W związku z pojawieniem się RODO, miniony rok z pewnością zapisze się w historii ochrony danych osobowych, i to nie tylko w Polsce, ale we wszystkich krajach członkowskich Unii Europejskiej. Jak się to ma do kwestii kryptowalut?
Pojawienie się RODO
Z dniem 25 maja 2018 r. obowiązkowo trzeba będzie stosować się do ogólnego rozporządzenia o ochronie danych osobowych, czyli tzw. RODO. Z tym dniem administratorzy danych zyskają nowe obowiązki, a osoby, które przekazują swoje dane nowe uprawnienia. W związku z tym należy dostosować się pod nowe przepisy zarówno organizacyjnie jak i technicznie.
Przepisom, które obowiązują jeszcze obecnie zarzuca się przede wszystkim nieaktualność i brak podążania za zamianami technologicznymi. Wydaje się, że można uznać te zarzuty za prawdziwe. Dyrektywa normująca tematykę ochrony danych osobowych została przyjęta w 1995 roku, gdzie Internet dopiero stawał się popularny. Ideą na której oparto RODO była chęć stworzenia takich przepisów, które będą na tyle uniwersalne by nie wymagały co kilku letniej zmiany,
W świecie, gdzie coraz częściej wybieramy internetowe banki i kantory, zwróćmy uwagę nie tylko na oszczędność naszego czasu i pieniędzy, ale także na poziom zabezpieczenia naszych danych osobowych.
Pamiętajmy, że wybierając kantor, w którym chcemy zakupić kryptowaluty administrator danych nie może być anonimowy. Musi on spełnić wobec swojego klienta szereg obowiązków informacyjnych w tym podać nam swoja nazwę, siedzibę oraz dane kontaktowe. Dbając o bezpieczeństwo naszych danych upewnijmy się, że administrator nie ukrywa przed nami swoich. Najlepiej wybierać te, które mają swoją siedzibę na terenie Unii Europejskiej – gwarantuje to nam, że te podmioty podlegają pod unijne rozporządzenie i nasze dane są chronione.
Jak to wygląda od strony RODO
Zgodnie z RODO: jeśli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, a także pozyskuje jej zgodę na takie przetwarzanie. W przypadku kryptowalut, gdzie dużą wagę przykłada się do anonimowość transakcji, musimy się upewnić do jakich celów będą wykorzystywane nasze dane i komu przekazywane. Od 25 maja 2018 roku, każdy administrator musi nas o tym informować już w trakcie pozyskiwania od nas danych.
Przetwarzanie danych jest dopuszczalne w ściśle określonych sytuacjach: gdy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą; gdy należy wypełnić obowiązek prawny ciążący na administratorze; gdy jest to niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
Do tej pory podmioty prowadzące działalność polegającą na świadczeniu usług związanymi z wymianą walut wirtualnych nie miały ściśle określonej podstawy prawnej do zbierania danych osobowych, mogły to robić na podstawie zgody lub w celu wykonania umowy. Spora część kantorów zajmujących się wirtualnymi walutami często dobrowolnie wprowadzały zabezpieczenia danych osobowych według dotychczasowej ustawy o przeciwdziałaniu praniu pieniędzy, jako podmioty, które współpracują z bankami i podmiotami obowiązanymi.
Nowa ustawa o przeciwdziałaniu praniu pieniędzmi i finansowaniu terroryzmu nakłada na takie podmioty obowiązek pobierania od użytkowników konkretnych danych osobowych w celu identyfikacji i weryfikacji tożsamości: imię i nazwisko, obywatelstwo, numer PESEL lub daty urodzenia – w przypadku gdy nie nadano numeru PESEL oraz państwa urodzenia, seria i numer dokumentu tożsamości, adres zamieszkania. Weryfikacja polega na ustaleniu prawdziwości tych danych na podstawie dokumentu tożsamości. Zgodnie z zasadą minimalizacji wynikającą z rozporządzenia o ochronie danych osobowych administratorzy nie powinni zbierać więcej danych niż jest to wymagane.
W zakresie wymiany i kupna kryptowalut warto zwrócić uwagę na prawo do bycia zapomnianym, czyli prawo do żądania usunięcia naszych danych osobowych z wszelkich baz danych. Warto wspomnieć, że tego prawa nie stosuje się w przypadkach, gdy zachodzi ustawowa konieczność przechowywania tych danych. Administrator musi przekazać osobom, których dane posiada okres, przez który będzie przechowywał ich dane osobowe. W przypadku danych pozyskanych w związku z nabyciem wirtualnej waluty będzie to okres minimum 5 lat, co wynika z ustawy. W tym czasie prawo do bycia zapomnianym nie może mieć zastosowania.
RODO zobowiązuje nas także do przeprowadzenia analizy ryzyka, by w odpowiedni sposób dostosować środki zabezpieczające. W przypadku kryptowalut, które z założenia miały się wiązać z większa anonimowością dobór odpowiednich zabezpieczeń jest szczególnie ważny. Tym bardziej, że organ nadzorczy będzie kontrolował wszelkie kwestie związane z ochroną danych osobowych.
Administrator powinien mieć opracowaną procedura postepowania w przypadku wycieku danych osobowych, żeby jak najszybciej i najlepiej zabezpieczyć dane osobowe. W przypadku jakichkolwiek naruszeń, które mogą wiązać się z wysokim ryzkiem naruszenia praw i wolności osób, których dane dotyczą ma obowiązek niezwłocznie, nie później niż w ciągu 72 godzin od wykrycia takiego naruszenia na zgłoszenie tego faktu organowi nadzorczemu, a także powiadomienie osoby, której dane dotyczą o takim zdarzeniu.
RODO to wcale nie "milionowe kary". Strach wynika z czego innego
Warto podkreślić, że RODO wcale nie skupia się na przyznawaniu wielomilionowych kar. To rozporządzenie ma przede wszystkim zapewnić elastyczność, ujednolicić system prawny na teranie całej Unii, a także iść z duchem czasu za nowoczesnymi technologiami, bez nieustannej zamiany przepisów prawa. W pewnym sensie RODO wprowadza wiele udogodnień – m.in. brak obowiązku rejestracji danych u Generalnego Inspektora Ochrony Danych (GIODO), brak rozwiązań informatycznych o których większość osób nie miała pojęcia lub nie przestrzegała.
Bo czy wiedziałeś, że hasło musi się składać z co najmniej 8 znaków, w tym małych i dużych liter oraz że musi być zmieniane co 30 dni? Myślę, że mało osób się do tego stosowało. RODO zmienia zupełnie podejście, nie trzeba się już przejmować czy spełniamy sztywno określone kryteria, bo Administrator sam ma dobrać odpowiednie środki techniczne i organizacyjne. RODO wskazuje cele, nie konkretne metody. Owszem kary są, ale to wcale nie oznacza, że teraz każdy przedsiębiorca dostanie 20 milionowa karę. Kara finansowa będzie uzależniona od wielu czynników: od tego, jakie przepisy związane z ochroną danych zostały naruszone, czasu trwania naruszenia oraz liczby osób poszkodowanych, od zawinienia administratora oraz od działań podjętych przez niego w celu zminimalizowania szkody, współpracy z organem nadzorczym oraz stosowanych zabezpieczeń.
Wiele osób żeruje na strachu ludzi przed karami, w Lean Law mówimy odwrotnie, nie ma się czego bać!
____________________________________
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu