RODO to rozporządzenie Parlamentu Europejskiego z dnia 26 kwietnia 2016 roku wprowadzające nowe standardy w ochronie danych osobowych osób fizycznych. Jego postanowienia wejdą w życie w dniu 25 maja 2018 roku. Do tej daty przedsiębiorstwa gromadzące i przetwarzające dane osobowe powinny zrewidować funkcjonujący system ochrony danych i dostosować je do wymogów rozporządzenia. Jeżeli RODO w przedsiębiorstwie nie zostanie albo zostanie niewłaściwe wprowadzone podmiot gospodarczy może narazić się na odpowiedzialność i szereg kar pieniężnych. W związku z tym warto zapoznać się z podstawowymi informacjami jak wdrożyć RODO w przedsiębiorstwie.
RODO w przedsiębiorstwie – podstawowe pojęcia
Z ochroną danych osobowych wiążą się trzy podstawowe pojęcia tj. dane osobowe, ich przetwarzanie oraz administrator danych.
Dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Ta identyfikacja może nastąpić na podstawie danych jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Administrator danych – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Przedsiębiorca jako administrator danych
Do obowiązków przedsiębiorcy jako administratora danych np. danych osobowych pracowników, kontrahentów będącymi osobami fizycznymi należy określenie celu przetwarzania danych osobowych oraz sposobów ich przetwarzania.
Jeżeli chodzi o cel przetwarzania danych osobowych to wyznaczany jest danym stosunkiem prawnym istniejącym między przedsiębiorcą a osobą fizyczną wynikającym bądź to z przepisu prawa np. gromadzenie danych kandydatów na pracowników bądź ze stosunku cywilnoprawnego np. dane usługobiorców (osób fizycznych).
Na pojęcie sposobów przetwarzania danych to składa się cały proces przetwarzania danych wraz z infrastrukturą, oprogramowaniem służącym do przetwarzania danych.
Administrator nie musi być właścicielem wszystkich elementów infrastruktury.
Ponadto, do obowiązków administratora należy:
1. posiadanie podstawy przetwarzania danych osobowych np. zgody;
2. zabezpieczenie danych osobowych;
3. informowanie osoby fizycznej które jej dane są przetwarzane;
4. rejestracja czynności przetwarzania
Co to jest podstawa przetwarzania danych osobowych ?
Podstawa przetwarzania danych to warunek niezbędny by dane mogły być przetwarzane zgodnie z prawem. W świetle RODO za podstawę uznaje się sytuację gdy m.in.
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
Jak uzyskać zgodę na przetwarzanie danych osobowych ?
Aby przetwarzać dane osobowe przedsiębiorca musi uzyskać zgodę na ich przetwarzanie od osoby fizycznej, której one dotyczą. Zgoda jest udzielana na piśmie i zawiera oświadczenie osoby fizycznej oraz wskazuje cel przetwarzania np. proces rekrutacji.
Osoba fizyczna może wyrazić zgodę na przetwarzanie danych w innych celach. W takim wypadku zapytanie przedsiębiorcy musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.
Należy zauważyć, że pod pewnymi warunkami RODO przewiduje możliwość przetwarzania danych do celów nieobjętych zgodą osoby fizycznej.
Czym jest rejestracja czynności przetwarzania ?
Każdy administrator oraz podmiot przetwarzający są zobowiązani do prowadzenia rejestru czynności przetwarzania danych osobowych.
W rejestrze administrator zamieszcza się informację o czynnościach przetwarzania danych za które odpowiada. RODO wymienia tutaj dane administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych, opis środków bezpieczeństwa.
Z kolei podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Zawiera on dane podmiotu przetwarzającego, dane administratorów, inspektora ochrony danych, kategorie przetwarzań dokonywanych w imieniu administratora, opis środków bezpieczeństwa.
Rejestry są prowadzone w formie pisemnej i elektronicznej.
Czy każdy przedsiębiorca – administrator musi prowadzić rejestr?
Od obowiązku prowadzenia rejestru zwolnieni są przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób pod warunkiem, że przetwarzanie, którego dokonują nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma charakter sporadyczny lub nie obejmuje szczególnych kategorii danych osobowych czy też danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Czy przedsiębiorca może zlecić przetwarzanie danych osobowych innemu podmiotowi?
Profesjonalny podmiot przetwarzający
Aby RODO w przedsiębiorstwie funkcjonowało prawidłowo przedsiębiorca może zlecić przetwarzanie danych odpowiednim podmiotom – tzw. profesjonalnym podmiotom przetwarzającym. W tym celu niezbędne jest zawarcie umowy, która powinna określać m.in. przedmiot, czas trwania, cel powierzenia przetwarzania danych osobowych, zakres przetwarzanych danych osobowych, uprawnienia i obowiązki stron np. wspólne korzystanie z bazy danych oraz stosowne upoważnienie do przetwarzania danych.
Po mimo umowy należy pamiętać, że administrator w dalszym ciągu decyduje o celach i sposobach przetwarzania danych osobowych. Ponadto, jest on odpowiedzialny za podmiot, któremu powierzył przetwarzanie danych osobowych.
Upoważniony pracownik
Innym podmiotem któremu przedsiębiorca może zlecić przetwarzanie danych może być jego pracownik. W takim przypadku niezbędne jest udzielenie odpowiedniego upoważnienia określającego zakres przetwarzania danych w imieniu administratora – przedsiębiorcy oraz polecenie przetwarzania danych osobowych.
Należy zaznaczyć, że pracownik ów musi być w tym zakresie przeszkolony.
Kim jest inspektor ochrony danych osobowych ?
Inspektor ochrony danych osobowych jest podmiotem powoływanym przez administratora i podmiot przetwarzający. Do jego zadań należy:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie;
b) monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
d) współpraca z organem nadzorczym – GIODO;
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Kiedy trzeba powołać IOD ?
Inspektor Ochrony Danych jest zawsze wyznaczany gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Przedsiębiorca musi pamiętać o uprawnieniach osób fizycznych, których dane przetwarza
Na przedsiębiorcy spoczywają liczne obowiązki informacyjne związane z przetwarzaniem danych. Dotyczą one danych administratora, celów, odbiorców, okresu. Ponadto, przedsiębiorca jest zobowiązany umożliwić osobie fizycznej dostęp do jej własnych danych, aktualizować jej dane, usunąć je gdy tego żąda.
Jak wdrożyć RODO w przedsiębiorstwie ?
Aby dostosować system ochrony danych w przedsiębiorstwie można przeprowadzić następujące czynności:
1. audyt;
2. ocenę skutków przetwarzania dla ochrony danych;
3. dostosowanie oprogramowania komputerowego oraz miejsc do przechowywania danych;
4. organizowanie szkoleń dla pracowników upoważnionych do przetwarzania danych;
Co grozi za niewdrożenie RODO w przedsiębiorstwie ?
Za niewdrożenie RODO i nieprzestrzeganie przepisów rozporządzenia mogą być nakładane sankcje administracyjne w postaci kar pieniężnych. Ich wysokość uzależniona jest od rodzaju naruszenia i może sięgać aż 20 000 000 euro bądź 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku.
Jeżeli nie znalazłeś odpowiedzi na konkretne pytanie lub masz problem prawny i szukasz rozwiązania skontaktuj się z nami. Każdego dnia doradzamy i znajdujemy korzystne rozwiązania dla Naszych Klientów.
