Realizacja praw osób, których dane dotyczą
Nowe uprawnienia osób fizycznych w zakresie prawa do bycia zapomnianym wiążą się z utrudnieniami po stronie systemów informatycznych. Osoba, której dane dotyczą, ma prawo żądania od administratora usunięcia jej danych osobowych, a administrator ma obowiązek te dane usunąć.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Kolejnym problemem jest realizacja uprawnienia osób do ograniczenia przetwarzania danych osobowych. Realizacja tego obowiązku z pewnością będzie wymagała zatrudnienia większej liczby osób. Będą one miały dodatkowe obowiązki w zakresie modyfikowania często zautomatyzowanych procesów w przedsiębiorstwie telekomunikacyjnym. Przykładowo ograniczenie nadpisywania danych w stosunku do niektórych rekordów, co do których osoby złożyły wniosek o ich dalsze przetwarzanie. Tego typu zmiany będą wymagały nie tylko modyfikacji w samych systemach informatycznych ale również w procesach przetwarzania danych.
Uwaga
Ostatecznie realizacja prawa do przenoszenia danych będzie w tej branży problematyczna dlatego, że osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym formacie nadającym się do odczytu maszynowego dane osobowe, które dostarczyła administratorowi. Co więcej ma prawo przesłać te dane innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Problemem w tym przypadku są różnice pomiędzy formatami baz danych używanymi przez poszczególnych przedsiębiorców, gdyż nie każde oprogramowanie akceptuje powszechnie używane formaty.
Wyznaczenie inspektora
W branży telekomunikacyjnej, bardzo często korzysta się z usług podmiotów zewnętrznych w zakresie świadczenia usług. Wyznaczenie inspektora ochrony danych u samego operatora z pewnością będzie obowiązkowe. Podmiot przetwarzający będzie musiał również wyznaczyć inspektora ochrony danych, zawsze gdy główna działalność tego podmiotu polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Obowiązek ten podniesie koszty współpracy wszystkich podwykonawców przedsiębiorstw telekomunikacyjnych.
Warto pamiętać, że nowe przepisy nakładają dodatkowe obowiązki wobec podmiotów przetwarzających dane osobowe. Spośród nich najbardziej dotkliwy będzie obowiązek korzystania z usług takich podmiotów przetwarzających, które zapewniają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą. Operatorzy telekomunikacyjni bardzo często korzystają z usług małych podmiotów, które nie są nawet świadome istnienia obowiązków wynikających z obecnie obowiązujących przepisów prawa, nie wspominając o zbliżających się zmianach. W związku z tym nadzór nad podwykonawcami zwiększy koszty prowadzenia działalności przez operatorów.
Prywatność w fazie projektowania i ustawiona domyślnie (z ang. privacy by design & privacy by default)
Innym, nowym obowiązkiem będzie wdrożenie mechanizmów, które spowodują by domyślnie przetwarzane były tylko te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Minimalizacja zakresu danych może być dość problematyczna. Większość operatorów telekomunikacyjnych z góry zakłada, że dzisiejszy klient jest potencjalnym jutrzejszym dłużnikiem i z tego względu często pobiera więcej danych niż jest to niezbędne do celu jakim jest świadczenie usług telekomunikacyjnych.
Powyższe zagadnienia są najtrudniejsze do wdrożenia i wymagają najwięcej czasu. To właśnie od tych obszarów branża telekomunikacyjna powinna rozpocząć procesy dostosowania.