Ze względu na stały rozwój i dynamiczne zmiany na rynku cyfrowym, UE podjęła znaczący krok w celu ochrony danych osobowych i praw prywatności Europejczyków we współczesnym świecie. Prace nad projektem Ogólnego rozporządzenia o ochronie danych (RODO, ang. GDPR) trwało ponad cztery lata, stając się prawem regulującym gromadzenie i przepływ danych obywateli Unii – nie tylko przez podmioty na terenie Europy, ale i na całym świecie. Dziś zajmiemy się tym, w jaki sposób amerykański przedsiębiorca może przygotować się na regulacje związane z GDPR.

Co to GDPR?

Celem tego rozporządzenia jest ochrona danych osobowych obywateli UE oraz regulacja ich przetwarzania – a więc gromadzenia, przechowywania i niszczenia, gdy nie są już potrzebne. Przed uchwaleniem GDPR istniała dyrektywa o ochronie danych osobowych z 1995 r., na podstawie której każdy kraj uchwalał swoje własne, lokalne prawo (Polska uchwaliła swoją ustawę w 1997 roku). GDRP jest jednak bardziej szczegółowy w określaniu zakresu danych osobowych, a co najważniejsze, jest stosowany bezpośrednio, nie ma zatem zbyt wiele miejsca na regulacje poszczególnych państw.

Zgodnie z GDPR, dane osobowe mogą obejmować adresy IP, dane o lokalizacji i identyfikatory w usługach online. Szczególnej ochronie podlegają tzw. wrażliwe dane osobowe, wśród których znajdują się dane biometryczne i genetyczne.

GDPR przyjęto przede wszystkim po to, aby zapewnić obywatelom UE przejrzystość i kontrolę nad ich danymi osobowymi, w tym tzw, “prawo do bycia zapomnianym”. Inne zapisy obejmują zgodę rodziców niezbędną do przetwarzania danych dla dzieci przez serwisy społecznościowe, transgraniczne przekazywanie danych i zapobieganie naruszeniom danych. W GDPR pojawiły się również ścisłe wytyczne dotyczące powiadamiania władz i opinii publicznej o naruszeniu ochrony danych osobowych, gdy takowe wystąpi.

Rozporządzenie dotyczy nie tylko podmiotów z UE, ale także wszystkich przedsiębiorstw na całym świecie, każdej wielkości, oferujących towary lub usługi rynkowe obywatelom Unii. Stosuje się również do wszystkich firm, które monitorują lub przetwarzają dane osobowe dotyczące Europejczyków. Wcześniej, jeśli firma była procesorem (tj. przetwarzała dane osobowe w imieniu innej firmy – administratora), odpowiedzialnością za zgodność z przepisami obarczała przede wszystkim administratora danych. Tymczasem GDPR wprowadza współodpowiedzialność procesorów i administratorów, którzy są odtąd solidarnie odpowiedzialni za przetwarzanie danych osobowych.

Prowadzę firmę w Stanach – co robić, jak żyć?

Poniżej udzielimy ośmiu wskazówek, jak przedsiębiorca prowadzący biznes w USA może przygotować się do przepisów RODO, które znajdą zastosowanie już od maja 2018 roku.

1. Uświadom sobie, jakie dane przetwarzasz: powinieneś udokumentować posiadane dane osobowe, skąd one pochodzą, gdzie się obecnie znajdują, dlaczego są przetwarzane i komu je udostępniamy. Kluczowi decydenci w Twojej organizacji powinni w pełni zrozumieć i docenić wpływ GDPR.

2. Przygotuj się do naruszeń ochrony danych: sprawdź i uaktualnij procedury, opracowane w celu wykrycia, zgłaszania i zbadania naruszeń bezpieczeństwa informacji, wśród których mogły pojawić się dane osobowe, dzięki czemu można przestrzegać harmonogramu i zasad zawartych w GDPR.

3. Ramy odpowiedzialności: GDPR wymaga, aby firmy mogły wykazać, że mają skuteczną politykę i procedury zgodne z zasadami ochrony danych, obejmuje to zasady przechowywania danych osobowych. Należy również dostarczyć dane kontaktowe inspektora ochrony danych (IOD, ang. Data Processing Officer, DPO) oraz administratorów danych (ang. data controllers). Upewnij się, że wiesz, jak postępować z żądaniami dotyczącymi dostępu do własnych danych osobowych, zachowując obowiązkowe terminy. Sprawdź, w jaki sposób pozyskujesz zgodę (pisemne oświadczenia, nagrania, klauzule z „checkboksami”) oraz oceń, czy jest to wystarczające. Sprawdź również metody zbierania danych o wieku osób i uzyskiwania zgód od rodziców lub opiekuna na przetwarzanie danych ich podopiecznych.

4. Zastosuj się do Privacy by Design: jeśli jeszcze nie wdrożyłeś ochrony prywatności w swojej firmie, powinieneś wprowadzić ją według wcześniej opracowanego planu. Pomoże to zidentyfikować zagrożenia we wczesnym stadium i zredukować późniejsze koszty, a także podwyższyć wydajność przetwarzania danych osobowych.

5. Zastanów się nad zasadami przechowywania: przejrzyj aktualne zasady przechowywania danych i upewnij się, że są one zgodne z GDPR. Od administratorów danych wymaga się zapewnienia, że dane będą przechowywane wyłącznie dopóki jest to koniecznie. Pamiętaj, że dane osobowe powinny zostać usunięte, gdy nie są już potrzebne do celów, w jakich zostały zebrane. Termin usunięcia może ulec przesunięciu, jeśli w amerykańskim prawodawstwie wskazano na konieczność zachowania danych przez dłuższy okres, niż wskazuje to GDPR. Dobrym pomysłem jest również wyznaczenie inspektora ochrony danych lub inną osobę, która może odpowiadać za zgodność procesów z ochroną danych i wyodrębnić tę osobę jako część struktury organizacji.

6. Sprawdź zasady zawiadamiania o incydentach dotyczących prywatności: zapoznaj się z zasadami ochrony prywatności i wprowadzaj konieczne zmiany, w celu zapewnienia zgodności z GDPR, aktualizując m.in. politykę prywatności. Niech obejmie ona informowanie poszczególnych osób o podstawie prawnej do przetwarzania ich danych osobowych, o zamierzonych celach wykorzystania ich informacji, o polityce przechowywania danych i prawie do składania skarg do Biura Informacji Klienta, jeśli uważają, że dane osobowe są niewłaściwie wykorzystywane. Te informacje muszą być wyrażone w sposób jasny i zwięzły, łatwym do zrozumienia językiem.

7. Ryzyko wiązane z osobami trzecimi: przejrzyj, w jaki sposób zarządzasz ryzykiem związanym z dostawcami zewnętrznych usług. Starannie wybierz swoich dostawców i sprawdź, czy rozumieją i stosują się do GDPR.

8. Przenoszenie danych między państwami: transgraniczne przekazywanie danych osobowych obywateli UE jest dopuszczalne poza Unią tylko wówczas, gdy spełnione są warunki GDPR. Naruszenie tych warunków grozi wysokimi karami. Oznacza to, że jeśli Twoja organizacja działa na arenie międzynarodowej, musisz rozważyć, organ nadzorczy którego państwa jest właściwy dla Twojej firmy.

To pierwsza część z cyklu “GDPR za oceanem”, poświęconego zaszczepianiu europejskiego prawa ochrony danych osobowych na amerykańskim gruncie biznesowym. Przetwarzanie danych jest jednym z tematów naszych szkoleń, na które serdecznie zapraszamy!