Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Jak uniknąć kar, czyli dobre praktyki RODO

Jak uniknąć kar, czyli dobre praktyki RODO

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

RODO, rozporządzenie dotyczące przetwarzania danych osobowych, wzbudza u przedsiębiorców niemały strach. Zawiłe przepisy, skomplikowane regulacje i wizja wielomilionowych kar finansowych powodują, że prawidłowe wdrożenie przepisów w firmie wydaje się niemal niemożliwe. W niniejszym artykule zebraliśmy dziesięć najważniejszych praktycznych porad dotyczących RODO. Wdróż dobre praktyki RODO.

Dobre praktyki RODO w praktyce oznaczają reorganizację systemu organizacyjnego przedsiębiorstwa

W zasadzie każdy przedsiębiorca przetwarza dane osobowe – dane pracowników, klientów, potencjalnych klientów oraz innych przedsiębiorców (RODO ogranicza swoje zastosowanie do osób fizycznych, jednak przedsiębiorca nie może zapominać o swoich kontrahentach – prowadzących jednoosobowe działalności gospodarcze. Również ich dane podlegają ochronie zgodnie z przepisami rozporządzenia). Regulacje RODO nie narzucają przedsiębiorcy żadnych konkretnych rozwiązań – musi on sam zadecydować o tym, jakie środki organizacyjne i techniczne powinny zostać wdrożone w jego firmie. Zgodnie z przepisem art. 24 rozporządzenia, administrator danych osobowych ma obowiązek wdrożenia środków „odpowiednich” z punktu widzenia ochrony danych, a ich zakres musi być proporcjonalny do istniejących zagrożeń.

Przedsiębiorca musi wprowadzić odpowiednie środki organizacyjne, na przykład:

  • system szkoleń pracowników posiadających dostęp do danych osobowych, o czym poniżej;

  • zobowiązanie pracowników do zachowania w poufności danych, do których mają dostęp;

  • wprowadzenie systemu upoważnień nadawanych przez administratora danych osobowych.

Przedsiębiorca powinien również zadbać o właściwe środki techniczne, na przykład:

  • przechowywanie kopii zapasowych danych;

  • zabezpieczenie systemów komputerowych (np. poprzez użycie systemów typu firewall);

  • wprowadzenie ograniczeń w dostępie do danych przechowywanych w systemach informatycznych poprzez odpowiednie procesy uwierzytelniania.

Przedsiębiorca musi zadbać o odpowiednie dokumenty

RODO wymaga od przedsiębiorcy zadbania zarówno o stosowanie faktycznych środków ochrony, jak i o przygotowanie odpowiedniej dokumentacji. Jeśli przedsiębiorca jeszcze nie sprawdził, czy dokumenty w jego firmie odpowiadają wymogom RODO, powinien uczynić to możliwie jak najszybciej.

Katalog dokumentów będzie różnił się pomiędzy przedsiębiorcami w zależności od rodzaju prowadzonej działalności, zakresu przetwarzania danych oraz celu ich przetwarzania. Posiadanie odpowiednich dokumentów, zgodnych z przepisami RODO, jest niezwykle istotne w przypadku przedsiębiorców prowadzących strony internetowe – polityka bezpieczeństwa, polityka prywatności, regulamin strony, polityka dotycząca plików cookies to dokumenty obowiązkowe.

Dobre praktyki RODO, to otrzymanie świadomej zgody osoby fizycznej

Aby przedsiębiorca mógł przetwarzać i przechowywać dane, musi posiadać do tego ważną podstawę prawną. W razie ewentualnych kłopotów to na przedsiębiorcy ciąży obowiązek wykazania, że pobrał zgodę od klienta lub pracownika w zgodzie z obowiązującymi przepisami.

Katalog warunków wskazany został w przepisie art. 6 rozporządzenia, zaś najważniejszą podstawą umożliwiającą prawidłowe przetwarzanie danych jest pozyskanie od osoby zainteresowanej zgody na dokonanie tej czynności. Musi być ona zawsze świadoma, nigdy dorozumiana. Osoba fizyczna musi zostać wyczerpująco poinformowana o zasadach przetwarzania danych przez przedsiębiorcę, celu i zakresie przetwarzania oraz przysługujących jej prawach.

Pobranie zgody, w zależności od typu działalności, może mieć różną formę. Może być to zarówno forma pisemnego oświadczenia, jak i wyrażenie zgody poprzez zaznaczenie tzw. checkboxa na stronie internetowej firmy. Checkbox nie może zaznaczyć zgody automatycznie czy pełnić charakteru wyłącznie informacyjnego – to do użytkownika strony należy podjęcie decyzji o rzeczywistym wyrażeniu zgody na przetwarzanie i przechowywanie jego danych osobowych.

Przedsiębiorca może zbierać tylko niezbędne dane

Dane osobowe w rozumieniu rozporządzenia RODO traktowane są niezwykle szeroko. Zgodnie z jego przepisami to nie tylko imię i nazwisko, adres czy numer PESEL, lecz także wszystkie dane, które umożliwiają identyfikację osoby fizycznej, w tym również dane określające cechy fizyczne, kulturowe czy społeczne.

W systemie ochrony danych osobowych obowiązującym przed wejściem w życie przepisów RODO często zdarzało się, że przedsiębiorcy pobierali od klientów cały szereg danych osobowych, często niezwiązanych z istniejącą pomiędzy nimi relacją. Obecnie takie zachowanie nie jest już możliwe – przedsiębiorca ma prawo prosić o wskazanie wyłącznie tych danych, które są konieczne z punktu widzenia wykonania umowy. Pobieranie innych danych stanowi naruszenie przepisów rozporządzenia.

Przeszkolenie pracowników w zakresie ochrony danych osobowych jako dobre praktyki RODO

Dane osobowe osób fizycznych podlegają ścisłej ochronie, a ochrona ta nie ogranicza się wyłącznie do automatycznego wdrożenia zabezpieczeń stron internetowych czy komputerów wykorzystywanych w działalności przedsiębiorcy. Podstawową siłą niemal każdego przedsiębiorcy są jego pracownicy i najczęściej oni również mają w zasadzie nieograniczony dostęp do przetwarzanych danych osobowych. Aby w pełni je zabezpieczyć, przedsiębiorca musi zadbać o odpowiednie szkolenie swojego personelu. Może ono zostać przeprowadzone przez inspektora danych osobowych i powinno objąć wszystkich pracowników mających dostęp do przetwarzanych danych, na przykład osób na co dzień wykonujących czynności administracyjne, księgowe czy marketingowe. Przeprowadzenie szkolenia powinno zostać odpowiednio udokumentowane.

Przedsiębiorca powinien pamiętać o nowych prawach obywateli UE

Do najważniejszy praw osób fizycznych w zakresie ochrony danych osobowych należą:

  • prawo do wyrażenia zgody na przetwarzanie danych osobowych;

  • prawo do wglądu w dane przechowywane przez przedsiębiorcę;

  • prawo do poprawienia i uzupełnienia powierzonych danych;

  • prawo do bycia zapomnianym.

Przedsiębiorca przetwarzający dane osobowe ma bezwzględny obowiązek poinformowania osób, których dane przetwarza, o przysługujących im prawach.

RODO rozszerza obowiązki informacyjne przedsiębiorców

Obowiązek informacyjny przedsiębiorcy wiąże się z zasadami wskazanymi powyżej, dotyczącymi praw osób fizycznych i konieczności pozyskiwania zgód na przetwarzanie danych osobowych. Przedsiębiorca musi w jasny i zrozumiały sposób poinformować osoby, których dane przetwarza, o:

  • samym fakcie przetwarzania danych osobowych;

  • celu przetwarzania danych;

  • zakresie przetwarzania danych;

  • prawach przysługujących osobie fizycznej;

  • obowiązkach przedsiębiorcy w zakresie zapewnienia bezpieczeństwa danych.

Wszelkie informacje powinny zostać napisane w prosty sposób, bez używania prawniczych terminów i sformułowań.

Dopuszczalność profilowania jest ograniczona

Profilowanie, czyli pozyskiwanie danych o potencjalnych klientach za pomocą automatycznych systemów wykorzystujących informacje o danych osobowych (np. preferencjach zakupowych czy miejscu zamieszkania), przed wejściem w życie przepisów RODO nie było uregulowane w polskim prawie. Przedsiębiorcy wykorzystywali to narzędzie w zasadzie w dowolny sposób. RODO nie pozwala na takie praktyki – profilowanie nadal jest dopuszczalne, lecz tylko wówczas, gdy pozwalają na to przepisy obowiązującego prawa, osoba zainteresowana wyraziła na to zgodę i jest to niezbędne z punktu widzenia zawarcia lub wykonania umowy. Przedsiębiorca ma obowiązek informowania klientów o stosowaniu tego instrumentu i powinien to uczynić w momencie pozyskiwania danych osobowych. Każda osoba fizyczna ma prawo do zgłoszenia sprzeciwu dotyczącego wykorzystania jej danych osobowych.

Administrator musi zgłosić naruszenie zasad ochrony danych

W przypadku wystąpienia naruszenia zasad ochrony danych osobowych (np. kradzieży danych z systemu informatycznego) administrator danych musi poinformować organ nadzorczy o wystąpieniu naruszenia. Obowiązek ten jest ograniczony w czasie – musi zgłosić naruszenie maksymalnie w terminie 72 godzin od jego wystąpienia.

Transfer danych poza Unię Europejską wymaga przygotowania

Jednym z filarów RODO jest swobodna wymiana danych pomiędzy krajami Unii Europejskiej. Transfer danych poza Unię (np. do kontrahenta przedsiębiorcy znajdującego się w Chinach czy Stanach Zjednoczonych) nie jest tak prosty. Przedsiębiorca może uczynić to tylko wówczas, gdy państwo, do którego dane są przesyłane, zapewnia odpowiedni stopień ochrony. O spełnieniu tych warunków decyduje Komisja Europejska, choć w określonych sytuacjach dopuszczalne jest również przekazanie danych do kraju czy organizacji niespełniających narzuconych decyzją wymagań (np. wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę)

Polecamy:

Najważniejsze zmiany w wynagrodzeniach i Kodeksie pracy

Czy można użyć logotyp klienta na swojej stronie i...
Rodo w sklepie internetowym krok po kroku
Listopad 2024
21
Czwartek
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  4. RODO - czyli jakie dane podlegają ochronie danych osobowych?
  5. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Odpowiedzialność odszkodowawcza w RODO - co warto wiedzieć?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Prowadzisz biuro rachunkowe? Nie może Cię zabraknąć na tym wydarzeniu!
Konferencja "Zmiany podatkowe 2025"
Zapraszamy na Global Leadership Summit Polska 2024!
No Code Days 2024 – klucz do świata technologii bez programowania
KONFERENCJA KADRY PŁACE 2024/2025 – bieżące problemy oraz nowe wyzwania na 2025 rok Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów