pexels-photo-210585

W maju wchodzą w życie nowe przepisy dotyczące ochrony danych osobowych (RODO), które zastąpią obowiązującą ustawę o ochronie danych osobowych. Mają one zaostrzyć przetwarzanie przez firmy dane osobowe swoich klientów. Czy nowe przepisy wpłyną także na pracę pracowników z sektora BPO/SSC?

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych zacznie obowiązywać 25 maja 2018 r.  Nowe przepisy uogólniają oraz ujednolicają zasady przetwarzania danych na obszarze Unii Europejskiej. Co istotne, RODO dotyczyć będzie wszystkich przedsiębiorców regularnie przetwarzających dane osobowe klientów, bez względu na wielkość zarządzanej firmy. Może to być działalność w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza, czy nawet oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Oznacza to, że nowa polityka prywatności dotyczyć będzie również sklepów internetowych, które będą musiały wdrożyć praktyki w zakresie przetwarzania danych osobowych do nowo obowiązujących przepisów.

 

Jakie zmiany czekają przedsiębiorców?

RODO zmienia dotychczasowy zakres obowiązków administratorów danych. Co ciekawe, nowe zasady ułatwią im funkcjonowanie, ponieważ w miejsce Generalnego Inspektora Ochrony Danych Osobowych (GIODO) powołany zostanie nowy państwowy organ kontrolny, tzw. Prezes Urzędu Ochrony Danych Osobowych. To oznacza jedno, dane nie będą musiały być już zgłaszane do rejestracji. Ważną zmianą jest także brak wytycznych dla administratorów. Urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych nie będą musiały spełniać warunków określanych przez rozporządzenie MSWiA. Każdy administrator będzie musiał indywidualnie podejść do obsługiwanej przez niego działalności biznesowej, tym samym dopasować środki zabezpieczeń w zależności od rodzaju przetwarzanych danych. Oczywiście RODO określa obowiązki administratora, jednocześnie jednak stawia na dużą samodzielność i swobodę w wyborze odpowiednich rozwiązań, które zagwarantują mu spełnienie należytego standardu ochrony prywatności. Od maja zmieni się także sposób prowadzenia dokumentacji. Przedsiębiorcy nie będą już zobowiązani do opracowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Nowe przepisy wymagają jednak od nich prowadzenia rejestru czynności przetwarzania danych osobowych. Taki dokument powinien zawierać oczywiście dane jakie są przetwarzane oraz sposób w jaki są one chronione, istotne będzie także zaznaczenie kto posiada dostęp do tych danych oraz kto nimi zarządza.

 

Co nowego przynosi RODO?

Jedną z najistotniejszych zmian jakie przynosi RODO to całkowicie nowe prawa dla osób, których dane przetwarzamy, jest to m.in.: ograniczenie profilowania, prawo do bycia zapomnianym oraz prawo do sprostowania. Pierwsza zmiana oznacza, że firmy będą mogły profilować osoby ze względu na posiadane dane, jednak osoba której takie profilowanie z jakich względów nie odpowiada, od teraz będzie miała prawo odmówić profilowania, zaś dana firma ma obowiązek zaprzestania owych działań. Należy jednak pamiętać, że profilowaniem w tym przypadku nie jest aktywność użytkownika na stronach internetowych, newsletterach, mailingach czy wykorzystywanie plików cookies. To oznacza, że dane na temat aktywności odbiorcy, tj. jakie portale odwiedza najczęściej oraz jakie linki najchętniej klika, nadal mogą być z sukcesem wykorzystywane do targetowania behawioralnego. Prawo do bycia zapomnianym to nic innego jak możliwość usunięcia informacji na temat danych osób, których dane są przetwarzane.

Rozporządzenie dotyczące Ochrony Danych Osobowych, wprowadza do europejskiego porządku prawnego zasady – privacy by design oraz privacy by default. Wymuszą one na wszystkich administratorach danych obowiązek uwzględnienia ochrony danych i prywatności na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie. Co oznacza, że w każdym nowym projekcie który zakłada przetwarzane danych osobowych, już od samego początku ochrona prywatności musi stanowić jego część składową. Nowe zasady pozwolą na zbieranie tylko niezbędnych danych przed firmę, która chcę realizować poszczególne cele biznesowe. Przykładowo, dotychczas w przypadku zapisania się do newslettera, często wymagane było od nas wpisanie adresu zamieszkania czy numeru telefonu, jednak teraz podanie dodatkowych danych, które nie są konieczne do realizacji danej usługi, będą całkowicie dobrowolne, a brak zgody na ich udostępnienie nie może uniemożliwić nam korzystania z serwisu czy usługi.

 

pexels-photo-317356

 

Prawo do bycia zapomnianym i większa kontrola nad danymi

Warto zwrócić uwagę na fakt, że RODO wprowadza zmiany nie tylko dla zarządzających danymi, ale nadaje także nowe uprawienia podmiotom danych, czyli osobom których dane są udostępniane i przetwarzane. Od tej pory właściciele danych, np. klienci sklepów internetowych lub osób korzystających z danej usługi będą maiły prawo do przeniesienia danych osobowych przez administratora do innego administratora danych. Co więcej, każda osoba od teraz będzie uprawniona nie tylko do wglądu udostępnianych przez siebie informacji, ale może także żądać informacji o celu przetwarzania jej danych, odbiorcach lub kategoriach odbiorców, którym jej dane osobowe zostały lub zostaną ujawnione. Jednym z najistotniejszych ,,udogodnień” dla podmiotów danych, które wchodzą w życie już za miesiąc, jest prawo do bycia zapomnianym. Oznacza to nic innego jak żądanie usunięcia danych, na których udostępnianie wyrazili niegdyś dobrowolną zgodę, jednak teraz z przyczyn osobistych czy prawnych chcieliby takie dane wycofać. Jeśli wystosujemy prośbę o usunięcie naszych danych z systemu administratora, wykasowaniu będą podlegać także kopie, linki, skany oraz cała papierowa dokumentacja, którą udostępnialiśmy danej firmie. W tym przypadku może się okazać, że posiadanie naszych danych przez telemarketerów usiłujących sprzedać nam swój produkt lub ludzi odpowiedzialnych za wysyłanie nam regularnie maili z promocjami, będzie znacznie utrudnione, a co za tym idzie, ich dotychczasowe działania mogą okazać się całkowicie bezskuteczne.

 

RODO nie takie straszne

Ilość informacji dotyczących nowych regulacji może przytłaczać, jednak okazuje się, że w tym przypadku to od nas zależy czy implementacja RODO przebiegnie bez problemów. Najważniejszy w tym przypadku jest dobrze przygotowany plan działania. W organizacjach o większych strukturach warto zastanowić się czy w tym przypadku najlepszym rozwiązaniem nie będzie powołanie specjalnego zespołu ludzi, który połączy w sobie specjalistów z różnych dziedzin. Osoby reprezentujące różne obszary takie jak: Dział Prawny, Dział HR, IT/BI czy Dział odpowiedzialny za marketing, pozwoli przeanalizować nowe przepisy pod różnym kątem. Każda organizacja wprowadzająca RODO powinna indywidualnie przeanalizować w jaki sposób dane osobowe przepływają przez ich wewnętrzny system oraz jak są przetwarzane. Należy pamiętać, że nowo obowiązujące przepisy mają wpłynąć na zmianę podejścia do ochrony danych osobowych. Wprowadzając nowe zasady przedsiębiorcy mogą nie tylko poprawić sposób funkcjonowania swoich firm, ale mają także szansę na odbudowanie swojej wiarygodności, jeśli wcześniej nie podchodzili z należną uwagą do cennych danych osobowych udostępnianych przez ich klientów.

 

Mała rewolucja dla sektora BPO/SSC

Należy pamiętać, że obecnie nieprawidłowe przetwarzanie danych osobowych nie podlega żadnej karze finansowej. RODO jest więc pewnego rodzaju rewolucją w podejściu do ochrony prywatności, która jest jednocześnie sporym utrudnieniem dla firm z sektora BPO/SSC. Firmy, które dysponują bardzo rozbudowaną bazą danych osobowych będą musiały zmienić nie tylko podejście do ich przechowywania i przetwarzania, ale znaleźć także odpowiedni sposób na ich efektywne i sprawne usuwanie w razie wystosowania takiej prośby przez klienta. Z punktu widzenia konsumentów, RODO poprzez nałożenie wysokich standardów technologicznych oraz nadanie im więcej praw, może okazać się rozwiązaniem, które pozwoli na większą ochronę danych w przyszłości. Jednak nałożenie bardzo szczegółowych obowiązków na przedsiębiorców wymaga od nich, aby traktować wszystkie prośby oraz żądania klientów w sposób kompleksowy, a co za tym idzie będą oni musieli wypracować praktyki pozwalające na ich spełnienie. Wszystkie firmy, które posiadają call center mają obowiązek nagrywania wszystkich rozmów telefonicznych z klientami. Oznacza to, że prośby osób udostępniających im swoje dane osobowe zostają tym samym utrwalone, przez co dana firma nie będzie mogła zignorować żadnej prośby dotyczącej ochrony prywatności.