Poradnik Przedsiębiorcy

RODO - najważniejsze wyzwania dla przedsiębiorców

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, potocznie zwane RODO, jest niewątpliwie najgorętszym tematem tego roku. Rozporządzenie zaczęło obowiązywać 25 maja 2018 roku. Jakie wprowadza RODO wyzwania dla przedsiębiorców?

Kogo dotyczy RODO?

RODO dotyczy każdego podmiotu przetwarzającego dane osobowe – w praktyce będzie to zatem każdy przedsiębiorca, zarówno duże spółki akcyjne czy spółki z ograniczoną odpowiedzialnością, jak i przedsiębiorcy prowadzący jednoosobową działalność gospodarczą (a zatem np. biura rachunkowe, sklepy internetowe, zakłady fryzjerskie, gabinety kosmetyczne, hurtownie, gabinety lekarskie, wszystkie podmioty zatrudniające pracowników).

Co to są dane osobowe?

Danymi osobowymi zgodnie z RODO są wszystkie dane umożliwiające identyfikację osoby, a zatem nie tylko imię i nazwisko oraz miejsce zamieszkania czy PESEL lub NIP, lecz także adres mailowy, numer IP, głos i wizerunek osoby (w przypadku nagrań audio i wideo). Procedury RODO nie dotyczą natomiast danych osób zmarłych, czyli np. przedsiębiorcy prowadzący zakłady kamieniarskie lub świadczący usługi pogrzebowe nie muszą wdrażać regulacji ochronnych w odniesieniu do danych osób zmarłych (w oczywisty sposób będą natomiast przetwarzali i przechowywali dane klientów zlecających wykonanie konkretnych usług).

Jakie zmiany wprowadza RODO?

Unijne rozporządzenie nie jest jasne i z tego względu będzie wymagało od przedsiębiorców wykazania odrobiny kreatywności, ograniczonej rzecz jasna przepisami RODO. W przypadku kontroli przedsiębiorca będzie musiał wykazać, w jaki sposób chroni dane osobowe. Każdy przedsiębiorca winien w pierwszej kolejności przeanalizować, jakimi danymi osobowymi swoich pracowników czy klientów dysponuje, w jaki sposób je do tej pory przetwarzał, w jakiej formie przechowywał, czy uzyskał od klientów lub pracowników zgodę na przetwarzanie tych danych osobowych i w rezultacie tej analizy wybrać takie rozwiązania, które zapewnią optymalną ochronę danych. Przedsiębiorca może zlecić również przeprowadzenie audytu pod kątem stosowanych zabezpieczeń i wymaganych do wprowadzenia zmian, co wydaje się rozsądnym i uzasadnionym rozwiązaniem.

Zgoda na przetwarzanie danych

Jedną z najważniejszych kwestii związanych z RODO jest obowiązek uzyskania zgody osoby, której dane przedsiębiorca przetwarza, do ich przetwarzania i przechowywania. Co istotne, zgoda ta musi być udzielona przed dokonaniem czynności i musi być wyraźna – zaleca się zatem, aby treść oświadczenia przygotować w prostej dla klienta formie. Zgodnie z projektem polskiej ustawy o ochronie danych osobowych osoba będzie mogła wyrazić zgodę po ukończeniu 13. roku życia, a zatem klient-nastolatek mimo braku pełnej zdolności do czynności prawnych nie będzie musiał prosić rodziców o wyrażenie zgody w jego imieniu. Klient musi zostać również jednoznacznie poinformowany o możliwości usunięcia swoich danych osobowych ze zbioru danych przedsiębiorcy.

Umowy powierzenia

W przypadku korzystania przez przedsiębiorcę z usług innych przedsiębiorstw (np. firm informatycznych, biur rachunkowych, firm szkoleniowych, firm kurierskich), przedsiębiorca winien zawrzeć umowy powierzenia przetwarzania danych osobowych. Umowa taka winna mieć formę pisemną i zawierać informację o czasie jej trwania, przedmiocie przetwarzania danych oraz ich rodzaju, celu przetwarzania i kategorii osób, których dane będą przetwarzane, a także obowiązkach i prawach podmiotów przetwarzających dane oraz administratora danych.

Przechowywanie kserokopii dokumentów

Częstą praktyką występującą w przeważającej większości przedsiębiorstw było przechowywanie w aktach pracowników kserokopii dowodów osobistych, praw jazdy czy legitymacji studenckich. Takie praktyki należy uznać za niedopuszczalne, nie tylko z punktu widzenia RODO, lecz również z uwagi na wielokrotnie wyrażane przez Generalnego Inspektora Danych Osobowych obawy (m.in. w odniesieniu do przedsiębiorców telekomunikacyjnych, lecz także przedsiębiorców prowadzących hotele i obiekty agroturystyczne czy prowadzących konkursy i akcje promocyjne dla konsumentów) dotyczące możliwego nieuprawnionego wykorzystania tych kopii. Zdaniem GIODO wystarczające winno być samo okazanie dokumentu tożsamości. W świetle nowych regulacji RODO powstaje zatem pytanie, co zrobić z kserokopiami dokumentów tożsamości już znajdujących się w posiadaniu przedsiębiorców. Najwłaściwszym wyjściem wydaje się ich zniszczenie, przy jednoczesnym pozostawieniu w aktach osobowych pracownika notatki stwierdzającej datę i przyczynę zniszczenia. Tego rodzaju notatka będzie szczególnie istotna w przypadku akt, w których strony są numerowane. Zniszczone kserokopie należy zastąpić oświadczeniami pracownika dotyczącymi jego danych osobistych lub oświadczeniami pracownika zarządzającego zasobami ludzkimi w przedsiębiorstwie pracodawcy stwierdzającymi, że dokument tożsamości został okazany i jest on zgodny z pozostałymi danymi podanymi przez pracownika.

Rejestr czynności przetwarzania danych

RODO nakłada na niektórych przedsiębiorców (np. zatrudniających powyżej 250 pracowników, przetwarzających dane wrażliwe lub przetwarzających dane w sposób stwarzający zagrożenie dla praw i wolności) obowiązek prowadzenia rejestru czynności przetwarzania danych. Z uwagi na tak nieprecyzjne sformułowanie tego obowiązku („zagrożenie dla praw i wolności”) zaleca się jednak prowadzenie takiego rejestru przez każdego przedsiębiorcę, podobnie jak każdy przedsiębiorca winien rozważyć powołanie inspektora danych osobowych. Jest to konieczne np. w przypadku przedsiębiorców przetwarzających dane wrażliwe. Za dane wrażliwe uważa się szczególną kategorię danych, dotyczących np. stanu zdrowia, orientacji seksualnej, światopoglądu religijnego, przynależności do partii politycznych. Inspektorem danych osobowych może być pracownik zatrudniony przez przedsiębiorcę, o ile nie jest to pracownik odpowiadający np. za bezpieczeństwo systemu informatycznego. Może być to również osoba trzecia, a zatem przedsiębiorca może outsourcingować tę usługę. W takim przypadku przedsiębiorca powinien jednakże zweryfikować, czy pomiędzy klientami podmiotu wykonującego funkcję inspektora danych osobowych nie będzie zachodził konflikt interesów.

Bezpieczeństwo danych przechowywanych w chmurze

Jeśli przedsiębiorca korzysta z jakichkolwiek systemów informatycznych (np. strona internetowa, sklep internetowy, media społecznościowe), powinien wdrożyć odpowiednie systemy zapewniające bezpieczeństwo przesyłanych w ten sposób danych. Szczególne wyzwania dotyczą przedsiębiorców korzystających z tzw. systemów w chmurze, gdzie dane nie są przechowywane na dyskach w siedzibie przedsiębiorcy. W takim przypadku przedsiębiorca powinien skontaktować się z podmiotem dostarczającym usługi informatyczne i wspólnie z nim ocenić, w jaki sposób dane osobowe są zabezpieczone i jakie zmiany należy wprowadzić. Przedsiębiorca nie powinien również korzystać z darmowych serwerów pocztowych, bowiem w takim przypadku jest szczególnie narażony na ewentualne ataki hakerskie i kradzieże danych. Z tego względu dla wszystkich przedsiębiorców zaleca się wykupienie serwera pocztowego oraz serwera do przechowywania plików wyposażonego w odpowiednie certyfikaty bezpieczeństwa, a w przypadku przesyłania jakichkolwiek plików – zabezpieczenie ich hasłem podawanym klientowi czy pracownikowi w osobnej wiadomości. Nawet przedsiębiorcy prowadzący blogi firmowe na popularnych portalach powinni sprawdzić, czy i w jaki sposób zabezpieczane są dane osobowe użytkowników – czytelników tych blogów.

RODO w telefonach służbowych

Ciekawym zagadnieniem wydaje się być stosowanie telefonów służbowych przez pracowników przedsiębiorcy, rozwiązanie powszechne i obecne w niemal każdym przedsiębiorstwie. Kontakty i dane zapisane w pamięci telefonów również powinny być chronione zgodnie z przepisami RODO, a sama blokada ekranu poprzez konieczność wpisania numeru PIN nie może być uznana za wystarczający sposób ochrony. Z tego względu pracodawca winien uczulić swoich pracowników, aby nie instalowali w powierzonych im aparatach aplikacji nieznanego pochodzenia, które mogą wykraść przechowywane na nich dane. Jeśli to możliwe, przedsiębiorcy winni również zainwestować w aplikacje szyfrujące dane i zabezpieczające telefony przed nieuprawnionymi ingerencjami.

Co grozi za nieprzestrzeganie RODO?

Brak wdrożenia przepisów RODO może skutkować odpowiedzialnością odszkodowawczą względem osób, których dane zostały ujawnione, odpowiedzialnością karną i przede wszystkim odpowiedzialnością administracyjną. Rozporządzenie przewiduje wysokie kary pieniężne za zignorowanie obowiązków wynikających z nowych przepisów. Ponadto, podmiot przechowujący i przetwarzający dane osobowe będzie musiał zgłosić w ciągu 72 godzin naruszenia przepisów RODO do Prezesa Urzędu Ochrony Danych Osobowych. Oznacza to, że w przypadku np. włamania na serwer, z którego korzysta przedsiębiorca lub jakiegokolwiek innego wycieku danych osobowych przedsiębiorca będzie musiał podjąć szczególne środki bezpieczeństwa