Wielu przedsiębiorców nadal nie przystosowało się do RODO.
Czy RODO należy się obawiać i z jakimi obowiązkami trzeba się liczyć?
Kogo dotyczy RODO?
Przepisy RODO dotyczą każdego przedsiębiorcy, bez znaczenia w jakiej formie prawnej prowadzi działalność, jednoosobowo czy w formie spółki. RODO podlegają także np. oddziały przedsiębiorstw spoza UE, które prowadzą działalność na jej terenie. Narodowość osób, których dane są przetwarzane nie ma znaczenia. Polski przedsiębiorca przetwarzający dane obywatela Francji – musi stosować RODO. RODO nie znajduje zastosowania do przetwarzania danych osobowych w celach prywatnych, domowych.
Kto przetwarza dane osobowe?
Dane osobowe mogą być przetwarzane przez administratora danych osobowych lub przez podmiot przetwarzający dane osobowe. Na pytanie czy jest się administratorem, czy podmiotem przetwarzającym, przedsiębiorca musi odpowiedzieć sobie sam, po analizie prowadzonej działalności i definicji zawartych w przepisach.
Administrator danych to, osoba fizyczna lub prawna lub inny podmiot, który samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych np. pracodawca w stosunku do danych osobowych swoich pracowników.
Podmiot przetwarzający dane osoba fizyczna lub prawna lub inny podmiot, który przetwarza dane osobowe w imieniu administratora np. zewnętrzna księgowa rozliczająca sprawy pracownicze i księgowe.
Co znaczy przetwarzać dane osobowe?
Czynnościami przetwarzania danych są wszelkie operacje lub zestawy operacji wykonywane na danych np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, modyfikowanie, pobieranie, usuwanie lub niszczenie danych. Przetwarzanie danych może być zautomatyzowane np. poprzez system informatyczny lub niezautomatyzowane, np. ręczne wypełnienie wzoru umowy z klientem. Dane osobowe przetwarza każdy przedsiębiorca, który na jakimkolwiek etapie swojej działalności ma z danymi do czynienia np. przyjmując zamówienie od swojego klienta, poszukując pracownika, świadcząc usługi doradcze czy księgowe dla klienta.
Dane osobowe zwykłe i ze szczególnych kategorii?
Dane osobowe to takie dane, które pozwalają lub umożliwiają zidentyfikować konkretną osobę np. imię i nazwisko, nr PESEL, nr dowodu osobistego, dane adresowe.
Co z adresem e-mailowy? Jeżeli zawiera imię nazwisko lub inny czynnik pozwalający na identyfikację osoby, będzie podlegał ochronie jako dane osobowe.
Istotnym jest rozróżnienie na dane osobowe zwykłe i zaliczające się do szczególnych kategorii.
Danymi zwykłymi będą np. imię, nazwisko, data urodzenia.
Dane zaliczające się do szczególnych kategorii to np. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, dane genetyczne, biometryczne, dotyczące zdrowia, seksualności lub orientacji seksualnej. Do tej kategorii zaliczane są dane o wyrokach skazujących. Powyższe dane mogą być przetwarzane w sytuacjach określonych w art. 9, między innymi na podstawie zgody lub gdy jest to niezbędne ze względu na interes publiczny.
Jakie obowiązki ciążą na przedsiębiorcy?
Na przedsiębiorców nałożony został szereg obowiązków, o wykonanie których warto zadbać aby uniknąć konsekwencji po ewentualnej kontroli.
RODO zobowiązuje administratorów i przetwarzających dane między innymi do prowadzenia rejestru czynności przetwarzania danych osobowych, czyli do dokumentowania tego jakie kategorie danych, w jakim celu, na jakiej podstawie są przetwarzane, jakie istnieją procesy przetwarzania danych w danym podmiocie. Należy zadbać także o minimalizację danych, które są przetwarzane czyli przetwarzamy tylko to, co niezbędne dla naszych celów. Dane wolno przetwarzać tylko przez okres niezbędny dla celów przedsiębiorstwa. Przedsiębiorców RODO obarczyło obowiązkiem informacyjnym oraz obowiązkiem powołania Inspektora Ochrony Danych Osobowych, a także koniecznością zgłaszania do organu nadzorczego tzw. PUODO (dawniej GIODO) naruszenia ochrony danych osobowych i to niezwłocznie, maksymalnie w terminie 72 godzi. Jeżeli naruszenie spowodowało wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą należy ją zawiadomić. Przedsiębiorcy, którzy dokonują operacji przetwarzania danych osobowych przy wykorzystaniu nowoczesnych technologii, mają obowiązek dokonania oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania.
Prawa osób, których dane są przetwarzane?
RODO określiło szereg praw związanych z przetwarzaniem danych, są to: prawo dostępu do danych oraz żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania. Prawo do przenoszenia danych osobowych (nie dotyczy danych przetwarzanych papierowo). Zgłoszenia sprzeciwu wobec przetwarzania, prawo do bycia zapomnianym – czyli żądania usunięcia danych. Prawo do informacji o profilowaniu danych i wreszcie prawo skargi do organu nadzorczego zajmującego się ochroną danych osobowych (PUODO).
O wszystkich powyższych prawach trzeba pouczyć osoby, od których dane się pozyskuje i to zrozumiale, prostym, dostępnym językiem. Forma pouczenia może zostać oceniony z punktu widzenia przystępności przez organ kontrolujący.
Powyższe uwagi nie dotykają w sposób oczywisty wszystkich zagadnień i wyzwań pojawiających się dla przedsiębiorców, na gruncie RODO. Najistotniejszym jest aby przetwarzając dane osobowe identyfikował zagrożenia jakie mogą wiązać się z przetwarzaniem danych osobowych i podejmował niezbędne i stosowne z punktu widzenia możliwości technicznych i ekonomicznych działania mające na celu ich ochronę.