Obowiązki przedsiębiorców w zakresie ochrony danych osobowych

Czym jest RODO?

„RODO”, „GDPR”, „Ogólne Rozporządzenie o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. To Rozporządzenie weszło w życie 17 maja 2016 roku, zastępując dotychczas obowiązującą Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

RODO chroni więc szeroko pojęte dane osobowe (począwszy od danych kontaktowych aż do danych biometrycznych). Bezpośrednio w krajowych porządkach prawnych członków Unii Europejskiej obowiązuje od 25 maja 2018 roku.

RODO w przedsiębiorstwie

Każde przedsiębiorstwo, zatrudniające choćby 1 pracownika lub posiadające dane klientów będących osobami fizycznymi w jakiejkolwiek formie przetwarza dane osobowe. Przedsiębiorstwo, jako administrator danych (lub w szczególnych przypadkach jako przetwarzający, np. biura rachunkowe), podlega więc ustawie o ochronie danych osobowych i RODO. Przepisom RODO nie podlegają wyłącznie dane przetwarzane przez osoby fizyczne „wyłącznie w celach osobistych lub domowych” (np. nasz prywatny notes z adresami naszej rodziny nie podlega RODO J ).

Case study 1.

Firma XYZ posiada bazę danych klientów, w której są oni identyfikowani jedynie numerami telefonów lub adresami e-mail. W bazie nie ma ich imion, nazwisk ani adresów. Baza ta stanowi zbiór danych osobowych. Zarówno numer telefonu jak i adres e-mail dają możliwość określenia tożsamości osób umieszczonych w tej bazie. Firma XYZ ma więc obowiązek ochrony tej bazy zgodnie z ustawą o ochronie danych osobowych i postanowieniami RODO. Odnosi się to także do bazy adresowej utworzonej na potrzeby newslettera rozsyłanego przez firmę XYZ, w której zawarte są jedynie adresy e-mail osób zapisanych na newsletter.

Zasady przetwarzania danych osobowych

Te zasady mają praktyczne zastosowanie, bowiem procedury danych osobowych służą ich ochronie. Każda firma powinna dbać o to, by określone zasady były realizowane, bowiem za ich nieprzestrzeganie grożą surowe sankcje. Rzetelne przedsiębiorstwo powinno zapewnić swoim Klientom świadomość, że przetwarzanie przez nie danych osobowych jest zgodne z zasadami określonymi w rozdziale II i w części rozdziału III RODO. Poniżej zostaną przedstawione podstawowe zasady przetwarzania danych osobowych.

Zasada zgodności z prawem

Każdy proces przetwarzania danych musi się opierać na co najmniej jednej podstawie prawnej, która jest wskazana w art. 6 RODO. Osoba, której dane dotyczą musi wyrazić zgodę na przetwarzanie swoich danych osobowych w jednej lub większej liczbie określonych celów. Przetwarzanie danych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Przetwarzanie jest także niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej albo do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Ponadto przetwarzanie danych jest również niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań).

W dużej mierze przedsiębiorstwa przetwarzają dane na podstawie zawartych umów z klientami. To właśnie one są dla nich legalną podstawą przetwarzania danych osobowych.

Zasada rzetelności i prawidłowości

Przedsiębiorca jako administrator danych osobowych lub ich procesor musi zapewnić, że zgromadzone dane osobowe są poprawne i aktualne. Oznacza to szereg obowiązków polegających np. na wdrożeniu środków technicznych i organizacyjnych, umożliwiających korektę danych, zmniejszenie ryzyka błędów oraz usunięcie nieprawidłowych danych. Warto pamiętać o prawie osoby, której dane przetwarza firma, do żądania sprostowania i uzupełnienia danych.

Zasada ograniczenia celu

Dane osobowe powinny być zbierane wyłącznie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego nie da się inaczej osiągnąć (art. 6 RODO). Według tej zasady przedsiębiorstwo powinno określić cel przetwarzania danych już w momencie ich pozyskiwania. Warto pamiętać, że jeśli podstawą przetwarzania danych jest zgoda, to odnosi się ona wyłącznie do konkretnie wskazanego celu przetwarzania. Z kolei zmiana celu przetwarzania danych osobowych będzie wymagała od przedsiębiorstwa pozyskania nowej zgody lub zawarcia nowej umowy. Przedsiębiorstwo jako administrator danych będzie miało obowiązek informowania osób, których dane są przetwarzane, o celach ich przetwarzania.

Zasada minimalizacji danych

Zakres pozyskiwanych danych musi być adekwatny i ograniczony do minimum niezbędnego dla realizacji wskazanego celu. Minimalizacja polegać może na wyselekcjonowaniu wyłącznie tych danych, które są potrzebne do danej działalności oraz na ograniczeniu okresu przechowywania danych. W praktyce realizacja tej zasady oznacza, że firma do niezbędnego minimum powinna ograniczyć zakres pozyskiwanych danych i ich przetwarzanie.

Zasada integralności i poufności

Przedsiębiorca ma obowiązek przetwarzania danych w sposób gwarantujący odpowiedni poziom bezpieczeństwa. Zasada integralności odnosi się do obowiązku zapewnienia, że dane nie zostały zmodyfikowane, usunięte, dodane czy zniszczone w sposób nieautoryzowany. Przedsiębiorstwo powinno więc zapobiegać sytuacjom, w których dane osobowe są udostępniane lub ujawniane osobom nieupoważnionym.

Zasada rozliczalności

Przedsiębiorstwo ma obowiązek wykazywania, że stosowane przez nie metody ochrony danych osobowych są zgodne z RODO i skuteczne. Osiągnięciu tego celu służy prowadzenie rzetelnej dokumentacji danych osobowych oraz posiadanie odpowiednich regulacji wewnętrznych w firmie. Warto więc wprowadzić w przedsiębiorstwie np. politykę bezpieczeństwa czy regulamin korzystania z systemów informatycznych. Z tej zasady wynika również obowiązek zawiadamiania organu nadzorczego o stwierdzeniu naruszeń danych osobowych.

Zasada przejrzystości

Wszelkie informacje kierowane przez przedsiębiorstwo do osób fizycznych, dotyczące przetwarzania ich danych osobowych, powinny być formułowane prostym i przejrzystym językiem. Nadmierne skomplikowanie informacji udzielanej przez przedsiębiorstwo nie będzie spełniać wymogów określonych w art. 12 RODO.

Case study 2.

Firma ABC jest administratorem danych swoich pracowników. Aby zrealizować stosunek pracy przetwarza się dane osobowe tych pracowników . Firma ABC jako pracodawca i płatnik składek i podatków przetwarza te dane właśnie w tym celu. Jeżeli firma ABC miałaby zamiar wykorzystać te dane w innym celu, to musiałaby uzyskać wcześniej zgodę pracowników  (zasada ograniczenia celu).

Case study 3.

Firma X prowadzi bazę danych teleadresowych klientów – osób fizycznych. W tej bazie powinny znaleźć się wyłącznie dane niezbędne do kontaktu z tymi osobami. Niedopuszczalne jest umieszczanie w takiej bazie danych dotyczących wyznania, preferencji politycznych tych osób czy ich orientacji seksualnej (zasada minimalizacji danych).

Prowadzisz przedsiębiorstwo i masz fanpage na Facebooku? Sprawdź, czy nie powinieneś zamieścić tam informacji o przetwarzaniu danych osobowych.

Obserwuj nas i polub nas!
error

5 thoughts on “Obowiązki przedsiębiorców w zakresie ochrony danych osobowych”

    1. Bardzo się cieszę, że – mimo, iż o RODO powiedziano już wiele – to mój artykuł okazał się przydatny 🙂 Przepisy i procedury związane z prowadzeniem przedsiębiorstwa wymagają ciągłego dokształcania – trzeba trzymać rękę na pulsie i reagować na zmiany 🙂

  1. Do tej pory mam wrażenie, że krąży o RODO wiele błędnych informacji, z reguły jest ono demonizowane. Dlatego takie artykuły, wyjaśniające wszystko bez zawiłości i systematyzujące wiedzę są bardzo potrzebne 🙂

    1. Zgadzam się, że RODO jest demonizowane. Tak naprawdę jest ono całkiem przyjemne i wcale nie takie straszne 🙂 Mam nadzieję, że uda mi się pokazać w moim cyklu „wtorków z RODO” ludzką twarz RODO 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *