Poradnik Przedsiębiorcy

Jak uniknąć kar, czyli dobre praktyki RODO

RODO, rozporządzenie dotyczące przetwarzania danych osobowych, wzbudza u przedsiębiorców niemały strach. Zawiłe przepisy, skomplikowane regulacje i wizja wielomilionowych kar finansowych powodują, że prawidłowe wdrożenie przepisów w firmie wydaje się niemal niemożliwe. W niniejszym artykule zebraliśmy dziesięć najważniejszych praktycznych porad dotyczących RODO. Wdróż dobre praktyki RODO.

Dobre praktyki RODO w praktyce oznaczają reorganizację systemu organizacyjnego przedsiębiorstwa

W zasadzie każdy przedsiębiorca przetwarza dane osobowe – dane pracowników, klientów, potencjalnych klientów oraz innych przedsiębiorców (RODO ogranicza swoje zastosowanie do osób fizycznych, jednak przedsiębiorca nie może zapominać o swoich kontrahentach – prowadzących jednoosobowe działalności gospodarcze. Również ich dane podlegają ochronie zgodnie z przepisami rozporządzenia). Regulacje RODO nie narzucają przedsiębiorcy żadnych konkretnych rozwiązań – musi on sam zadecydować o tym, jakie środki organizacyjne i techniczne powinny zostać wdrożone w jego firmie. Zgodnie z przepisem art. 24 rozporządzenia, administrator danych osobowych ma obowiązek wdrożenia środków „odpowiednich” z punktu widzenia ochrony danych, a ich zakres musi być proporcjonalny do istniejących zagrożeń.

Przedsiębiorca musi wprowadzić odpowiednie środki organizacyjne, na przykład:

  • system szkoleń pracowników posiadających dostęp do danych osobowych, o czym poniżej;

  • zobowiązanie pracowników do zachowania w poufności danych, do których mają dostęp;

  • wprowadzenie systemu upoważnień nadawanych przez administratora danych osobowych.

Przedsiębiorca powinien również zadbać o właściwe środki techniczne, na przykład:

  • przechowywanie kopii zapasowych danych;

  • zabezpieczenie systemów komputerowych (np. poprzez użycie systemów typu firewall);

  • wprowadzenie ograniczeń w dostępie do danych przechowywanych w systemach informatycznych poprzez odpowiednie procesy uwierzytelniania.

Przedsiębiorca musi zadbać o odpowiednie dokumenty

RODO wymaga od przedsiębiorcy zadbania zarówno o stosowanie faktycznych środków ochrony, jak i o przygotowanie odpowiedniej dokumentacji. Jeśli przedsiębiorca jeszcze nie sprawdził, czy dokumenty w jego firmie odpowiadają wymogom RODO, powinien uczynić to możliwie jak najszybciej.

Katalog dokumentów będzie różnił się pomiędzy przedsiębiorcami w zależności od rodzaju prowadzonej działalności, zakresu przetwarzania danych oraz celu ich przetwarzania. Posiadanie odpowiednich dokumentów, zgodnych z przepisami RODO, jest niezwykle istotne w przypadku przedsiębiorców prowadzących strony internetowe – polityka bezpieczeństwa, polityka prywatności, regulamin strony, polityka dotycząca plików cookies to dokumenty obowiązkowe.

Dobre praktyki RODO, to otrzymanie świadomej zgody osoby fizycznej

Aby przedsiębiorca mógł przetwarzać i przechowywać dane, musi posiadać do tego ważną podstawę prawną. W razie ewentualnych kłopotów to na przedsiębiorcy ciąży obowiązek wykazania, że pobrał zgodę od klienta lub pracownika w zgodzie z obowiązującymi przepisami.

Katalog warunków wskazany został w przepisie art. 6 rozporządzenia, zaś najważniejszą podstawą umożliwiającą prawidłowe przetwarzanie danych jest pozyskanie od osoby zainteresowanej zgody na dokonanie tej czynności. Musi być ona zawsze świadoma, nigdy dorozumiana. Osoba fizyczna musi zostać wyczerpująco poinformowana o zasadach przetwarzania danych przez przedsiębiorcę, celu i zakresie przetwarzania oraz przysługujących jej prawach.

Pobranie zgody, w zależności od typu działalności, może mieć różną formę. Może być to zarówno forma pisemnego oświadczenia, jak i wyrażenie zgody poprzez zaznaczenie tzw. checkboxa na stronie internetowej firmy. Checkbox nie może zaznaczyć zgody automatycznie czy pełnić charakteru wyłącznie informacyjnego – to do użytkownika strony należy podjęcie decyzji o rzeczywistym wyrażeniu zgody na przetwarzanie i przechowywanie jego danych osobowych.

Przedsiębiorca może zbierać tylko niezbędne dane

Dane osobowe w rozumieniu rozporządzenia RODO traktowane są niezwykle szeroko. Zgodnie z jego przepisami to nie tylko imię i nazwisko, adres czy numer PESEL, lecz także wszystkie dane, które umożliwiają identyfikację osoby fizycznej, w tym również dane określające cechy fizyczne, kulturowe czy społeczne.

W systemie ochrony danych osobowych obowiązującym przed wejściem w życie przepisów RODO często zdarzało się, że przedsiębiorcy pobierali od klientów cały szereg danych osobowych, często niezwiązanych z istniejącą pomiędzy nimi relacją. Obecnie takie zachowanie nie jest już możliwe – przedsiębiorca ma prawo prosić o wskazanie wyłącznie tych danych, które są konieczne z punktu widzenia wykonania umowy. Pobieranie innych danych stanowi naruszenie przepisów rozporządzenia.

Przeszkolenie pracowników w zakresie ochrony danych osobowych jako dobre praktyki RODO

Dane osobowe osób fizycznych podlegają ścisłej ochronie, a ochrona ta nie ogranicza się wyłącznie do automatycznego wdrożenia zabezpieczeń stron internetowych czy komputerów wykorzystywanych w działalności przedsiębiorcy. Podstawową siłą niemal każdego przedsiębiorcy są jego pracownicy i najczęściej oni również mają w zasadzie nieograniczony dostęp do przetwarzanych danych osobowych. Aby w pełni je zabezpieczyć, przedsiębiorca musi zadbać o odpowiednie szkolenie swojego personelu. Może ono zostać przeprowadzone przez inspektora danych osobowych i powinno objąć wszystkich pracowników mających dostęp do przetwarzanych danych, na przykład osób na co dzień wykonujących czynności administracyjne, księgowe czy marketingowe. Przeprowadzenie szkolenia powinno zostać odpowiednio udokumentowane.

Przedsiębiorca powinien pamiętać o nowych prawach obywateli UE

Do najważniejszy praw osób fizycznych w zakresie ochrony danych osobowych należą:

  • prawo do wyrażenia zgody na przetwarzanie danych osobowych;

  • prawo do wglądu w dane przechowywane przez przedsiębiorcę;

  • prawo do poprawienia i uzupełnienia powierzonych danych;

  • prawo do bycia zapomnianym.

Przedsiębiorca przetwarzający dane osobowe ma bezwzględny obowiązek poinformowania osób, których dane przetwarza, o przysługujących im prawach.

RODO rozszerza obowiązki informacyjne przedsiębiorców

Obowiązek informacyjny przedsiębiorcy wiąże się z zasadami wskazanymi powyżej, dotyczącymi praw osób fizycznych i konieczności pozyskiwania zgód na przetwarzanie danych osobowych. Przedsiębiorca musi w jasny i zrozumiały sposób poinformować osoby, których dane przetwarza, o:

  • samym fakcie przetwarzania danych osobowych;

  • celu przetwarzania danych;

  • zakresie przetwarzania danych;

  • prawach przysługujących osobie fizycznej;

  • obowiązkach przedsiębiorcy w zakresie zapewnienia bezpieczeństwa danych.

Wszelkie informacje powinny zostać napisane w prosty sposób, bez używania prawniczych terminów i sformułowań.

Dopuszczalność profilowania jest ograniczona

Profilowanie, czyli pozyskiwanie danych o potencjalnych klientach za pomocą automatycznych systemów wykorzystujących informacje o danych osobowych (np. preferencjach zakupowych czy miejscu zamieszkania), przed wejściem w życie przepisów RODO nie było uregulowane w polskim prawie. Przedsiębiorcy wykorzystywali to narzędzie w zasadzie w dowolny sposób. RODO nie pozwala na takie praktyki – profilowanie nadal jest dopuszczalne, lecz tylko wówczas, gdy pozwalają na to przepisy obowiązującego prawa, osoba zainteresowana wyraziła na to zgodę i jest to niezbędne z punktu widzenia zawarcia lub wykonania umowy. Przedsiębiorca ma obowiązek informowania klientów o stosowaniu tego instrumentu i powinien to uczynić w momencie pozyskiwania danych osobowych. Każda osoba fizyczna ma prawo do zgłoszenia sprzeciwu dotyczącego wykorzystania jej danych osobowych.

Administrator musi zgłosić naruszenie zasad ochrony danych

W przypadku wystąpienia naruszenia zasad ochrony danych osobowych (np. kradzieży danych z systemu informatycznego) administrator danych musi poinformować organ nadzorczy o wystąpieniu naruszenia. Obowiązek ten jest ograniczony w czasie – musi zgłosić naruszenie maksymalnie w terminie 72 godzin od jego wystąpienia.

Transfer danych poza Unię Europejską wymaga przygotowania

Jednym z filarów RODO jest swobodna wymiana danych pomiędzy krajami Unii Europejskiej. Transfer danych poza Unię (np. do kontrahenta przedsiębiorcy znajdującego się w Chinach czy Stanach Zjednoczonych) nie jest tak prosty. Przedsiębiorca może uczynić to tylko wówczas, gdy państwo, do którego dane są przesyłane, zapewnia odpowiedni stopień ochrony. O spełnieniu tych warunków decyduje Komisja Europejska, choć w określonych sytuacjach dopuszczalne jest również przekazanie danych do kraju czy organizacji niespełniających narzuconych decyzją wymagań (np. wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę)