Biznes i Finanse
RODO w sektorze FinTech – możliwości i pułapki
„RODO. Poradnik dla sektora FinTech”, opracowany przez Ministerstwo Cyfryzacji, pokazuje przedsiębiorcom, w jaki sposób mogą oni wykorzystać unijne rozporządzenie dla swoich celów, równocześnie wskazując na ograniczenia i pułapki prawne.
Początkowa części poradnika dotyczy marketingu. Poruszona w tej kwestii problematyka odnosi się do spraw formalnej zgody w zakresie przetwarzania danych osobowych oraz możliwości od jej odstąpienia w oparciu o regulacje prawne zawarte w RODO oraz ustawie o świadczeniu usług drogą elektroniczną (UŚUDE). Przykładowo, w raporcie stwierdzono, iż przetwarzanie danych osobowych zasadniczo nie wymaga odebrania zgody osoby-strony porozumienia oraz może odbywać się na podstawie przesłanki prawnie uzasadnionych interesów przedsiębiorcy. Równocześnie zaznaczono, iż odbiorca posiada prawo do złożenia bezwarunkowego sprzeciwu na przetwarzanie jego danych dla celów marketingowych.
W kolejnej części poruszono problematykę związaną z procesami przetwarzania danych, które miały miejsce przed wprowadzeniem RODO. W poradniku wyraźnie zaznaczono, że tego typu działania powinny w terminie dwóch lat od wejścia w życie unijnego rozporządzenia zostać odpowiednio dostosowane do jego przepisów. Oznacza to, że administratorzy danych powinni zrewidować wszystkie informacje przekazywane osobom, których dane dotyczą, odnoszące się do przetwarzania ich danych, aby w ten sposób przestrzegać unijnego prawa. W treści poradnika szczegółowo opisano całą problematykę, odwołując się również do zapisów UŚUDE.
Poradnik definiuje również pojęcie „administratora”. Zgodnie z art. 4 pkt 7 RODO taki status posiada podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W celu uzupełnienia problematyki wyjaśniono także, na podstawie zapisów europejskiego rozporządzenia, czym jest status podmiotu przetwarzającego. W tej części poradnik skupia się przede wszystkim na przedsiębiorstwach świadczących usługi zarządzania wierzytelnościami oraz windykacji roszczeń, dodatkowo wskazując na granicę podziału między rolą administratora oraz podmiotu przetwarzającego w tym zakresie.
Kolejną kwestią omówioną w poradniku jest otrzymywanie przez administratorów danych, w tym danych wrażliwych, przekazywanych przez klientów z własnej inicjatywy. Mowa tutaj przede wszystkim o informacjach otrzymywanych przez podmioty bez uprzedniej wiedzy, w tym sygnalizowanej przez administratorów potrzeby dostarczenia tego typu danych. W tej części odniesiono się m.in. do danych dotyczących osób skazanych, wyroków skazujących lub naruszeń przepisów bezpieczeństwa. Poradnik wskazuje, jak należy postępować z tego typu informacjami oraz przytacza określone artykuły RODO, regulujące omawianą problematykę.
Zgłębiając się w treść poradnika, czytelnik uzyskuje również odpowiedź na pytanie, dotyczące obowiązku usunięcia danych osobowych z kopii zapasowych systemów informatycznych. Taki stan rzeczy może mieć miejsce wyłącznie w sytuacji wygaśnięcia podstawy prawnej w zakresie przetwarzania danych osobowych. Odnosząc się do tej problematyki, zapisy poradnika szczegółowo opisują procedury właściwego zabezpieczenia danych wrażliwych oraz sam proces ich usuwania, zgodnie z zapisami unijnego rozporządzenia.
W przedostatniej części stwierdzono: „Jeżeli regulacje odrębnych ustaw odnoszące się do przetwarzania informacji, mogących stanowić dane osobowe, przewidują dalej idącą ochronę niż wynika to z zapisów RODO oraz ustawy z dnia 24 maja 2018r. o ochronie danych osobowych, w pierwszej kolejności stosuje się przepisy tychże ustaw”. Poradnik przedstawia i wyjaśnia zależności, jakie występują między unijnym rozporządzeniem, a pozostałymi aktami prawnymi, wypracowanymi przede wszystkim na gruncie krajowym. Dodatkowo, dokonując ich krótkiej charakterystyki, wskazano na hierarchię oraz kolejności obowiązywania.
W ostatniej części poradnika odniesiono się do kwestii prowadzenia kampanii promocyjnych i konkursów, a koniecznością ochrony danych osobowych. W treści zaprezentowano najistotniejsze zagadnienia teoretyczne związane z omawianą problematyką, w tym podkreślenie roli administratora w zakresie organizacji akcji promocyjnej. W oparciu o konkretne regulacje RODO wskazano, co jest dopuszczalne, a co zakazane w obrębie prowadzenia konkursów oraz innych tego typu kampanii.
Haertle: Każdego da się zhakować
Materiał sponsorowany