Dwa tygodnie do fazy egzekwowania RODO, co teraz?

W końcu to się stało. Ogólne rozporządzenie o ochronie danych w końcu weszło w fazę egzekwowania 25 maja 2018 r., Memy i tak dalej.

Pomimo tego, czego obawiało się wielu reklamodawców, świat nie dobiegł końca po wejściu RODO w fazę egzekwowania. Ale to się zmieniło. Źródło ilustracji: Naucz prywatności

Czy branża była gotowa? Czy te aktualizacje polityki w ostatniej chwili były wystarczające? Co się teraz stanie? W tym poście na blogu przyjrzymy się, jak główni gracze przygotowali się do tego terminu, co ma nadejść wraz z wprowadzeniem RODO i jak Twoja firma może pracować nad zapewnieniem zgodności od tego momentu.

Pierwsze ataki na największych graczy

Największe firmy szybko odczuły żądło sporu. Zaledwie kilka minut po wejściu w życie RODO działacz ochrony prywatności Max Schrems i jego organizacja None of Your Business zaatakowali Google i Facebooka pozwami o „przymusową zgodę”. W procesach sądowych stwierdza się niezgodność z przepisami RODO dotyczącymi szczegółowej zgody, ponieważ firmy te dają użytkownikom opcję „wszystko albo nic” — zgadzają się na te warunki, aby uzyskać dostęp do tej usługi — zamiast zezwalać im na wyrażenie zgody na niektóre warunki, a nie na inne.

Google i Facebook odpowiedziały, twierdząc, że podjęły odpowiednie środki w celu zapewnienia zgodności z RODO.

Następnie francuska grupa zajmująca się prawami cyfrowymi La Quadrature du Net poszła w ich ślady , składając dodatkowe skargi przeciwko Google, Facebookowi, Apple, Amazon i LinkedIn. Skargi są podobne do tych składanych przez firmę Schrems i dotyczą naruszeń poprzez użycie przymusowej zgody. La Quadrature planuje również złożyć formalne skargi na Androida, WhatsApp, Instagram, Skype i Outlook, chociaż w chwili pisania tego tekstu nie podjęto jeszcze oficjalnych działań.

Jak przygotowały się Apple, Facebook i Google

Chociaż trudno powiedzieć, czy skargi rzeczywiście zaskoczyły którąkolwiek z tych firm, wiele z nich komunikowało ogólne poczucie gotowości w dniach poprzedzających egzekucję.

Apple na przykład pod koniec maja 2018 r. wprowadził nową stronę internetową pokazującą klientom, jakie dane osobowe na nich przechowuje. Klienci Apple w UE mogą teraz poprosić o wgląd w te dane, od historii logowania po kontakty, kalendarz, notatki, zdjęcia i dokumenty. Klienci mogą również poprawiać dane, dezaktywować swoje konto, a także usuwać wszelkie informacje. (Apple obecnie oferuje tę usługę tylko w krajach UE, Islandii, Liechtensteinie, Norwegii i Szwajcarii, ale planuje rozszerzyć ją na inne kraje jeszcze w tym roku).

W kwietniu 2018 r. Facebook zaktualizował swoją stronę internetową o bardziej przejrzyste wersje warunków korzystania z usługi i polityki danych , dając użytkownikom siedem dni na przekazanie opinii na temat nowego języka przed sfinalizowaniem i poproszeniem użytkowników o wyrażenie na to zgody. Facebook ujawnił również, że zmieni i usprawni kontrolki aplikacji, aby ułatwić znajdowanie ustawień, mówiąc: „zamiast mieć ustawienia rozłożone na prawie 20 różnych ekranach, są one teraz dostępne z jednego miejsca”.

Google był jednym z pierwszych podmiotów, ponieważ dokonywał aktualizacji związanych z RODO i powiadamiał użytkowników ponad sześć miesięcy przed terminem RODO. Najistotniejsze aktualizacje zostały wprowadzone do zmian w przetwarzaniu danych i warunków bezpieczeństwa dla G Suite i Google Cloud, które ułatwiają ich zrozumienie w celu spełnienia wymogu „jasnego i przejrzystego powiadomienia” o sposobie wykorzystania danych. Inne aktualizacje obejmują nowe opcje i możliwości eksportowania danych.

Co przed nami?

Pełny wpływ RODO nie został jeszcze określony, a częściowo będzie on zależał od tego, jak intensywnie klienci i grupy aktywistów korzystają ze swoich nowych praw. W ankiecie przeprowadzonej przez firmę Forrester w Wielkiej Brytanii z sierpnia 2017 r . 51% respondentów stwierdziło, że przynajmniej w pewnym stopniu skorzysta z nowych praw wynikających z RODO. Jednak najczęstszym przytaczanym przykładem było usuwanie danych — dalekie od pełnoprawnych procesów sądowych.

Ale największym wnioskiem z tego nowego rozporządzenia nie jest to, że więcej konsumentów kontroluje firmy – to, że więcej firm kontroluje inne firmy. Ponieważ RODO nakłada wspólną odpowiedzialność na wszystkie strony mające kontakt z danymi osobowymi, firmy znacznie dokładniej przyglądają się procesom i działaniom swoich partnerów biznesowych. To prawdziwy geniusz RODO, dyrektor ds. zgodności danych w Europie Simon McGarr wyjaśnia w niedawnym artykule Quartz :

„Europa ma wiele organów ochrony danych, ale nie wystarczy, by pukać do wszystkich drzwi. Mają więc wbudowaną w prawo wielopoziomową strukturę zgodności, w której kończy się na dużych firmach, które wymuszają zgodność z małymi firmami i tak dalej”.

Firmy mniej przygotowane, niż oczekiwano po 25 maja, mogą już odczuwać presję ze strony swoich partnerów biznesowych, a ekspert ds. Bezpieczeństwa cybernetycznego Elliot Rose przewiduje , że będzie wiele organizacji, które nadal będą nabierać tempa po terminie. Dla tych, którzy znajdują się w takiej sytuacji, pierwszym priorytetem jest zajęcie się obszarami wysokiego ryzyka, które dotyczą poufnych informacji. Firmy powinny skupić się na zabezpieczaniu poufnych danych, sprawdzaniu, gdzie są przechowywane i kto ma do nich dostęp. Ważne jest, aby przygotować plan i zacząć działać tak szybko (i dokładnie), jak to możliwe.

Jak być przygotowanym

Ostatecznie RODO pomoże nawet polu gry, jeśli chodzi o prywatność i przejrzystość, oraz otworzy drzwi do komunikacji tam, gdzie wcześniej były zamknięte. Jako firma, oto kilka kroków, które możesz podjąć, aby kontynuować rozmowę:

Oceń, w jaki sposób dane są legalnie przetwarzane

Czy masz zgodę użytkowników końcowych? Czy jest konkretna, jednoznaczna i dobrowolnie podana? Czy twoje doświadczenie użytkownika końcowego pokazuje to jasno? Czy masz uzasadniony interes w gromadzeniu, przetwarzaniu i przechowywaniu danych? Jeśli nie możesz odpowiedzieć na każde pytanie „tak”, czas zrobić krok w tył.

Zaktualizuj wszystkie niezbędne uwagi

Czy zapoznałeś się z aktualną polityką prywatności, powiadomieniami lub innymi informacjami, które przekazujesz użytkownikom końcowym? Czy są to ważne powiadomienia w punkcie odbioru? Przegląd wszystkich informacji o prywatności może być konieczny, aby gromadzenie, wykorzystywanie i przechowywanie danych były przejrzyste dla użytkowników końcowych.

Przyjmij dostęp do danych, prawo do sprostowania i prawo do bycia zapomnianymi protokołami

Zasady te umożliwiają użytkownikom końcowym poprawianie nieaktualnych lub niedokładnych danych osobowych oraz całkowite usunięcie ich z przetwarzania. Powinny zostać wdrożone i utrzymywane wewnętrzne polityki i procedury, aby odpowiednio reagować na takie prośby.

Użyj danych pseudonimowych lub anonimowych

Rozważ usunięcie lub ograniczenie unikalnych identyfikatorów poprzez anonimizację lub pseudonimizację danych. Niektóre techniki obejmują mieszanie, solenie, szyfrowanie i używanie tokenów. Może to pomóc zminimalizować możliwość przyszłej identyfikacji użytkowników końcowych, a także może pomóc zminimalizować zobowiązania dotyczące zgodności.

Aby dowiedzieć się więcej o TUNE i RODO, przeczytaj naszą stronę tutaj .