Czym jest RODO?
RODO, a właściwie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1) ustanawia na terenie całej Unii Europejskiej zasady oraz przepisy o ochronie danych osobowych osób fizycznych. Ten akt prawny, będąc rozporządzeniem unijnym, nie wymaga wdrożenia, ani innego rodzaju specjalnie zaplanowanej implementacji, a jego postanowienia są stosowane w polskim porządku prawnym bezpośrednio.
Oznacza to, że poza niewielkimi wyjątkami, postanowienia tego rozporządzenia są źródłem podstawowych zasad oraz wymogów dotyczących ochrony danych osobowych w Polsce. Choć polski ustawodawca podjął już działania zmierzające do uchwalenia polskiej ustawy o ochronie danych osobowych, to polska ustawa będzie określała wyłącznie pewne detale, takie jak organ właściwy do nadzoru nad RODO, czy szczegółowe zasady prowadzenia kontroli w sprawie ochrony danych osobowych.
Kogo i od kiedy obowiązuje RODO?
Postanowienia Rozporządzenia zaczęły obowiązywać wszystkich przedsiębiorców, ktorzy prowadzą działalność na terytorium Unii Europejskiej, niezależnie od formy jej prowadzenia, wraz z dniem 25 maja 2018r. Od tej daty wszystkie podmioty przetwarzające dane w charakterze innym niż prywatny, czy rodzinny są zobligowane do zapewnienia zgodności tego procesu z wymogami RODO.
Zgodnie z treścią Rozporządzenia, dane osobowe podlegają ochronie bez względu na to, czy ostatecznie znajdą się w zbiorze danych osobowych. Oznacza to, że dane osobowe będą podlegały ochronie już od momentu ich zgromadzenia, niezależnie od tego, czy dane te będą przez danego przedsiębiorcę wykorzystywane stale, czy incydentalnie.
Oznacza to, że RODO chroni dane osobowe osoby fizycznej niezależnie od tego, czy w danym przypadku osoba ta występuje jako konsument czy nie. Ochronie podlegają zatem również dane przedsiębiorców, pracowników czy przedstawicieli spółek, z którymi dany podmiot współpracuje wyłącznie na stopie zawodowej.
Wśród podmiotów objętych Rozporządzeniem (tj. wśród zobowiązanych do jego przestrzegania wymienionych wyżej przedsiębiorców) można wyróżnić podmioty funkcjonujące w charakterze:
- Administratora danych – tj. podmiotu przetwarzającego dane osobowe „bezpośrednio” (np. firma zatrudniająca pracowników, przetwarzająca dane tych pracowników).
- Procesora danych – tj. podmiotu przetwarzającego dane osobowe na zlecenie ich administratora (np. firma świadcząca usługi obsługi księgowo-płacowej, przetwarzająca dane osobowe pracowników swoich klientów).
Jak stosujemy RODO?
RODO ma zastosowanie do czynności przetwarzania danych osobowych. Zawarta w art. 4 pkt 2 RODO definicja przetwarzania ma bardzo szeroki charakter i oznacza w zasadzie każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych.
Z kolei operacjami przetwarzania danych osobowych są zarówno czynności zautomatyzowane (przy wykorzystaniu systemów informatycznych), jak i wykonywane w inny sposób (np. „na papierze” – w formie wydruków, akt, dokumentów, czy korespondencji papierowej).
RODO nie zawiera zamkniętego katalogu czynności składających się na przetwarzanie danych osobowych. Wskazuje jednak na stosunkowo szeroki katalog czynności takich jak: zbieranie danych, porządkowanie danych, przechowywanie danych, ich adaptowanie lub modyfikowanie, ale również – przeglądanie, wykorzystywanie (np. w toku pracy), ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, usuwanie lub niszczenie.
Definicja danych osobowych zawarta w art. 4 ust. 4 RODO jest bardzo szeroka. Zgodnie z RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować (której tożsamość znamy i którą możemy wskazać spośród innych osób), w szczególności na podstawie jakiegoś rodzaju identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z tych środków lub danych, które są dla nas dostępne.
W tym kontekście zakres danych osobowych jest bardzo szeroki i obejmie wszystkie informacje o charakterze osobowym, które mogą pomóc nam zidentyfikować daną osobę. Danymi osobowymi będą bowiem zarówno imię i nazwisko, czy PESEL osoby fizycznej, ale również:
- data urodzenia;
- adres zamieszkania;
- numer telefonu (w tym służbowy), czy adres e-mail (również służbowy);
- płeć, kolor oczu, waga, wzrost lub inne dane biometryczne wskazujące na właściwości biologiczne danej osoby.
Jednocześnie warto zaznaczyć, że choć RODO nie dotyczy przetwarzania danych dotyczących osób prawnych, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej, o tyle nie można wykluczyć takich sytuacji, w których jednak dane o charakterze osobowym będą związane z danymi dotyczącymi osób prawnych. Przykładem tego mogą być dane osób fizycznych, w szczególności w przypadku, gdy w skład firmy wchodzi imię i nazwisko wspólnika (np. przy spółkach komandytowych), czy też w zakresie dotyczącym członków organów.
RODO nakłada na administratorów obowiązek zapewnienia osobom, których dane dotyczą wszelkich informacji związanych z przetwarzaniem ich danych osobowych, oraz do zapewnienia należytej komunikacji w sprawie tego przetwarzania. Informacja taka powinna być przekazana w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem i może być udzielona na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Dopiero jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Przepisy RODO nakładają na administratorów danych szereg obowiązków, które będą musiały być spełnione celem zapewnienia należytej ochrony danych osobowych, wymagając od nich, by zapewnili odpowiednie środki organizacyjne i techniczne służące ich należytej ochronie. Oznacza to, że RODO nie wskazuje konkretnych rozwiązań, czy środków bezpieczeństwa danych osobowych, nakazując dostosowanie wdrażanych rozwiązań do skali ryzyka oraz specyfiki przetwarzania. Wdrażając odpowiednie środki techniczne i organizacyjne, administrator powinien brać pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i różnej wadze zagrożenia. Przedsiębiorca powinien zatem przy projektowaniu i wdrażaniu rozwiązań bezpieczeństwa bazować na kształtowaniu obowiązków, których zakres określany jest w każdym przypadku przez pryzmat oceny ryzyka (tzw. podejście oparte na ryzyku).
RODO przewiduje dodatkowo, że każdy administrator powinien uwzględniać ochronę danych już w fazie projektowania (privacy by design) oraz w drodze realizacji zasady domyślnej ochrony danych (privacy by default). Oznacza to, że administratorzy mają obowiązek wdrażania odpowiednich środków technicznych i organizacyjnych już w momencie ustalania sposobów przetwarzania danych (czyli zaprojektowania odpowiednich procedur jeszcze przed rozpoczęciem przetwarzania), a następnie utrzymywania tych środków w trakcie samego procesu przetwarzania, aby domyślnie były przetwarzane tylko te dane, które są niezbędne z punktu widzenia każdego konkretnego celu przetwarzania. W szczególności takie rozwiązanie ma zapobiegać domyślnemu udostępnianiu danych nieograniczonemu kręgowi odbiorców. Łatwo zauważyć, że obowiązki administratora w tym zakresie wymagają od niego postawy proaktywnej i prewencyjnej. Ochrona prywatności ma być bowiem zapewniona już na etapie tworzenia procedur, regulaminów, systemów, czy nawet strony internetowej.
Jak chronić dane zgodnie z RODO?
RODO nie wskazuje konkretnych środków technicznych lub organizacyjnych, które należy zastosować, aby wykazać zgodność z określonymi w nim wymaganiami. Stąd, wybór środków bezpieczeństwa powinien być determinowany przez okoliczności i warunki przetwarzania danych oraz prawdopodobieństwo i powagę zdarzeń, które mogą doprowadzić do naruszenia praw i wolności osób, których dane są przetwarzane.
Jednym z podstawowych obowiązków podmiotów przetwarzających dane, zarówno administratorów, jak i podmiotów przetwarzających (procesorów), jest obowiązek rejestrowania wszystkich czynności przetwarzania danych poprzez prowadzenie tzw. rejestru czynności przetwarzania danych. Aby zrozumieć, jak praktycznie podejść do RCPD, należy wyjść od tego, czym na gruncie RODO jest czynność przetwarzania danych. Niestety, pojęcie to nie zostało zdefiniowane wprost w RODO, co może powodować trudności interpretacyjne co do tego, co należy rejestrować. Wszystkie dotychczasowe publikacje dotyczące tematu rejestrowania czynności przetwarzania danych zgodnie podkreślają, że czynności przetwarzania to operacje wykonywane na danych, które łączy realizacja tego samego celu przetwarzania. Należy zatem wyodrębniać czynności w odniesieniu do wspólnych, związanych z tymi czynnościami określonych celów przetwarzania danych. W praktyce tylko takie podejście jest wykonalne i możliwe do zrealizowania. Pojęcie czynności może być tak wielopoziomowe, że nie kierując się grupowaniem czynności według realizowanych przez nie celów, można zidentyfikować od kilkuset do kilku tysięcy procesów. Stąd, rozsądnym podejściem będzie grupowanie czynności przetwarzania w rejestrze wedle celu, którego czynności dotyczą. Jako przykład można tu wskazać następujące czynności:
- administrowanie personelem i współpracownikami – rekrutacja i selekcja personelu;
- zarządzanie personelem i wspołpracownikami – monitorowanie pracy, planowanie szkoleń;
- organizacja pracy – monitorowanie zadań i wydajności;
- relacje z klientami – zarządzanie portfelem klientów, planowanie i monitorowanie łańcucha dostaw, fakturowanie, marketing i reklama, rejestracja zamówień;
- relacje z dostawcami – zarządzanie zamówieniami i płatnościami, poszukiwanie dostawców;
Co jednak szczególnie istotne RODO zwraca uwagę, że obowiązek prowadzenia stosownego rejestru opisywanego wyżej nie dotyczy podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują̨, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą̨, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO (tj. dane wrażliwe).
Co grozi za uchybienie przepisom?
Zgodnie z ustawą o ochronie danych osobowych organem nadzorczym właściwym do kontroli postanowień RODO w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). PUODO jest również organem właściwym do prowadzenia postępowań i kontroli w sprawie naruszenia przepisów o ochronie danych osobowych. A tych z kolei warto unikać – efekty naruszeń mogą być bowiem dotkliwe. Na mocy RODO, PUODO będzie uprawniony do nałożenia kar pieniężnych sięgających nawet 20 000 000 EUR, w zależności od rodzaju i skali naruszenia.
Klientom naszej Kancelarii oferujemy usługi polegające na przeglądzie wdrożonych w przedsiębiorstwie procedur z zakresu ochrony danych osobowych, a także opracowywanie stosownych polityk czy wzorów dokumentów, zgodnych z aktualnymi wymogami RODO. W przypadku chęci:
- zweryfikowania zgodności wdrożonych rozwiązań z obowiązującymi przepisami,
- wprowadzenia spójnych polityk ochrony danych osobowych w poszczególnych spółkach grupy kapitałowej,
- opracowania stosownych wzorów dokumentów, umów i zgód,
- ewaluacji zakresu obowiązków związanych z przetwarzaniem danych osobowych
zachęcamy do kontaktu z naszą Kancelarią. Oferujemy najwyższą jakość usług i konkurencyjną ofertę cenową.
Kontakt:
Łukasz Szula
l.szula@kancelariaszula.pl
tel. 535-005-012