Poradnik Przedsiębiorcy

Najczęściej popełniane błędy RODO - jakie występują?

Choć od wejścia w życie przepisów dotyczących RODO upłynął już ponad rok, ich stosowanie nadal budzi wiele wątpliwości. Najpopularniejsze mity dotyczące RODO dotyczą zakresu stosowania przepisów i wymogów, jakie musi spełnić przedsiębiorca, aby prawidłowo chronić dane osobowe. Jakie są najczęściej popełniane błędy RODO?

RODO to wyłącznie przepisy Unii Europejskiej

Za skrótem RODO kryje się Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jest to akt prawny przyjęty przez Unię Europejską, lecz mający doniosłe znaczenie na całym świecie (za granicą znany pod skrótem GDPR).

Mit: Przepisy RODO to tylko przepisy wprowadzone przez Unię Europejską, ich zastosowanie w Polsce jest bez znaczenia.
Prawda: RODO obowiązuje na całym terytorium Unii Europejskiej, również w Polsce. Zasady ochrony danych osobowych są w Polsce dodatkowo regulowane przez przepisy ustawy o ochronie danych osobowych. Organem powołanym do kontroli przestrzegania przepisów RODO w Polsce jest Prezes Urzędu Ochrony Danych Osobowych.
RODO obowiązuje na terytorium Unii Europejskiej. Każdy z krajów członkowskich został zobowiązany do przyjęcia własnych przepisów, które na terenie danego państwa regulują i doprecyzowują zasady ochrony danych osobowych. W Polsce aktem tym jest ustawa o ochronie danych osobowych – z tym dokumentem winien zapoznać się każdy przedsiębiorca. Organem powołanym do kontroli przestrzegania przepisów jest Prezes Urzędu Ochrony Danych Osobowych, który odpowiada za prowadzenie postępowań administracyjnych związanych z RODO na terenie Polski (na przykład rozpoznawanie skarg osób fizycznych na nieprawidłowości w przetwarzaniu ich danych osobowych, certyfikację, prowadzenie działalności edukacyjnej, nakładanie kar itd.). 

Wbrew obiegowej opinii RODO znajduje zastosowanie również względem podmiotów mających siedzibę poza Unią Europejską, jeśli w jakimkolwiek stopniu przetwarzają one dane osób fizycznych na terytorium UE.

RODO nie oznacza jednej formuły bezpieczeństwa

Przepisy RODO wskazują wyłącznie ogólne cele i zasady działania związane z potrzebą ochrony danych osobowych. Nie narzucają jednej procedury przetwarzania danych dla wszystkich podmiotów.

Mit: RODO oznacza skomplikowaną procedurę przetwarzania danych, do której musi dostosować się każdy przedsiębiorca.
Prawda: Każdy przedsiębiorca sam decyduje o tym, jakie mechanizmy ochrony wprowadzi w swoim przedsiębiorstwie. Wybór sposobu ochrony zależy od rodzaju i zakresu przetwarzanych danych.

Choć przepisy RODO wskazują na poszczególne narzędzia ochrony danych osobowych (np. anonimizacja i pseudonimizacja), a także nakładają ograniczenia dotyczące przetwarzania poszczególnych kategorii danych (np. danych biometrycznych), pozostawiają wybór metody ochrony podmiotowi przetwarzającemu dane. Z tego względu każdy przedsiębiorca winien przed przystąpieniem do zastosowania konkretnych rozwiązań przeprowadzić audyt pozwalający na dokonanie oceny dotyczącej posiadanych danych, ich liczby i rodzaju oraz potrzeb w zakresie ochrony. 

RODO obejmuje nie tylko dane klientów, czyli najczęściej popełniane błędy RODO

Ochrona danych dotyczy danych osób fizycznych, niezależnie od tego, w jaki sposób przedsiębiorca uzyskuje ich dane i niezależnie od tego, w jakim charakterze osoba fizyczna występuje w relacjach z przedsiębiorcą przetwarzającym dane.

Mit: RODO dotyczy wyłącznie danych konsumentów.
Prawda: Przepisy RODO obejmują swoją ochroną dane wszystkich osób fizycznych, zarówno klientów, pracowników, jak i innych przedsiębiorców.

Zgodnie z definicją podawaną w rozporządzeniu przez dane osobowe należy rozumieć informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Identyfikacja może nastąpić w sposób bezpośredni lub pośredni (na przykład za pomocą numeru identyfikacyjnego, danych o lokalizacji, identyfikatorów internetowych czy innych szczególnych czynników). Charakter, w jakim dana osoba fizyczna występuje w relacji z przedsiębiorcą, nie ma znaczenia – mogą być to zarówno klienci, jak i pracownicy czy kontrahenci. Ostatnia z tych kategorii może budzić wątpliwości, jednakże należy przyjąć, że pozostawanie w relacjach biznesowych z przedsiębiorcą przetwarzającym dane osobowe nie pozbawia osoby fizycznej prawa do ochrony jej danych osobowych. Przykładami mogą być przedsiębiorcy-osoby fizyczne prowadzące jednoosobową działalność gospodarczą czy wspólnicy spółek osobowych.

RODO działa również pomiędzy firmami

Wielu przedsiębiorców błędnie uznaje, że zasady ochrony danych osobowych muszą być wdrożone wyłącznie na linii przedsiębiorca – osoba fizyczna (na przykład pracownik czy klient). Takie działanie nie jest prawidłowe, potrzeba ochrony danych osobowych występuje bowiem w każdym przypadku, w którym przetwarzane są dane osoby fizycznej, nawet jeżeli przetwarzanie występuje bez bezpośredniego udziału tej osoby.

Mit: RODO działa tylko w bezpośrednich relacjach pomiędzy przedsiębiorcą a osobą fizyczną.
Prawda: Przepisy o ochronie danych osobowych obowiązują w każdym przypadku, w którym dochodzi do przetwarzania danych osób fizycznych – nawet wówczas, gdy dane tych osób przekazywane są pomiędzy przedsiębiorcami.

Niezwykle często do przetwarzania danych osobowych osób fizycznych dochodzi bez bezpośredniego zaangażowania osób, których te dane dotyczą – na przykład w przypadku korzystania przez przedsiębiorcę z usług oferowanych przez podmioty zewnętrzne (na przykład firmy rekrutacyjne, biura rachunkowe, firmy marketingowe itp.). Jeżeli przedsiębiorca przekazuje dane osób fizycznych innemu przedsiębiorcy, dochodzi do kolejnego przetwarzania tych danych. Taka czynność wywołuje potrzebę zawarcia umowy o powierzeniu danych osobowych, a także dopełnienia innych niezbędnych procedur związanych z koniecznością zapewnienia przesyłanym danych odpowiedniego stopnia bezpieczeństwa (na przykład zastosowania stosownych zabezpieczeń informatycznych).

Zgoda osoby nie jest wymagana w każdym przypadku

Zgodnie z obiegową opinią RODO wymaga uzyskiwania zgody na przetwarzanie danych osobowych od każdej osoby fizycznej, której dane są przez przedsiębiorcę przetwarzane i w każdym przypadku przetwarzania. Nie jest to prawda – przepisy rozporządzenia przewidują szereg wypadków, w których wymóg uzyskiwania zgody nie obowiązuje.

Mit: Przetwarzanie danych osobowych może odbywać się wyłącznie na podstawie zgody osoby, której dane dotyczą.
Prawda: RODO zawiera listę warunków, które muszą być spełnione, aby przetwarzanie danych było zgodne z prawem. Zgoda osoby fizycznej jest jednym z nich, lecz nie jedynym. Potrzeba wykonania umowy również legalizuje przetwarzanie danych osobowych osoby fizycznej.

Przepis art. 16 RODO zawiera listę warunków, których spełnienie jest wymagane do przetwarzania danych osobowych w sposób zgodny z prawem. Lista ma charakter wyłączny, jednakże wystarczy spełnienie tylko jednego z warunków, aby przetwarzanie odbywało się w sposób prawidłowy. Oprócz zgody osoby fizycznej najważniejszym z warunków jest konieczność wykonania umowy. Zgodnie z rozporządzeniem przetwarzanie jest legalne wówczas, gdy jest „niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy”. 

Z powyższego wynika, że jeżeli przedsiębiorca zawiera z klientem na przykład umowę sprzedaży i pozyskanie danych osobowych jego klienta jest niezbędne do wykonania umowy (przykładowo pozyskanie danych adresowych jest konieczne do przesłania kupującemu zakupionego przez niego towaru), przedsiębiorca nie musi uzyskiwać odrębnej zgody na przetwarzanie danych osobowych. Podobnie jest w przypadku przesyłania informacji o ofercie przedsiębiorcy, jeżeli z inicjatywą uzyskania tej informacji występuje potencjalny klient. Jeżeli jednak przedsiębiorca prowadzi działania marketingowe polegające na przesyłaniu oferty do osoby, która nie żądała tej informacji, wówczas musi uzyskać jej zgodę na przetwarzanie jej danych osobowych.