Poradnik Przedsiębiorcy

Czas na aktualizację RODO

Od wprowadzenia Rozporządzenia dotyczącego Ochrony Danych Osobowych niepostrzeżenie minęło już 3 lata. Nauczyliśmy się żyć i dostosowywać swoje działania, aby były zgodne z obowiązującymi przepisami w zakresie ochrony danych, jednak upływ tego okresu powoduje, że przedsiębiorcy powinni przystąpić do aktualizacji stosowanych procedur.

Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, określane mianem RODO, w życie weszło 25 maja 2018 r., co oznacza, że w 2021 r. minie 3 lata od czasu, kiedy ochrona danych osobowych w Polsce, ale także w całej Unii Europejskiej nabrała zupełnie nowego wymiaru. 

Minimalizacja danych

Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, jest to jedna z zasad przetwarzania danych osobowych.  

Aby przetwarzać dane osobowe zgodnie z prawem, w myśl wskazanej zasady, administrator danych, nie powinien pozyskiwać danych ponad miarę, lecz jedynie te, które są niezbędne dla zrealizowania celów przetwarzania. Dane osobowe zatem powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Z powyższego wynika, że podstawą jest tutaj prawidłowe określenie celów przetwarzania. To zadanie należy właśnie do administratora.

Kiedy w 2018 r. administratorzy określali cele przetwarzania, można pokusić się o stwierdzenie, że byli na zupełnie innym poziomie wiedzy niż dzisiaj w zakresie przepisów RODO. Zatem po 3 latach przeglądu aktualizacyjnego, wymaga określenie celów przewarzania danych, a w następstwie tego przeglądanie zbiorów z uwzględnieniem zasady minimalizacji danych. Typowym przykładem naruszającym zasadę minimalizacji jest np. zbieranie kopii dokumentów, które w rzeczywistości są zbędne do osiągnięcia celu przetwarzania. 

Przykład 1.

Pracownik złożył wniosek o udzielnie mu urlopu okolicznościowego w związku ze śmiercią rodzica, pracodawca , który zdecydowałby się na konieczność przedłożenia odpisu aktu zgonu osoby zmarłej do wniosku o udzielnie urlopu, niewątpliwie naruszyłby zasadę minimalizacji danych osobowych. Wystarczającym byłoby okazanie pracodawcy dokumentu urzędu stanu cywilnego, z którego to wydarzenia można byłoby sporządzić notatkę służbową.

Prawidłowość przetwarzania danych osobowych 

Dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane. Zasada prawidłowości, nakazuje administratorowi podjęcie wszelkich rozsądnych działań, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. 

Powyższa zasada, w sposób bardzo klarowny ukazuje, co powinien zrobić administrator dokonując aktualizacji dokumentacji i polityk w danym przedsiębiorstwie. 

Audyt RODO w przedsiębiorstwie 

Powyższe przekłady aktualizacji w zakresie ochrony danych osobowych, dają jedynie przekrój informacji o tym czy w dotychczas przyjętych zasadach i polityce wszystko jest zgodne z prawem. Prawdziwym jednak narzędziem umożliwiającym przeprowadzenie aktualizacji procedur do wymaganych procedur jest audyt w przedsiębiorstwie. Niewątpliwie solidnie i rzetelnie wykonany audyt określa silne i słabe strony ochrony danych osobowych w organizacji i staje się punktem wyjścia do działań naprawczych.

W zasadzie audyt powinien przeprowadzić inspektor ochrony danych osobowych, przy współuczestnictwie administratora danych a także, jeśli jest to wymagane przy udziale właściwych pracowników. Zgodnie z art. 39 ust. ust. 1 lit. b, Inspektor ochrony danych ma za zadanie monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.

Zarówno rozporządzenie RODO, jak i przepisy na poziomie krajowym nie precyzują, narzędzi z jakich IOD powinien czy może korzystać podczas przeprowadzania audytu. Dlatego uznać należy, że wszelkie, prawem dozwolone narzędzia, takie jak: ankiety, rozmowy z pracownikami, oględziny miejsc, wgląd do nośników danych i do systemów danych informatycznych, są dopuszczalne. Oznacza to, iż w tym zakresie prawodawca unijny pozostawił duży zakres swobody inspektora ochrony danych.

Analiza wyników audytu RODO

Audyt powinien zakończyć się sprawozdaniem wraz z ewentualnymi zaleceniami, rekomendacjami, propozycjami zmian, które powinny wyeliminować nieprawidłowości ochrony danych osobowych w przedsiębiorstwie. Warto zwrócić uwagę, że wyniki audytu muszą być rzetelne, w końcu o to chodzi, aby dokonać zmian, wprowadzić proces naprawczy w celu ulepszenia procedur i ochrony danych osobowych osób, które powierzyły je administratorowi. Ukrywanie, niedopowiedzenie stwierdzonych nieprawidłowości, może nieść negatywne konsekwencje dla obu stron, dlatego nie jest to opłacalne.

Audyt i wnioski jakie mogą z niego płynąc dzisiaj po 3 latach obowiązywania przepisów RODO, należy oceniać przez pryzmat pojawiających się rozstrzygnięć organu nadzorczego. Wydano decyzje, w wyniku których na przedsiębiorców nałożono kary finansowe za naruszanie przepisów o ochronie danych osobowych, co może w pewnym sensie kształtować na nowo politykę przedsiębiorstw poprzez naukę na cudzych błędach. 

Pamiętać również należy, że aktualizacja przepisów, dokumentacji, zaleceń i polityk bezpieczeństwa w organizacji przedsiębiorstwa, pomoże zaoszczędzić wielu nieprzyjemnym sytuacjom. Nałożenie kary finansowej, jest tylko – choć niewątpliwe uciążliwe – jedną z wielu następstw nieprzestrzegania przepisów. Obraz przedsiębiorcy, który nie posiada adekwatnych narzędzi do ochrony danych osobowych, w oczach konsumenta rujnuje jego reputacje i powoli może doprowadzić nawet do likwidacji danego przedsiębiorstwa na skutek braku klientów. 

Podstawa prawna

  • Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U.UE.L.2016.119.1.

  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U.2019.1781 t.j.

Materiał opracowany przez zespół „Tak Prawnik”.
Właścicielem marki „Tak Prawnik” jest BZ Group Sp. z o.o.