Bazy danych a ochrona danych osobowych. Co się zmieniło po wprowadzeniu RODO?
RODO przyczyniło się nie tylko do wielu zmian z zakresu ochrony danych osobowych, ale również spowodowało wzrost świadomości konsumentów na ten temat. Konsumenci mają większą wiedzę, a co za tym idzie, organizacje przetwarzające dane osobowe muszą dostosować się nie tylko do regulacji prawnych, ale również do wymagań, jakie stawiają przed nimi osoby, od których pozyskiwane są informacje.
Dane osobowe tylko za zgodą
Każdy osoba, od której pozyskujemy jakiekolwiek dane, musi wyrazić na to zgodę. Co więcej, powinna być wyraźnie poinformowana, u kogo dane są przechowywane, przez jaki czas, w jakim celu i jakie przysługują jej prawa w związku z tym. Ten obowiązek realizowany jest zwykle poprzez zamieszczanie klauzuli informacyjnej zgodnej z RODO, np. na stronie internetowej lub formularzu służącym do zbierania danych. Warto przy tym pamiętać, że już samo posiadanie danych jest ich przetwarzaniem. Nie musisz nawet ich wykorzystywać, a i tak powinieneś zapewnić dostęp do klauzuli informacyjnej wszystkim zainteresowanym osobom.
Konsekwencje braku zgody na przetwarzanie danych osobowych są poważniejsze nawet od kar za błędy w zabezpieczeniu danych. Okazuje się, że wraz z rosnącą świadomością z tego zakresu zwiększyła się liczba skarg i wątpliwości kierowanych do Urzędu Ochrony Danych Osobowych. Wszelkie informacje w bazach danych muszą więc mieć potwierdzenie w postaci zgody klienta.
Maksimum bezpieczeństwa baz danych
Bazy danych powinny mieć zapewnione maksimum bezpieczeństwa. Przepisy RODO nie dają dokładnych wytycznych dotyczących tego, w jaki sposób należy zabezpieczać dane, mówią jedynie, jakie obszary trzeba uwzględnić, planując stosowne zabezpieczenia.
Kontrola baz danych musi obejmować następujące obszary: dostęp do sprzętu oraz dostęp do danych, nośniki danych, przechowywanie, użytkowników, przesył danych, wprowadzanie danych, transport danych.
Każda firma dysponująca bazami danych musi je zabezpieczyć stosownie do swoich możliwości, ale jednocześnie uwzględniając ryzyko ewentualnych nieprawidłowości związanych z ich przetwarzaniem.