Poradnik Przedsiębiorcy

Kogo dotyczy RODO, czyli nowe przepisy o ochronie danych osobowych?

Obecnie chyba już nie ma osoby, która nie zetknęłaby się z pojęciem RODO. Ale czy każdy wie, czym tak naprawdę jest, od kiedy obowiązuje, jakie obowiązki nakłada i kogo dotyczy RODO?

Co to jest RODO?

RODO to rozporządzenie o ochronie danych osobowych. Jest to rozporządzenie unijne, dlatego każde państwo członkowskie jest zobowiązane do przestrzegania tych przepisów.

RODO doprecyzowuje niektóre zagadnienia, czasem wprowadza nowe pojęcia, a przede wszystkim zastępuje obowiązujące dotychczas w Polsce przepisy ustawy o ochronie danych osobowych z 1997 roku.

RODO zawiera ogólne wytyczne stanowiące, jak należycie chronić dane osobowe, mówi również, że podmioty przetwarzające dane powinny stosować odpowiednie zabezpieczenia - jednak nie wskazuje konkretnych zabezpieczeń - to zadanie należy już do konkretnych podmiotów przetwarzających je. Wskazanie konkretnych środków zabezpieczeń jest niecelowe w rozporządzeniu, ponieważ różnorodne podmioty podlegają pod RODO - od małych jednoosobowych działalności po duże korporacje. Co znajdzie zastosowanie w małej firmie, nie będzie w ogóle przydatne w drugiej.

Kogo dotyczy RODO?

RODO dotyczy każdej firmy, zarówno jednoosobowej działalności, jak i spółki - działających na terenie Unii Europejskiej, która przetwarza dane osobowe. Nie ma znaczenia narodowość osób, których dane są przetwarzane, gdzie odbywa się to przetwarzanie ani gdzie znajdują się serwery.

Przykłady podmiotów, których dotyczy RODO:

  • przedsiębiorca mający główną siedzibę poza Unią, ale na jej terenie realizujący działania,

  • podmioty, które oferują swoje usługi klientom spoza Unii, ale mają głównę siedzibę na terenie Unii,

  • firmy przetwarzające dane za pośrednictwem chmury obliczeniowej - nie ma znaczenia, w jakim miejscu znajdują się serwery,

  • przedsiębiorca prowadzący biuro rachunkowe, którego działalność polega na rozliczaniu innych firm,

  • przedsiębiorca, który nie posiada jednostek organizacyjnych na terenie UE, ale oferuje towary i usługi obywatelom w UE (np. sklep internetowy).

Uwaga!

RODO nie dotyczy osób, które przetwarzają dane osobowe do użytku prywatnego, np. wysyłają kartki świąteczne do adresatów prywatnych.

Przedsiębiorca zatem jest zobowiązany, aby przestrzegać przepisów RODO w odniesieniu do swoich klientów, kontrahentów, natomiast nie musi ich stosować, gdy wysyła kartki świąteczne osobom z prywatnej listy kontaktowej.

Jakie czynności podlegają RODO?

Pod RODO podlega przetwarzanie danych osobowych. Aby móc powiedzieć, czym jest przetwarzanie danych osobowych, na początku dobrze wyjaśnić, czym są dane osobowe.

Dane osobowe to informacje, za pomocą których można rozpoznać konkretną osobę. Czasem do zidentyfikowania wystarczy jedna informacja (np. najwyższa osoba w zespole), czasem tych informacji musi być więcej (np. imię, nazwisko i data urodzenia). Zdarza się, że ta sama dana w jednym miejscu pozwala na zidentyfikowanie konkretnej osoby (np. numer PESEL w urzędzie gminy), a w drugim już nic nie znaczy (np. PESEL zapisany na kartce papieru).

Dane osobowe dzielą się na dane ogólne - są to dane podstawowe “twarde”, “suche”, jak np. imię, nazwisko, PESEL - oraz na dane szczególnie chronione (dane wrażliwe), jak np. wyznanie religijne, etniczne, orientacja itp.

Uwaga!

Dane osobowe dotyczą osoby, a nie firmy. Spółka ABC - nie ma tu danych osobowych, Marek Nowicki ze spółki ABC - taka informacja stanowi już dane osobowe.

Przetwarzanie danych osobowych to dokonywanie wszelkich operacji na podanych wyżej danych, np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, usuwanie lub niszczenie.

Kto może przetwarzać dane osobowe?

Dane osobowe może przetwarzać przedsiębiorca jako administrator danych lub jako podmiot przetwarzający.

Administrator danych osobowych (ADO), to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jest nim zawsze firma, organizacja, a nie osoba.

Przykłady, gdy przedsiębiorca jest administratorem danych osobowych:

  • pracodawca w stosunku do pracowników,

  • właściciel sklepu internetowego w stosunku do klientów,

  • właściciel strony internetowej w stosunku do osób zapisanych na newsletter.

Podmiotem przetwarzającym dane jest osoba, która działa na podstawie umowy zawartej z ADO. O celach i sposobach przetwarzania danych w dalszym ciągu decyduje ADO, jednakże powierza on pewne czynności na tych danych odrębnemu podmiotowi. Może nim być zarówno osoba fizyczna, jak i inna firma. Przykłady podmiotów przetwarzających dane:

  • biuro rachunkowe przetwarzające na zlecenie dane osobowe przekazane mu w tym celu przez klientów,

  • podmiot zajmujący się profesjonalnie niszczeniem danych osobowych, przetwarzający w tym zakresie dane osobowe na zlecenie swoich klientów,

  • osoba przeprowadzająca rekrutację na zlecenie pracodawcy.

Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych. W danej organizacji dane osobowe faktycznie przetwarzają konkretne osoby fizyczne - pracownicy lub współpracownicy administratora lub podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych.

Kiedy można przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych. W przypadku przedsiębiorców, typowymi podstawami przetwarzania danych zwykłych są:

  • zgoda osoby, której dane dotyczą,

  • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą (np. sklep internetowy, który realizuje zamówienia),

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. prowadzenie ksiąg rachunkowych),

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (np. pismo od prokuratury).

W przypadku szczególnych kategorii danych, typowe podstawy ich przetwarzania to:

  • wyraźna zgoda osoby, której dane dotyczą,

  • przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznych pracowników,

  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,

  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Zawsze to administrator danych powinien móc wykazać, że dysponuje odpowiednią podstawą przetwarzania danych. Jest to jego prawny obowiązek wynikający z tzw. zasady rozliczalności.

Etapy wdrażania RODO w firmie

RODO kładzie szczególny nacisk na poprawną ochronę danych osobowych, gdy są przetwarzane przez dany podmiot. Wdrożenie RODO to tak naprawdę zastosowanie środków bezpieczeństwa, aby dane nie były przetwarzane niezgodnie z prawem, aby niepowołane osoby nie miały do tych danych dostępów.

Wobec powyższego, RODO to wdrożenie środków zapewniających należytą ochronę danych osobowych i uniknięcie ryzyka incydentów (wydarzenia narażającego firmę na np. wyciek informacji).

Aby do powyższego ryzyka nie dopuścić, zaleca się podjęcie następujących kroków:

  1. W pierwszej kolejności najlepiej zrobić tzw. inwentaryzację przetwarzanych do tej pory danych, czyli spojrzeć w każde procesy w firmie, każde działy, w każde komputery, szafy i inne miejsca, gdzie dane są zbierane. Taka inwentaryzacja pomoże zebrać w jedno miejsce wszystkie przetwarzane w firmie dane oraz określić cel ich przetwarzania. Jeśli cel przetwarzania konkretnych danych już minął - takie dane osobowe należy usunąć lub zniszczyć.

  2. Następnie, na podstawie wyżej przeprowadzonej weryfikacji dobrze jest zrobić analizę ryzyka, czyli przemyśleć, kto ma dostęp do tych danych, a kto może mieć, jakie wydarzenia mogą wpłynąć na wyciek danych (identyfikacja zagrożeń).

  3. Teraz wystarczy określić stopień i wagę dla każdego zidentyfikowanego ryzyka - jakie jest prawdopodobieństwo wystąpienia danego zagrożenia oraz jak bardzo jest znaczące.

  4. Kolejnym krokiem jest ustalenie rozwiązań, które obniżą, zapobiegną lub mogą zapobiec wystąpieniu ryzyka - to właśnie określenie środków zabezpieczeń. RODO nie wskazuje konkretnych środków ochrony, jest to kwestia indywidualna każdej firmy - inne rozwiązania sprawdzą się w małej firmie, inne w szkole. Ważne, aby były skuteczne.

Myśląc z dużym wyprzedzeniem o ryzyku, możemy mu zapobiec, ponieważ w naszej analizie ryzyka określiliśmy środki zapobiegawcze. A gdy dane ryzyko nastąpi, to będziemy już doskonale wiedzieć, jak je usunąć. Myślenie o takich czynnościach odpowiednio wcześniej sprawi, że nasze działania będą przeanalizowane i mądrzejsze.

Należy jednak mieć na uwadze, że podejście oparte na ryzyku wymaga ciągłego monitorowania poziomu ryzyka związanego z przetwarzaniem danych osobowych. Nie jest więc wystarczającym jednorazowe dla danego procesu określenie poziomu ryzyka i zastosowanie środków zabezpieczenia danych – poziom ryzyka powinien być monitorowany ciągle w ramach trwających procesów przetwarzania danych.

Kiedy RODO zacznie obowiązywać?

RODO obowiązuje już od 2016 roku, ponieważ dane rozporządzenie zostało uchwalone w Unii dwa lata temu. W rozporządzeniu tym dano czas na wdrożenie nowych przepisów do państw członkowskich do 25 maja 2018 r.

25 maja 2018 r. to czas, kiedy RODO powinno wejść do powszechnego stosowania. Dlatego też jeśli firmy chcą wdrożyć przepisy RODO przed tym czasem, nic nie stoi na przeszkodzie.

Rozporządzenie unijne przypomina polską ustawę ze względu na fakt, że ma charakter wiążący wszystkie państwa członkowskie oraz stosowane jest bezpośrednio, a więc nie wymaga implementacji do prawa krajowego – stosowane jest wprost.

Przepisów RODO nie trzeba przyjąć w polskiej ustawie, jak to się dzieje w przypadku dyrektyw. RODO będzie nadrzędnie obowiązywać, stąd będzie bezpośrednio stosowane i bezpośrednio skuteczne. Dopuszcza się poszczególnym państwom tworzenie przepisów doprecyzowujących w określonym zakresie, stąd oczywiście i w Polsce takie przepisy powstaną, ale muszą być one zgodne z przepisami nadrzędnymi, czyli z RODO.