Dzisiejszy artykuł rozpoczyna cykl wpisów „RODO dla przedsiębiorców w pytaniach i odpowiedziach”, który będziesz mógł na bieżąco śledzić na naszym blogu. W oparciu o nasze doświadczenie zachęcamy Ciebie do zgłębienia swojej wiedzy z zakresu stosowania przepisów RODO w twojej firmie.
Choć od wejścia w życie RODO upłynęły już niespełna 3 lata wydaje się, że wszechobecny niepokój  przed złamaniem przepisów o ochronie danych osobowych paraliżuje funkcjonowanie wielu przedsiębiorstw. Wątpliwości mnożą się w nieskończoność, gdy przedsiębiorca chce uruchomić stronę internetową, przeprowadzić rekrutację kandydatów na nowe stanowisko czy zainstalować system monitoringu wizyjnego w miejscu pracy.

1. Od przystępnej teorii do praktyki

RODO czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych, w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Tekst rozporządzenia obowiązuje na terenie całej Unii Europejskiej. Każda forma działalności związana z przetwarzaniem danych osobowych osób przebywających w Polsce będzie pociągać za sobą obowiązek zastosowania nie tylko RODO, ale także krajowych przepisów wdrażających RODO w polskim systemie prawnym. Ponadto, podmiot przetwarzający dane osobowe i tak będzie musiał stosować przepisy RODO, o ile oferuje towary i usługi na terenie UE. Tym sposobem zagraniczny przedsiębiorca przebywający na terytorium Polski, korzystający z usług np. operatora internetowego, który nie ma w Polsce siedziby czy oddziału może domagać się ochrony na podstawie RODO jeśli usługa, z której korzysta jest dostępna w języku polskim i można zapłacić za nią w polskiej walucie. Eksterytorialność RODO wiązać się będzie z koniecznością spełnienia wielu nowych obowiązków przez podmioty, które wcześniej mogły uniknąć stosowania unijnych przepisów dotyczących przetwarzania danych osobowych. Ceną za ujednolicenie procedur jest obszerne ujmowanie zagadnień w tym posługiwanie się wieloma pojęciami. Doprecyzowanie przynajmniej tych zasadniczych ma fundamentalne znaczenie dla prawidłowego stosowania polityki ochrony danych osobowych w Twojej firmie.
Które z pojęć powinnaś/powinieneś znać? Najistotniejsze dla regulacji pojęcia zostały zdefiniowane w art. 4 RODO, a w części też doprecyzowane w preambule do RODO. Chodzi w szczególności o pojęcie danych osobowych, danych osobowych szczególnej kategorii, administratora danych osobowych, przetwarzania danych oraz podmiotu przetwarzającego dane. Dane osobowe mogą przybierać różną formę, począwszy od identyfikatorów takich jak imię i nazwisko, numerów identyfikacyjnych takich jak PESEL, wykazów informacji zawierających dane, po zdjęcia, filmy czy dane biometryczne (np. odciski linii papilarnych, głos, pismo). Zawsze muszą być to informacje, które dotyczą osoby fizycznej, bądź pozwalają na jej identyfikację. Warto pamiętać, że katalog danych osobowych szczególnej kategorii tzw. danych wrażliwych (w odróżnieniu od katalogu danych osobowych) jest katalogiem zamkniętym.
 

 
Podmiotem odpowiedzialnym za zgodne z przepisami prawa przetwarzanie danych osobowych jest tzw. administrator danych osobowych. Zgodnie z RODO administratorem danych osobowych nie jest osoba, która przetwarza dane w celach osobistych lub domowych.  Czy jesteś administratorem? Jeśli decydujesz o celach i sposobach przetwarzania danych osobowych z pewnością tak. Przedsiębiorca zawsze jest administratorem danych osobowych wykorzystywanych w zakresie prowadzonej przez siebie działalności. W przypadku osób fizycznych kwestia jest jednoznaczna,
zaś w przypadku osób prawnych administratorem danych będzie zawsze spółka, a nie jej organ, czy konkretna osoba w nim zasiadająca.
Jeżeli chcesz dowiedzieć się czy jako administrator dopełniasz wszystkich obowiązków jakie nakłada na Ciebie RODO zapraszamy do naszych kolejnych wpisów.
Prawodawca unijny przewidział sytuację, w której administrator upoważni do przetwarzania danych osobowych w jego imieniu inny podmiot. Jeśli administrator nie będzie sam przetwarzał danych, których jest administratorem, zleci to tzw. podmiotowi przetwarzającemu. Podmiot taki nie jest zatem administratorem danych, jeśli przetwarza dane w imieniu administratora, ale tylko wykonawcą zlecenia. Podmiot przetwarzający dane osobowe powinien przetwarzać je na podstawie pisemnej zgody administratora. Przepisy RODO nie wymagają, aby przetwarzanie odbywało się na podstawie odrębnie zawartej umowy powierzenia. Można więc umieścić warunki przetwarzania danych bezpośrednio w umowie zawieranej z kontrahentem.
Sama definicja przetwarzania danych zawarta w art. 4 pkt 2 RODO polega na przykładowym wyliczeniu działań na danych osobowych zwłaszcza takich jak zbieranie, przechowywanie, adaptowanie, modyfikowanie, rozpowszechnianie, usuwanie. Proces przetwarzania danych może obejmować jedną albo więcej operacji oznacza to, że wykonanie nawet jednej operacji na danych będzie oznaczało ich  przetwarzanie.
Odpowiedzi na pytania jak prawidłowo przetwarzać i przechowywać dane osobowe oraz jak trwale je usunąć znajdziesz w kolejnych artykułach.
 

2. Czy musisz wdrożyć RODO w swojej firmie?

Uruchamiasz swój sklep internetowy, pozyskujesz nowych klientów, rozpoczynasz współpracę
z firmą kurierską, przeprowadzasz rozmowy kwalifikacyjne i zatrudniasz nowych pracowników,
w końcu montujesz system monitoringu wizyjnego. To jak wiele danych osobowych napływa do Ciebie podczas tych działań zależy od zakresu Twojej działalności i zawsze musi zostać zabezpieczone przez ich przejrzyste gromadzenie i rzetelne przechowywanie. Krótko mówiąc, każdy przedsiębiorca, który chce legalnie sprzedawać produkty lub świadczyć usługi obywatelom UE musi stosować się do przepisów RODO. Do RODO muszą stosować się również osoby, które wprawdzie nie prowadzą działalności gospodarczej, ale przetwarzanie danych odbywa się w związku z jakąś ich zorganizowaną aktywnością, np. blogerzy internetowi wysyłający newslettery.
Oprócz oczywistych obowiązków administratora danych osobowych, których temat poruszymy
w następnym wpisie warto zadbać także o szczegóły: stopkę e-mail z klauzulą informacyjną, upoważnienia dla pracowników do przetwarzania danych osobowych, analizę ryzyka naruszenia danych osobowych w Twojej firmie czy zbiór zasad wewnętrznej procedury postępowania w przypadku ich naruszenia. Jeśli zatrudniasz pracowników warto rozważyć także przeprowadzenie szkolenia z zakresu RODO.

3. Skuteczne, proporcjonalne i odstraszające – czy warto się bać?

Mowa oczywiście o administracyjnych karach pieniężnych nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych. Bać się z pewnością nie warto, opłaca się jednak uważać.
Z naciskiem na „opłaca” ponieważ kary sięgają wysokości 20 mln EUR, a w przypadku przedsiębiorstwa (w rozumieniu art. 101 i 102 Traktatu o funkcjonowaniu Unii Europejskiej) –  w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.  Kwota może przyprawić o zawrót głowy, dlatego lepiej upewnić się, czy wszystkie operacje na danych osobowych przebiegają właściwie. Jeśli potrzebujesz porady prawnej bądź planujesz wdrożyć politykę RODO w swojej firmie skorzystaj z naszego doświadczenia.
 

 
 
Zapraszamy do śledzenia kolejnych wpisów, w których znajdą się między innymi praktyczne wskazówki na temat „RODO w miejscu pracy” oraz „RODO od B2B po sklep internetowy”.
 
Upewnij się, czy wszystkie operacje na danych osobowych w twojej firmie przebiegają właściwie. Jeśli potrzebujesz porady prawnej bądź planujesz wdrożyć politykę RODO zapraszamy do kontaktu!