Coraz częściej słyszę, od przedsiębiorców iż pomimo wdrożenia RODO w 2018 r. ciągle mają jakieś zapytania od klientów czy przestrzegają przepisów o ochronie danych osobowy i w jak wygląda w ich przedsiębiorstwie obieg danych. W momencie gdy zaczynam pytać o konkrety – jakie procesy przetwarzania danych funkcjonują w spółce i w jaki sposób dane są zabezpieczone, w odpowiedzi najczęściej słyszę: „Yyyyyyyy…… No to dokumenty trzymamy w segregatorach w szafach zamykanych na klucz”. Jak zaczynam pytać gdzie jest klucz do tej przysłowiowej szafy, okazuje się że najczęściej znajduje się on w zamku wcześniej wspomnianego mebla 🙂
Jak widać pomimo bez mała prawie 3 lata obowiązywania rozporządzenia RODO nadal nie wszyscy są świadomi jak należy stosować przepisy dotyczące przetwarzania danych osobowych. Poniżej pokrótce przedstawię najważniejsze kwestie na jakie każdy przedsiębiorca powinien zwrócić uwagę:1. Realizacja obowiązku informacyjnegoPodstawowym dokumentem jakie jest wymagane przez rozporządzenie RODO jest klauzula informacyjna. Niestety – i tu zmartwię wielu przedsiębiorców – jeżeli prowadzicie działalność gospodarczą gdzie pozyskujecie dane swoich kontrahentów oraz pracowników, jedna klauzula informacyjna to za mało. Wynika to z tego że dane pracowników są przetwarzane w innych celach niż dane klientów. Co więcej, samo rozporządzenie RODO narzuca nam bardziej rozbudowaną treść klauzuli informacyjnej dla osób których dane nie zostały pozyskane od nich bezpośrednio.2. Zgody na przetwarzanie danychDobra informacja – nie zawsze potrzebujemy zgody na przetwarzanie danej kategorii danych osobowych jej „właściciela”. Część kategorii danych osobowych każdy przedsiębiorca może przetwarzać w oparciu o obowiązujące przepisy prawa. Przykładowo jeżeli chodzi o pracowników, dane osobowe które może przetwarzać pracodawca bez konieczności uzyskania wcześniejszej zgody zostały wskazane w art. 221 Kodeksu pracy. Jednakże na przetwarzanie innych niż wskazane w ww. przepisie danych osobowych, np. wizerunek pracownika zamieszczony na stroni internetowej pracodawcy, konieczne jest już uzyskanie jego zgody, która powinna być wyrażona dobrowolnie.3. Upoważnienia dla pracowników do przetwarzania danychTo że zatrudniamy pracownika w naszej firmie, nie znaczy że może on mieć dostęp do wszelkich zbiorów danych osobowych jakie funkcjonują w przedsiębiorstwie. Jedną z podstawowych zasad znormatywizowanych w rozporządzeniu RODO jest zasada poufności danych. Co za tym idzie, przysłowiowy Pan Heniek pracujący na magazynie nie musi znać numerów PESEL czy też adresów zamieszkania wszystkich pracowników firmy, ale dla Pani Ani z kadr wiedza ta już jest potrzebna np. do przygotowania dokumentacji zalegającej w teczkach osobowych pracowników. Co zatem powinien zrobić właściciel przedsiębiorstwa pełniący funkcję Administratora Danych Osobowych? Określić jakie zbiory danych osobowych funkcjonują w jego firmie (np. dane kadrowe pracowników, dane identyfikacyjne klientów, itd.) i wskazać do których z tych zbiorów pracownicy poszczególnych działów mają mieć dostęp. Wszystkie te informacje zawsze są utrwalane w treści upoważnień pracowników do przetwarzania danych. 4. Umowa powierzenia przetwarzania danychKolejny bardzo ważny dokument jaki powinien funkcjonować w każdym przedsiębiorstwie, które przestrzega norm zawartych w rozporządzeniu RODO. Ww. umowa zawiera prawa i obowiązki Administratora Danych Osobowych i Podmiotu przetwarzającego, który przetwarza dane osobowe w imieniu Administratora. Dlaczego powinniśmy mieć taką umowę? Dlatego, że zgodnie z treścią rozporządzenia każdy Administrator który w swojej działalności korzysta z pomocy Podmiotu przetwarzającego ponosi odpowiedzialność za jego działania i zaniechania. Dodatkowo w takiej umowie można wskazać jaki poziom i środki zabezpieczeń wdrożył Podmiot przetwarzający oraz w jaki sposób i na jakich zasadach Administrator może zweryfikować przestrzeganie postanowień umowy powierzenia przez Podmiot przetwarzający.5. Dokumentacja RODO Rozporządzenie RODO nie narzuca nam sztywnego katalogu dokumentów jaką powinniśmy przygotować w celu udowodnienia na potrzeby ewentualnej kontroli przestrzegania norm związanych z ochroną danych osobowych. Dobrze jeżeli w firmie funkcjonuje dokument zawierający procedury organizacyjne i środki techniczne mające na celu ochronę danych osobowych (tzw. Polityka bezpieczeństwa danych osobowych), rejestr czynności przetwarzania, rejestr kategorii przetwarzania, rejestr naruszeń czy też raport z przeprowadzonych ocen skutków dla ochrony danych osobowych. Wiele osób twierdzi, ze jeżeli w przedsiębiorstwie nie jest zatrudnionych ponad 250 pracowników to nie potrzeba posiadać rejestru czynności przetwarzania danych osobowych. Poniekąd jest to prawda, ale zgodnie z art. 30 ust. 5 Rozporządzenia RODO z tego obowiązku zwolnieni są przedsiębiorcy zatrudniający mniej niż 250 osób pod warunkiem, że przetwarzanie, którego dokonują nie będzie powodować ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma charakter sporadyczny lub nie obejmuje szczególnych kategorii danych osobowych lub danych o wyrokach skazujących. Jak widać powyższe wyłączenie ma charakter bardzo iluzoryczny, bo który przedsiębiorca przetwarza dane swoich klientów jedynie w sposób sporadyczny? W mojej opinii zawsze lepiej przygotować rejestr czynności przetwarzania danych osobowych niż później płacić karę za to, że się go nie miało. Powyżej jedynie pokrótce przedstawiono podstawowe, najczęściej spotykane kwestie związane z przetwarzaniem danych osobowych zgodnie z normami zawartymi w Rozporządzeniu RODO. Niestety nie są do wszystkie problemy jakie pojawiają się w związku z stosowaniem ww. aktu pranego. Ale kwestie konieczności powołania Inspektora Ochrony Danych Osobowych czy problematyki przeprowadzenia analizy ryzyka i oceny skutków dla ochrony danych osobowych zostawmy sobie na następny raz …… 🙂
Jeśli więc jeszcze nie wdrożyliście RODO, nie wiecie czy wdrożyliście je prawidłowo, albo chcecie sprawdzić czy działacie zgodnie z prawem zapraszamy do kontaktu.
