ochrona danych

Nowe regulacje o ochronie danych osobowych w przedsiębiorstwie

Każde przedsiębiorstwo jest administratorem danych osobowych, ponieważ przetwarza np. dane swoich pracowników czy klientów w celu realizacji zamówień. Są przedsiębiorstwa o specyficznym charakterze (biura księgowe), pracujące na danych dostarczanych przez klientów, którzy to klienci są administratorami przekazanych danych. Wówczas takie przedsiębiorstwo będzie jednocześnie pełniło rolę administratora danych osobowych oraz podmiotu przetwarzającego dane osobowe. Celem takiego przedsiębiorstwa powinno być niedopuszczenie do udostępnienia lub przejęcia danych osobowych przez osoby nieupoważnione, do ich uszkodzenia bądź zniszczenia.

Każde przedsiębiorstwo musi mieć świadomość obowiązków, jakie ciążą na nim w zakresie ochrony danych osobowych. Bez względu na swoją wielkość, przedsiębiorstwa muszą realizować podstawowe obowiązki w zakresie ochrony danych osobowych. Takimi obowiązkami są np. obowiązki informacyjne, obowiązki w zakresie ochrony danych, umożliwienie realizacji praw osobom, których dane są przetwarzane, itd. Warto znać także podstawowe zasady przetwarzania danych osobowych.

Obowiązki przedsiębiorcy w zakresie ochrony danych osobowych

Przedsiębiorstwo jako administrator lub podmiot przetwarzający dane osobowe na zlecenie i w imieniu klienta (administratora danych), ma obowiązek do:

  • Przejrzystego informowania osób, których dane przetwarza, o przysługujących im prawach;
  • Umożliwienia realizowania praw osób, których dane są przetwarzane;
  • Wdrożenia i utrzymania odpowiednich środków technicznych i organizacyjnych ochrony danych osobowych;
  • Poddawania środków ochrony danych przeglądom i aktualizacjom;
  • Zawiadamiania o przypadkach naruszenia danych osobowych;
  • Współpracy z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych).

W sytuacjach szczególnych określonych przepisami, na przedsiębiorców mogą być nałożone dodatkowe obowiązki, polegające m.in. na:

  • Wdrożeniu polityki ochrony danych (RODO formalnie nie wprowadza takiego obowiązku, lecz wynika on z zasady konieczności wykazania przestrzegania przepisów tego rozporządzenia);
  • Prowadzeniu rejestru czynności przetwarzania (art. 30 RODO – obowiązek ten nie dotyczy przedsiębiorców zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych);
  • Wyznaczeniu Inspektora Ochrony Danych Osobowych (art. 37 RODO), gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą lub na dużą skalę, c) główna działalność przedsiębiorstwa polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (dane dotyczące pochodzenia rasowego, poglądów politycznych, wyznania i religii, orientacji seksualnej, itp.) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
  • Dokonywaniu oceny skutków dla ochrony danych – ang. Data Protection Impact Assessment [DPIA], (art. 35 i 36 RODO – obowiązek ten dotyczy operacji związanych z wysokim ryzykiem naruszenia praw);
  • Wyznaczeniu przedstawiciela w UE, jeśli przedsiębiorstwo posiada siedzibę poza UE, lecz świadczy swoje usługi na terenie UE;
  • Stosowaniu zatwierdzonych kodeksów postępowań lub mechanizmów certyfikacji (art. 40-43 RODO).

Aktualizacja umów związanych z RODO

Każde przedsiębiorstwo będące podmiotem przetwarzającym dane, powinno zadbać, by zawierane przez nie umowy z klientami będącymi administratorami danych, spełniały określone wymagania (art. 28 RODO). Umowy powierzenia zawierane przez przedsiębiorstwo powinny zawierać oświadczenie klienta, że to on jest administratorem danych powierzanych przedsiębiorstwu. Ponadto przedsiębiorstwo powinno się w umowie zobowiązać do przetwarzania powierzonych mu danych wyłącznie do celów określonych w umowie.

W zawieranych umowach, np. z biurem rachunkowych powinny się więc znaleźć takie klauzule:

§ … Powierzenie przetwarzania danych osobowych

  1. Zleceniodawca powierza Wykonawcy dane osobowe do przetwarzania na zasadach i w celu określonym w niniejszej umowie, w trybie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, s.1).
  2. Zleceniodawca oświadcza, że jest Administratorem Danych Osobowych, które powierza Wykonawcy do przetwarzania.
  3. Zleceniodawca powierza Wykonawcy przetwarzanie danych osobowych w zakresie określonym w niniejszej umowie.

§ … Zakres i cel przetwarzania danych

    1. Wykonawca będzie przetwarzał powierzone na podstawie umowy, następujące dane osobowe: imię i nazwisko, adres zamieszkania/zameldowania/siedziba przedsiębiorstwa, numer telefonu, adres e-mail, ……………
  1. Powierzone przez Zleceniodawcę dane osobowe będą przetwarzane przez Wykonawcę wyłącznie w celu ………………………. (np. określenia i obliczenia zobowiązań z tytułu podatku dochodowego od osób fizycznych, składek na ubezpieczenia społeczne i zdrowotne) w sposób zgodny z treścią umowy i wyłącznie przez czas jej trwania.

Wdrożenie RODO w przedsiębiorstwie

Każde przedsiębiorstwo, a w szczególności te przedsiębiorstwa, które są także podmiotami przetwarzającymi dane, w związku z wejściem RODO powinny:

  1. Sprawdzić, czy posiadają dane osobowe legalnie. Jeśli nie to należy zadbać o legalizację tych danych, a jeżeli nie jest to możliwe, dane te należy zniszczyć.
  2. Poinformować osoby, których dane osobowe są w posiadaniu przedsiębiorstwa, o ich prawach, jeżeli wymagają tego przepisy RODO.
  3. Zabezpieczyć posiadane dane osobowe poprzez m.in. wykluczenie do nich dostępu osób nieupoważnionych. Należy to zrobić w sposób określony nowymi regulacjami. Obejmuje to przechowywanie dokumentów w zabezpieczonych miejscach i przeszkolenie pracowników z regulacji RODO.
  4. Stworzyć dokumentację przetwarzania danych osobowych, w skład której wejdzie polityka bezpieczeństwa.
  5. Rozważyć, czy konieczne jest powołanie Inspektora Ochrony Danych.
  6. Jeżeli to konieczne, prowadzić wewnętrzny rejestr przetwarzania danych.

RODO, wprowadzając dość surowe sankcje, wymusza na przedsiębiorcach stosowanie prawidłowych i skutecznych zabezpieczeń dla przechowywania, przetwarzania i usuwania danych osobowych. Brak jednak w Rozporządzeniu szczegółów dotyczącego tego, jak powinny wyglądać te zabezpieczenia. Analiza ryzyka związanego z przetwarzaniem danych może nakazywać np. korzystanie z szyfrowanych baz danych, przechowywanie danych na komputerach bez dostępu do Internetu.

Jeśli nie wiesz, czy Twoja firma jest przygotowana na prawidłowe przetwarzanie danych osobowych skorzystaj z rozwiązania, jakie dla Ciebie przygotowałam.

Obserwuj nas i polub nas!

3 thoughts on “Nowe regulacje o ochronie danych osobowych w przedsiębiorstwie”

  1. Dziękuję za to podsumowanie! Zbiera w jednym miejscu ważne informacje. Jeśli to możliwe proszę rozważyć rozwinięcie tematu analizy ryzyka 🙂

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *