Od 25 maja 2018 wchodzi w życie rozporządzenie i nowe przepisy Unii Europejskiej w sprawie Ochrony Danych Osobowych w j.niemieckim zwanych DSGVO.
By oswoić się z tym tematem i dostosować własną firmę, zebraliśmy kilka podstawowych informacji, czego te zmiany dotyczą i co powinna każda mała i duża firma zrobić przed 25 maja, by później nie było niespodzianek w razie kontroli i jak i wysokich kar.
Nowe przepisy EU chcą wzmocnić ochronę danych osobowych osób prywatnych a w szczególności dać im możliwość kontroli przepływu i wykorzystywania ich danych, a także nadania im praw do całkowitego usunięcia ich danych, przeniesienia, jak i wglądu do swoich danych, jak również prawa do odmowy wykorzystania tych danych w celach marketingowych.
Warto zaznaczyć, że zmiany i ujednolicenie przepisów Ochrony Danych Osobowych w Unii DSGVO, dotyczą wszystkich firm zameldowanych ale i działających na terenie EU, stowarzyszeń i organizacji, a także osób prywatnych, które w jakiś sposób działają w Internecie i przechowują,zapisują czy kopiują czy przechowują w formie cyfrowej dane osobowe osób prywatnych.
Do danych osobowych oprócz imienia, nazwiska i adresu, zaliczane są również dane, które istnieją tylko w Internecie, jak adresy mailowe, czy IP naszego komputera po którym można sprawdzić tożsamość osoby. I na to powinny zwrócić szczególną uwagę osoby posiadające własne strony internetowe, sklepy internetowe, blogi czy vlogi, zarabiające na reklamach z zainstalowanymi ciasteczkami, korzystające z Google Analitics czy innych narzędzi analityki internetowej. Wszyscy którzy są obecni w jakiś sposób w Internecie a za pośrednictwem ich stron zbierane są dane osobowe o użytkownikach czy czytelnikach, poprzez konieczność lub możliwość logowania i zakładania konta.
Osobne przepisy regulują przetwarzanie i gromadzenie tzw. wrażliwych danych osobowych, po których można sprawdzić np.: rasę, narodowość, orientację seksualną, wyznanie i poglądy polityczne, stan zdrowia, biometryczne czy genetyczne parametry. W tej kwestii pojawią się dodatkowe przepisy i wymogi.
Zanim przystąpimy do przystosowywania naszej firmy czy strony internetowej do nowych przepisów Ochrony Danych Osobowych DSGVO, powinniśmy odpowiedzieć sobie na pytania:
Z jakimi danymi osobowymi mamy do czynienia w naszej firmie. Czy gromadzimy dane naszych klientów i na jak długo, jeśli tak to jakie: Imię, nazwisko, adres, datę urodzenia itp.
Czy mamy dostawców, lub współpracujemy z innymi firmami, organizacjami, podmiotami
Czy przekazujemy dane naszych klientów dalej, do innych firm czy instytucji, które z nami współpracują
Jakie dane naszych pracowników gromadzimy i na jak długo.
Jeśli mamy stronę internetową, sklep, bloga, vloga musimy się zastanowić jakie dane użytkowników są dzięki naszej stronie gromadzone, czy użytkownicy muszą się logować by pisać np.: komentarze na stronie lub brać udział w dyskusji, czy zapisywane jest IP komputerów naszych użytkowników, czy nasza strona jest zintegrowana z portalami społecznościowymi lub narzędziami analityki internetowej jak np. Google Analitics, Google Adsens.
Jeśli okaże się że zbieramy i przechowujemy wrażliwe dane musimy powołać osobę tzw. Datenschutzbeauftragte, która będzie kontrolowała cały proces gromadzenia, przechowywania czy przekazywania wrażliwych danych osobowych. W tym wypadku chodzi przede wszystkim o firmy ubezpieczeniowe, banki, lekarzy, Kasy Chorych czy firmy doradcze
Gdy już wiemy jakie dane osobowe gromadzimy, po co, na jak długo i jak są przechowywane, możemy rozpocząć przystosowywanie naszej firmy i procesów do wchodzących w życie przepisów.
Nowe rozporządzenie nie uwzględnia jakie konkretnie zabezpieczenia czy rozwiązania musi podjąć firma, ale zobowiązuje ją by te działania były zgodne z przepisami DSGVO.
Do najważniejszych zabezpieczeń i obowiązków należą:
– należyte przechowywanie danych uniemożliwiające ich wyciek lub kradzież
– poinformowanie najlepiej na piśmie klienta jakie dane będziemy potrzebować i przechowywać, na jak długo i czy będą one przekazane innym podmiotom i w jakim celu. Na przekazanie danych jest potrzebna również zgoda klienta. Główną zmianą w rozporządzeniu jest brak możliwości przekazywania danych innym podmiotom bez konkretnej podstawy prawnej. Czyli proces sprzedawania czy kupowania baz danych jest już niezgodne z prawem i karalny.
– uzyskanie, najlepiej pisemnej zgody klienta, lub przez zaznaczenie odpowiedniego przycisku na stronie (może być ona również wyrażona w formie ustnej aczkolwiek w sprawach spornych trudniej ją udokumentować) na wykorzystanie danych w konkretnym podanym przez nas celu.
– zgoda taka musi być wyrażona dobrowolnie konkretnemu podmiotowi i nie może wpływać na warunki umowy, musi być w zrozumiały sposób sformułowany cel i podany czas przechowywania tych danych
– taką zgodę na przetwarzanie danych osobowych w Austrii może prawnie wyrazić dziecko, które ukończyło 14 lat
– taka zgoda nie jest potrzebna w przypadku zawierania typowych umów związany z naszą działalnością, jak umowy kupna- sprzedaży czy innych wykonywanych przez nas usług, do wykonania których potrzebujemy danych klienta.
– również nie jest potrzebna w przypadku podpisywania umowy o pracę
– zintegrowanie ze strona internetowa czy blogiem formularza zgody na przetwarzanie i przechowywanie danych, dostosowanie naszego AGB i klauzuli Ochrony Danych Osobowych do nowych przepisów
– ważne by strony internetowe były dobrze zrobione i miały odpowiednie zabezpieczenia przeciw wyciekowi danych np. Zabezpieczenia SSL
– przechowywanie i udokumentowanie na wypadek kontroli wszystkich zgód czy odmów wyrażonych przez klientów
– wprowadzenie w Austrii rozróżnienia między Verantwortliche dawniej Auftraggeber i Auftragsverarbeiternp.: Nasz księgowy, każdy z podmiotów powinien prowadzić dokumentację o gromadzeniu i przetwarzaniu, czy przekazywaniu do jednostek współpracujących danych osobowych tzw. Verfahrensverzeichnisse
– sporządzenie i podpisanie nowych umów z dostosowanymi do DSGVO przepisami, z podwykonawcami, dostawcami czy firmami współpracującymi z nami jak np. Firmy rozliczeniowe
– wprowadzenie udokumentowanych procedur likwidacji i usuwania danych osobowych
– prowadzeniu rejestru naruszeń i obowiązek zgłoszenia ich do 72h organowi nadzorczemu i samej osobie zainteresowanej
– Drugim ważnym rozporządzeniem jest prawo każdego obywatela do bycia zapomnianym (które istniało już wcześniej ale teraz procedury zostały uproszczone) czyli każda osoba ma prawo wglądu do przechowywanych o niej informacji a także ma prawo wyrażonego w formie ustnej do żądania usunięcia wszystkich danych z bazy danego podmiotu, kopii, linków, dokumentacji papierowej czy informacji udostępnionych innym podmiotom.
Info w j.niemieckim: www.wko.at
