Co przedsiębiorca powinien wiedzieć o RODO?

22.02.2022

RODO jest z nami już od niemal czterech lat. Czym są dane osobowe? Jakie obowiązki nakłada prawo? Przypominamy, co przedsiębiorca prowadzący jednoosobową działalność gospodarczą powinien wiedzieć o ochronie danych osobowych.

post 21 600x300

Autor obrazka: Cytonn Photography, źródło: unsplash.com


RODO czyli regulacje Unii Europejskiej dotyczące ochrony danych osobowych (Rozporządzenie o Ochronie Danych Osobowych) weszły w życie 25 maja 2018 r. na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we. Przedsiębiorcy, niezależnie od wielkości firmy czy prowadzenia jednoosobowej działalności gospodarczej, musieli dostosować się do wymogów unijnych. Dotyczy to absolutnie wszystkich uczestników rynku. Kary finansowe wynoszą nawet do 4 proc. obrotu rocznego firmy lub 20 mln euro. 

Ty sam, jako przedsiębiorca prowadzący jednoosobową działalność gospodarczą, jesteś chroniony na równi z osobami fizycznymi. Dostosowanie się do regulacji ma wiele wymiarów, m.in. prawny, procesowy, technologiczny czy ludzki. Ten ostatni jest szczególny, ponieważ właściwe przetwarzanie danych osobowych zależy głównie od nas samych.


Czy wiesz, że na co dzień masz do czynienia z danymi osobowymi? 

W rozumieniu przepisów o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Danymi osobowymi nie są dane, za pomocą których brak jest możliwości zidentyfikowania osoby fizycznej ze względu na nadmierny koszt, nadmierny czas, nadmierne działanie. 

post 21 graphic pl

PRZYKŁAD

Czy adres e-mail stanowi dane osobowe?

piotr.nowak@banqup.com

Ten adres e-mail zawiera dane osobowe, tj. imię i nazwisko oraz miejsce pracy.
Ten adres e-mail stanowi daną osobową, bowiem pozwala zidentyfikować tożsamość osoby.

Misiek56@gmail.com

Ten adres e-mail nie zawiera danych osobowych.
Ten adres e-mail nie stanowi danej osobowej, bowiem nie pozwala zidentyfikować tożsamości osoby.


W jakich sytuacjach w Twojej firmie możesz spotkać się z przetwarzaniem danych osobowych?

Oto kilka przykładów:

·    podpisujesz umowy z partnerami zewnętrznymi
·    budujesz portal internetowy lub aplikację z możliwością rejestracji
·    korzystasz z zewnętrznych baz danych
·    wykonujesz połączenie telefoniczne
·    procesujesz umowy i płatności
·    tworzysz raporty zbierające dane osobowe
·    tworzysz konta dostępu
·    wprowadzasz dane dostawców
·    zbierasz dane uczestników warsztatów, które prowadzisz
·    wysyłasz faktury i rachunki do biura księgowego.

 

Przetwarzanie danych osobowych czyli co?

Operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak:

•        zbieranie
•        utrwalanie
•        organizowanie
•        porządkowanie
•        przechowywanie
•        adaptowanie
•        modyfikowanie
•        pobieranie
•        przeglądanie
•        wykorzystywanie
•        ujawnianie poprzez przesłanie
•        rozpowszechnianie lub innego rodzaju udostępnianie
•        dopasowywanie lub łączenie
•        ograniczanie, usuwanie lub niszczenie


Podstawowe obowiązki przedsiębiorcy

To od Ciebie, jako przedsiębiorcy zależy, w jaki sposób i w jakim stopniu będziesz prowadzić politykę prywatności. Jednakże rozporządzenie nakłada też obligatoryjne działania, przede wszystkim:

  • musisz powołać Inspektora Ochrony Danych (IOD), jeśli przetwarzanie danych stanowi podstawę Twojej działalności
  • w przypadku wycieku danych RODO nakłada na każdego administratora danych obowiązek poinformowania o tym w ciągu 72 godzin osoby, której dane wyciekły, jeżeli może to powodować, że prywatne informacje znajdą się w niepowołanych rękach.
  • musisz dokumentować przetwarzanie danych osobowych czyli prowadzić rejestr obejmujący rodzaj przetwarzanych danych, cel i sposób ich przetwarzania oraz informację o osobie odpowiedzialnej za przetwarzanie informacji. 

 

Kim jest administrator danych osobowych i co robi?

Administrator oznacza osobę fizyczną, osobę prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administrator samodzielnie podejmuje decyzje dotyczące przetwarzania danych osobowych. Jego zadaniem jest wykazanie zgodności przetwarzania z prawem, prowadzenie rejestru czynności przetwarzania danych, dokonywanie oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania, zgłaszanie naruszeń ochrony danych osobowych do organu nadzorczego i informowanie o tym osoby, której dane dotyczą, wyznaczenie inspektora ochrony danych osobowych, minimalizacja przetwarzania danych osobowych, ograniczenia przechowywania danych osobowych, obowiązki informacyjne, przestrzeganie praw osób, których dane dotyczą (prawo do zapomnienia, sprzeciwu, sprostowania, dostępu do danych).

W jednoosobowej firmie sam nim jesteś. Gdy zatrudniasz pracowników, masz obowiązek przeszkolić ich i przekazać niezbędne informacje dotyczące ochrony danych osobowych. Pracownicy powinni podpisać dobrowolne zgody na przetwarzanie swoich danych osobowych, a Ty informujesz ich o sposobie przetwarzania tych danych oraz o przysługujących im prawach. Muszą też wiedzieć, w jaki sposób administrujesz bazami danych osobowych.


Obowiązek informacyjny

Informowanie osób o przetwarzaniu ich danych osobowych, stanowi jeden z podstawowych obowiązków administratora danych. Tylko osoba skutecznie poinformowana, jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie. Obowiązek informacyjny aktualizuje się w trzech sytuacjach:

•        przy zbieraniu danych, od osoby, której dane dotyczą
•        przy zbieraniu danych w sposób inny niż od osoby, której dane dotyczą
•        przez cały okres przetwarzania danych osobowych (w związku z prawem dostępu przysługującym osobie, której dane dotyczą).


Zagrożenia

Do podstawowych zagrożeń związanych z bezpieczeństwem danych osobowych należy zaliczyć:

  • nieprzestrzeganie zasad ochrony danych osobowych przez pracowników (np. niestosowanie zasady czystego biurka/ekranu, ochrony haseł itd.)
  • niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów
  • nieodpowiednie zabezpieczenie sprzętu IT czy oprogramowania przed wyciekiem lub utratą danych osobowych.

 

Prawo do kontrolowania swoich danych

Osoby fizyczne posiadają następujące prawa w zakresie kontroli swoich danych osobowych, przekazanych przedsiębiorcy:

  • prawo do dostępu do danych osobowych – jako przedsiębiorca, w każdym momencie musisz udzielić szczegółowych informacji dotyczących posiadanych danych oraz sposobu ich przetwarzania
  • prawo do przenoszenia danych – osoba fizyczna może żądać przeniesienia swoich danych osobowych do innego podmiotu przetwarzającego
  • prawo do poprawienia danych osobowych – każda osoba fizyczna ma prawo do poprawek w danych, które jej dotyczą
  • prawo do bycia zapomnianym – każda osoba może zażądać całkowitego usunięcia informacji jej dotyczących.

 

Obowiązkowa dokumentacja

Musisz prowadzić dokumentację dotyczącą ochrony danych osobowych w języku, który jest zrozumiały dla wszystkich chcących się z nią zapoznać. Oto dokumenty, których wymaga od przedsiębiorcy rozporządzenie:

  • polityka bezpieczeństwa danych osobowych
  • dokument inwentaryzacji zasobów informacyjnych
  • dokument ewidencji zawartych umów powierzenia przetwarzania danych osobowych
  • polityka kluczy
  • dokument rejestru czynności przetwarzania
  • wykaz przetwarzanych zbiorów danych osobowych
  • wykaz obszaru przetwarzania
  • dokumentacja klauzul informacyjnych
  • protokół szacowania ryzyka dla dokumentów tradycyjnych i elektronicznych
  • procedura naruszenia przetwarzanych danych osobowych
  • dokumentacja podstawowych zasad zabezpieczenia danych i zgłaszania naruszeń.

Wymagane dokumenty zależne są od rodzaju prowadzonej działalności, warto upewnić się, które z nich dotyczą twojej. Dokumenty możesz przygotować sam, posiłkując się gotowymi wzorami lub zlecić ich opracowanie kancelarii prawnej.

Related Blogs