodów.
Prawo do przenoszenia danych
Użytkownik będzie miał możliwość skorzystania z opcji przeniesienia danych osobowych przetrzymywanych w twojej organizacji do innego podmiotu. W tym calu musisz zapewnić możliwość przekazania wspomnianych informacji w odpowiednim formacie – GDPR określa go jako ogólno-przyjęty i możliwy do interpretowania przez komputer.
Prawo do wniesienia sprzeciwu
Jeżeli w swojej organizacji przetwarzasz dane personalne do celów marketingu bezpośredniego lub też na ich podstawie są podejmowane decyzje w sposób automatyczny, to użytkownik będzie miał prawo wnieść sprzeciw – blokując jednocześnie możliwość dalszego przetwarzania administratorowi.
Jeżeli zainteresował was ten temat, to części drugiej spodziewajcie się już wkrótce!
