W maju 2018 roku weszło w życie ogólne rozporządzenie o ochronie danych osobowych, w skrócie – RODO. Jakie niesie to za sobą konsekwencje dla przedsiębiorców?
Przepisy regulowane przez RODO weszły w życie w maju 2018 roku i dotyczą każdego podmiotu, w tym podmiotów publicznych i prywatnych przedsiębiorców, które przetwarzają dane osobowe. Zasady RODO mają chronić wszystkich obywateli, nie tylko obywateli Unii Europejskiej, przed m. in. niekontrolowanym gromadzeniem, rozprzestrzenianiem, a także przed nielegalnym udostępnianiem danych osobowych wbrew ich woli. Niestosowanie się do zasad grozi bardzo wysokimi karami finansowymi.
Kogo dotyczy RODO?
Rozporządzenie z 25 maja 2018 wprowadziło wiele zmian w podejściu do przetwarzania danych osobowych. Przepisy rozporządzenia o ochronie danych osobowych dotyczą każdego przedsiębiorcy, który w ramach funkcjonowania swojej firmy gromadzi i przetwarza dane osobowe. Poprzez przetwarzanie rozumie się np. zbieranie, kopiowanie, zapisywanie, ujawnianie, czy archiwizowanie takich danych. Do danych osobowych zalicza się każda informacja identyfikująca albo pozwalająca na identyfikację konkretnej osoby fizycznej, na przykład:
- imię i nazwisko,
- PESEL/NIP,
- odciski palców,
- numer IP,
- wizerunek,
- kod DNA,
- numer faktury, numer rachunku bankowego itp.
Warto nadmienić, że pojedyncze dane, takie jak: wyłącznie imię, adres e-mail bez konkretnego imienia i nazwiska lub domeny firmowej, wyłącznie miasto czy ulica nie stanowią jeszcze danych osobowych, jeżeli na takim poziomie ogólności nie identyfikują konkretnej osoby fizycznej. Jednak jeżeli po połączeniu z innymi informacjami – na przykład połączenie imienia i nazwiska z adresem zamieszkania lub z datą urodzenia umożliwiają nam taką identyfikację, to już należy je rozumieć jako dane osobowe w rozumieniu RODO. Ważne: Dane osobowe na gruncie RODO dotyczą wszystkich osób fizycznych, a więc i prywatnych, i przedsiębiorców prowadzących działalność gospodarczą jako osoba fizyczna, ale też danych służbowych (służbowych danych kontaktowych, danych ujawnionych w KRS). Dane osobowe w rozumieniu RODO nie dotyczą osób zmarłych.
Obowiązki przedsiębiorcy po wprowadzeniu RODO
Rozporządzenie o ochronie danych osobowych z dnia 25 maja 2018 roku reguluje wiele nowych obowiązków dla przedsiębiorców przetwarzających dane osobowe. Oto najważniejsze z nich:
- wykazanie co najmniej jednej podstawy uprawniającej przetwarzanie danych osobowych. Uwaga: podstaw prawnych jest kilkanaście (w zależności od rodzaju danych i celu ich przetwarzania) i nie zawsze będzie to zgoda
- w przypadku konieczności uzyskania zgody od osób, których dane dotyczą – dopilnowanie warunków jej wyrażenia, m. in. tego, że zgoda musi zostać wyrażona jeszcze przed rozpoczęciem przetwarzania danych w zakładanym celu, musi także być jednoznaczna, konkretna, dobrowolna i udokumentowana. Ważne: w przypadku osób do ukończenia 16 lat zgoda na przetwarzanie ich danych osobowych musi być wyrażona przez rodzica lub opiekuna dziecka. Co za tym idzie, przedsiębiorcy muszą wdrożyć procedury, które umożliwią wykazanie, że rodzice dziecka wyrazili zgodę na przetwarzanie jego danych osobowych.
- Przed wyrażeniem zgody osoba fizyczna musi zostać poinformowana o tym, że ma możliwość wycofania jej w każdym momencie
- Zbierając dane osobowe należy poinformować osobę przede wszystkim o tym, kto, po co, na jakiej podstawie, jak długo zamierza je przetwarzać, czy komu zamierza je ujawnić. Należy także przedstawić wszystkie prawa przysługujące danej osobie, np. prawo do usunięcia swoich danych z bazy danych należącej do danego przedsiębiorstwa.
- W przypadku, kiedy firma korzysta z usług innego przedsiębiorstwa, na przykład powierzając mu swoją dokumentację kadrowo-płacową lub faktury, bądź korzysta z usług utrzymania danych na serwerach innej firmy należy zawrzeć umowę powierzenia w formie pisemnej, która zobowiąże firmę partnerską do ochrony danych „naszych” klientów czy pracowników. W umowie powierzenia musi być zawarty w szczególności: cel przetwarzania przez podmiot świadczący usługę, wykaz kategorii osób, których dane się powierza, rodzaj/zakres danych, warunki dalszego powierzenia.
- Istnieje obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych lub rejestru kategorii czynności przetwarzania (za wyjątkiem przedsiębiorstw zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w RODO, jak np. dane os tanie zdrowia lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa – wówczas rejestrowanie czynności jest obowiązkiem niezależnie od liczby pracowników).
- Dodatkowo, przedsiębiorca ma obowiązek monitorowania ryzyka i sporządzania wyników analizy ryzyka.
- Kolejny obowiązek to odpowiednie zabezpieczenie danych osobowych obowiązek monitorowania ryzyka i sporządzania wyników analizy ryzyka.
- Każdy przedsiębiorca ma obowiązek szczególnego zadbania o ochronę danych osobowych już na etapie planowania procesów i przyjęcia ochrony danych jako domyślne założenie.
- Warto dodać, że rozporządzenie o ochronie danych osobowych z maja 2018 roku nie określa jasno procedur, które powinny być wdrożone w celu ochrony danych – przedsiębiorcy mają tutaj swobodę w doborze środków, jednak obowiązkiem jest opracowanie stosownych, w zależności od potrzeb danego podmiotu, polityk ochrony danych.
Źródło: ISecure – inpektor ochrony danych osobowych