RODO – bać się czy nie? Dlaczego warto je znać i stosować.

Co to jest RODO?

RODO (ogólne rozporządzenie unijne o ochronie danych osobowych) to przepisy o ochronie osób fizycznych, gdy ich dane osobowe są przetwarzane. Stosujemy je m.in. do: danych naszego kontrahenta, prowadzącego jednoosobową działalność gospodarczą / danych naszych pracowników / danych klientów, którym wystawiamy faktury / danych naszej księgowej. Czytając dalej artykuł zwróć uwagę, że w tych przypadkach chcąc nie chcąc jesteś administratorem.

RODO obowiązuje i stosuje się bezpośrednio, a więc bez konieczności wydawania dodatkowych aktów prawnych na poziomie krajowym. Co prawda w polskim porządku prawnym 10.05.2018 uchwalono nową ustawę o ochronie danych osobowych, która weszła w życie tego samego dnia co RODO, ale ustawa nie zmienia zasad i obowiązków wynikających z rozporządzenia, tylko je precyzuje i rozbudowuje w dopuszczalnym, marginalnym zakresie.

Zasady ogólne

Ogólne zasady przetwarzania danych osobowych, wynikające z RODO to:

1. Zasada zgodności z prawem. Przetwarzanie danych musi być zgodne z prawem, tj. administrator musi mieć konkretną podstawę prawną przetwarzania danych osobowych 
2. Zasada ograniczenia celu. Cele przetwarzania danych powinny być konkretnie określone i zawężone tylko do niezbędnego zakresu
3. Zasada minimalizacji danych. Gromadzone dane osobowe winny być ograniczone do minimum, a dane które nie są niezbędne nie powinny być przetwarzane
4. Zasada prawidłowości. Stworzone muszą zostać właściwe rozwiązania techniczne i organizacyjne, dające możliwość poprawiania nieprawidłowych lub nieaktualnych danych
5. Zasada ograniczenia przechowywania. Czas przetwarzania danych osobowych powinien zostać ograniczony tylko do czasu, jaki jest niezbędny dla osiągnięcia określonego celu przetwarzania tych danych
6. Zasada integralności i poufności. Stworzone muszą zostać właściwe rozwiązania techniczne i organizacyjne, zapewniające bezpieczeństwo przetwarzanych danych osobowych
7. Zasada rozliczalności. Administrator musi być w stanie udowodnić, że przestrzega wszystkich powyższych zasad, tj. „rozliczyć się” z dostosowania się do nich.

Podstawy przetwarzania danych osobowych

RODO określa katalog podstaw przetwarzania danych osobowych. Dane osobowe mogą być przetwarzane tylko, jeśli zajdzie przynajmniej jedna z niżej wymienionych przesłanek:

1. Zgoda. Osoba wyraziła zgodę na przetwarzanie swoich danych osobowych. Zgoda taka powinna być dobrowolna, konkretna, specyficzna (wyrażona na konkretne użycie danych, w określonych celach), świadoma, a jej wycofanie łatwo dostępne (możesz np. określić możliwe sposoby wycofania zgody, przy czym wycofanie nie może być trudniejsze niż udzielenie);
2. Zawarcie i wykonanie umowy. Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest podmiot danych lub do podjęcia działań́ na żądanie tej osoby przed zawarciem umowy. Pamiętaj, że to dotyczy tylko strony umowy z nami, tj. np. przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą. W przypadku, gdy ktoś podaje Ci dane osobowe swoich przedstawicieli (zarząd podpisujący umowę, osoba do kontaktu w sprawie wykonania umowy), Twoją podstawą przetwarzania będzie interes prawny (pkt 6 poniżej), a nie zawarcie i wykonanie umowy;
3. Obowiązek prawny. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
4. Interes osoby. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Ważenie interesu jako podstawa decyzji powinno być udokumentowane; 
5. Interes publiczny. Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Ta przesłanka dotyczy w zasadzie organów publicznych;
6. Uzasadniony interes administratora lub osoby trzeciej. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą̨, jest dzieckiem.

Obowiązek przekazania informacji

Wśród przedsiębiorców najczęściej znajdą zastosowanie podstawy opisane w punktach 1, 2 i 6.

W wypadku, gdy prosisz o zgodę (podstawa z punktu 1), Twoją prośbę najlepiej ubrać w formę pisemnego komunikatu zawierającego niezbędne informacje (pamiętaj, że to Ty jako administrator będziesz mieć obowiązek udowodnienia, że dane zbierane są prawidłowo).

Zbieranie danych na podstawie innej niż zgoda nie zwalnia Cię z konieczności przekazania całej listy informacji osobie, której dane są przetwarzane. Niezależnie od tego, czy osoba, której dane dotyczą udziela Ci zgody, czy też pozyskujesz i rozpoczynasz przetwarzanie jej danych na innej podstawie (np. otwierasz negocjacje w sprawie zawarcia umowy), musisz poinformować ją m.in. o:

1. Twojej tożsamości jako administratora – koniecznie pełna nazwa działalności lub spółki;
2. danych kontaktowych swojego przedstawiciela lub inspektora ochrony danych – niestety bardzo często mylone pojęcia, nie każdy administrator musi mieć inspektora, ponadto,  jeśli kogoś wewnętrznie mianujemy „inspektorem” to nie jest on jeszcze inspektorem w rozumieniu RODO i nie powinniśmy go w ten sposób tytułować w omawianej tu informacji;
3. celach przetwarzania danych osobowych – bardzo ważna informacja, ponieważ wyznacza zakres, w jakim możesz dane legalnie przetwarzać, każde późniejsze użycie danych w innym celu będzie wymagać ponownego poinformowania osoby;
4. podstawie prawnej przetwarzania – konkretny przepis prawa, który uzasadnia gromadzenie i użycie przez Ciebie danych; w tym celu można użyć art. 6 RODO – i jednej z przywołanych wyżej, najbardziej popularnych podstaw – zgoda to będzie art. 6 ust. 1 lit. a), zawarcie i wykonanie umowy to będzie art. 6 ust. 1 lit. b), a uzasadniony interes to będzie art. 6 ust. 1 lit. f);
5. jeżeli podstawą przetwarzania jest prawnie uzasadniony interes – jaki to interes (interesy);
6. odbiorcach danych, jeżeli istnieją; czyli np. wtedy, gdy przekazujesz dane swoich klientów księgowej w celu zaksięgowania faktury;
7. zamiarze przekazania danych osobowych do państwa trzeciego i o właściwych środkach bezpieczeństwa; brzmi mało prawdopodobnie? sprawdź, gdzie są położone serwery waszej usługi chmurowej;
8. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;
9. prawach – żądania dostępu do danych / sprostowania / usunięcia lub ograniczenia przetwarzania / do wniesienia sprzeciwu / do przenoszenia danych / do cofnięcia zgody / wniesienia skargi do organu nadzorczego;
10. tym, czy osoba jest zobowiązana do podania danych i jakie są ewentualne konsekwencje niepodania danych;
11. zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Jak widać, informacji, które trzeba obowiązek podać, jest całkiem sporo – a ta lista jest uproszczeniem w stosunku do tego, co jest dokładnie w RODO napisane… To dlatego formularze zapisowe i umowy rozrastają się do ogromnych rozmiarów. Widzimy to na co dzień i się frustrujemy, ale prawda jest taka, że niespełnienie wymogów formalnych może grozić każdemu przedsiębiorcy potężnymi karami. 

Kary administracyjne

Jedną z przyczyn, dlaczego RODO stało się „sławne” jest wprowadzenie tym rozporządzeniem niemałych kar pieniężnych za naruszenie zasad przetwarzania danych osobowych. Pierwsza granica takiej kary sięga 10 milionów euro lub 2% wartości rocznego światowego obrotu przedsiębiorstwa, druga 20 milionów euro lub 4% wartości rocznego światowego obrotu przedsiębiorstwa. 

Kara do 10 milionów euro (lub 2% rocznego światowego obrotu) dotyczy sytuacji, w których administrator danych osobowych nie wywiązał się ze swoich obowiązków, takich jak dla przykładu obowiązek informacyjny. Kara do 20 milionów (lub 4% rocznego światowego obrotu) znajduje zastosowanie, gdy administrator danych osobowych złamał podstawowe zasady ich przetwarzania, takie jak nieprzestrzeganie praw osób fizycznych, których dane podlegają ochronie.

Każda osoba fizyczna, która poniosła szkodę przez naruszenie postanowień RODO, może wystąpić do administratora danych osobowych o odszkodowanie. Tymczasem administrator ma szansę na zwolnienie się z odpowiedzialności, o ile wykaże, że nie ponosi winy za zdarzenie, które wywołało szkodę. Czyli to po stronie administratora leży ciężar wskazania i udowodnienia, że wszystkie wymogi RODO spełnił.  

Obowiązki administratora danych osobowych

Administrator (czyli wy w odniesieniu do przetwarzanych przez was danych osobowych) prowadzi dokumentację, w ramach której obowiązkowo powinny znaleźć się przynajmniej:

• rejestr czynności przetwarzania
• rejestr kategorii czynności przetwarzania
• rejestr naruszeń
• klauzule informacyjne przedstawiane do zapoznania się osobom, których dane są przetwarzane
• upoważnienia pracowników mających dostęp do danych osobowych
• umowy powierzenia przetwarzania danych osobowych – jeśli przetwarzanie danych osobowych powierzone zostaje podmiotom trzecich.

Obowiązki administratora danych osobowych

W praktyce, w celu udowodnienia, że przetwarzacie dane zgodnie z prawem, będziesz potrzebować szerszej „papierologii”. Pamiętając, że na Tobie ciąży obowiązek udowodnienia, że stosujesz RODO, warto mieć u siebie m.in.:

• politykę bezpieczeństwa danych osobowych;
• instrukcję zgłaszania naruszeń (musi sprawnie działać, bo termin na zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych – upływa 72 godziny od stwierdzenia naruszenia);
• politykę lub wykaz odpowiedzi na żądania podmiotów danych (na każde żądanie trzeba odpowiedzieć w ciągu miesiąca);
• instrukcję zarządzania systemem informatycznym (jeśli taki występuje) – w mniejszych podmiotach włącza się ja do polityki bezpieczeństwa;
• oświadczenia o poufności od pracowników mających dostęp do danych;
• dokumentację potwierdzającą przeprowadzenie szkoleń z zakresu ochrony danych osobowych.

Podsumowanie

RODO ma stwarzać jednolite, pewne, stabilne i dość restrykcyjne warunki ochrony danych osobowych osób fizycznych w całej Unii Europejskiej. Dzięki temu osoby te zyskają większe bezpieczeństwo, ale i większy wpływ na to, gdzie ich dane są faktycznie wykorzystywane. W dobie big data jest to bardzo potrzebne założenie i ma też drugą stronę medalu. Tą drugą stroną jest przerzucenie na przedsiębiorców obowiązku posiadania wiedzy co, gdzie, kiedy, przez kogo i w jakim celu jest przetwarzane i obowiązku zadbania o prawa osób, których dane osobowe dotyczą.

Czy dziś na gruncie RODO, czy dawniej bez, dane osobowe pozyskiwane są niemal na każdym kroku na wiele możliwych sposobów. Kary finansowe, których kwoty robią wrażenie, są czasem stosowane odstraszająco, choć nie zdarzają się tak często jak mogłoby się wydawać. Z drugiej strony bez wątpienia wzrosła świadomość społeczna dotycząca przekazywania swoich danych osobowych, ich przetwarzania i uprawnień, z których można w tym kontekście korzystać. W tym rozumieniu RODO spełnia swoje cele i ułatwia realizację podstawowych praw.

Jeśli zainteresował Cię ten temat i chcesz mieć dostęp do wzorów dokumentów, o których mowa w artykule, napisz proszę krótki mail na adres kontakt@legelex.eu.

Jeśli chcesz na bieżąco otrzymywać informacje o nowych wzorach i aktualnościach prawnych, zapisz się na newsletter.

Podstawy prawne

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
• Ustawa z 10.05.2018 roku o ochronie danych osobowych 

Żródło zdjęcia: https://pixabay.com/

Cześć! Nazywam się Magda Parzyszek. Jestem radcą prawnym.

Od kilkunastu lat doradzam przedsiębiorcom, jak bezpiecznie zakładać, rozwijać i przekształcać ich biznesy. Więcej dowiesz się w zakładce O mnie.

Jeśli chcesz na bieżąco dostawać wskazówki prawne dla biznesu, bezpłatne wzory i materiały, zapisz się na newsletter.