RODO w praktyce małej firmy

Przepisy potocznie zwane RODO (regulacje lub rozporządzenia o ochronie danych osobowych) nie są niczym nowym. Obowiązują nas przepisy ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku wraz z późniejszymi zmianami. Więc skąd tyle hałasu teraz? Wszyscy mówią tylko o RODO. RODO wyskakuje z każdej strony.

 

28 maja 2018 roku wejdzie w życie rozporządzenie Parlamentu i Rady Europy z dnia 16 kwietnia 2016 roku. Jak do tej pory Sejm nie uchwalił ustawy dostosowującej polskie przepisy do rozporządzenia unijnego. Więc w zasadzie nie wiadomo jak wyglądać mają poszczególne zapisy wykonawcze oraz co robić i jak.

 

Tym nie mniej ustawa z 1997 roku nadal obowiązuje, a rozporządzenie wchodzi w życie. Warto się tym zająć. I wiem, też tak uważam, że przepisy dotyczące ochrony danych osobowych są jak gęsta dżungla, zrozumiałe tylko dla specjalistów.

 

Kto podlega RODO?

Ustawę stosuje się do każdej osoby fizycznej, czy prawnej, czy jednostki organizacyjnej, przetwarzającej lub zbierającej dane osobowe w związku z działalnością zarobkową, zawodową lub statusową. To oznacza, że każda firma, każdy przedsiębiorca bez względu na formę działalności, a nawet osoba fizyczna, podlegają przepisom RODO i powinny chronić dane osobowe jakie posiadają.

 

Co jest a co nie jest daną osobową?

Ustawa z 29 sierpnia 1997 roku mówi wprost, że danymi osobowymi są każde informacje na temat osoby fizycznej pozwalające na określenie tożsamości takiej osoby.

Daną osobową nie jest samo imię i nazwisko, ale imię, nazwisko wraz z adresem zamieszkania już są. Podobnie imię i nazwisko z PESELEM, czy zdjęcie osoby z nazwiskiem i adresem. W ten sposób można zidentyfikować danego człowieka. Uważa się, że imię i nazwisko wraz z adresem miejsca pracy i numerem telefonu służbowego nie są daną osobową. Dane przedsiębiorstw, organizacji itp. nie są danymi osobowymi.

 

Pod szczególną ochroną prawną są takie dane jak:

Pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne i filozoficzne, wyznanie, informacje o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Generalnie tych danych przetwarzać nie wolno, a jeżeli już to po spełnieniu specjalnych warunków (szczegóły w ustawie). Najlepiej unikać w firmie zbierania takich danych o ile naprawdę nie jest to niezbędne.

 

Czyje dane osobowe podlegają RODO?

Przede wszystkim pracowników i konsumentów. W drugiej kolejności osób fizycznych reprezentujących kontrahentów i klientów biznesowych.

 

Czym jest przetwarzanie danych osobowych?

Zgodnie z ustawą jest to: zbieranie, przechowywanie, opracowywanie, utrwalanie, zmienianie i udostępnianie danych osobowych. W praktyce oznacza to, że posiadanie w komputerze listy konsumentów wraz z ich danymi osobowymi (np.: z nazwiskami, adresami zamieszkania i numerami telefonów komórkowych) jest przetwarzaniem danych osobowych. Podobnie uaktualnianie takiej listy, filtrowanie pod kątem pewnych parametrów (np.: według miasta zamieszkania), udostępnianie jej swoim kontrahentom (np.: agentom, współpracownikom, firmie kurierskiej) jest przetwarzaniem danych osobowych.

Teczki osobowe pracowników są zbiorem danych osobowych, które są przez pracodawcę przetwarzane. Te same zasady dotyczą przesyłanych przez kandydatów dokumenty aplikacyjne w procesie rekrutacyjnym.

Zamieszczanie na profilach firmy w mediach społecznościowych zdjęć pracowników wraz z imionami i nazwiskami wyraźnie wskazujące na to kto znajduje się na konkretnej fotografii jest daną osobową.

Historie choroby pacjentów, ankiety na temat zdrowia zbierane przez kosmetyczkę, lista klientów zakładu krawieckiego wraz z wymiarami ich ciała są danymi osobowymi.

Skanowanie dowodów osobistych lub ich przechowywanie jako zastawu za wypożyczenie sprzętu jest przetwarzaniem danych osobowych, na dodatek bardzo wrażliwych.

 

Czym jest profilowanie?

Nowe, europejskie przepisy RODO regulują dodatkowo kwestię profilowania na podstawie danych osobowych. Polega ono na grupowaniu konsumentów danej firmy na podstawie posiadanych lub zakupionych danych osobowych, w celu określenia ich preferencji zakupowych, dostosowywaniu do nich różnych ofert cenowych itp. I tak, np.: jeżeli na podstawie adresu konsumenta wyciągane są wnioski co do jego zamożności i w związku z tym otrzymuje on wyższą cenę od innych klientów to jest to profilowanie. Profilowaniem jest również adresowanie spersonalizowanej reklamy wózków dla dzieci do kobiet, które zamieściły na Facebooku zdjęcia z brzuszkiem.

 

GIODO

Generalny Inspektor Ochrony Danych Osobowych wraz z Biurem GIODO i Inspektorami są organami powołanymi do regulowania i kontroli tejże ochrony, w tym m.in. do: wydawania decyzji administracyjnych i rozpatrywania skarg oraz inicjowania i prowadzenia przedsięwzięć w zakresie doskonalenia ochrony danych osobowych. W praktyce może on zlecać przeprowadzenie kontroli, dokonywanie ich i wydawanie opinii oraz zaleceń po kontrolnych. W przypadku stwierdzenia nieprawidłowości o charakterze naruszenia przepisów, informuje on organy ścigania o możliwości popełnienia przestępstwa. W drodze decyzji administracyjnej może zażądać: usunięcia uchybień, uaktualnienia danych osobowych, nieudostępniania ich, zastosowania dodatkowych zabezpieczeń, zabezpieczenie lub usunięcie danych, oraz kary pieniężne.

Wyobraźmy sobie, na przykład, że w przebiegu kontroli, w której stwierdzone zostaną nieprawidłowości, GIODO wyda zarządzenie o usunięciu danych osobowych z baz firmowych. Co to może oznaczać dla naszej firmy, kiedy z dnia na dzień tracimy dane adresowe naszych stałych klientów i musimy je odtwarzać z zachowaniem wszelkich zasad RODO? Albo firma otrzyma zakaz przekazywania danych osobowych. W jaki sposób wtedy może wysłać towar do klienta nie przekazując firmie kurierskiej jego imienia, nazwiska, adresu zamieszkania i numeru komórkowego?

My jako szefowie czy właściciele firm mamy obowiązek umożliwienia dokonania takiej kontroli inspektorowi i udostępnienia wszelkich materiałów, danych i nośników zawierających dane osobowe.

Nowe rozporządzenie umożliwia nałożenie nawet wielomilionowych kar. Tak drastyczne obciążenia są skierowane głównie wobec dużych firm konsumenckich, które dość swobodnie przekazują sobie dane osobowe lub przetwarzają je na skalę o wiele większą nić przeciętny mały przedsiębiorca.

 

Administrator danych osobowych

To nic innego jak firma, organizacja czy osoba fizyczna przetwarzająca dane osobowe, decydująca o celu i sposobie przetwarzania.

W praktyce, jeżeli firma X posiada bazę danych swoich klientów, a potem z różnych przyczyn przekazuje ją innej firmie Y, to wtedy Y staje się administratorem tych danych. Nowy administrator jest zobowiązany poinformować osobę, której dane przetwarza, o swojej nazwie, adresie siedziby, celu zbierania danych, prawie wglądu i poprawiania swoich danych osobowych, dobrowolności albo obowiązku zgody na przetwarzanie danych (po podaniu podstawy prawnej). W powyższym przykładzie Y po otrzymaniu danych od X powinien poinformować posiadaczy danych osobowych o tym, że jest ich nowym administratorem (z podaniem nazwy i siedziby), o zakresie i celu zbierania danych, ich źródle i uprawnieniach.

Administrator danych osobowych (czyli osoba reprezentująca spółkę czy jednostkę organizacyjną, osoba fizyczna prowadząca lub nie działalność gospodarczą) jest odpowiedzialna za bezpieczeństwo przetwarzanych danych osobowych. Argument, że mi księgowa nie powiedziała może tu nie zadziałać.

W obrębie przedsiębiorstwa powinna być wydelegowana osoba/osoby, które będą dbały o bezpieczeństwo danych osobowych.

 

Do czego ma prawo osoba, której dane podlegają ochronie?

Może udzielić nam zgody na przetwarzanie danych osobowych w różnych celach: realizacji zamówienia, spersonalizowania oferty, do przekazywania danych osobowych innym firmom współpracującym w różnych celach, upowszechniania swojego wizerunku, itd.

Ma prawo nam takiej zgody nie udzielić. Coraz częściej, zwłaszcza w sklepach internetowych nieudzielenie zgody na przetwarzanie danych jest jednoznaczne z niemożnością realizacji zamówienia. Ma prawo, również, do sprawdzenia w jaki sposób jego dane osobowe firma przechowuje. Ma prawo do ich wglądu, do cofnięcia zgody oraz do zażądania usunięcia jego danych z naszych zbiorów. A przede wszystkim ma prawo do zapewnienia bezpieczeństwa danych, które powierza administratorowi.

 

Bezpieczeństwo danych osobowych.

Jest to jeden z najważniejszych obowiązków administratora danych osobowych. Powinien on zachować jak największą staranność w zabezpieczaniu zbiorów, bez względu czy to są wypełnione ankiety papierowe, zebrane listy historii zakupów, dane teleadresowe w pliku EXCEL, na telefonie, czy w specjalistycznych software’ach do obsługi baz danych. Im więcej i lepszych zabezpieczeń tym większe bezpieczeństwo.

O dbaniu o bezpieczeństwo również będzie świadczyć ściśle określona lista osób, mających dostęp do danych i będących przeszkolonymi w zakresie ochrony i zabezpieczeń.

 

Jak wdrażać RODO w małej firmie?

 

Najlepiej jest jak najszybciej rozpocząć działania wielotorowo:

  1. Uzyskanie oświadczeń od klientów, pracowników, kontrahentów, ze zgodą na przetwarzanie danych osobowych, z podaniem celu i sposobu administrowania.
  2. Zabezpieczenie posiadanych zbiorów danych poprzez:
    • Zabezpieczenia fizyczne – zamykane drzwi, szafy pancerne, pomieszczenia pod kontrolą dostępu lub z ograniczeniem dostępu, itp.
    • Zabezpieczenia sieciowe – firewalle, zakładanie haseł i ich częsta zmiana, kontrola dostępu, indywidualne licencje, bezpieczne serwery, itp.
  3. Stworzenie rzetelnej procedury zbierania, przetwarzania, przechowywania i bezpieczeństwa w danej firmie. Następnie skuteczne wdrożenie jej ze szkoleniami pracowników i zmianą w zakresach obowiązków.
  4. Ustanowienie administratora lub administratorów, którzy przetwarzają dane osobowe, dbają o ich zabezpieczenia, ewentualne aktualizacje, czy za zniszczenie.
  5. Zwiększanie świadomości i wiedzy swojej i pracowników firmy w zakresie RODO. Pewnego rodzaju przewrażliwienie w tym temacie.

 

W kwestii oświadczeń, tworzenia procedur i standardów w zakresie RODO warto poradzić się specjalisty lub wysłać pracowników, którzy będą odpowiadać za administrację danych i ich bezpieczeństwo, na specjalistyczne szkolenie. W sieci jest wiele wzorów oświadczeń i zgód, jest dużo instrukcji, tylko przy tak wrażliwej sprawie radziłabym poświęcić pewną kwotę i wdrożyć system oraz procedurę dostosowaną do danej firmy i jej działalności.

Nie ma dwóch podobnych firm i nie ma jednego rozwiązania dobrego dla wszystkich.

 

Powodzenia

Kasia