GDPR (RODO) - już tylko rok do wejścia nowego roporządzenia o ochronie danych osobowych

Za dokładnie 12 miesięcy zostanie wprowadzona radykalna zmiana w prawie Unii Europejskiej. 

Ogólne rozporządzenie  o ochronie danych osobowych GDPR (RODO) ma zrewolucjonizować sposób,w jaki 500 milionów konsumentów w UE zarządza swoimi danymi w każdej sferze życia, począwszy od Facebooka aż po notatki lekarskie. 

Jeśli czytasz to znajdując się poza granicami UE  lub będąc w UK i myślisz, że dzięki Brexit ten problem Ciebie nie dotyczy, to zastanów się jeszcze raz. Istnieje możliwość, że nowe prawo obejmie również Ciebie. 

GDPR wejdzie w życie 25 maja 2018 roku, wielu wciąż czeka aż Komisja Europejska wyda praktyczne wskazówki dotyczące tego, w jaki sposób spełnić jego wymogi. Ale już teraz są pewne rzeczy, które wiemy na pewno i kroki, jakie firmy muszą podjąć by działać w zgodzie z nowym prawem.

1. Bądź czujny: jeśli otwierając ten post zorientowałeś się, że nawet nie wiesz czym jest GDPR, to po pierwsze jak najszybciej weź się do działania. Badanie przeprowadzone w styczniu na próbie 2000 profesjonalistów IT w UK pokazało, że 53% z nich nie wie czym jest GDPR. Jest mnóstwo informacji na ten temat, ale uważaj na tych którzy twierdzą że znają odpowiedzi na wszystkie pytania związane z tym zagadnieniem - na pewno jeszcze nie teraz (więcej informacji poniżej).

2. Wyznacz osobę odpowiedzialną za bezpieczeńswto informacji (Data Protection Officer - DPO). Przechodząc dalej z punktu pierwszego, firmy powinny powierzyć odpowiedzialność jednej osobie, która jest ekspertem GDPR. Na początku ten wymóg  ograniczał się tylko do większych firm, ale teraz wydaje się że dotyczy on wszystkich przedsiębiorstw, ze szczególnym naciskiem na te największe. DPO musi działać bezstronnie i niezależnie, co może prowadzić do outsourcingu tej roli przez wiele przedsiębiorstw. 

3. Szukaj informacji w swojej lokalnej agencji do spraw ochrony danych ( Data Protection Agency - DPA).  Każde państwo członkowskie ma lokalny organ ochrony danych osobowych i jest odpowiedzialne za to, by udzielało ono wskazówek i pomagało firmom w przestrzeganiu przepisów. Rozporządzenie GDPR ma uniwersalny charakter i powinno obejmować wszystkie bazy w Europie. Lista lokalnych agencji DPA dostępna jest tutaj. 

4. Zrozum czego dotyczy GDPR. GDPR nie ogranicza się tylko do wykorzystywania danych osobowych w reklamach online, ale ponieważ to czytasz zakładamy, że w tym kontekście najbardziej Cię to interesuje. Dlatego konieczne jest, abyś zrozumiał zakres GDPR. Dotyczy ono wszystkich danych osobowych a interpretacja danych osobowych może nie być taka sama we wszystkich krajach Unii. Cookies i IP mogą iść w parze z rasą czy seksualnością i w ten sposób pomagać je identyfikować.

5. Dowiedz się czym są pseudonimizowane dane - GDPR ma na celu zmusić firmy, by zastanowiły się w jaki sposób dane osobowe są wykorzystywane, przechowywane, przekazywane i usuwane. Jednym z konceptów do zminimalizowania ryzyka jest "pseudonimizacja". Jest to scamowanie i oddzielanie danych, w taki sposób by osoba, która na nie patrzy nie była w stanie przypisać ich do nikogo.  Na przykład Awin łączy dane na różnych urządzeniach i chociaż dzięki temu możemy lepiej zrozumieć ścieżkę urzytkownika, to nie jesteśmy w stanie rozpoznać osób które się za nią kryją. Koncept "privacy by design" jest tutaj bardzo ważny. 

6. Jeśli masz użytkowników w UE, nie ma znaczenia że Twoja firma znajduje się poza jej obszarem. GDPR dotyczy wszystkich konsumentów w UE, więc nie ma znaczenia to, że Twoja firma przetwarza te dane gdzieś indziej lub nie ma tam swojej siedziby. Do tych którzy cieszą się, że UK będzie poza granicami Unii -  przemyślcie to ponownie.  Jeśli oferujesz towary i usługi obywatelom Unii Europejskiej, musisz przestrzegać przepisów UE. To samo dotyczy amerykańskich firm. 

7. Są wyjątki. Uzasadnione interesy można uznać za podstawę do wykorzystania i przechowywania danych osobowych , ale będzie to ściśle ograniczone. GDPR to definiuje. Jedną z najbardziej wyczekiwanyhc przez marketerów porad GDPR jest ta dotycząca zgody na wykorzystanie danych osobowych. Powinna ona zostać przedstawiona jeszcze w czerwcu.

8. Zwiększone wymogi. GDPR odnosi się zarówno do kontroli jak i przetwarzania danych. Innymi słowy firmy, które działają w imieniu administratora (na przykład firma zajmująca się przechowywaniem danych w chmurze), będą musiały również zająć się tym zagadnieniem. To z kolei rozszerzy zakres rozporządzenia na wiele innych firm.

9. Dostrzegaj plusy. Konsumenci od dawna niepokoją się o to , w jaki sposób ich dane są wykorzystywane, a internet wprowadził zupełnie inny wymiar rozumienia tego. Poprzez poszerzenie świadomości i powierzenie kontroli zwykłym konsumentom, GDPR daje przemysłowi szansę przmyślenia, w jaki sposób są uzyskiwane pozwolenia i w jaki sposób dane będą mogły być wykorzystywane w przyszłości. To daje firmom, które  myślą o przyszłości, szansę na to, by ukształtować nowy sposób współpracy z przyszłymi konsumentami. 

10. Nie ignoruj tego. Niezależnie od tego, czy uważasz, że najlepszym pomysłem jest wyjście z UE i to rozporządzenie zagraża cyfrowej gospodarce, GDPR jest nieuniknione. Nieprzestrzeganie jego postanowień może kosztować firmy aż 20m € lub 4% ich rocznych przychodów. A to jest bardzo ważna wiadomość dla całego rynku. 

Zanim zaczniesz panikować, wciąż jeszcze masz dużo czasu by zapoznać się z GDPR. Biuro informacyjne w UK przygotowało kilka najważniejszych wskazówek na początek. 

Alternatywnie, jeśli chcesz poznać więcej szczegółów, ten wpis na Wikipedii wyjaśnia więcej na temat sposobu w jaki zostało przygotowane rozporządzenie GDPR.