RODO – nowe zasady ochrony danych osobowych
Z dniem 25 maja 2018 r. weszło w życie RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W związku z wejściem życie powyższego rozporządzenia powstało wiele wątpliwości i obaw, jak należy stosować te przepisy, by nie narazić się na negatywne konsekwencje ze strony Urzędu Ochrony Danych Osobowych. Przede wszystkim należy stworzyć odpowiednią dokumentację dotyczącą danych osobowych oraz wdrożyć stosowne procedury.
Obowiązkowi wdrożenia RODO podlega każdy przedsiębiorca – niezależnie od tego, czy prowadzi działalność w formie spółki osobowej, kapitałowej, czy jednoosobowej działalności gospodarczej. Administratorem danych osobowych jest zawsze przedsiębiorca i to on określa cele oraz zakres przetwarzania danych w swojej firmie. Z kolei danymi osobowymi są wszystkie informacje, które identyfikują lub pozwolą nam na zidentyfikowanie danej osoby. Istotne jest, by tworzenie polityki ochrony danych osobowych w firmie odbywało się z uwzględnieniem zasad wprowadzonych przez RODO, między innymi zasady minimalizmu, która pozwala na przetwarzanie danych osobowych tylko w takim zakresie, w jakim są one niezbędne do osiągnięcia danego celu. Inaczej mówiąc – przedsiębiorca nie może przetwarzać danych osobowych, jeżeli nie są one dla niego niezbędne. Administrator decyduje także o tym, kto w jego imieniu będzie przetwarzał dane, których jest administratorem, poprzez zawarcie z podmiotami trzecimi umowy o powierzenie przetwarzania danych osobowych (np. z księgowym). O wszystkich podmiotach przetwarzających dane w imieniu administratora należy poinformować osobę, której dane dotyczą.
Zgodnie z RODO przetwarzanie danych osobowych zgodnie z prawem jest możliwe tylko w przypadkach wskazanych w tym rozporządzeniu. Przede wszystkim przetwarzanie danych jest możliwe na podstawie dobrowolnej zgody danej osoby, która może być w każdym czasie odwołana oraz wtedy, gdy przetwarzanie jest niezbędne do wykonania umowy – na przykład w umowach o pracę pracodawca musi przetwarzać dane osobowe pracownika, żeby móc go zatrudnić.
RODO przewiduje także obowiązek stworzenia rejestru czynności przetwarzania danych, a więc rejestru zawierającego informacje o tym kto, w jakim celu i czyje dane przetwarza, a także o planowanym czasie przetwarzania tych danych. Należy jednak zaznaczyć, że obowiązek ten ciąży tylko na tych przedsiębiorcach, którzy zatrudniają powyżej 250 pracowników, chyba że występuje duże ryzyko naruszenia praw osób, których dane dotyczą, lub przetwarzane są szczególne kategorie danych – a więc takie, które dotyczą płci, wyznania, stanu zdrowia, pochodzenia itd. Podobnie w przypadku Inspektora Ochrony Danych (IOD)– RODO przewiduje obowiązek powołania IOD, jednak tylko w ściśle określonych sytuacjach – w szczególności, gdy dane są przetwarzane przez podmioty z sektora publicznego bądź główna działalność administratora (przedsiębiorcy) polega na przetwarzaniu danych osobowych.
Obsługa prawna związana z RODO może polegać na wdrożeniu RODO u danego przedsiębiorcy, łącznie z przygotowaniem wszystkich dokumentów i przeprowadzeniem szkolenia dla pracowników, utrzymania procedur ochrony danych osobowych w zgodności z obowiązującymi przepisami oraz reakcji na naruszeniu ochrony danych osobowych i minimalizacji jego skutków.
