Poradnik Przedsiębiorcy

Kogo dotyczy RODO, czyli nowe przepisy o ochronie danych osobowych?

Obecnie chyba już nie ma osoby, która nie zetknęłaby się z pojęciem RODO. Ale czy każdy wie, czym tak naprawdę jest, od kiedy obowiązuje, jakie obowiązki nakłada i kogo dotyczy RODO?

Co to jest RODO?

RODO to rozporządzenie o ochronie danych osobowych. Jest to rozporządzenie unijne, dlatego każde państwo członkowskie jest zobowiązane do przestrzegania tych przepisów.

RODO doprecyzowuje niektóre zagadnienia, czasem wprowadza nowe pojęcia, a przede wszystkim zastępuje obowiązujące dotychczas w Polsce przepisy ustawy o ochronie danych osobowych z 1997 roku.

RODO zawiera ogólne wytyczne stanowiące, jak należycie chronić dane osobowe, mówi również, że podmioty przetwarzające dane powinny stosować odpowiednie zabezpieczenia - jednak nie wskazuje konkretnych zabezpieczeń - to zadanie należy już do konkretnych podmiotów przetwarzających je. Wskazanie konkretnych środków zabezpieczeń jest niecelowe w rozporządzeniu, ponieważ różnorodne podmioty podlegają pod RODO - od małych jednoosobowych działalności po duże korporacje. Co znajdzie zastosowanie w małej firmie, nie będzie w ogóle przydatne w drugiej.

Kogo dotyczy RODO?

RODO dotyczy każdej firmy, zarówno jednoosobowej działalności, jak i spółki - działających na terenie Unii Europejskiej, która przetwarza dane osobowe. Nie ma znaczenia narodowość osób, których dane są przetwarzane, gdzie odbywa się to przetwarzanie ani gdzie znajdują się serwery.

Przykłady podmiotów, których dotyczy RODO:

  • przedsiębiorca mający główną siedzibę poza Unią, ale na jej terenie realizujący działania,

  • podmioty, które oferują swoje usługi klientom spoza Unii, ale mają głównę siedzibę na terenie Unii,

  • firmy przetwarzające dane za pośrednictwem chmury obliczeniowej - nie ma znaczenia, w jakim miejscu znajdują się serwery,

  • przedsiębiorca prowadzący biuro rachunkowe, którego działalność polega na rozliczaniu innych firm,

  • przedsiębiorca, który nie posiada jednostek organizacyjnych na terenie UE, ale oferuje towary i usługi obywatelom w UE (np. sklep internetowy).

Uwaga!

RODO nie dotyczy osób, które przetwarzają dane osobowe do użytku prywatnego, np. wysyłają kartki świąteczne do adresatów prywatnych.

Przedsiębiorca zatem jest zobowiązany, aby przestrzegać przepisów RODO w odniesieniu do swoich klientów, kontrahentów, natomiast nie musi ich stosować, gdy wysyła kartki świąteczne osobom z prywatnej listy kontaktowej.

Jakie czynności podlegają RODO?

Pod RODO podlega przetwarzanie danych osobowych. Aby móc powiedzieć, czym jest przetwarzanie danych osobowych, na początku dobrze wyjaśnić, czym są dane osobowe.

Dane osobowe to informacje, za pomocą których można rozpoznać konkretną osobę. Czasem do zidentyfikowania wystarczy jedna informacja (np. najwyższa osoba w zespole), czasem tych informacji musi być więcej (np. imię, nazwisko i data urodzenia). Zdarza się, że ta sama dana w jednym miejscu pozwala na zidentyfikowanie konkretnej osoby (np. numer PESEL w urzędzie gminy), a w drugim już nic nie znaczy (np. PESEL zapisany na kartce papieru).

Dane osobowe dzielą się na dane ogólne - są to dane podstawowe “twarde”, “suche”, jak np. imię, nazwisko, PESEL - oraz na dane szczególnie chronione (dane wrażliwe), jak np. wyznanie religijne, etniczne, orientacja itp.

Uwaga!

Dane osobowe dotyczą osoby, a nie firmy. Spółka ABC - nie ma tu danych osobowych, Marek Nowicki ze spółki ABC - taka informacja stanowi już dane osobowe.

Przetwarzanie danych osobowych to dokonywanie wszelkich operacji na podanych wyżej danych, np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie, usuwanie lub niszczenie.

Kto może przetwarzać dane osobowe?

Dane osobowe może przetwarzać przedsiębiorca jako administrator danych lub jako podmiot przetwarzający.

Administrator danych osobowych (ADO), to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jest nim zawsze firma, organizacja, a nie osoba.

Przykłady, gdy przedsiębiorca jest administratorem danych osobowych:

  • pracodawca w stosunku do pracowników,

  • właściciel sklepu internetowego w stosunku do klientów,

  • właściciel strony internetowej w stosunku do osób zapisanych na newsletter.

Podmiotem przetwarzającym dane jest osoba, która działa na podstawie umowy zawartej z ADO. O celach i sposobach przetwarzania danych w dalszym ciągu decyduje ADO, jednakże powierza on pewne czynności na tych danych odrębnemu podmiotowi. Może nim być zarówno osoba fizyczna, jak i inna firma. Przykłady podmiotów przetwarzających dane:

  • biuro rachunkowe przetwarzające na zlecenie dane osobowe przekazane mu w tym celu przez klientów,

  • podmiot zajmujący się profesjonalnie niszczeniem danych osobowych, przetwarzający w tym zakresie dane osobowe na zlecenie swoich klientów,

  • osoba przeprowadzająca rekrutację na zlecenie pracodawcy.

Podmiot przetwarzający dane na zlecenie powinien zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych. W danej organizacji dane osobowe faktycznie przetwarzają konkretne osoby fizyczne - pracownicy lub współpracownicy administratora lub podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych.

Kiedy można przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych. W przypadku przedsiębiorców, typowymi podstawami przetwarzania danych zwykłych są:

  • zgoda osoby, której dane dotyczą,

  • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane dotyczą (np. sklep internetowy, który realizuje zamówienia),

  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. prowadzenie ksiąg rachunkowych),

  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (np. pismo od prokuratury).

W przypadku szczególnych kategorii danych, typowe podstawy ich przetwarzania to:

  • wyraźna zgoda osoby, której dane dotyczą,

  • przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznych pracowników,

  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,

  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Zawsze to administrator danych powinien móc wykazać, że dysponuje odpowiednią podstawą przetwarzania danych. Jest to jego prawny obowiązek wynikający z tzw. zasady rozliczalności.