Podobnie jak w przypadku większości przepisów, RODO nie jest jasną listą zasad dotyczących tego, co należy robić, a co nie. Dlatego pytania dotyczące tego są często zbyt szerokie, aby można je było obsłużyć w witrynie Q / A. Istnieje wiele mitów i niepoprawnych uproszczeń wokół rozporządzenia, a cały przemysł opiera się na obawie przed sankcjami nałożonymi przez rozporządzenie.
Ta odpowiedź próbuje dać praktyczny przegląd tematu. Nie jestem prawnikiem, ale pracuję nad tym tematem prawie od jego wprowadzenia, najpierw z podejściem polegającym na gromadzeniu informacji i czekaniu na przyjęcie , a obecnie z innym praktycznym, rodzajem priorytetu i iteracyjnego podejścia.
Nie wiemy (jeszcze), w jaki sposób rozporządzenie będzie interpretowane przez sądy, a wiele firm wciąż czeka, aby zobaczyć, jakie działania podejmą inni. Ponieważ awaria serwera jest przeznaczona dla specjalistów IT, nie jesteśmy prawnikami, którzy mogliby interpretować rozporządzenie i jego związek z innymi przepisami. Nawet gdybyśmy mogli, pytania w stylu Q / A byłyby bardzo długie, aby uzyskać wszystkie szczegółowe informacje potrzebne do udzielenia odpowiedzi: Zgodność z RODO nie jest kwestią indywidualnych działań, ale całej strategii wewnątrz firmy. Jeśli musisz zadać takie pytania, może być konieczne zatrudnienie konsultanta lub nawet prawnika. Wielu jednak przeżyje bez niego.
Musisz stworzyć (ewentualnie z pewnymi poradami prawnymi) własną strategię i na tej podstawie zdecydować, jakie działania podejmujesz w celu spełnienia RODO. Podczas próby wprowadzenia tych zmian w rzeczywistym systemie informacyjnym mogą wystąpić problemy techniczne dotyczące sposobu, w jaki należy coś osiągnąć. Właśnie wtedy pytanie zawęziono do zakresu błędu serwera!
Na początek powinieneś wiedzieć, do czego służy rozporządzenie. Zasadniczo są to ramy prawne zapewniające ostrożne obchodzenie się z danymi osobowymi przez cały okres ich użytkowania, od gromadzenia po usuwanie. Artykuł 5 RODO opisuje zasady przetwarzania danych osobowych, w skrócie:
- legalność, uczciwość i przejrzystość
- ograniczenie celu
- minimalizacja danych
- precyzja
- ograniczenie przechowywania
- uczciwość i poufność.
RODO zapewnia osobom, których dane dotyczą, tj. Obywatelom kontrolę nad ich danymi osobowymi, oraz narzędzia zapewniające przestrzeganie tych zasad. Obejmują one prawo dostępu do własnych danych, ich poprawiania i przenoszenia oraz usuwania, tj. Prawo do bycia zapomnianym (jeśli żadne inne prawo nie wymaga ich zachowania). Daje to również możliwość nałożenia sankcji, a Twoja firma może potrzebować wyznaczyć inspektora ochrony danych .
Większość zasad została już wdrożona w prawie krajowym (ze względu na dyrektywę o ochronie danych 95/46 / WE), co sprawia, że zmiana jest dość ograniczona w przypadku przedsiębiorstw w UE. Firmy spoza UE mogą mieć nieco więcej do zrobienia, jeśli przetwarzają dane osobowe obywateli UE.
Jedną z głównych rzeczy, które się zmieniają, jest odpowiedzialność , którą najlepiej osiągnąć w praktyce poprzez dokładne udokumentowanie procedur:
- w jaki sposób i dlaczego gromadzone są dane osobowe
- co sprawia, że przetwarzanie jest zgodne z prawem ( zgoda jest tylko jednym warunkiem z art. 6 )
- jak dane są przechowywane i przetwarzane
- kto ma dostęp do danych oraz jak je kontrolujesz i kontrolujesz
- czy jest usuwany (automatycznie / standardowa praktyka) po wygaśnięciu przyczyny przechowywania
- jak sobie poradzisz z ryzykiem, tj. analiza ryzyka.
Moim zdaniem, jeśli dokładnie zastanowiłeś się nad tymi rzeczami, naprawiłeś problemy i zmniejszyłeś ryzyko, które odkryłeś, a następnie udokumentowałeś to wszystko, powinieneś być daleko od sankcji - nawet jeśli cierpisz na wtargnięcie. Będzie ocean możliwego zaniedbania między twoją sytuacją a rodzajem postępowania, które powoduje, że ktoś jest odpowiedzialny za 20 milionów euro / 4% kar pieniężnych za obroty .