23.10.2017 Prawo w mediach
Ochrona danych osobowych. Zasady zarządzania prywatnością
Wioletta Kulińska, adwokat w Kancelarii Magnusson


Przetwarzanie danych to nie tylko ich zbieranie, aktywne korzystanie czy też modyfikowanie, ale też przechowywanie oraz... teoretyczna możliwość dostępu do danych (nawet jeżeli się tej możliwości nie wykorzystuje). Aby spełnić nowe przepisy o ochronie danych osobowych, które będą w pełni obowiązywać od maja 2018 roku, nie wystarczy kolejny dodatek czy przygotowana „na szybko” nakładka do systemu.
Ustawodawca wymaga wbudowania ochrony prywatności w jego architekturę. Oznacza to, że założenia dotyczące bezpieczeństwa i ochrony danych klienta muszą być rozważane i wdrażane już na etapie tworzenia koncepcji projektu. Jednym z nowych obowiązków jest właśnie privacy by design, istotne zwłaszcza dla młodych przedsiębiorstw i nowych rozwiązań. (Dobrym przykładem takiego podejścia w przypadku serwisów e-commerce jest RODO PrestaShop).
Brak proaktywnego działania w tym zakresie może grozić karą do 10 mln EUR bądź 2% światowego rocznego obrotu organizacji. Ryzyka tej skali będą unikać inwestorzy, uważniej niż dotąd przyglądając się zastosowanym rozwiązaniom związanym z danymi osobowymi.
Intro to privacy – zasady, o których musi pamiętać każdy biznes:
- Jeśli do działania Twojego produktu nie musisz posiadać danych użytkownika, to ich nie zbieraj – zasada minimalizmu.
- Zastanów się, komu będziesz przekazywał zebrane dane – informuj użytkowników o odbiorcach.
- Przemyśl, czy komuś będziesz zlecał jakieś operacje na danych (outsourcing pewnych czynności) – jeśli tak, podpisz z nim umowę i określ dokładnie zakres i cel tej współpracy. W razie incydentu musisz wiedzieć, kto zawinił.
- Ustal, na jakich serwerach będziesz przechowywał dane i czy serwery te będą fizycznie znajdowały się w Europejskim Obszarze Gospodarczym czy poza nim? Sprawdź też umowy ze swoim dostawcą usług chmurowych.
- Pamiętaj o informowaniu użytkowników o tym, co robisz z ich danymi, gdzie one są przekazywane i jakie prawa mają użytkownicy. Stwórz łatwe kanały komunikacji z użytkownikiem.
- Pamiętaj o prawidłowym sformułowaniu treści klauzul zgody na przetwarzanie danych.
- Zaprojektuj realizację prawa do przenoszenia danych osobowych i prawa do bycia zapomnianym.
- Przed dużymi krytycznymi projektami (w tym z wrażliwych branż typu zdrowie, ubezpieczenia, obsługa bankowa) zrób tzw. Privacy Impact Assessment – ocenę skutków przetwarzania danych tego projektu. Stwórz dokumentację.
- Zastosuj najwyższe środki zabezpieczenia systemu przed cyberatakami, monitoruj system i go aktualizuj.
- Osoby w Twoim zespole muszą być przeszkolone i posiadać upoważnienia do przetwarzania danych – człowiek jest najsłabszym ogniwem w strukturze bezpieczeństwa informacji.
- Projektując rozwiązanie zaplanuj, jak rozwiążesz kwestie ochrony danych osobowych, wpisz je w biznes plan, uwzględnij w prezentacji dla inwestora. Bądź przygotowany na jego pytania.
PRZERWA NA REKLAMĘ
Najnowsze w dziale Prawo w mediach:
Reklama suplementów diety w Polsce. Kto patrzy na ręce influencerom?
Newseria, KFi
Co trzeci polski internauta bierze pod uwagę rekomendacje influencerów przy podejmowaniu decyzji zakupowych dotyczących leków i suplementów diety. Choć promocja takich produktów jest regulowana, zdarzają się przypadki reklamy na bakier z prawem.
Prawo w marketingu. Nowe regulacje dla branży
Agnieszka Gilewska
W 2025 roku branża marketingowa staje przed wyzwaniem dostosowania strategii do coraz bardziej rygorystycznych regulacji dotyczących ochrony prywatności użytkowników, transparentności i wykorzystania sztucznej inteligencji. Jak się przygotować?
Zatrucie SEO. Hakerzy wykorzystują wyszukiwarki do ataków na firmy
Piotr Rozmiarek
Wyszukiwarki pomagają nam szybko znaleźć informacje, ale mogą być również wykorzystywane przez cyberprzestępców. Zatruwanie SEO to taktyka, w której atakujący manipulują rankingami wyszukiwarek, aby umieścić szkodliwe witryny na szczycie wyników wyszukiwania.
Podobne artykuły:
Prawo autorskie w czasie świąt. Wizerunek Mikołaja to dobro publiczne?
Paweł Kowalewicz
6 grudnia, to moim zdaniem data, od której można bez wstydu mówić o okresie świątecznym i na ten temat pisać. Pochłonięci prezentową i kulinarną gorączką często zapominamy, że w grudniu obowiązuje nas takie samo prawo, jak w innych miesiącach roku.
Algorytmy dyskryminują i wykluczają. To ma społeczne konsekwencje
dr Kuba Piwowar
Algorytmy otaczają nas z każdej strony. Na ich podstawie Netflix proponuje nam film do obejrzenia, a bank ocenia naszą zdolność kredytową. Może się wydawać, że decyzja podjęta bez większego udziału człowieka będzie zawsze obiektywna. Jednak okazuje się, że algorytmy mogą wykluczać. Dlaczego tak się dzieje? Jakie są tego skutki? Jak sobie z tym radzić?
Dostęp do informacji. Uwagi do "Ustawy o jawności życia publicznego"
Katarzyna Batko-Tołuć
Opracowanie wskazujące najważniejsze problemy dotyczące projektu Ustawy o jawności życia publicznego stworzone zostało przez grupę organizacji zaniepokojonych planami służb w kwestii reglamentowania prawa do wiedzy i prawa do wypowiadania się.
Projekt APAKT. Sztuczna inteligencja w moderacji nielegalnych treści
Ludwika Tomala
Bazujący na sztucznej inteligencji program, przygotowany przez polskich naukowców, pomoże w pracy moderatorom, którzy czyszczą internet z nielegalnych treści. Program ma rozpoznawać wideo, obrazy i teksty o charakterze pedofilskim.