Il 25 maja 2018 sieć zmieniła się raz na zawsze. Przynajmniej w Europie. Nawet jeśli wielu nie zdawało sobie z tego sprawy w tamtym czasie, tak było od tamtego dnia RODO weszło w życie, pożądane przez Komisję Europejską rozporządzenie mające na celu ujednolicenie zasad dotyczących przetwarzania danych obywateli na całym Starym Kontynencie (w tym w Szwajcarii). W szczególności RODO transponuje, „wciela” i zastępuje wszystkie krajowe przepisy dotyczące przetwarzania danych osobowych i ochrony prywatności.

Dokładnie jednak to, co się zmieniło w porównaniu do przeszłości i co firmy muszą zrobić aby uniknąć naruszenia RODO? I Jakie kary grożą osobom naruszającym RODO? Zrozummy wszystko, analizując praktyczny przypadek.

Co to jest RODO

skrót od Ogólne rozporządzenie o ochronie danych, Ogólne rozporządzenie o ochronie danych w języku włoskim, RODO to zbiór zasad i przepisów, których muszą przestrzegać wszystkie podmioty przetwarzające dane użytkowników sieci. W szczególności RODO dotyczy przetwarzanie danych osobowych użytkowników przez firmy, ich konserwacja przez te ostatnie oraz możliwość zarządzania nimi przez samych użytkowników w prosty i natychmiastowy sposób.

RODO: co zapewnia

Kluczowe punkty, wokół których obraca się cała struktura RODO, to zasadniczo dwa:

• Uproszczenie ram regulacyjnych, w których firmy poruszają się na rynku Unii Europejskiej (i innych krajach, które podpisały traktat z UE);
• Daj użytkownikom większą kontrolę nad swoimi danymi, od momentu ich pozyskania przez firmę do momentu ich usunięcia.

Aby było to możliwe, RODO wymaga od firm, aby zapytania o zgodę były jaśniejsze i „czytelniejsze” dla użytkowników; ustala się ograniczenia przetwarzania i wykorzystywania danych; nałożenia sankcji na firmy naruszające przepisy o przetwarzaniu danych. Ponadto w przypadku naruszenia ochrony danych (utraty danych, zwykle w wyniku kradzieży dokonanej przez przestępców), administrator danych (profesjonalista w firmie, tzw. Inspektor ochrony danych) jest zobowiązany do jak najszybszego powiadomienia władz i prawowitych właścicieli. Jeżeli tak się nie stanie, tj kary przewidziane przez RODO stałyby się jeszcze bardziej słone.

W połowie 2020 roku pojawiła się nowość dot Zgoda na przetwarzanie danych które firmy zbierają za pomocą narzędzi internetowych. W poprzednich dwóch latach wystarczyło bowiem, aby użytkownik przewinął część strony internetowej, aby uznać zgodę na leczenie za uzyskaną. Orzeczenie Europejskiego Trybunału Sprawiedliwości stanowi, że zgoda musi być aktywna i jednoznaczna. Oznacza to, że użytkownik, aby zaakceptować pliki cookie, musi kliknąć baner, aby poprosić o zgodę, wybierając, czy zezwolić na użycie ściśle niezbędnych technicznych plików cookie, czy wszystkich plików cookie. Z tego powodu na przykład coraz częściej widzisz baner zgody, nawet jeśli jest to strona, którą często odwiedzasz.

Co ryzykują ci, którzy naruszają RODO: sankcje

RODO przewiduje również sankcje całkiem ciężki w przypadku, gdy przetwarzanie danych przez firmę nie jest zgodne z zawartymi w nich postanowieniami lub jest uchybieniem na froncie komunikacyjnym.

Sankcje są dwojakiego rodzaju, w zależności od wagi popełnionego naruszenia. Za drobne naruszenia (takie jak brak rejestru przetwarzania danych, brak wyznaczenia administratora danych, niezgłoszenie naruszenia danych) grozi kara do 10 milionów euro lub 2% światowego obrotu jeśli jest wyższa niż ta liczba. Za poważne naruszenia (takie jak brak zgody na leczenie, naruszenie praw osoby zainteresowanej, brak lub nieodpowiednie informacje dotyczące prywatności oraz naruszenie przepisów dotyczących przekazywania danych) kara sięga nawet 20 mln euro lub 4% światowego obrotu.

Na przykład Alphabet, holding kontrolujący Google i wszystkie firmy znajdujące się w orbicie giganta z Mountain View, ma roczne obroty na poziomie 46 miliardów dolarów i w przypadku poważnego naruszenia może zostać zmuszony do zapłacenia nawet 1,9 miliarda dolarów grzywny.

Sankcje RODO: sprawa H&M

Zarządzanie danymi i ich ochrona nie dotyczy jednak tylko klientów i użytkowników serwisu. Dane pracowników muszą być również pozyskiwane, przetwarzane i archiwizowane z uwzględnieniem przepisów ogólnego rozporządzenia o przetwarzaniu danych. Jednym z przykładów jest H&M, ukarany grzywną w wysokości ponad 35 milionów euro, ponieważ wykryto nielegalne profilowanie swoich pracowników. Naruszenie danych faktycznie ujawniło prawdziwy przypadek wewnętrznego szpiegostwa: co najmniej od 2014 roku H&M rejestruje dane, informacje i rozmowy swoich pracowników, archiwizując wszystko (bez autoryzacji) na prywatnych serwerach.

Szczególnie inwazyjna czynność profilowania, co oczywiście miało negatywny wpływ na relacje robocze między szwedzkim gigantem mody a jego pracownikami. Urząd ochrony danych osobowych w Hamburgu nałożył na H&M grzywnę w wysokości 35,3 mln euro. Ze swojej strony firma przeprosiła pracowników zamieszanych w aferę, radykalnie reorganizując biuro.

Sankcja, która jest jednocześnie ostrzeżeniem dla wszystkich innych firm: władze państwowe (w tym przypadku niemieckie, ale sankcje są takie same na całym terytorium Unii Europejskiej i dotyczą również firm mających siedzibę poza granicami UE) nie zezwalają na naruszenia danych lub przetwarzanie danych niezgodne z przepisami RODO. Każdy przyłapany na popełnieniu przestępstwa zapłaci wysoką cenę za swoje zachowanie.