RODO dla przedsiębiorców

W dniu 25 maja 2018 r. wszystkich przedsiębiorców zaczęło obowiązywać RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Wielu przedsiębiorców, w szczególności tych najmniejszych, ma poważne trudności w zakresie wprowadzenia nowych regulacji prawnych. By rozwiać przynajmniej część z pojawiających się wątpliwości poniżej zamieszczono podstawowe informacje odnośnie ochrony danych osobowych.

Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym

W pierwszej kolejności przedsiębiorca – administrator danych (AD) – musi zweryfikować, czy posiada już dokument Polityki Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym – są to dwa podstawowe dokumenty dotyczące ochrony danych osobowych.

Jeżeli nie posiadamy takich dokumentów w swojej firmie, to w pierwszej kolejności musimy skupić się na ich opracowaniu lub też zleceniu ich opracowania osobie posiadającej odpowiednie kompetencje w zakresie ochrony danych osobowych.

Jeżeli posiadamy takie dokumenty, wystarczające jest ich dostosowanie do aktualnych wymogów prawnych, poprzez zmianę zapisów w posiadanej dokumentacji, w tym również zmianę nazewnictwa.

Zgoda na przetwarzanie i obowiązek informowania

Każdy AD musi pamiętać, że przetwarzanie danych dla innych celów niż realizacja umowy, marketing bezpośredni i nadrzędne cele administratora, wymaga uzyskania zgody klienta na przetwarzanie jego danych dla określonego celu. W każdym przypadku przetwarzania danych osobowych osoba, której dane dotyczą, musi zostać w szczególności poinformowana w zakresie danych osobowych i kontaktowych administratora, celu i podstawie prawnej przetwarzania danych, prawnie uzasadnionym interesie administratora, odbiorcach danych lub ich kategoriach, a także pouczona o przysługujących jej prawach, w tym okresie, przez który dane osobowe będą przetwarzane, prawie żądania dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, prawie do przenoszenia danych, prawie do cofnięcia udzielonej zgody, a także o prawie do wniesienia skargi do organu nadzorczego.

Odpowiednie zgody i klauzule powinny zostać zamieszczone zarówno na stronach internetowych administratora, jak i w tradycyjnych umowach.

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania co do zasady nie jest obowiązkowym dokumentem, związanym z ochroną danych osobowych. Obowiązek jego prowadzenia dotyczy przede wszystkim przedsiębiorstw zatrudniających co najmniej 250 osób. Od tej zasady istnieje jednak wyjątek. Jeżeli przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, wtedy AD musi prowadzić rejestr przynajmniej w odniesieniu do tych kategorii osób, których dane objęte są takim obowiązkiem. Taką grupą są na przykład pracownicy, których dane osobowe są przetwarzane przez pracodawcę w sposób ciągły, a nie sporadyczny.

Inspektor ochrony danych (IOD)

Wyznaczenie inspektora ochrony danych nie jest zazwyczaj obowiązkowe. Obowiązek jego wyznaczenia dotyczy przede wszystkim organów publicznych (z wyjątkiem sądów) oraz podmiotów, które przetwarzają dane w taki sposób, że wymaga to regularnego i systematycznego monitorowania na dużą skalę lub gdy przetwarzaniu na dużą skalę podlegają szczególne kategorie danych osobowych.

Zadaniem IOD jest przede wszystkim informowanie administratora i jego pracowników o ciążących na nich obowiązkach w zakresie ochrony danych osobowych, a także monitorowanie przestrzegania tych obowiązków.

IOD powinna być osoba niezależna od administratora danych lub zatrudniona na stanowisku, z którym wiąże się niezależność od tego administratora.

Administrator Systemów Informatycznych (ASI)

Powołanie ASI jest dobrowolne i znajduje zastosowanie najczęściej w większych firmach, gdzie systemy informatyczne są znacznie rozbudowane, co generuje dodatkowe zagrożenia w przetwarzaniu danych osobowych. ASI powinna więc być osoba, która zarówno posiada wiedzę z zakresu ochrony danych osobowych, jak i odpowiednią wiedzę informatyczną.

Podsumowanie

Biorąc pod uwagę charakter nałożonych na AD obowiązków, a w szczególności konieczność uzewnętrznienia spełnienia wymagań RODO (klauzule informacyjne, prośby o zgodę i komunikaty na stronach internetowych), a także wysokość kar finansowych (maksymalnie 20 000 000 EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego) wdrożenie pełnej Polityki Bezpieczeństwa danych osobowych powinno być priorytetem w każdej firmie, zarówno ze względu na wyżej wymienione kary, jak i ze względu na odbiór danego podmiotu w obrocie profesjonalnych oraz w relacjach z klientami.

Opracował:
Radca prawny Grzegorz Sierka
Kancelaria Radcy Prawnego Grzegorz Sierka