Zaloguj się na konto

Jako zarejestrowany użytkownik masz dostęp do dodatkowych materiałów: nagrań video, recenzji, analiz oraz raportów.

Słownik branżowy

2,5G

standard sieci komórkowych drugiej generacji, w których zaimplementowano funkcje wspomagające pakietową komutację danych. Sieci 2.5G uważane są za element ewolucji pomiędzy sieciami drugiej i trzeciej generacji. Do sieci 2.5G zalicza się na przykład sieci GPRS/EDGE, które budowane są na podstawie istniejących sieci GSM (2G), ale dzięki technologiom wspomagającym pakietowe przesyłanie danych oferują usługi dostępne w sieciach 3G (w sieciach trzeciej generacji usługi te oferowane są z lepszą jakością). Dodatkowo sieć szkieletowa budowana dla potrzeb implementacji technologii GPRS/EDGE może być także używana przez sieci UMTS (3G), co umożliwia współistnienie sieci 2G i 3G oraz stopniową ewolucję istniejących sieci pomiędzy tymi standardami.

Jak w świetle nowych przepisów chronić dane osobowe w branży telekomunikacyjnej

W maju 2018 r. zacznie obowiązywać ogólne Rozporządzenie o ochronie danych osobowych. Przedsiębiorcy telekomunikacyjni – zarówno dostawcy usług jak i operatorzy powinni już teraz zacząć zmiany organizacyjne i techniczne. Wprowadzenie niektórych z nich, zwłaszcza związanych z dostosowaniem systemów informatycznych, może wymagać czasu, a nie zostało go już zbyt wiele.

W maju 2018 r. zacznie obowiązywać ogólne Rozporządzenie o ochronie danych osobowych. Przedsiębiorcy telekomunikacyjni – zarówno dostawcy usług jak i operatorzy powinni już teraz zacząć zmiany organizacyjne i techniczne. Wprowadzenie niektórych z nich, zwłaszcza związanych z dostosowaniem systemów informatycznych, może wymagać czasu, a nie zostało go już zbyt wiele.

Analizując nowe obowiązki po stronie administratorów danych osobowych (ADO), czyli przedsiębiorców, z branży telekomunikacyjnej warto zwrócić uwagę na te procesy, które wymagają uwagi w pierwszej kolejności.. Jednym z najistotniejszych obszarów jest dostosowanie systemów informatycznych tak, aby w łatwy sposób realizowane były prawa osób, których dane dotyczą w szczególności prawo do bycia zapomnianym, prawo do przenoszenia danych oraz prawo do ograniczenia przetwarzania.

Realizacja praw osób, których dane dotyczą

Nowe, bardzo rygorystyczne uprawnienia osób fizycznych w zakresie prawa do bycia zapomnianym stwarzają spore utrudnienia po stronie systemów informatycznych. Osoba, której dane dotyczą, ma prawo żądać od administratora danych niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki je usunąć. Problemem jest przede wszystkim konstrukcja dotychczas tworzonego oprogramowania, ponieważ jednym z założeń najczęściej był brak możliwości całkowitego usunięcia danych osobowych jako zabezpieczenie przed ich utratą. W świetle nowych przepisów może się okazać, że danych nie da się usunąć całkowicie. A warto wiedzieć, że naruszenia przepisów związanych z realizacją praw osób, których dane dotyczą, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. To zagrożenie jest szczególnie istotne dla branży telekomunikacyjnej, gdyż funkcjonuje w niej bardzo dużo systemów informatycznych, które jeszcze nie zostały wycofane z użycia, ale też takich właśnie wdrażanych.
Kolejną trudnością dla branży telekomunikacyjnej jest realizacja uprawnienia osób do ograniczenia przetwarzania danych osobowych. Jego realizacja z pewnością będzie wymagała większej liczby osób, które będą miały dodatkowe obowiązki w zakresie modyfikowania, często zautomatyzowanych, procesów w przedsiębiorstwie telekomunikacyjnym. Przykładowo ograniczenie nadpisywania danych w stosunku do części rekordów, co do których osoby złożyły wniosek o ich dalsze przetwarzanie. Tego typu zmiany będą wymagały nie tylko modyfikacji w samych systemach informatycznych ale również w procesach przetwarzania danych.

Ostatecznie realizacja prawa do przenoszenia danych będzie w tej branży problematyczna dlatego, że osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi. Ponadto ma także prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Problemem w tym przypadku są różnice pomiędzy formatami baz danych używanymi przez poszczególnych przedsiębiorców, gdyż nie każde oprogramowanie akceptuje powszechnie używane formaty.

Wyznaczenie inspektora ochrony danych

W branży telekomunikacyjnej większość procesów przetwarzania danych osobowych jest rozproszona. Bardzo często korzysta się z usług podmiotów zewnętrznych w zakresie świadczenia usług. Wyznaczenie inspektora ochrony danych u samego operatora z pewnością będzie obowiązkowe, jednak należy zaznaczyć, że również podmiot przetwarzający będzie musiał wyznaczyć taką osobę zawsze, gdy główna jego działalność będzie polegała na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Obowiązek ten znacznie podniesie koszty współpracy wszystkich podwykonawców przedsiębiorstw telekomunikacyjnych, co również powinno zostać uwzględnione w procesie dostosowania.

Warto pamiętać, że nowe przepisy nakładają dodatkowe obowiązki wobec podmiotów przetwarzających dane osobowe, czyli obecnych podwykonawców. Spośród nich najbardziej dotkliwy będzie obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Operatorzy telekomunikacyjni bardzo często korzystają z usług małych podmiotów, w tym jednoosobowych działalności gospodarczych, które nie są nawet świadome istnienia obowiązków wynikających z obecnie obowiązujących przepisów prawa, nie wspominając o zbliżających się zmianach. W związku z tym proces nadzoru nad podwykonawcami również zwiększy koszty prowadzenia działalności przez operatorów.

Privacy by design & privacy by default

Kolejnym obowiązkiem, który z pewnością wymaga zmian organizacyjnych, jest podejście do realizacji nowych projektów zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania danych osobowych. Branża telekomunikacyjna będzie musiała rozważyć wdrożenie takich środków jak pseudonimizacja, w celu skutecznej realizacji zasad ochrony danych, czy minimalizacja danych oraz nadanie przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia i chronić prawa osób, których dane dotyczą. Zapewnienie ochrony danych osobowych na etapie projektowania nowych procesów i sposobów przetwarzania danych z pewnością będzie działaniem bardzo czasochłonnym i związanym z dodatkowymi kosztami.

Nieco inną, nową powinnością będzie wdrożenie mechanizmów, które spowodują że domyślnie przetwarzane będą wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Minimalizacja zakresu danych w stosunku do konkretnych celów przetwarzania danych może być problematyczna. Przykładowo większość operatorów telekomunikacyjnych z góry zakłada, że dzisiejszy klient jest potencjalnym jutrzejszym dłużnikiem i z tego względu często pobiera więcej danych niż jest to niezbędne do celu, w jakim są świadczone usługi telekomunikacyjne.

Podsumowując w świetle nadchodzących zmian prawnych omówione zagadnienia są najtrudniejsze do wdrożenia i wymagają najwięcej czasu. To właśnie od tych obszarów branża telekomunikacyjna powinna rozpocząć procesy dostosowania do nowych unijnych regulacji. Warto dodać, że dla każdego podmiotu w branży telekomunikacyjnej 17 miesięcy to bardzo krótki okres na to, by dostosować to, co jeszcze nie spełnia wymogów rozporządzenia oraz przygotować procedury działania po 25 maja 2018 r.

 

Autor: Konrad Gałaj-Emiliańczyk
ekspert ds. ochrony danych, ODO 24

Total
0
Shares
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Artykuły na pokrewne tematy
Czytaj więcej

Swobodny przepływ danych nieosobowych w Unii Europejskiej

Budowanie europejskiej gospodarki opartej na danych jest jednym z priorytetów Unii Europejskiej. Przyjęty przez Parlament Europejski projekt rozporządzenia w sprawie ram dotyczących swobodnego przepływu danych nieosobowych w UE jest kolejnym elementem konsekwentnej polityki w tym kierunku. Już 6 listopada nastąpi pierwsze czytanie projektu w Radzie UE, zatem wszystko wskazuje na to, że jeszcze w listopadzie rozporządzenie zostanie uchwalone i opublikowane. Rozporządzenie ma stanowić uzupełnienie zasad ochrony danych osobowych na gruncie RODO, tworząc tym samym kompleksowe i spójne ramy unijne, umożliwiające swobodny przepływ danych na jednolitym rynku cyfrowym.
Czytaj więcej

Nowa infolinia konsumencka

800 889 866 – to nowy numer infolinii konsumenckiej, która umożliwia każdemu konsumentowi w Polsce dostęp do pomocy prawnej. Prawnicy odpowiadają także na pytania konsumentów pod adresem porady@dlakonsumentow.pl. Zarówno połączenie, jak i porady są bezpłatne.