RODO w firmie – najważniejsze zasady
14Maj
RODO – czyli unijne rozporządzenie o ochronie danych osobowych – pod wieloma względami zrewolucjonizowało zasady ochrony danych, stając się jednocześnie synonimem szeregu formalności, jakim musi sprostać przedsiębiorca przetwarzający dane osobowe. Ich niedopełnienie bądź nieprawidłowa realizacja wiąże się z daleko idącymi sankcjami, przede wszystkim finansowymi.
W skrócie:
- Czym jest przetwarzanie danych osobowych w rozumieniu polskiego i unijnego ustawodawcy?
- Prawidłowe przetwarzanie danych osobowych zawsze spoczywa na dwóch podmiotach – administratorze danych oraz podmiocie przetwarzającym.
- Konieczność dostosowywania procedur ochrony danych osobowych do zmian w prowadzonej działalności oraz przeszkolenia pracowników w tym zakresie.
[toc]
Co to jest „przetwarzanie danych”?
Nie sposób prawidłowo stosować przepisy RODO – w tym wdrażające je regulacje polskiej ustawy o ochronie danych osobowych – bez zrozumienia czym jest „przetwarzanie danych osobowych”.
Niestety w praktyce niejednokrotnie termin ten jest błędnie rozumiany. Wynika to m.in. z faktu, że w codziennym użyciu czasownik „przetwarzać” – w odniesieniu do danych – oznacza „opracowywać zebrane dane”, a więc podejmować w związku z ich posiadaniem jakąś aktywność.
Natomiast przetwarzanie danych osobowych – w znaczeniu nadanym temu terminowi przez polskiego i unijnego ustawodawcę – obejmuje już samo ich zbieranie, a także utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Słowem: właściwie jakiekolwiek operacje związane z danymi osobowymi, czyli danymi o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Kto jest administratorem i podmiotem przetwarzającym?
Zapewnienie prawidłowego przetwarzania danych osobowych zawsze spoczywa przede wszystkim na dwóch podmiotach, tj. na administratorze danych oraz na podmiocie przetwarzającym.
Pierwszym z nich jest każda osoba fizyczna, prawna oraz jednostka organizacyjna posiadająca jedynie zdolność prawną, a także organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Natomiast przez podmiot przetwarzający rozumie się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Warto podkreślić, że prawidłowe ustalenie relacji łączących administratora danych z podmiotem przetwarzającym może mieć kluczowe znaczenie przy ponoszeniu odpowiedzialności za ewentualne zaniedbania obowiązków w omawianym tu zakresie.
Dlatego najlepiej sprecyzować je na piśmie, np. w ramach umowy.
RODO – o czym nie wolno zapomnieć?
Z punktu widzenia prawidłowego stosowania przepisów RODO w firmie kluczową kwestią pozostaje zapewnienie bezpieczeństwa przetwarzanych danych.
W praktyce oznacza to przede wszystkim:
- właściwe zabezpieczenie danych osobowych przed dostępem do nich jakichkolwiek osób nieuprawnionych, a zwłaszcza przez ich kradzieżą;
- wykorzystywanie danych jedynie w celach, na które wyraził zgodę ich posiadacz lub które są usprawiedliwione przepisami prawa;
- umożliwienie posiadaczowi danych realizację prawa dostępu do nich, a także ich sprostowania oraz wycofania udzielonej zgody na przetwarzanie.
Biorąc pod uwagę poważne sankcje, jakie grożą przedsiębiorcy za złamanie zasad przetwarzania danych osobowych należy do tej kwestii podchodzić z bardzo dużą uwagą, skrupulatnie wypełniając obowiązki wynikające z unijnego rozporządzenia o ochronie danych osobowych oraz z przepisów obowiązującej w Polsce ustawy o ochronie danych.
Dlatego warto wdrożyć w przedsiębiorstwie specjalne procedury oraz na bieżąco monitorować ich przestrzeganie. Zawsze trzeba pamiętać, że im wyższe ryzyka związane z przetwarzaniem danych osobowych, tym większą uwagę należy zwrócić na ich zminimalizowanie.
O właściwych rozwiązaniach z zakresu ochrony danych osobowych nie można zapominać także w przypadku rozwoju prowadzonej działalności, który bardzo często wiąże się z pozyskiwaniem – a tym samym z przetwarzaniem – danych osobowych nowych klientów.
Tym samym niejednokrotnie wymaga to dostosowania przyjętych w firmie procedur do zwiększającej się bazy danych.
W każdym przypadku nie należy także zapominać o odpowiednim przeszkoleniu pracowników – ze szczególnym uwzględnieniem tych z nich, którzy bezpośrednio zajmują się problematyką przetwarzania danych osobowych.
Mogą Cię zainteresować
16Wrz