Wprowadzenie RODO wpłynęło w dużym stopniu na bezpieczeństwo klientów firm z Unii Europejskiej, ale proces ten nie był bezbolesny dla żadnej ze stron transakcji. Klienci zostali zasypani niekończącymi się listami akceptacji zgód oraz wyświetlaniem obszernych regulaminów. Z drugiej strony zyskali nowe prawa m.in. do bycia zapomnianym. To z kolei wymaga od przedsiębiorstw opracowania szczegółowej polityki zarządzania danymi, również w kontekście posiadania kopii zapasowej. Jak to wygląda w praktyce?
Kto jest objęty obowiązkami nakładanymi przez RODO?
Rozporządzenie RODO dotyczy każdej działalności gospodarczej, która prowadzi swoje działania na terenie Unii Europejskiej. Niezależnie od skali działalności, zarówno jednoosobowe działalności gospodarcze, np. internetowy sklep e-commerce, jak i duże korporacje muszą dostosować się do wymagań zawartych w RODO.
Do podmiotów, które zobowiązane są do przestrzegania i stosowania RODO zaliczamy m.in.:
- Przedsiębiorców posiadających główną siedzibę poza UE, ale prowadzących działalność na jej terenie;
- Firmy, których główna siedziba znajduje się na terenie UE, ale świadczą swoje usługi klientom spoza Unii;
- Przedsiębiorców przetwarzających dane obywateli UE w chmurze, bez znaczenia jaka jest lokalizacja centr serwerowych;
- Firm prowadzących biura rachunkowe, przetwarzających dane księgowe podmiotów zewnętrznych;
- Działalności gospodarczych, którzy nie posiadają jednostek organizacyjnych na terenie UE, ale oferują produkty bądź usługi obywatelom w UE, np. sklep internetowy.
Jaka jest różnica między Administratorem Danych a Podmiotem Przetwarzającym dane?
Między statusem Administratora Danych a Podmiotem Przetwarzającym Dane istnieje cienka granica, która jednak w istotny sposób zmniejsza bądź zwiększa zakres odpowiedzialności za przetwarzane dane klientów. Określenie funkcji podmiotów współzależenie administrujących danymi klientów często bywa przedmiotem sporów. Taka współzależność może wystąpić np. między reklamodawcą a sklepem lub między firmą i zewnętrzną agencją rekrutacyjną. Wynika to oczywiście z faktu zróżnicowanych obowiązków, płynących z objęcia danej roli. Zakres przetwarzanych danych oraz obowiązki stron powinna zawierać umowa powierzenia przetwarzania danych. Jaka jest różnica między pomiotem administrującym a podmiotem przetwarzającym dane?
Kim jest Administrator Danych?
Administrator Danych to osoba fizyczna lub prawna bądź organ administracji publicznej, który w sposób samodzielny lub w porozumieniu z innymi ustala sposób przetwarzania danych. W przypadku gdy cel zarządzania jest ustalany wspólnie przez dwóch lub więcej podmiotów, otrzymują one funkcję współadministratorów danych.
Czym jest Podmiot Przetwarzający Dane?
Podmiot Przetwarzający Dane to osoba fizyczna lub prawna bądź organ publiczny, który przetwarza dane w imieniu Administratora Danych, na podstawie umowy o powierzeniu przetwarzania danych. Podmiot Przetwarzający Dane wykonuje operacje na danych zgodnie z zakresem wskazanym przez Administratora.
Mimo tego, że RODO zostało wprowadzone ponad rok temu, partnerzy biznesowi wciąż negocjują, który z podmiotów obejmie w współpracy rolę Administratora Danych. Wiąże się to z większą odpowiedzialnością, a co za tym idzie z większymi karami finansowymi za złamanie przepisów RODO. Paradoksalnie dane klientów, które przed wejściem w życie unijnego rozporządzania, były jednym z najcenniejszych zasobów firmy, tak obecnie stały się przysłowiowym „gorącym kartoflem”.
Czym różni się anonimizacja od pseudonimizacji danych?
Wraz z wejściem w życie RODO, na rynku zaczęło funkcjonować kilka nowych pojęć dotyczących ochrony danych osobowych, których nieznajomość może sporo kosztować. Należą do nich między inny pojęcia anonimizacji oraz pseudonimizacji danych.
Anonimizacja danych osobowych
To prawo żądania do nieodwracalnego uniemożliwienia powiązania osoby fizycznej z innymi danymi zgromadzonymi w bazie danych. Po dokonaniu anonimizacji danych administrator nie ma technicznej możliwości przywrócenia danych do stanu pierwotnego. Dane, które poddano anonimizacji nie podlegają zasadom ochrony danych. Przykładem anonimizacji danych osobowych jest lista płac w przedsiębiorstwie, z której usunięto imiona i nazwiska pracowników.
Pseudonimizacja danych osobowych
Oznacza przetworzenie danych osobowych w taki sposób, aby uniemożliwić przypisanie ich konkretnej osobie, bez zastosowania dodatkowych informacji. Równoległym warunkiem pseudonimizacji danych jest zastosowanie środków technicznych i organizacyjnych przeciwdziałających próbom przypisania danych konkretnej osobie fizycznej. Proces pseudonimizacji jest w pełni odwracalny, stąd takie dane w dalszym ciągu podlegają zasadom ochrony RODO. Jednym ze sposób pseudonimizacji jest zastosowanie jednej z wielu metod szyfrowania danych. O pseudonimizacji przeczytaj więcej w osobnym artykule.
Prawo do zapomnienia a kopia zapasowa danych
Mówi się, że co raz zostało wysłane do Internetu, pozostanie tam już na zawsze, ale czy na pewno? Unijne rozporządzenie RODO wprowadziło w tym względzie rewolucję, dostarczając europejskim konsumentom skuteczne narzędzie walki administratorami danych osobowych. Prawo do bycia zapomnianym uwzględnia żądanie usunięcia z baz danych wszelkich informacji osobowych przetwarzanych przez administratorów.
Zgodnie z treścią artykułu 17. RODO – Osoby, których dane są przetwarzane mają prawo do zgłoszenia administratorom danych osobowych żądania ich bezzwłocznego usunięcia. Zapis ten znacznie komplikuje tworzenie backupów np. baz klientów, zwłaszcza w dużych organizacjach przetwarzających ogromne ilości informacji. Co w kwestii backupu danych mówi RODO?
Jak tworzyć kopię zapasową danych zgodnie z RODO?
Unijne rozporządzenia zapewnia właścicielom danych osobowych prawo do bezzwłocznego zaprzestania przetwarzania oraz usunięcia ich danych z rejestrów administrujących. Za niedopełnienie tego obowiązku grożą wysokie kary, które skutecznie wymuszają na przedsiębiorcach stosowanie wymogów RODO. Generalny Inspektor Ochrony Danych Osobowych (GIODO), stwierdził, że w sytuacji gdy do organizacji wpłynie wniosek z żądaniem usunięcia danych osobowych, muszą one zostać natychmiastowo usunięte z wszelkich rejestrów, w tym z kopii zapasowej danych organizacji. Powoduje to duży problem, ponieważ systemy backupowe w większości przypadków nie pozwalają na wybiórcze usuwanie wybranego zakresu danych, ponieważ niszczy to integralność kopii zapasowej, tym samym zagraża bezpieczeństwu danych pozostałych osób fizycznych, znajdujących się w kopii zapasowej.
Na rynku wciąż prowadzone są dyskusje jak pogodzić tworzenie backupu z RODO. Optymalnym rozwiązaniem jest dostosowanie systemów w taki sposób, aby na bieżąco usuwały z rejestru głównego dane osób, które zgłosimy żądanie do bycia zapomnianym oraz tworzenie nowej kopii danych na podstawie bieżącego stanu. Jednocześnie warto prowadzić awaryjną listę zgłoszeń o usunięcie danych, w przypadku konieczności przywrócenia kopii zapasowej danych nie objętej zgłoszeniami, które wpłynęły w międzyczasie. Takie rozwiązanie pozwoli na zabezpieczenie dostępu do kopii przy jednoznacznym poszanowaniu prawa do bycia zapomnianym i zabezpieczeniu interesów klientów.