Każdy przedsiębiorca spotkał się w ostatnim czasie z pojęciem RODO. Dzisiaj zajmiemy się jego dokładną charakterystyką, a mianowicie kto jest z nim związany, jakie obowiązki powstają, a także co to w ogóle jest RODO.

RODO dla firm

RODO to rozporządzenie unijne, którego specyfiką jest ochrona danych osobowych. Każde państwo członkowskie Unii Europejskiej musi bezwzględnie przestrzegać przepisów dotyczących RODO.
Przepisy RODO występują w Polskim prawie, zamiast ustawy o ochronie danych osobowych, powstałej w 1997 roku. Przepisy RODO są jeszcze udoskonalane, nowelizowane, a także powiększane o nowe pojęcia.


RODO informuje nas, przede wszystkim, w jaki sposób chronić dane osobowe, ale nie tylko. Zawiera także przesłankę, iż podmioty, które przetwarzają dane powinny używać odpowiednich zabezpieczeń. Zabezpieczenia o których mowa nie są wymienione, wybór zostaje pozostawiony podmiotom, których zadanie obejmuje przetwarzanie danych.
RODO nie jest w stanie wyznaczyć konkretnych środków zabezpieczających, gdyż pod przepisy podlegają wszelkiego rodzaju działalności – te jednoosobowe oraz olbrzymie korporacje. Każde przedsiębiorstwo korzysta więc z innych zabezpieczeń, gdyż te odpowiednie dla małej firmy, nie sprawdzą się w dużej i na odwrót.


Przepisy RODO obowiązują każde przedsiębiorstwo, od jednoosobowych działalności do spółek, które działają w Unii Europejskiej oraz przetwarzają dane osobowe.
RODO nie przywiązuje uwagi do narodowości osób, których dane zostają przetworzone, ani też miejsce przetwarzania danych oraz lokalizacja serwerów. Podkreślamy jeszcze raz, przepisy te obowiązują wszystkie kraje członkowskie UE.


Przykłady podmiotów, które zobowiązane są przez przepisy RODO:
- podmiot, którego siedziba znajduje się poza Unią Europejską, ale działania przedsiębiorstwa odbywają się na terenie UE,
- przedsiębiorców, których zakres działania obejmuje klientów spoza Unii Europejskiej, ale ich główna siedziba ma miejsce na jej terenie,
- przedsiębiorstwa, które do przetworzenia danych osobowych, używają chmury obliczeniowej, a lokalizacja serwerów nie ma znaczenia,
- podmiot, który prowadzi biuro rachunkowe, opierając swoją działalność na rozliczaniu innych firm,
-podmiot, który sprzedaje swoje dobra (towary oraz usługi) obywatelom Unii, ale nie posiada siedzib na jej terenie. Przykładem jest sklep internetowy.
Warto zapamiętać, że dane osobowe, które przetwarzane są do celów prywatnych, nie podlegają pod RODO ( chociażby wysyłanie kartek świątecznych).
W praktyce oznacza to zachowywanie przez przedsiębiorców przepisów RODO w kontaktach z klientami oraz kontrahentami, ale w przypadku prywatnych listów, przepisy te już nie mają miejsca.


Co to są dane osobowe?

Do danych osobowych zaliczamy wszelkiego rodzaju wiadomości przy użyciu których, rozpoznajemy daną osobę. W niektórych przypadkach identyfikacja jest możliwa na podstawie jednej wiadomości (z reguły odnosi się to do najważniejszych osób w danej grupie), a w innych przypadkach, należy posiadać więcej informacji (chociażby imię, nazwisko oraz datę urodzenia). Warto wiedzieć, iż przydatność informacji zależy od miejsca, a mianowicie ta sama informacja w jednym miejscu będzie identyfikowała osobę, a w innym już nie. Za przykład posłuży numer PESEL w Urzędzie Skarbowym będzie stanowił podstawę do identyfikacji, a zapisany na kartce papieru już nie.

Wśród danych osobowych wyróżniamy dwa typy, a mianowicie podstawowe “twarde”, “suche”, do nich zaliczamy na przykład imię, nazwisko, PESEL - oraz drugi typ - dane szczególnie chronione określane jako dane wrażliwe, zaliczamy do nich wyznanie religijne, etniczne, orientację.


Ważna informacja dla wszystkich przedsiębiorców!
Dane osobowe odnoszą się do konkretnej osoby, a nie firmy. Dajmy na to firma XYZ nie posiada żadnych danych osobowych, a z kolei jej prezes pan Xsiński ma już konkretne dane osobowe.


Co to jest przetwarzanie danych osobowych?

Do przetwarzania danych zaliczamy następujące czynności:
- zbieranie,
- utrwalania,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie bądź modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie,
- usuwanie,
- niszczenie.

Kto może przetwarzać dane osobowe?
Do listy osób upoważnionych do zmian danych osobowych zalicza się przedsiębiorca, występujący jako administrator danych bądź jako podmiot przetwarzający.
Administrator danych osobowych określany jest w skrócie jako ADO, a jego rolą jest określenie celów, a także sposobów w jaki dane osobowe są przetwarzany. Może to robić samodzielnie, albo z pomocą innych podmiotów.


Kiedy przedsiębiorca jest również ADO?
1. Każdy pracodawca względem swoich pracowników,
2. Właściciel sklepu internetowego względem nabywców,
3. Właściciel strony internetowej względem użytkowników newslettera.


ADO może przekazać innej osobie prawo do przetwarzania danych osobowych w oparciu o umowę. Cele, jak również sposoby cały czas stanowią inicjatywę ADO, ale niektóre czynności może wykonać upoważniony do tego podmiot, którym może być osoba fizyczna, albo firma.
Przykładowa lista podmiotów, które przetwarzają dane w imieniu ADO:

  • Biuro rachunkowe, które po otrzymaniu danych osobowych od klientów, przetwarza je
  • Podmioty, których profesją jest niszczenie danych osobowych, przetwarzanie danych następuje na prośbę klientów,
  • Osoba zajmująca się rekrutacją pracowników i wykonuje to w imieniu pracodawcy.

Wcześniej wspomniana umowa, która zostaje zawarta między podmiotem, a ADO określana jest nazwą umowy powierzenia, która zawiera dokładną specyfikę przetwarzania danych. Wśród osób, które przetwarzają dane możemy wyróżnić konkretne osoby fizyczne, w ich skład wchodzą pracownicy bądź współpracownicy administratora, albo podmiotu, który zajmuje się przetwarzaniem danych. Konieczne są szczególne upoważnienia, aby legalnie podjąć się tego zadania.

 

W jakiej sytuacji dane osobowe mogą zostać przetwarzane?
Przetwarzanie danych osobowych może nastąpić tylko i wyłącznie w sytuacji, kiedy istnieje co do tego, podstawa prawna przetwarzanych danych.
Podstawą przetwarzania danych w przedsiębiorstwie jest:

  • Zgoda, wydana przez osobą, której dane dotyczą,
  • Wykonanie umowy z konkretną osobą, której dane mają zostać przetwarzane, chodzi tutaj chociażby o sklep internetowy, w momencie realizacji zakupów klientów,
  • Wykonanie obowiązku prawnego, które spoczywa na administratorze, jako przykład może posłużyć uzupełnianie ksiąg rachunkowych,
  • Cele, które mają swoje podłoże prawne w interesach, które realizowane są przez administratora bądź osoby trzecie, chociażby pismo do prokuratury.

Przesłanki umożliwiające przetwarzanie danych to:

  • Jasna i czytelna zgoda osoby, której dane mają zostać przetworzone,
  • Absolutna niezbędność, dotycząca przetworzenia danych, dzięki której możliwe będzie wykonanie zadań, które odnoszą się do zatrudnienia bądź ubezpieczenia społecznego pracowników,
  • Profilaktyka zdrowotna oraz medycyna pracy, albo oceny zdolności pracownika do rozpoczęcia pracy,
  • Dochodzenie praw przed sądem.

Rolą administratora jest zapewnienie sobie podstawy prawnej, która umożliwia mu przetwarzanie danych, a jest to ściśle związane z zasadą rozliczalności.

 

RODO a firma
Głównym celem, przyświecającym RODO jest użycie środków bezpieczeństwa, aby dane osobowe były zawsze przetwarzane zgodnie z prawem, a także uniemożliwiły obcym osobom dostęp do nich.
RODO zapewnia odpowiednią ochronę danych osobowych, a także zapobiegają sytuacjom w których konkretne informacje opuszczą mury jednostki, mamy tutaj na myśli, przeciek informacji.

 

Jak chronić dane osobowe?

1. Aby dobrze chronić dane osobowe, należy przede wszystkim wykonać inwentaryzację danych osobowych, które przetwarzane były do tej pory. Polega to na dokładnym przejrzeniu wszystkich komputerów, szaf z dokumentami, procesów w przedsiębiorstwie, a także wszelkich innych możliwych miejsc przechowywania danych. Celem tych zabiegów jest zebranie wszelakich danych, które mają miejsce w zasobach firmy, a także zadecydować w jakim celu są one przetwarzane. Warto zaznaczyć, iż cel, który uległ przedawnieniu, powinien przyczynić się do zniszczenia danych osobowych, którego bezpośrednio go dotyczą.
2. W drugiej kolejności, warto poświęcić trochę czasu na analizę ryzyka, chodzi głównie o to, kto może korzystać z danych, lub kto powinien dostęp ten otrzymać, warto przemyśleć co może być inicjatywą do wycieku danych, czyli postarać się zapobiec ewentualnym zagrożeniom.
3. Po wykonaniu poprzednich czynności, należy ustawić stopień oraz wagę dla wszystkich zagrożeń, które zostały zidentyfikowane. Chodzi o to, aby określić prawdopodobieństwo, iż dane zagrożenie będzie miało miejsce, a także jakie szkody może wyrządzić.
4. W ostatnim punkcie, chodzi o to, aby określić rozwiązania, które umożliwią zmniejszenie, a nawet zapowiedzenie ewentualnemu ryzyku, chodzi tutaj ściśle o wyznaczenie środków zabezpieczeń. Jak już wcześniej wspominaliśmy, RODO nie wyznacza środków, które powinny być używane, gdyż są one inne dla każdego przedsiębiorstwa. Istotą jest ich skuteczność.

Realizacja tych czterech kroków, powinna skutkować nazwaniem środków zapobiegawczych, które umożliwią natychmiastową interwencję, w razie wystąpienia ryzyka. Przemyślane środki zapobiegawcze zapewnią spokój, a także skuteczne działania, chociaż związane jest to z ciągłym monitorowaniem poziomu ryzyka, które towarzyszy przetwarzaniu danych osobowych. Jednorazowe działania nie zdadzą się na nic, należy wszystko kontrolować na bieżąco, gdyż proces przetwarzania danych ma miejsce w przedsiębiorstwie każdego dnia.

 

Od kiedy obowiązuje RODO?

RODO obowiązuje od 2016, jednakże każde państwo członkowskie Unii Europejskiej miało czas do 25 maja 2018 roku na wprowadzenie zasad RODO do stosowania.

Od 25 maja 2018 roku RODO obowiązuje w Polsce, a co za tym idzie jest stosowane bezpośrednio, a także bezpośrednio skuteczne. Możliwe jest tak zwane doprecyzowanie, ale stanowi to indywidualną decyzję każdego państwa członkowskiego, oczywiście, nie mogą być one sprzeczne z przepisami RODO, które stanowią nadrzędną wartość.

Dużą zaletą RODO jest charakter wiążący, zachodzący między wszystkimi państwami członkowskimi. Przepisy stosowane są bezpośrednio, nie trzeba orientować się w przesłankach danego państwa, co jest znacznym ułatwieniem dla wszystkich uczestników rynku.

Data publikacji: 2018-05-29, autor: FakturaXL
Ostatnia aktualizacja: 2020-07-28

ZADAJ PYTANIE DO ARTYKUŁU