Krok 1: dostosowanie firmy do obowiązujących przepisów w zakresie RODO jest dokonanie analizy przetwarzania danych osobowych w przedsiębiorstwie, ustalenie podstaw prawnych do ich przetwarzania oraz dokonanie oceny ryzyka z tym związanego. Co należy wziąć pod uwagę?
Podobne artykuły
Jak zabezpieczyć się przed naruszeniem tajemnicy przedsiębiorstwa i zakazu konkurencji przez pracownika?Nieuczciwa konkurencjaHej kolęda, kolęda…Czy mogę sam wdrożyć RODO w swojej firmie? Od 25 maja 2018 r. w całej UE przedsiębiorcy muszą stosować nowe unijne rozporządzenie w sprawie ochrony danych osobowych, potocznie zwane RODO. Z uwagi na wiele sprzecznych informacji krążących w Internecie i mediach narosło wiele mitów i niejasności. Jednym z nich jest twierdzenie, żr niemożliwym jest wdrożenie przepisów RODO w firmie bez angażowania zewnętrznego podmiotu trudniącego się profesjonalnie ochroną danych osobowych. Poniżej postaram się przybliżyć kwestie związane z RODO, tak aby każdy przedsiębiorca indywidualnie mógł podjąć decyzję, czy jest w stanie sprostać wdrożeniu RODO w swoim przedsiębiorstwie.
KROK 1 – ANALIZA
1. Inwentaryzacja danych osobowych
W ramach pierwszego kroku każdy przedsiębiorca musi odpowiedzieć sobie na pytanie, czy przetwarza dane osobowe? Co to są dane osobowe i kiedy je przetwarzamy zostało już omówione tutaj (czytaj więcej TUTAJ). Należy w pierwszej kolejności ustalić wszystkie procesy, w których każda firma przetwarzana dane osobowe osób fizycznych oraz przedsiębiorców prowadzących działalność gospodarczą w formie jednoosobowej. Zapewne większość z przedsiębiorców przetwarza dane osobowe w przynajmniej jednej ze wskazanych poniżej sytuacji*:
- zatrudniania pracowników,
- zbierania danych klientów (niezbędnych) do zamówień,
- zbierania danych kontaktowych klientów w celach marketingowych,
- tworzenia bazy danych dostawców surowców,
- zamieszczania zdjęć klientów i pracowników na fanpage firmy,
- monitoringu terenu firmy,
- identyfikowania za pomocą systemu GPS położenia samochodu firmowego (i pracownika).
*Podana wyżej lista nie ma w żadnym wypadku charakteru zamkniętego, a jednie przykładowy.
Wszędzie tam, gdzie są m.in. zbierane, utrwalane, organizowane, porządkowane, przechowywane, pobierane, przeglądane, wykorzystywane, ujawniane lub niszczone (tak, niszczone także) dane osobowe dochodzi do procesu przetwarzania danych osobowych.
1.1. Co i jak inwentaryzować?
Najłatwiej będzie zinwentaryzować posiadane zasoby danych osobowych poprzez podzielenie konkretnych osób fizycznych wedle łączącego je z przedsiębiorstwem stosunku prawnego lub faktycznego. W ten sposób każdemu przedsiębiorcy uda się ustalić, że przetwarza dane osobowe swoich pracowników, klientów i kontrahentów. Procesy przetwarzania danych osobowych powinny być takie same dla każdej z powyżej wymienionych grup. I tak np. dane osobowe pracowników przedsiębiorcy przetwarzają w procesie zatrudniania, dokonywania rozliczeń z tytułu pracy w US i ZUS, a także czasem w związku z świadczeniami socjalnymi (np. dofinansowanie urlopu).
Gdy już zostaną ustalone procesy przetwarzania danych osobowych w firmie, należy ustalić, za pomocą jakich narzędzi technicznych te dane są przetwarzane. Poprzez narzędzia służące do przetwarzania danych osobowych należy rozumieć wszystko to, co służy fizycznie do dokonywania czynności na posiadanych przez nas zbiorach danych. Przykładem przetwarzania danych osobowych przy użyciu różnych narzędzi jest ręczne wypisywanie faktury VAT za wykonane usługi oraz wystawianie faktury przy użyciu specjalistycznego programu, do którego należy zalogować się za pośrednictwem strony internetowej. Identyfikacja procesów przetwarzania danych osobowych oraz narzędzi do tego wykorzystywanych pozwoli na dokonanie pełnej inwentaryzacji zasobów danych osobowych.
2. Ustalenie podstaw prawnych przetwarzania
Po zinwentaryzowaniu posiadanych zasobów należy ustalić podstawy prawne przetwarzania posiadanych danych osobowych. Etap ten nie powinien nastręczyć wielu trudności. Zgodnie z art. 6 ust. 1. RODO przetwarzanie jest zgodne z prawem m.in. gdy:
- osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie w określonych celach,
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Polecam zapoznać się z całym art. 6 RODO.
Dla każdego procesu przetwarzania danych osobowych w firmie musi istnieć podstawa prawna albo inaczej – prawne uzasadnienie przetwarzania. Celem wdrożenia RODO w przedsiębiorstwie należy ustalić, czy dla zidentyfikowanych w firmie operacji na danych osobowych można dopasować podstawę prawną. Dla potrzeb artykułu – czyli opisania procesu ustalenia podstaw prawnych przetwarzania – skorzystam jednie z pierwszych trzech najbardziej popularnych podstaw prawnych, których przykłady podaję poniżej.
2.1. Zgoda osoby fizycznej
W braku innej podstawy prawnej do przetwarzania danych osobowych konieczna jest zgoda osoby fizycznej. Zgoda nie musi być wyrażona w formie pisemnej, ale w razie kontroli odpowiedniego organu każdy przedsiębiorca musi być w stanie wykazać, że zgoda ta została wyrażona. W efekcie sprowadza się do tego, że najłatwiej jest po prostu uzyskać zgodę w formie pisemnej.
Jeżeli firma przetwarza dane osobowe swoich klientów, a przetwarzanie to nie ma związku z żadną inną podstawą prawną wymienioną w art. 6 RODO, np. w związku z wykonywanym na rzecz osoby fizycznej zleceniem, to należy postarać się o uzyskanie oświadczenia osoby fizycznej o wyrażeniu zgody na przetwarzanie danych osobowych. Z podpisanego oświadczenia musi wynikać jednoznacznie, że osoba je składająca wie, na co wyraziła zgodę – w jaki sposób będą przetwarzane jej dane osobowe w konkretnym celu. Klasycznym przykładem wymagającym zgody osoby fizycznej są działania marketingowe, takie jak przesyłanie newslettera czy wysyłanie firmowych kartek z życzeniami.
2.2. Umowa zastępuje zgodę
Przed 25 maja 2018 r. wielu przedsiębiorców zastanawiało się, czy po wejściu RODO będą mogli prosić klientów o podanie imienia i nazwiska. Przekładając to na biznes związany z piekarnictwem i cukiernictwem – czy od klienta zamawiającego tort urodzinowy czy większą ilość pieczywa mogę zażądać podania imienia i nazwiska? Opisany powyżej przykład zebrania danych klienta celem identyfikacji osoby składającej zamówienie i wydania mu produktu idealnie wpisuje się w art. 6 ust.1 podpunkt b RODO. Wykonanie zamówionego tortu urodzinowego to nic innego jak realizacja zawartej z klientem umowy. Przedsiębiorca ma prawo zebrać od klienta te dane osobowe, które są mu niezbędne do wykonania zawartej z nim umowy. Na marginesie dodam tylko, że umowa ta oczywiście nie musi być pisemna. UWAG! Niezgodne z prawem będzie wykorzystywanie zebranych od klienta danych osobowych do celów innych niż wykonanie przedmiotowej umowy, jeżeli nie wyraził na to odrębnej zgody. Umowa nie usprawiedliwia także zbierania od klienta tych danych osobowych, które w żaden sposób nie posłużą do wykonania z nim umowy.
2.3. Przetwarzanie danych osobowych bez koniecznej zgody osoby fizycznej
Część procesów przetwarzania danych w przedsiębiorstwie znajdzie swoją legitymację w ciążącym na administratorze obowiązku prawnym. To oznacza, że przedsiębiorca ma prawo przetwarzać dane osobowe bez zgody osoby fizycznej i w braku łączącej stron umowy, jeżeli jest w stanie wykazać, że przetwarzając dane osobowe, realizuje ciążący na nim obowiązek prawny. Przykładem takiego działania może być monitoring wizyjny w pomieszczeniach firmy służący zapewnieniu bezpiecznych i higienicznych warunków pracy dla pracowników, jak również instalowanie w samochodach służbowych lokalizatorów GPS. Obowiązek ten wynika wprost z przepisów prawa pracy. Należałoby jedynie w tym miejscu zwrócić uwagę, że wskazane w tym akapicie działania wymagają dopełnienia także obowiązku informacyjnego, czyli poinformowania osób zainteresowanych o prowadzonych działaniach i celach, jakim służą.
3. Ryzyko przetwarzania danych osobowych
Każdy przedsiębiorca ma obowiązek wdrożenia odpowiednich środków bezpieczeństwa w celu zabezpieczenia przetwarzanych danych osobowych. Szczegółowo zostanie to omówione w kolejnych krokach. Obowiązek wdrożenia odpowiednich zabezpieczeń łączy się jednakże z innym obowiązkiem przedsiębiorcy: określeniem poziomu ryzyka związanego przetwarzaniem danych osobowych. Podejście oparte na ryzyku – bo to wprowadza RODO do polityki przetwarzania danych – wymaga ciągłego monitorowania poziomu ryzyka związanego z przetwarzaniem danych osobowych. Nie jest więc wystarczającym jednorazowe dla danego procesu określenie poziomu ryzyka i zastosowanie środków zabezpieczenia danych – ten poziom powinien być monitorowany ciągle w ramach trwających procesów przetwarzania danych. Oczywiście wielu przedsiębiorcom może wydawać się, że przetwarzanie przez nich danych osobowych w zasadzie nie wiąże się z żadnym ryzykiem. Niestety nie jest to prawdą. W dobie kradzieży danych osobowych celem dokonywania innych przestępstw niezwykle ważnym elementem jest określenie ryzyka, jakie wiążę się z przetwarzaniem danych osobowych. Inny będzie poziom ryzyka utraty danych osobowych w wyniku kradzież w przypadku przedsiębiorstwa przetwarzającego dane osobowe tylko w wersji papierowej, a inny w przypadku przedsiębiorstwa, które korzysta z zewnętrznych serwerów, np. ryzyka kradzieży danych lub dostępu osób nieuprawnionych.
Przeprowadzona analiza i co dalej?
Opisane powyżej czynności należy przeprowadzić na wstępie, bowiem są one podstawą do dalszych działań w zakresie wdrożenia RODO w przedsiębiorstwie, czyli przygotowania niezbędnej dla każdego przedsiębiorcy dokumentacji.
Cd. nastąpi
adw. Karolina Szmit
Masz pytanie? Skontaktuj się: tel. 601 530 742 lub mailowo: karolina.szmit@kancelariakrs.pl