Jak RODO wpływa na biznes i czego można się spodziewać w 2023 r

• Zgodność z RODO jest ruchomym celem, ale wytyczne regulacyjne wyjaśniają przepisy prawa.
• Egzekwowanie RODO było powolne, zwłaszcza w przypadku dużych firm technologicznych i dużych zbiorów danych.
• W przypadku wszystkich firm, zwłaszcza małych firm, przestrzeganie przepisów o ochronie danych buduje lojalność wobec marki i zaufanie klientów.
• Ten artykuł jest przeznaczony dla właścicieli małych firm, którzy chcą dowiedzieć się więcej o przepisach dotyczących prywatności danych.

Obszerne prawo Unii Europejskiej dotyczące prywatności danych, Ogólne rozporządzenie o ochronie danych (RODO), spowodowało, że wiele firm starało się dostosować do niego przed jego wdrożeniem w maju 2018 r. Prawo UE obejmuje dane obywateli UE w dowolnym miejscu na świecie, co oznacza, że ​​firmy na całym świecie mają przestrzegać lub grozić im grzywny w wysokości do 10 milionów euro lub 2 procent ich rocznego światowego obrotu (lub dochodu) za każde naruszenie (w zależności od tego, która wartość jest wyższa).

Teraz, po czterech latach od wdrożenia RODO, krajobraz prywatności danych znacznie się zmienił. Podczas gdy duże sprawy przeciwko gigantom technologicznym wciąż czekają na ostateczne decyzje, mniejsze firmy musiały zmienić swoje zachowania i poprawić sposób postępowania z danymi użytkowników. Na całym świecie pojawiło się wiele innych środków ochrony prywatności i bezpieczeństwa danych, w tym wiele przepisów stanowych, takich jak California Consumer Privacy Act (CCPA) i Virginia Consumer Data Protection Act (VCDPA).

Jak wygląda zgodność z RODO?

RODO to 88-stronicowa ustawa, która zawiera 11 rozdziałów i 99 artykułów, z których wszystkie mają na celu poprawę i ujednolicenie praktyk w zakresie ochrony danych w odniesieniu do danych obywateli UE. Nie ogranicza się do granic UE; każda firma, która gromadzi i/lub przetwarza dane obywateli UE, musi przestrzegać RODO. Firmy w całych Stanach Zjednoczonych, które prowadzą interesy z obywatelami UE, są objęte zakresem prawa.

Wśród zasad, które RODO wprowadziło dla „administratora danych” i „podmiotu przetwarzającego dane”, znalazły się prawa i wolności przyznane osobie, której dane dotyczą, lub każdemu indywidualnemu użytkownikowi. Obejmują one kwestie etyczne, takie jak prawo użytkownika do wyrażenia zgody na gromadzenie danych, prawo użytkownika do żądania usunięcia jego danych oraz prawo użytkownika do dostępu do swoich danych. Aby sensownie odpowiedzieć na te prawa, wiele firm musiało wdrożyć systemy i procesy, które wcześniej nie istniały. Od 2018 r. czynione są starania w celu wyjaśnienia konkretnych klauzul RODO, ale nadal istnieją pewne pytania dotyczące firm, które starają się ich przestrzegać.

Odia Kagan, partner w Fox Rothschild LLP i przewodniczący ds. zgodności z RODO i międzynarodowej praktyki w zakresie prywatności, powiedział, że nie ma prawdziwego planu zgodności z RODO. Pytanie, od którego firmy muszą zacząć, brzmi: „Zasadniczo, co właściwie oznaczają zasady dla mojej firmy?” Odpowiedź może być różna w zależności od firmy, powiedział Kagan.

„Próbowaliśmy zacząć i zrobić podstawy, aby zacząć, ponieważ istnieją zasady wspólne dla wszystkich” – powiedziała. „RODO nie jest migawką w czasie; to stała umowa. Musisz iść dalej i dokonywać ponownej oceny; jest to ciągły proces zgodności. Nawet firmy, które wykonały sporo pracy, prawdopodobnie wciąż mają więcej do zrobienia i utrzymania”.

RODO kodyfikuje standardy przetwarzania i gromadzenia danych, tworząc ogólne zasady regulujące wykorzystanie danych obywateli UE nawet poza UE. Zasadniczo, powiedział Kagan, każda firma musi zacząć od następujących kwestii podczas pracy nad zgodnością z RODO:

• Rozszerzone ujawnienie: firmy muszą jasno opisać, jakie dane zbierają, dlaczego je zbierają oraz jak je przechowują i przetwarzają. Obejmuje to wyjaśnienia, komu dane są udostępniane, jak długo dane są przechowywane i jak są chronione.
• Kontrola użytkownika: Firmy muszą zapewnić użytkownikom większą kontrolę nad tym, co dzieje się z ich danymi. Użytkownicy mają prawo do otrzymania kopii swoich danych, jeśli zostaną o to poproszeni. Mogą również żądać usunięcia swoich danych lub sprostowania błędnych danych. Użytkownicy mają również prawo wyrazić zgodę na to, czy ich dane są udostępniane firmie zewnętrznej w celach innych niż outsourcing przetwarzania.
• Zgodność na niższym szczeblu: wszelkie firmy zewnętrzne i dostawcy usług również muszą przestrzegać RODO; w przeciwnym razie firma zbierająca dane może zostać pociągnięta do odpowiedzialności. Innymi słowy, jeśli gromadzisz dane użytkowników według księgi, ale zlecasz przetwarzanie firmie niezgodnej z przepisami, możesz pozostać na haczyku za naruszenia. Obejmuje to rozważenie plików cookie stron trzecich oraz sposobu, w jaki mogą one gromadzić i śledzić ogólne dane.

„Dodatkowa złożoność polegała na tym, że firmy z UE miały już dużą przewagę” – powiedział Kagan. „Dyrektywa o ochronie danych miała krajowe przepisy wykonawcze w 28 państwach UE; w zasadzie obejmowało to około 80 procent [przepisów w ramach] RODO”.

Kolejne poprawki do dyrektywy o ochronie danych, takie jak dyrektywa o e-prywatności z 2002 r., oznaczały, że UE wyprzedza Stany Zjednoczone w prawodawstwie dotyczącym ochrony danych. Amerykańskie firmy musiały się spieszyć, aby nadrobić zaległości podczas wdrażania RODO, a wielu klientów pytało, czy Kagan ma listę kontrolną, którą mogliby zastosować. Jej odpowiedź brzmiała: „Tak, ale…”. To nie jest program uniwersalny. Zamiast tego, powiedział Kagan, zaczęli od wymagań wspólnych dla wszystkich firm.

Konsekwencje nieprzestrzegania RODO

Kary za nieprzestrzeganie RODO są potencjalnie wysokie: grzywny w wysokości do 10 mln euro lub 2 proc. globalnych rocznych przychodów z poprzedniego roku. Dla wielu firm może to oznaczać śmiertelny cios. Podczas gdy duże firmy, takie jak Marriott, British Airways i H&M, zostały ukarane wysokimi grzywnami, nie jest jasne, czy jakieś mniejsze firmy upadły w wyniku przepisów. Według badania przeprowadzonego przez National Bureau of Economic Research koszt dostosowania się do nowych wytycznych spowodował opuszczenie około jednej trzeciej aplikacji na Androida . Dla firm w Stanach Zjednoczonych i poza nimi utrzymanie zgodności z RODO jest priorytetem i ciągłym wyzwaniem.

Jeśli chodzi o zapewnienie zgodności z jakimkolwiek szeroko zakrojonym prawem, takim jak RODO, rozsądnie jest współpracować z prawnikiem lub konsultantem, który wykazuje doświadczenie i specjalizację w tej dziedzinie. Jednak świetnym pierwszym krokiem jest po prostu przeczytanie prawa, powiedział Donovan Buck, wiceprezes ds. inżynierii oprogramowania w BrandExtract.

„Jeśli nie wiesz, od czego zacząć, prawo jest naprawdę łatwe do przyswojenia” — powiedział Buck. „Trochę długa, ale napisana jasnym językiem, zrozumiałym dla zwykłych ludzi. I jest do tego wstęp… [który] przekazuje ducha prawa. Prawo samo w sobie nie jest takie straszne. Przeczytaj prawo; nie jest tak źle.”

Wyjaśnienie przepisów RODO

Nawet dla tych, którzy zapoznali się z prawem, RODO pozostawiło wiele pytań bez odpowiedzi, które doprowadziły do ​​(a nawet po) jego wdrożenia w maju 2018 r. Od tego czasu Europejska Rada Ochrony Danych, nadrzędny organ nadzorczy regulujący RODO, wydała wyjaśnienia oraz wytyczne, które mają pomóc firmom w upewnieniu się, że rzeczywiście przestrzegają przepisów, w tym:

• Jasne i przejrzyste ujawnienie: aby uzyskać wyraźną zgodę osoby, której dane dotyczą , firmy muszą ujawnić użytkownikom swoje gromadzenie, wykorzystywanie i udostępnianie danych. Nie oznacza to tylko umieszczania drobnego druku gdzieś w regulaminie; musi być jasno sformułowane, prostym językiem. W przeciwnym razie uzyskanie wyraźnej zgody osoby, której dane dotyczą, może nie kwalifikować się jako ważne na mocy RODO.
• Zakres terytorialny: W listopadzie 2019 r . Europejska Rada Ochrony Danych opublikowała wyjaśnienia, których firm dotyczy RODO . Wytyczne pomagają wyjaśnić, czym jest jednostka organizacyjna lub firma w UE, której celem są użytkownicy w UE. Rozważa również potrzebę międzynarodowego mechanizmu współpracy w celu egzekwowania RODO w firmach spoza UE.
• Podstawa prawna przetwarzania: W kwietniu 2019 r . Europejska Rada Ochrony Danych wydała wytyczne dotyczące podstaw prawnych przetwarzania danych osobowych w ramach RODO. Wytyczne te wyjaśniły, co stanowi niezbędne gromadzenie danych, rozwiązanie umów i zastosowanie tych zasad.
• Wykorzystanie danych lokalizacyjnych i narzędzi do ustalania kontaktów zakaźnych w kontekście epidemii COVID-19: W kwietniu 2020 r. Europejska Rada Ochrony Danych musiała zareagować na niektóre komplikacje związane z prywatnością danych spowodowane pandemią COVID-19. Ich wytyczne podkreślały zasadę RODO „minimalizacji danych”, podkreślając, że należy gromadzić wyłącznie dane istotne dla śledzenia kontaktów z COVID-19 – a nie informacje identyfikujące lub dokładne informacje o lokalizacji.
• Prawo dostępu: W styczniu 2022 r. Europejska Rada Ochrony Danych opublikowała projekt wytycznych dotyczących wdrażania prawa osób, których dane dotyczą, do dostępu do swoich danych osobowych. W większości przypadków administratorzy powinni interpretować żądania danych w jak najszerszy sposób, zamiast ograniczać dostęp. Nie muszą jednak przekazywać osobom, których dane dotyczą, pełnych dokumentów zawierających ich dane, a zamiast tego mogą dostarczyć nowy dokument zawierający wyłącznie dane osobowe użytkownika.

Najważniejsze wnioski: Europejska Rada Ochrony Danych opublikowała niezliczone zaktualizowane wytyczne, wyjaśnienia i najlepsze praktyki od czasu uchwalenia RODO w 2018 r. Najważniejsze aktualizacje obejmują informacje o tym, które firmy są zobowiązane do przestrzegania RODO, jakie dane konsumentów są uważane za niezbędne do gromadzenia i jak firmy powinny realizować żądania danych.

Egzekwowanie RODO jest w toku, ale postępuje powoli

Chociaż RODO z pewnością poprawiło bezpieczeństwo danych poprzez wyeliminowanie niektórych rażących naruszeń, ogólne egzekwowanie przepisów trwa dłużej, niż wiele osób się spodziewało. Informacje szybko przemieszczają się w Internecie, a RODO wielu osobom wydaje się, że z trudem nadąża, zwłaszcza w przypadku ogromnych firm technologicznych o szerokim zasięgu, takich jak Meta i Google. Na przykład organizacja pozarządowa noyb zajmująca się ochroną danych (co oznacza „żaden z twoich interesów”) złożyła skargę w sprawie wymuszonej zgody wobec Instagrama, Facebooka, Google i WhatsApp w dniu wejścia w życie RODO. Ponad cztery lata później rezolucja jest nadal w fazie opracowywania.

Nastąpiło jednak egzekwowanie prawa. Według danych Enforcement Tracker , RODO nałożyło 1216 grzywien, które według stanu na grudzień 2022 r. łącznie przekraczają 2,5 miliarda dolarów . Oznacza to, że firmy muszą upewnić się, że przestrzegają definicji elementów prawa określonych przez organy regulacyjne, takich jak „ujawnienie” i „zgoda”, a nie własnej interpretacji tych warunków.

Według Enforcement Tracker, trzy największe grzywny obejmują 746 milionów euro (około 790 milionów dolarów) nałożone na Amazon Europe Core S.à.rl przez luksemburskich urzędników w lipcu 2021 r., a także dwie duże kary nałożone na Meta w 2022 r. We wrześniu 2022 r. Komisja Ochrony Danych ukarała Meta Platforms Inc. grzywną w wysokości 405 milionów euro (około 430 milionów dolarów), aw listopadzie 2022 roku nałożyła na Meta Platforms Ireland Ltd. grzywnę w wysokości 265 milionów euro (około 280 milionów dolarów). Te same nazwy dominują na liście najwyższych grzywien, a Amazon, Meta (w tym Facebook i WhatsApp) i Google otrzymały osiem z 10 największych grzywien.

Listopadowe orzeczenie przeciwko Meta dotyczy naruszenia danych osobowych około 533 milionów użytkowników Facebooka, w tym adresów e-mail i numerów telefonów. Oprócz zapłacenia kary, Facebook musi podjąć działania w celu poprawy bezpieczeństwa danych użytkowników i zapobieżenia dalszemu wyłudzaniu danych. Wrześniowe orzeczenie przeciwko Meta stwierdziło, że Instagram naruszył wytyczne RODO dotyczące danych dzieci, które podlegają szczególnej ochronie. Instagram umożliwił dzieciom w wieku od 13 do 17 lat udostępnianie adresów e-mail i numerów telefonów na kontach firmowych. Domyślnie upublicznił również konta nastolatków. Meta odwołuje się od wyroku.

„Duża część [wielu] przepisów dotyczy tego, w jaki sposób zbierasz zgodę oraz w jaki sposób informujesz konsumenta w jasny, przejrzysty i oczywisty sposób [o] tym, co zbierasz” – powiedział Chris Slovak, współzałożyciel i dyrektor generalny firmy Challenger Interaktywny.

Nowe przepisy dotyczące prywatności danych i trendy w ochronie danych, których można się spodziewać w 2023 r

Podczas gdy odpowiedzialność gigantów technologicznych przesuwa się powoli, zmienia się ogólne podejście do prywatności danych. Przeciętny konsument stał się bardziej świadomy sposobów, w jakie firmy zbierają informacje, a kwestie prywatności stały się centralnym punktem rozmów o technologii. Jednak nawet firmy, które nie uważają się za firmy technologiczne, powinny ocenić swoje praktyki dotyczące danych klientów i upewnić się, że zarządzanie danymi jest bezpieczne.

Słowak powiedział, że RODO było tylko „katalizatorem” fali globalnych przepisów dotyczących ochrony danych, a firmy powinny monitorować podobne zmiany na całym świecie.

Na przykład Kalifornia, Wirginia, Utah, Kolorado i Connecticut wprowadzają nowe przepisy dotyczące prywatności danych lub aktualizują istniejące przepisy. Inne kraje, takie jak Korea Południowa i Chiny, również wprowadzają nowe przepisy dotyczące bezpieczeństwa danych.

Według firmy prawniczej Thompson Hine , nadchodzące przepisy i regulacje dotyczące ochrony danych w Stanach Zjednoczonych kładą nacisk na prawa konsumentów do rezygnacji i preferencje w zakresie prywatności . Aby zachować zgodność, firmy internetowe muszą upewnić się, że ich strony internetowe zapewniają klientom zatwierdzony, jasny sposób rezygnacji z udostępniania lub sprzedawania ich danych osobowych. Może to oznaczać link „nie sprzedawaj ani nie udostępniaj moich danych osobowych” i/lub „ogranicz wykorzystanie moich wrażliwych danych osobowych”.

To tylko niektóre przykłady nadchodzących wytycznych, które mają zapewnić konsumentom większą przejrzystość i kontrolę. W 2023 roku można spodziewać się znacznie więcej wytycznych dotyczących komunikacji z klientami na temat ich praw do prywatności danych.

„Nie dotyczy to obywateli UE i Kalifornii” – powiedział Slovak. „To trend, który opanuje świat. Zdobądź przewagę, inwestując w przepływy danych, które masz już dziś”.

Wskazówki dotyczące zgodności z RODO i ochroną danych

Zgodność z wszechobejmującym prawem, takim jak RODO, może wydawać się niemożliwa, ale jeśli zrobisz to krok po kroku, Twoja firma wkrótce znajdzie się na drodze do zgodności. Aby zachować motywację, pamiętaj, że pełna zgodność nie musi być celem; nawet wykazanie się wysiłkiem może wystarczyć, aby trzymać organy regulacyjne na dystans.

„Firmy, które były na ścieżce i współpracowały z organami regulacyjnymi… miały zamknięte sprawy przeciwko nim lub ich grzywny zostały zmniejszone” – powiedział Kagan. „Potrzebujesz planu. Przeprowadź ocenę ryzyka, znajdź bardziej ryzykowne elementy przetwarzania i zacznij nad nimi pracować. Bądź na ścieżce”.

Postępuj zgodnie z tymi wskazówkami, aby rozpocząć:

• Nie panikować. Przepisy dotyczące ochrony danych są złożone i mają szeroki zakres. Zarządzanie nimi może być przytłaczające dla firm, zwłaszcza małych i średnich. Jednak ważne jest, aby podzielić proces na łatwe do zarządzania części, aby można było wykonać jedno małe zadanie na raz. Pomyśl o tym jako o zbliżaniu się do zgodności, zamiast skreślać to z listy za jednym zamachem.
• Przeprowadź ocenę ryzyka. Według Kagana doskonałym miejscem do rozpoczęcia jest przeprowadzenie oceny ryzyka. Skorzystaj z tej oceny, aby zidentyfikować obszary największego ryzyka dla swojej firmy, w których możesz naruszyć zasady lub narazić się na naruszenie ochrony danych.
• Zacznij od najbardziej ryzykownych komponentów. Po dogłębnym zrozumieniu profili ryzyka każdego elementu operacji gromadzenia danych możesz określić, które części należy zająć się w pierwszej kolejności. Zawsze zaczynaj od najbardziej ryzykownych elementów Twojej firmy. Na przykład, jeśli brakuje Ci zabezpieczeń, wzmocnij swoją obronę, aby odeprzeć naruszenia danych. Jeśli nie uzyskujesz zgody konsumentów na przechwytywanie i wykorzystywanie ich danych, wprowadź metodę uzyskiwania tej zgody. Współpraca z konsultantem ds. zgodności z RODO może pomóc w lepszym zrozumieniu ryzyka.
• Zrozumieć dane i dlaczego je gromadzisz. Dużym elementem przepisów dotyczących RODO i prywatności danych w Stanach Zjednoczonych jest to, że firmy muszą mieć pełny obraz gromadzonych danych i powodów, dla których je zbierają. Na żądanie konsumenci muszą otrzymać kopię swoich danych, a firmy muszą mieć możliwość ich edycji lub usunięcia. Twoja firma musi koniecznie zrozumieć, jakie dane gromadzi, w jaki sposób są przechowywane, gdzie są udostępniane i dlaczego są wykorzystywane. Brak pełnego zrozumienia praktycznie uniemożliwia przestrzeganie przepisów o ochronie danych.
• Ustanowić formalny program zarządzania. Po opracowaniu wewnętrznego procesu zapewniania zgodności (lub przynajmniej dążenia do zgodności) z przepisami dotyczącymi ochrony danych ustanowienie formalnego programu zarządzania pomoże zademonstrować te wysiłki organom regulacyjnym. Formalny program zarządzania może dokładnie określić, w jaki sposób dane są przechwytywane, przechowywane, udostępniane i wykorzystywane. Jest to szczególnie ważne dla dużych firm, powiedział Kagan, ale małe i średnie firmy również mogą skorzystać na sformalizowaniu zarządzania danymi. Może to obejmować wyznaczenie inspektora ochrony danych, który będzie nadzorował codzienne gromadzenie i przetwarzanie danych w celu zapewnienia zgodności z przepisami RODO.

Zgodność z RODO, CCPA i innymi przepisami dotyczącymi prywatności danych jest procesem ciągłym. Chociaż każdy akt prawny, który został przyjęty lub zaproponowany, ma inne wymagania, podstawowe cele są takie same. Od właściwego zarządzania przetwarzaniem danych osobowych po zapobieganie naruszeniom — od firm oczekuje się wielu działań. Oznacza to, że możesz zacząć pracować nad zgodnością, nie znając wszystkich szczegółów ani nie mając wszystkich wyjaśnień ze strony organów regulacyjnych, powiedział Kagan.

„Nie jest za późno, aby się dostosować” – powiedziała. „Zignoruj ​​fakt, że twój zlew jest pełen naczyń. Nie unikaj tego i nie odkładaj do jutra — po prostu zacznij”.

Wdrażając i przestrzegając najlepszych praktyk, możesz zmniejszyć ryzyko naruszenia przepisów dotyczących prywatności danych, aw najgorszym przypadku wykazać organom regulacyjnym, że podjąłeś w dobrej wierze starania w celu ochrony danych konsumentów. Poza zgodnością istnieją ważne powody biznesowe przemawiające za przestrzeganiem najlepszych praktyk określonych w przepisach o ochronie danych, powiedział Slovak.

„Jeśli zrobisz to dobrze, uzyskasz kontrolę i przejrzystość” – powiedział. „Możesz powiedzieć swoim klientom, jakie dane posiadasz i gdzie je wysyłasz. Jeśli zrobisz to dobrze, będziesz mieć lepsze rozmowy z klientami, ponieważ lepiej zrozumiesz, czego chcą w momencie, gdy z nimi rozmawiasz”.

Dodał, że ochrona prywatności danych konsumentów ma sens biznesowy i pomaga budować zaufaną markę. Gotowość do RODO to dobry sposób na rozpoczęcie zmiany w kierunku stawiania ochrony danych konsumentów na pierwszym miejscu.

„Ostatecznie dane to coś, co jest ci powierzone” — powiedział Slovak. „Konsument powierza ci informacje o sobie, abyś mógł stworzyć dla niego lepsze doświadczenia i usługi. Jest to okazja do ponownej oceny tego, jak traktujesz swoich klientów i potencjalnych klientów. Wymaga to innego sposobu myślenia oraz inwestycji w dane i narzędzia do zarządzania samymi danymi”.

Aby wyprzedzić krzywą regulacyjną i zacząć budować lepsze relacje z klientami, możesz zacząć od inwestycji w infrastrukturę danych i zarządzanie.

Cailin Potami przyczyniła się do napisania i zrelacjonowania tego artykułu. Niektóre wywiady źródłowe przeprowadzono dla poprzedniej wersji tego artykułu.