Europejskie rozporządzenie w sprawie ochrony danych osobowych, czyli RODO, zaczęło być stosowane 25 maja 2018 roku. Od początku budziło skrajne odczucia i wprowadzało sporo zamieszania w funkcjonowanie przedsiębiorstw i instytucji. Wokół RODO narosło wiele mitów, które często są wynikiem nieprawdziwych informacji podawanych przez różne media. Powtarzane z ust do ust z czasem ugruntowują się w powszechnej świadomości, choć nie mają wiele wspólnego z prawdą.
Mity:
- RODO dotyczy tylko sfery IT
Choć niektórzy twierdzą, że RODO obowiązuje tylko w sferze cyfrowej, to nie jest to zgodne z prawdą. Rozporządzenie to dotyczy całej działalności, a nie jedynie informacji zapisywanych w systemach komputerowych czy Internecie. - Zawsze trzeba mieć zgodę na przetwarzanie danych
Mimo iż wiele osób jest przekonanych, że zgodna na przetwarzanie danych osobowych jest zawsze konieczna, jest to mit. Taka zgoda jest tylko jedną z podstaw dla legalnego przetwarzania danych, która w praktyce biznesowej traktowana jest jako ostateczność. - Dane osobowe to imię, nazwisko i PESEL
Tak było dotychczas, ale RODO wprowadziło pewne istotne zmiany dotyczące tego, czym są dane osobowe. Oprócz imienia, nazwiska i nr PESEL są to także dane o lokalizacji, identyfikator internetowy, szczegóły określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową albo społeczną tożsamość osoby fizycznej. Są to więc między innymi: adres IP komputera czy pliki cookies, które zbiera przeglądarka internetowa. - Przetwarzanie danych dotyczy tylko wyjątkowych sytuacji
To nieprawda, przetwarzanie danych odbywa się bardzo często w ramach podejmowanych na co dzień aktywności takich jak np. zakupy. - Można kupić gotowy pakiet dokumentacji RODO
Wiele osób wierzy, że można bez problemu kupić gotowy pakiet dokumentacji RODO i w ten sposób spełnić wszystkie wymogi stawiane przez prawo. To kolejny mit – sporządzenie dokumentacji musi być zawsze poprzedzone stosownym audytem, gdyż każda działalność ma swoją specyfikę, korzysta z innych środków i przetwarza dane we właściwy sobie sposób. - Negatywny wynik kontroli nie oznacza kary
Jeżeli w czasie kontroli firma uzyska negatywny wynik, to niestety nie dostanie dodatkowego czasu na wprowadzenie koniecznych zmian. Kara jest przyznawana niemal natychmiastowo, czasami może być to nawet zakaz dalszego prowadzenia działalności. - RODO jest takie samo na terenie całej Europy
Choć zasady są te same, to szczegółowe rozwiązania już nie. Każde państwo członkowskie ma prawo do odrębnego uregulowania kwestii RODO. To krajowy ustawodawca daje wytyczne w zakresie stosowania tego rozporządzenia. - Pseudonimizacja i anonimizacja to to samo
Rozporządzenie odróżnia od siebie te dwa pojęcia. Informacje zanonimizowane nie podlegają pod zasady ochrony danych osobowych. Pseudonimizacja polega na takim przekształceniu informacji, aby nie można było ich przyporządkować do konkretnej osoby, której dotyczą bez użycia dodatkowych informacji.
Fakty:
- RODO to dużo nowych dokumentów
Każda firma bądź instytucja musi wytworzyć i przechowywać dużo nowych dokumentów dotyczących współpracy z organem nadzoru oraz osób, które powierzają swoje dane do przetwarzania. Obowiązkowo trzeba posiadać: rejestr czynności przetwarzania, politykę bezpieczeństwa danych osobowych, instrukcję zarządzania systemem informatycznym, upoważnienia dla pracowników, którzy mają dostęp do danych osobowych, oświadczenia o poufności podpisane przez tych pracowników, klauzule informacyjne przedstawione tym osobom, których dane są przetwarzane, dokumentacje szkoleń, zgody osób, których dane są przetwarzane, umowy przetwarzania danych osobowych. - 2. RODO dotyczy każdego
To prawda. Rozporządzenie to dotyczy zarówno dużych firm czy instytucji, jak i jednoosobowych działalności gospodarczych.