Dołącz do czytelników
Brak wyników

Nowoczesny HR

4 stycznia 2019

NR 4 (Grudzień 2018)

RODO w praktyce przedsiębiorcy

0 130

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli słynne RODO, obowiązują już od ponad pół roku. Przez ten czas wiele firm dostosowało swoją działalność do nowych przepisów. Dla tych, które wdrożenie RODO mają jeszcze przed sobą, przedstawiamy parę praktycznych wskazówek.

Na wstępie należy zaznaczyć, iż zakres obowiązków związanych z przetwarzaniem danych osobowych zależeć będzie od tego, jaki jest status danej firmy na gruncie RODO. 

Firma może być bowiem administratorem danych osobowych, czyli podmiotem, który decyduje, co się dzieje z danymi (tj. po co i w jaki sposób są one przetwarzane), bądź procesorem, który przetwarza dane osobowe nie we własnym interesie, ale na zlecenie i w imieniu administratora. Mogą zdarzyć się również takie sytuacje, kiedy jedna firma jest zarówno administratorem, jak i procesorem. Przykładowo, biuro rachunkowe będzie z jednej strony administratorem danych osobowych swoich własnych pracowników (bo decyduje o celach i sposobach przetwarzania tych danych), a z drugiej strony procesorem danych osobowych przekazywanych jej w celu wykonania usług księgowych przez podmioty będące jej klientami (np. dane zawarte na fakturach, umowach, itp.).  

RODO zwraca dużą uwagę na kwestie odpowiedniego informowania osób, których dane dotyczą, o tym, co się dzieje z ich danymi. Obowiązki informacyjne ciążą na administratorach, którzy pozyskując dane, powinni udzielić osobom zainteresowanym informacji m.in. o tym, kim są, po co zbierają dane i jakie są prawa osób, których dane dotyczą. W zależności od kontekstu można to zrobić przykładowo przez dołączenie odpowiednich klauzul informacyjnych do podpisywanej z klientem umowy, rozesłanie wiadomości pocztą elektroniczną czy też zamieszczenie odpowiednich danych na stronie internetowej administratora. Warto pamiętać, że obowiązek informacyjny może być spełniony w sposób warstwowy. Oznacza to, że część informacji jest przekazywana od razu, a część przez odesłanie do określonego dokumentu/miejsca, gdzie można zapoznać się z pełną treścią informacji. Przykładowo, w przypadku firmowej infolinii automatyczne komunikaty głosowe odtwarzane każdemu dzwoniącemu zwykle wskazują jedynie pewien ograniczony zakres informacji, odsyłając do strony internetowej firmy czy też wymagając wybrania tonowo określonego numeru, aby odsłuchać całości informacji o przetwarzaniu danych. 

Co istotne, obowiązek informacyjny istnieje również w stosunku do osób, których dane zostały pozyskane od osób trzecich (np. w przypadku zakupu bazy danych), a nie bezpośrednio od osoby, której dane dotyczą. 

Oprócz strony dokumentowej ważna jest również strona techniczna. Dlatego też w ramach wdrożenia RODO należy zweryfikować 
stosowane środki bezpieczeństwa danych.

Obecnie w związku z rozwojem nowych technologii coraz więcej danych pobieranych jest od klientów za pośrednictwem portali internetowych, dlatego każdy przedsiębiorca powinien przyjrzeć się zawartości swojej strony internetowej. Jeśli znajdują się tam formularze, za pośrednictwem których gromadzone są dane, trzeba ocenić, czy ilość informacji nie jest nadmierna w stosunku do celów, w jakich są zbierane. Przykładowo zbieranie informacji o dacie czy miejscu urodzenia w przypadku sprzedaży obuwia wydaje się niezasadne. Oprócz tego, jeśli w przyszłości chcielibyśmy przesyłać klientom informacje handlowe, warto wcześniej odebrać od nich zgodę. Można to zrobić przez wprowadzenie na stronie odpowiednich checkboxów umożliwiających wyrażenie zgody. Ponadto, należałoby zweryfikować, czy na stronie internetowej zamieszczono Politykę Prywatności i Politykę Cookies. Również dane dotyczące inspektora ochrony danych – jeśli będzie powołany – powinny być łatwe do znalezienia. Można je umieścić np. w zakładce „Kontakt” czy zakładce „Ochrona Danych”. 

Przepisy RODO wymagają od przedsiębiorców pewnej aktywności, jeśli chodzi o stworzenie wewnątrzfirmowej dokumentacji, której kręgosłupem – w przypadku administratorów danych – jest rejestr czynności przetwarzania. Rejestr jest pozycją obowiązkową dla każdego administratora. Można go porównać do mapy działalności firmy, ułatwiającej nawigację po realizowanej przez nią procesach przetwarzania danych. W szczególności rejestr wskazuje cele przetwarzania i kategorie osób, których dane są zbierane, oraz zawiera informacje, jakiego rodzaju są to dane, czy i ewentualnie komu są udostępniane, jaki jest przewidywany okres ich przechowywania oraz jakie środki bezpieczeństwa są stosowane. W rejestrze można zamieścić także inne informacje, jak chociażby podstawę prawną przetwarzania. W przypadku procesorów istotnym i obowiązkowym dokumentem jest rejestr kategorii czynności przetwarzania, który określa, jakie procesy przetwarzania i dla jakich administratorów są realizowane. Choć RODO wymaga wprost stworzenia jedynie wyżej wymienionych rejestrów, nie oznacza to...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • 6 wydań magazynu "MŚP Biznes"
  • Dodatkowe artykuły niepublikowane w formie papierowej
  • Dostęp do czasopisma w wersji online
  • Dostęp do wszystkich archiwalnych wydań magazynu oraz dodatków specjalnych
  • ...i wiele więcej!
Sprawdź

Przypisy