Każdy przedsiębiorca powinien spełniać obowiązki wynikające z RODO. Rozporządzenie o ochronie danych osobowych zawiera ogólne wytyczne stanowiące, jak należycie chronić dane osobowe w procesie ich przetwarzania oraz jak egzekwować prawo do ochrony danych osobowych.
Spis treści
Czym są dane osobowe wg. rozporządzenia o ochronie danych osobowych?
Zgodnie z RODO, dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego, jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Przetwarzanie danych osobowych oznacza natomiast wszelkie operacje (czynności) wykonywane na danych osobowych, np. samo ich przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, a nawet usuwanie.
Przetwarzając dane osobowe, przedsiębiorca jest zobowiązany do stosowania całego spektrum wymagań zawartych w RODO, które wymienione są w dalszej części artykułu.
Przepisy RODO – stosowanie się do zasad przestrzegania danych osobowych
Dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Oznacza to, że podmiot danych powinien być informowany o przetwarzaniu jego danych, powinien mieć także świadomość typowych konsekwencji, jakie z przetwarzaniem się wiążą.
CZYTAJ TAKŻE: Zgłoszenie naruszenia danych osobowych – formularz
Dane osobowe mają być przetwarzane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada ograniczonego celu). Zbieranie danych nie jest dopuszczalne, jeżeli nie zostały określone cele, dla których mają być one zebrane. Zakazuje się także zbierania danych „na zapas” dla przyszłych, nieoznaczonych jeszcze celów. Przedsiębiorstwo musi także zapewnić ograniczenie zakresu przetwarzanych danych osobowych do minimum.
Wdrożenie odpowiednich środków technicznych i organizacyjnych
Prawodawca nakazuje wdrożenie zabezpieczeń, ustanawiając w tym zakresie regułę proporcjonalności – zabezpieczenia powinny być odpowiednie – nie chodzi tu o zabezpieczenia najlepsze z możliwych (najnowsze, najdroższe, najbardziej zaawansowane technologicznie), a o takie środki techniczne i organizacyjne, które są proporcjonalne. Przy dokonywaniu oceny proporcjonalności zabezpieczeń należy wziąć pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.
W praktyce oznacza to konieczność dostosowania wdrażanych zabezpieczeń, m.in. do:
- rodzaju danych – charakter (czy są to dane „zwykłe”, czy też szczególne kategorie danych, np. dotyczące zdrowia);
- sposobu przetwarzania danych, zakresu (ilości osób, których dane są przetwarzane, rozproszenia geograficznego przetwarzania);
- kontekstu (czyli czym zajmuje się administrator danych);
- ryzyka, jakie wiąże się z przetwarzaniem (ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko).
Środki zabezpieczenia prawodawca podzielił na dwie grupy: środki techniczne i środki organizacyjne. Pierwsza grupa odnosi się do rozwiązań technicznych (np. systemy alarmowe; zabezpieczenie dostępu hasłem w systemie informatycznym; szyfrowanie danych zawartych na dysku), natomiast druga grupa dotyczy rozwiązań w zakresie organizacji przetwarzania danych (np. kontrola dostępu do kluczy, wyodrębnienie stref ograniczonego dostępu, wdrożenie odpowiednich polityk np. „czystego” biurka).
Realizowanie praw osób
Administrator ma obowiązek realizować prawa osób, których dane dotyczą:
- prawo do informacji o zbieraniu danych osobowych,
- prawo do dostępu do danych i do kopii danych,
- prawo do sprostowania danych,
- prawo do usunięcia danych,
- prawo do ograniczenia przetwarzania,
- prawo do przeniesienia danych,
- prawa do sprzeciwu wobec przetwarzania dotyczących jej danych osobowych.
CZYTAJ TAKŻE: Dane przedsiębiorcy a RODO – czy są potrzebne?
Wypełnianie obowiązków informacyjnych podczas pozyskiwania danych osobowych
Podmiot danych ma wiedzieć o tym, że przedsiębiorca – administrator przetwarza lub zamierza przetwarzać jego dane osobowe. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej informacje tj. m.in.:
- swoją tożsamość,
- dane kontaktowe,
- cele przetwarzania danych osobowych,
- podstawę prawną przetwarzania,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców,
- okres, przez który dane osobowe będą przechowywane,
- informacje o prawie wniesienia skargi do organu nadzorczego.
Przekazanie przedmiotowych informacji powinno być realizowane w sposób zindywidualizowany wobec konkretnej osoby, której dane administrator gromadzi, a zatem informacja nie może być kierowana do ogółu zainteresowanych. W przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (np. gdy administrator kupił marketingową bazę danych), administrator podaje tej osobie informacje m.in. źródła pochodzenia danych osobowych.
Prowadzenie odpowiedniej dokumentacji
RODO wymaga wykazania zgodności sposobu działania podmiotu z przepisami RODO (zasada rozliczalności). Jak wykazać szczególną staranność przy wdrażaniu RODO i przetwarzaniu danych osobowych? Za pomocą odpowiednich dokumentów. Rekomenduje się więc wdrożenie odpowiedniej dokumentacji np. polityki ochrony danych (która będzie zawierać opis przyjętych w firmie standardów i procedur związanych z ochroną danych osobowych), klauzul informacyjnych, klauzul zgód, upoważnień do przetwarzania danych czy uprawnień dostępu do danych lub systemów.
Prowadzenie rejestru czynności przetwarzania danych osobowych
Za prowadzenie rejestru odpowiada przedsiębiorca. Odpowiada także za rejestr kategorii czynności przetwarzania, dokonywanych w imieniu administratora (zakres danych umieszczanych w rejestrze oraz rejestru naruszeń ochrony danych osobowych, zawierającego opis okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze).
CZYTAJ TAKŻE: Zgoda na przetwarzanie danych osobowych – wzór
Gwarancja wdrożenia odpowiednich środków technicznych i organizacyjnych
Obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Decydując się na powierzenie przetwarzania danych osobowych podmiotowi przetwarzającemu (podmiotowi, któremu administrator powierzył dane i kto używa danych dla administratora – np. firma obsługująca kadry i płace), przedsiębiorca jest zobowiązany korzystać wyłącznie z usług profesjonalisty, który zapewnia odpowiedni poziom ochrony. Ponadto, przetwarzanie przez podmiot przetwarzający danych na zlecenie administratora winno odbywać się na podstawie umowy.
Zobowiązanie do notyfikacji naruszenia ochrony danych osobowych
Naruszenia takie jak nieuprawniony dostępu do danych osobowych: wobec organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych oraz wobec osoby, której dane dotyczą. Zgłoszenie naruszenia PUODO jest obowiązkowe,chyba że jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych, a to, czy o naruszeniu należy zawiadomić osoby, których dane dotyczą, zależy przede wszystkim od tego, czy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności tych osób fizycznych.
W obszarze zarządzania naruszeniami ochrony danych osobowych możemy wyróżnić także obowiązek administratora podejmowania działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.
Obowiązek poddawania się kontroli Prezesa UODO
Celem kontroli jest sprawdzenie, czy przepisy o ochronie danych osobowych są przestrzegane przez kontrolowany podmiot.
Przeczytaj więcej w kategorii prawo gospodarcze.
Autorem tekstu jest Klaudia Nowak, radca prawny, Kancelaria Radców Prawnych Mirosławski, Galos. Mozes
