Póki obowiązują przepisu o ochronie danych osobowych, ich synonimem jest GIODO. Ten tan rzeczy zmieni się już niebawem. Maj 2018 roku będzie dniem sądnym dla wszystkich którzy gromadzą lub przetwarzają dane osobowe. Sponsorem tej traumy jest Parlament Europejski.

Za niecały rok zaczną obowiązywać nowe przepisy o ochronie danych osobowych, co ważne, będą one jednolite na obszarze całej unii europejskiej. Co się zmieni? Przedstawię może w punktach, bo temat jest dość obszerny, a i zawiłości GIODO póki co, dla większości z nas (fotografów) są niejasne.

  • Rozszerzona formuła – nowe dyrektywy jeszcze lepiej chronią interes obywateli. Teraz będzie trzeba już na etapie pozyskiwania danych informować o prawie do ich przenoszenia, okresie przechowywania, zamiarze ich przekazania do państw trzecich. Internauta będzie również musiał otrzymać kontakt do Inspektora Danych Osobowych (to osoba odpowiedzialna za ochronę danych osobowych w przedsiębiorstwie, można go porównać do „behapowca” co do zasady działania)!

 

  • Rejestr czynności przetwarzania – to jedno z nielicznych ułatwień. Likwiduje on obowiązek rejestracji zbioru w GIODO, wprowadza natomiast obowiązek rejestrowania czynności przetwarzania wewnątrz organizacji.  Typowy rejestr powinien zawierać: identyfikację administratora, cele przetwarzania, opis kategorii danych osobowych i osób których dotyczą, kategorie odbiorców którym dane zostaną ujawnione, planowane terminy usunięcia poszczególnych danych, opis technicznych i organizacyjnych środków bezpieczeństwa ( w tym pseudonimizacja i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularność testowania i oceniania skuteczności ww. środków.)

 

  • Nowe obowiązki procesora. Słowem wyjaśnienia – procesorem danych jest każdy „pośrednik” który przetwarza dane osobowe. Zatem jeśli na stronie www masz formularz kontaktowy – procesorem może być webmaster, na pewno jest nim hosting. Ów procesor danych osobowych będzie musiał również prowadzić rejestr czynności przetwarzania, w określonych wypadkach będą musieli oni również powołać Inspektora Danych Osobowych.

 

  • Zmiana statusu ABI – W chwili obecnej przedsiębiorca przetwarzający dane osobowe nie musi powoływać Administratora Bezpieczeństwa Informacji. Ten stan rzeczy musi się zmielić od maja 2018 roku, wtedy tez ABI zostanie zastąpiony IOD – w tym też momencie pojawi się obowiązek jego powołania. Osoby, których dane przetrwamy będą mogły kontaktować się z Inspektorem Danych Osobowych w sprawach dotyczących ich rekordów. IOD będzie też miał obowiązek współpracy z GIODO.

 

  • Nowa definicja danych wrażliwych podlegających szczególnej ochronie. Nowa definicja wprowadza ochronę informacji genetycznych i biometrycznych. Oprócz tego, szczególnej ochronie podlegają dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa. Definicja danych genetycznych obejmuje – dane dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, ujawniające niepowtarzalne informacje o fizjologii lub zdrowiu osoby, oraz wynikające z analizy próbki biologicznej.

 

  • Niby nie dotyczy fotografa? No te teraz się łapcie za krzesła. Kto ma w formularzu kontaktowym pytanie o kościół w którym odbywa się ślub? Który fotograf dziecięcy pyta rodziców o stan zdrowia dziecka, alergie, albo np. preferowane mleko do karmienia (bo paru z nich, których znam – ma w studio możliwość przyrządzenia mleka dla dziecka). Fajnie nie?

 

  • Większe uprawnienia zyskuje osoba „szpiegowana” zabezpiecza ono prawo do zapomnienia, oraz prawo do przenoszenia danych – o raczej dotyczy dużych, międzynarodowych koncernów, klasy Google i Facebook, ale jako ciekawostka – będzie trzeba informować osobę, że jej dane przenosimy z serwera w Polsce, na serwer np. w Niemczech.

 

  • Zanim w ogóle będziemy mogli zebrać dane, należy będzie przeszkolić i przygotować d tego pracowników, którzy z danymi będą mieli styczność. Dotyczy to także rozwiązań technologicznych na odpowiednim poziomie. Nowością jest pojęcie „privacy by design” – chodzi w nim o takie projektowanie rozwiązań by już na etapie tworzenia założeń (np. strony www) uwzględniać odpowiednią ochronę danych osobowych.

 

  • Z racji, że mowa o dyrektywie unijnej, nie obyłoby się bez jakiegoś absurdu. Otóż, w razie wycieku danych osobowych podmiot gromadzący dane zobowiązany jest do donoszenia na samego siebie. Kara nas nie minie, ale jeśli sami na siebie donieśmy GIODO będzie łaskawsze w wymierzaniu konsekwencji aniżeli w sytuacji, gdy o takim wycieku lub innych nieprawidłowościach ogran nadzorujący dowie się np. od osoby, której danych nie usunęliśmy, albo pozyskaliśmy nielegalnie. Co więcej, taka informacje należeć się też będzie klientom – jeśli ich dane zostaną ujawnione, będą musie być o tym poinformowani.

 

  • Skoro już o karaniu mowa. Taryfikator kończy się na 20 milionach euro! Lub w wersji łagodniejszej, 4% całkowitego, rocznego, światowego obrotu z poprzedniego roku. Jak by nie liczyć – niemało.

 

  • Grupy kapitałowe będą mogły łatwiej jednocześnie administrować tymi samymi danymi. Konieczne będzie jednak wskazanie kto, iż a co odpowiada w konkretnym podmiocie.

 

  • Profilowanie – ostatecznie zostało uregulowane prawnie. Do tej pory można było dowolnie analizować dane, by tworzyć na ich podstawie profile klientów i wykorzystywać w reklamie. Ko oglądał pralkę w sieci, a zaraz potem jego Facebook zapełnił się reklamami pralek wie o czym mowa.

 

  • Ochrona dzieci zastanie wyniesiona na nowy poziom. Przetwarzanie danych dziecka będzie mogło odbywać się tylko za zgodą rodziców, zwłaszcza w mediach społecznościowych. W wypadku fonografów wielkim problemem to nie jest, ale warto to odnotować.

 

Zapowiada się zatem rewolucja w całym Internecie. Obejmie ona zakupy w sieci, digital marketing a nawet zwykłe strony internetowe. Co więcej, przepisy te stanowią wprost, że nawet jeśli nasza firma ma siedzibę poza obszarem EU, ale jej produkty i usługi są dostępne do obywateli unii – RODO również nas będzie obowiązywać.

Sam jestem ciekaw co pokaże praktyka, bo zakres zmian jest ogromny i napawa swego rodzaju obawami wszystkich marketingowców, których znam.

 

Jeśli masz pytania związane z ochroną danych osobowych – śmiało pytaj w komentarzu.