Kto powinien zwrócić szczególną uwagę na RODO? Abstrahując od oczywistego „wszyscy”, w tym wpisie chcę nakreślić grupy najbardziej dotknięte nowymi przepisami.

Dział prawny

Każda firma od momentu wejścia w życie regulacji będzie musiała zadbać o prosty, zwięzły i zrozumiały przekaz adnotacji i klauzul. Nie będzie już można odsyłać użytkowników pomiędzy Dziennikiem Ustaw, regulaminami i instrukcjami. A w przypadku gdy z naszych usług mogą korzystać dzieci – przekaz powinien być zrozumiały również dla nich – wraz z informacją o konieczności akceptacji przez opiekuna. Nie można oczekiwać od osób chcących zapisać się na newsletter tego, że sprawdzą treść Dziennika Ustaw sprzed dwudziestu lat.

Sklepy internetowe

O ile sama sprzedaż produktów w internecie może odbywać się na zasadzie innych niż zgoda przesłanek legalizacyjnych (czyli w skrócie możemy bezpiecznie założyć, że ktoś kupujący na naszej stronie chce nam podać adres zamieszkania, żebyśmy mogli wysłać mu towar), o tyle już proponowanie klientowi następnych zakupów może się wiązać z profilowaniem – czyli automatycznym zbieraniem danych o użytkownikach i ich maszynowym przetwarzaniem w celu podejmowania jakichś decyzji. I choć w tym przypadku jedynie chcemy klientowi zaproponować pasujące do krawata skarpetki – klient musi zostać w jasny i wyraźny sposób poinformowany, że jego dane (a do takich należy m.in. historia zakupów, adres IP i ciasteczka w przeglądarce) są profilowane.

Marketing bezpośredni

RODO będzie utrudnieniem dla marketingowców w dwojaki sposób. Po pierwsze wspomniane wyżej profilowanie (również w przypadku wyselekcjonowania odpowiedniej grupy odbiorców ze względu na dane demograficzne, zainteresowania czy lokalizację). Nie jest też tajemnicą, że telemarketerzy kupują bazy potencjalnych klientów. Według nowych regulacji operowanie takimi danymi będzie podlegało innym zasadom. Na każdą operację przetwarzania danych (w tym ich przechowywanie czy używanie do celów marketingowych) będzie potrzebna uzyskana a priori zgoda. Brak takiej zgody na pewno wywrze wpływ na skuteczność kampanii marketingowych.

Pracownicy IT

Przechowywanie, przetwarzanie i usuwanie danych osobowych zostało obłożone wieloma obwarowaniami. Szacuje się, że trzy z czterech organizacji przechowujących dane osobowe nie poczyniła żadnych kroków w celu ich zabezpieczenia. Tylko niektóre organizacje przechowują dane osobowe na komputerach odciętych od internetu albo korzystają z szyfrowanych baz danych. Większość niewielkich sklepów internetowych korzysta z niezaktualizowanych środowisk. Podstawowe czynności zabezpieczające powinny być wykonane w każdym przypadku operowania na danych klienta.

Więcej wpisów dot. nowego rozporządzenia RODO znajdziecie na blogu RODO2018.

Autor: Marcin Baranowski, IT Security Expert