Od 25 maja 2018 roku zaczęło obowiązywać rozporządzenie RODO, co spowodowało większą aktywność firm w zakresie ochrony danych osobowych. Czym tak naprawdę jest RODO? Czy należy się go bać? Jakie wymagania stawia firmom? Czy zdążyłeś się należycie przygotować oraz jak należy to zrobić? W tym artykule wyjaśniam powyższe kwestie i przedstawiam kilka podstawowych informacji o wymaganiach, jakie stawia RODO.
Czym jest RODO?
RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, jest aktem, który zastępuje dotychczasowe regulacje w zakresie ochrony danych oparte na wspomnianej dyrektywie. Nie jest więc tak, że do tej pory danych nie należało chronić. Owszem, obowiązki w tym zakresie istniały i wynikały z ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. RODO jest więc raczej ewolucją niż rewolucją, choć na pewno zawiera kilka rewolucyjnych zapisów, jak choćby ten o administracyjnych karach pieniężnych, które mogą sięgać nawet 20 milionów euro czy w przypadku przedsiębiorstw – 4% światowego obrotu. M.in. te nowe kary stanowiące „zęby” nowych przepisów sprawiają, że RODO może liczyć na taką uwagę medialną jak żaden inny akt prawny.
Czy RODO dotyczy mojej firmy?
RODO dotyczy każdego, kto prowadzi działalność gospodarczą, i nie ma tutaj żadnych wyjątków. Przepisami RODO nie musimy martwić się wyłącznie wtedy, gdy przetwarzamy dane osobowe jako osoby fizyczne w celach domowych lub osobistych (np. celem prowadzenia korespondencji czy korzystania z portali społecznościowych). Jeśli wchodzimy natomiast w działalność zarobkową lub zawodową, to RODO znajduje zastosowanie. Z początku wydawało się, że polski ustawodawca wprowadzi szereg ułatwień dla firm z sektora MŚP i mikroprzedsiębiorstw. RODO w zbliżonym stopniu dotyczy jednak i podmiotów małych, i tych bardzo dużych.
Jak zgodnie z RODO przetwarzać dane osobowe?
Przede wszystkim należy odpowiedzieć sobie na pytanie, czy moja firma przetwarza dane osobowe, a jeśli tak, to po co (tzn. w ramach jakich procesów). Przez dane osobowe należy rozumieć wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, czyli wszystko to, co wiemy o klientach, pracownikach, kontrahentach prowadzących jednoosobową działalność gospodarczą itp.
Przetwarzanie danych to wszystko to, co z tymi danymi robimy, począwszy od ich zbierania poprze utrwalanie, wykorzystywanie, aż po usunięcie.
Krótko mówiąc, prawie każda firma będzie jakieś dane osobowe przetwarzać. Należy więc ustalić, jakie to są dane. Co istotne, dane danym nierówne. Są pewne rodzaje, tzw. dane wrażliwe, które RODO chroni mocniej niż te zwykłe. Wiąże się to z ryzykiem szkody, jaką osoba, której one dotyczą, może ponieść, np. w przypadku ich nieuprawnionego ujawnienia. I tak przykładowo, za dane wrażliwe uznaje się m.in. te dotyczące zdrowia, seksualności, ujawniające poglądy polityczne czy przynależność do związków zawodowych. Przetwarzając tego rodzaju dane, należy być szczególnie ostrożnym. Ponadto należy odpowiedzieć sobie na pytanie, po co w ogóle je przetwarzamy. Przykładowo, dane kandydatów do pracy wykorzystujemy w procesie rekrutacji, pracowników – w ramach zatrudnienia, klientów – dla celów realizacji zamówień lub wysyłki newslettera itp. Wiedząc, jakie dane i w jakich procesach posiadamy, powinniśmy zastanowić się, czy nie zbieramy zbyt dużo informacji. Nawet przy spełnieniu wszystkich pozostałych wymogów RODO musimy pamiętać, że obowiązuje zasada minimalizacji danych, zgodnie z którą możemy przetwarzać tylko takie dane, które są nam rzeczywiście niezbędne dla realizacji wyznaczonych celów.
Przetwarzanie danych wymaga tego, aby istniała podstawa prawna przetwarzania. Takich podstaw jest kilka i są one uregulowane odrębnie dla danych zwykłych i wrażliwych. Skupmy się na tych pierwszych. Można przetwarzać dane, w szczególności gdy:
- mamy zgodę osoby, której dotyczą,
- jest to niezbędne do wykonania umowy zawartej z taką osobą,
- przepisy prawa nakładają na nas taki obowiązek,
- jest to niezbędne dla celów wynikających z naszych prawnie uzasadnionych interesów, chyba że w konkretnej sytuacji nadrzędne wobec naszych interesów byłyby interesy osoby, której dane dotyczą.
Nie możemy zbierać danych na zapas z myślą, że być może kiedyś się one przydadzą.
Mając podstawę prawną przetwarzania, musimy również pamiętać, by poinformować osobę, której dane dotyczą, o tym, że mamy jej dane, w jakim celu je przetwarzamy, na jakiej podstawie, czy komuś je przekazujemy oraz o szeregu innych rzeczy wskazanych przez RODO. Pamiętajmy, że obowiązek ten istnieje nie tylko wówczas, gdy zbieramy dane od samego zainteresowanego, ale też wtedy, kiedy pozyskujemy je z innych źródeł (np. z internetu, od innych osób). Należy również zapewnić odpowiednią ochronę posiadanych danych osobowych. RODO jest neutralne technologicznie i nie przewiduje sztywnych wytycznych odnośnie tego, co należy zrobić. Każda firma zobowiązana jest we własnym zakresie przeprowadzić analizę ryzyka i ustalić w jej ramach, jak radzić sobie z istniejącymi zagrożeniami. Inne będą ryzyka w dużej firmie telekomunikacyjnej, inne w szpitalu, a jeszcze inne w małym zakładzie produkcyjnym zatrudniającym kilka osób i nieprowadzącym sprzedaży detalicznej. W razie ewentualnej kontroli organ nadzorczy będzie weryfikował, czy analiza ta została przeprowadzona prawidłowo i czy w efekcie dane osobowe są odpowiednio chronione. Środki te powinny obejmować odpowiednie zabezpieczenia fizyczne (np. kontrolę dostępu do pomieszczeń, gdzie znajdują się dane), informatyczne (np. ograniczenie uprawnień dostępowych do systemów i aplikacji), czy organizacyjne (np. w postaci opracowania zasad postępowania z danymi). Koniecznością są również szkolenia personelu, który ma dostęp do danych.
Zgodnie z zasadą rozliczalności, każda firma powinna móc wykazać przestrzeganie RODO. Dlatego też celowe jest opracowanie odpowiedniej dokumentacji. Taka dokumentacja obejmuje obowiązkowo (poza nielicznymi wyjątkami) prowadzenie rejestru czynności przetwarzania. Jednakże, należałoby dodatkowo opracować m.in. procedury dotyczące realizacji praw przez osoby, których dane dotyczą (np. prawa dostępu do danych, prawa do sprostowania, prawa do usunięcia danych), jak również zasady postępowania w przypadku zaistnienia naruszeń ochrony danych. Nowością w RODO jest bowiem to, że administratorzy danych zostali zobowiązani – co do zasady – do zgłaszania tego rodzaju naruszeń organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszenia.
Przypominam, że Rodo nie dotyczy zgodnie z ROZPORZĄDZENIEM PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ogólne rozporządzenie o ochronie danych artykuł 13, który mówi o tym, że nie dotyczy małych i średnich firm zatrudniających mniej niż 250 osób.