RODO funkcjonuje w Polsce już od ponad 4 lat, a dalej budzi spore kontrowersje i spędza sen z powiek niejednemu przedsiębiorcy. Czy jednak jest się czego obawiać? Wdrożenie RODO dla firm firmie może wydawać się trudne. Jeżeli jednak uwzględnisz w bieżącej działalności firmy 5 najważniejszych zasad RODO, jest duża szansa, że unikniesz ewentualnych kar. Jak chronić dane osobowe w firmie i bezpiecznie prowadzić biznes?
RODO dla firm: podstawa prawna
O RODO słyszał chyba prawie każdy. Warto jednak wskazać dokładnie, jaki dokument kryje się za tym skrótem, aby w razie procesu wdrożenia wiedzieć, do jakiego aktu prawnego sięgnąć i uzyskać niezbędne informacje.
RODO to nic innego jak unijne rozporządzenie nr. 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Nazwa skrócona tego dokumentu prawnego, od której pochodzi skrót RODO to: “rozporządzenie o ochronie danych osobowych”.
Wiele słyszy się w ostatnim czasie o implementacji przepisów unijnych do krajowych porządków prawnych. Czy wdrożenie RODO wymagało polskiej ustawy? Odpowiedź brzmi: nie, RODO jest stosowane w Polsce i innych krajach UE bezpośrednio. Wynika to z faktu, że unijne rozporządzenia są zawsze bezpośrednio i jednolicie stosowane w każdym kraju członkowskim (nie wymagają “implementacji”, czyli wydania ustaw krajowych, które wprowadzą je do krajowego porządku).
Jakie obowiązki niesie ze sobą RODO?
RODO jest aktem prawnym, który wywrócił do góry nogami działalność wielu przedsiębiorców. Miało to związek z licznymi procedurami i obowiązkami, które zostały wprowadzone, są to:
- obowiązki wdrożenia określonych procedur;
- obowiązki sporządzenia określonych dokumentów np. polityki bezpieczeństwa;
- obowiązki organizowania szkoleń;
- obowiązki informacyjne;
- kwestie administracyjne (np. powierzenie przetwarzania danych w podmiotach powiązanych, przekazywanie informacji do urzędów).
Bardzo ważne jest, że wszystkie te obowiązki należy realizować mając na uwadze najważniejsze zasady RODO w firmie. Jakimi konkretnie zasadami należy się obecnie kierować, aby prowadzić firmę bezpiecznie z punktu widzenia RODO i z poszanowaniem ochrony danych osobowych?
Bazując na praktycznym doświadczeniu, wyodrębniliśmy 5 najważniejszych zasad, które należy mieć na uwadze w każdym aspekcie, jeżeli chodzi o dane osobowe (chodzi tutaj zarówno o przetwarzanie, zbieranie, przekazywanie itp).
Zasada zgodności
“Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą”
Jest to podstawowa zasada RODO. Zgodnie z nią każde przetwarzanie danych osobowych będzie musiało mieć swoją podstawę (np. w formie wyraźnej zgody klienta na przetwarzanie- np. podpis na formularzu RODO). Ponadto, wdrożenie tej zasady wymaga sporządzenia klauzuli informacyjnej dot. przetwarzania danych.
Zasada ograniczenia i minimalizacji danych
“Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (...) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”
Zgodnie z zasadą ograniczenia danych, można zbierać dane tylko w jasno określonym celu. Jeżeli np. salon samochodowy z serwisem zebrał dane osobowe celem poinformowania o kosztach naprawy i o zakończeniu prac, to co do zasady nie może on ich wykorzystać, aby zaproponować klientowi zakup nowego auta.
Zasada prawidłowości danych
“Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane”
Ta zasada bardzo często jest błędnie interpretowana. Nie oznacza ona bowiem obowiązku codziennego czy cotygodniowego dzwonienia do klientów z pytaniem, czy ich dane osobowe są poprawne. Administrator musi podjąć rozsądne działania, aby dane osobowe, które są nieprawidłowe zostały niezwłocznie usunięte lub sprostowane.
Zasada ograniczenia przechowania danych
“Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane”
Celem tej zasady jest, aby dane nie były przechowywane przez nieograniczony czas. Po osiągnięciu celów przetwarzania dane powinny zostać usunięte albo zanonimizowane. Zgodnie z wytycznymi RODO, administrator powinien ustalić termin usuwania lub okresowego przeglądu danych, aby w pełni realizować zasadę ograniczenia przechowania danych. Przechowywanie danych po anonimizacji jest dopuszczalne nawet na czas nieokreślony.
Zasada integralności i poufności danych
“Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem”
Innymi słowy, dane przetwarzane przez administratora muszą być zabezpieczone. Zabezpieczenie danych stanowi jeden z najistotniejszych elementów ochrony danych. Jak można zabezpieczyć dane? Może się to odbyć na kilka sposobów, a administrator może wdrożyć zabezpieczenia o charakterze technicznym (zamki w drzwiach, hasła) i organizacyjnym np. udostępnianie danych tylko niektórym pracownikom). Powyższe, jeżeli prawidłowo wdrożone, może zapewnić poufność danych.
Zasada rozliczalności
“Administrator jest odpowiedzialny za przestrzeganie przepisów i musi być w stanie wykazać ich przestrzeganie”
Dowody. To jeden z podstawowych elementów obrony podczas każdej kontroli. Jeżeli Prezes Urzędu Ochrony Danych Osobowych będzie miał wątpliwości, to administrator będzie musiał wykazać, że spełniał obowiązki wynikające z RODO. Jest to już nie tylko w jego dobrze pojętym interesie, ale jest to wprost określone w rozporządzeniu, jako jedna z podstawowych zasad RODO.
Obowiązki administratora danych osobowych
Najważniejszą osobą, jeżeli chodzi o wdrożenie i przestrzeganie RODO w firmie jest Administrator Danych Osobowych. Na tę osobę przepisy nakładają szczególne obowiązki, m.in. administrator musi:
- zastosować środki zapewniające ochronę przetwarzanych danych osobowych;
- prowadzić dokumentacje opisująca sposób przetwarzania danych;
- zapewnić kontrole dot. tego jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;
- zapewnić, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby uprawnione i prowadzić rejestr takich osób;
- poinformować osobę, której dane dotyczą o adresie swojej siedziby, celu zbierania i przetwarzania danych, o odbiorcach tych danych oraz o prawie dostępu do danych i możliwości ich aktualizacji.
Znajdź inspektora danych osobowych dla siebie, wejdź na ONLE.pl
Kiedy powołać IOD?
Powołanie IOD, czyli Inspektora Ochrony Danych to zazwyczaj dla przedsiębiorcy kolejny koszt. Musi on albo zatrudnić firmę zewnętrzną w ramach tzw. outsourcingu, albo dodać kolejny zakres obowiązków zatrudnionym pracownikom (zazwyczaj za dodatkowym wynagrodzeniem). Czy każda firma musi powołać Inspektora?
Na szczęście nie, dotyczy to wyłącznie niektórych firm, które działają na danych osobowych w znacznej skali (np. firmy handlujące bazami danych czy call-center). Jeżeli chcesz się upewnić, czy musisz zatrudnić inspektora danych osobowych w firmie wejdź na ONLE.pl i skorzystaj z profesjonalnej pomocy prawnej.
Czy każdy musi wdrożyć RODO?
Zasadniczo w każdej firmie będą przetwarzane dane osobowe. Niezależnie, czy są to dane pracowników, klientów czy kontrahentów, należy przygotować określone dokumenty prawne. Warto jednak jednoznacznie powiedzieć, że nie w każdej firmie przetwarzanie będzie tak samo skomplikowane. W firmie zajmującej się tworzeniem baz danych czy w callcenter RODO będzie dużo bardziej skomplikowane niż np. w stolarni czy w małym składzie budowlanym.
Nie oznacza to jednak, że wdrożenie RODO można bagatelizować- w obliczu kryzysu Prezes Urzędu Ochrony Danych Osobowych może poszukiwać nowych wpływów z kar również w firmach z sektora MŚP.
Podsumowanie
RODO i obowiązki z niego wynikające w dalszym ciągu paraliżują wielu przedsiębiorców. Nie każdy przedsiębiorca jest prawnikiem i musi dokładnie wiedzieć, jak chronić dane osobowe, żeby nie narazić się na kary. Warto jednak podkreślić, że wdrożenie RODO w firmie można powierzyć prawnikowi zewnętrznemu- może on nie tylko zaopiniować dokumenty, ale także zaproponować nowe procedury czy przeprowadzić szkolenia. Pomoc we wdrożeniu RODO w zasadzie nie wymaga stacjonarnej wizyty w firmie. Może się zatem odbyć online. W tym zakresie warto rozważyć skorzystanie z pomocy jednego z ekspertów ds. danych osobowych, którego mogą Państwo znaleźć w ONLE- nowoczesnej kancelarii prawnej.
