RODO, czyli rozporządzenie dotyczące ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, nakłada na przedsiębiorców różne obowiązki. Należy pamiętać, że wraz z jego wejściem, niektóre obowiązki znikną, ale w ich miejsce pojawią się nowe. Oto, co zmieni się po 25 maja 2018 roku, kiedy RODO wchodzi w życie.
Pierwszym z obowiązków jakie na przedsiębiorcę nakłada RODO, jest prowadzenie tzw. Rejestru czynności przetwarzania danych osobowych. Rozporządzenie wprowadza wyjątek od tego obowiązku, a mianowicie przedsiębiorca, który zatrudnia mniej 250 pracowników jest z niego zwolniony.
Ustawodawca jednak nie byłby sobą, gdyby nie wprowadził wyjątku od wyjątku. Wyjaśniając o co chodzi – każdy przedsiębiorca, który przetwarza dane częściej niż sporadycznie (w rozporządzeniu określone jest to mianem „nie ma charakteru sporadycznego”) już zobowiązany jest do prowadzenia takiego rejestru. Innymi słowy dla własnego bezpieczeństwa lepiej taki rejestr prowadzić. Na koniec mogę dodać, że rejestr można prowadzić w formie elektronicznej.
Obowiązki informacyjne związane z RODO
Jeśli dochodzi do przetwarzania danych osobowych, na przetwarzającym spoczywa obowiązek informacyjny. Mówiąc najprościej – jeżeli pozyskujemy od kogoś dane osobowe, musimy udzielić tej osobie takich informacji jak:
1. kto będzie administratorem jego danych osobowych łącznie z danymi do kontaktu;
2. w jakim celu będą przetwarzane dane osobowe, wraz z podstawą prawną;
3. informacje o odbiorcach danych lub kateogrii odbiorców (tutaj jako przykład można podać biuro księgowe, jeżeli nie prowadzi się księgowości we własnym zakresie);
4. okres przez jaki dane będą przechowywane (np. 2 lata) lub jeśli nie jest to możliwe, kryterium ustalenia tego okresu (np. przedawnienia roszczeń związanych z wykonaniem umowy przewozu);
5. przysługujące prawa w związku z przekazaniem danych osobowych (prawo do dostępu do danych, prawo do sprostowania, usunięcia ograniczenia przetwarzania, prawo do złożenia sprzeciwu wobec przetwarzania oraz prawo do przenoszenia danych – szerzej o przysługujących prawach w kolejnym artykule);
6. prawo do złożenia skargi do organu nadzorczego;
7. informacje, czy podanie danych jest wymogiem ustawowym lub umownym warunkiem zawarcia umowy (np. podanie danych jest wymogiem zawarcia umowy sprzedaży) oraz o ewentualnych konsekwencjach braku podania danych (np. jeżeli nie podasz danych możemy odmówić zawarcia umowy);
8. ostatnią informacją, jaką należy podać jest informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Skoro już wiemy jakie informacje należy podać, pytanie brzmi kiedy należy to zrobić.
RODO określa trzy terminy:
1. W terminie rozsądnym po pozyskaniu tych danych. Inaczej mówiąc im szybciej tym lepiej – nie później niż ciągu miesiąca.
2. W przypadku wykorzystywania danych do komunikacji z daną osobą – najpóźniej przy pierwszej takiej komunikacji. Przykładowo jeśli weszliśmy w posiadanie czyjegoś maila, przy pierwszej wiadomości jaką wyślemy należy wypełnić obowiązek informacyjny.
3. Jeśli planujemy ujawnić dane innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Proponuję przyjąć zasadę wskazaną w punkcie pierwszym – tj. im szybciej tym lepiej.
Obowiązek zgłaszania naruszeń
Kolejnym ważnym obowiązkiem jest zgłaszanie naruszeń ochrony danych osobowych (czym jest naruszenie opisaliśmy w artykule dotyczącym definicji). RODO w sposób bezkompromisowy reguluje tę kwestię. Zasadą jest konieczność zgłoszenia naruszenia w ciągu 72 godzin od daty jego stwierdzenia.
Przykładowo jeżeli rano przyjedziemy do firmy i okaże się, że było włamanie, od tego momentu zaczyna biec czas. Pojawia się pytanie, co zrobić jeśli przekroczymy ten termin?
W takiej sytuacji zgłoszenia i tak należy dokonać, ale powstaje dodatkowy obowiązek, a mianowicie do samego zgłoszenia należy dodać wyjaśnienie dlaczego się spóźniliśmy.
Minimalizacja danych
RODO wskazuje, że powinniśmy pobierać tylko te dane, które są nam niezbędne. Najłatwiej będzie to wyjaśnić na prostym przykładzie. Jeśli prowadzimy firmę kurierską, do realizacji przewozu na pewno będą niezbędne dane takie jak: imię i nazwisko odbiorcy towaru, adres, numer telefonu (by kurier mógł się skontkatować z tą osobą), adres e-mail na który zostanie wysłana informacja o wysyłce paczki. Inne dane np. imiona rodziców, numer NIP, czy numer PESEL będą tutaj zbędne. Zatem ich pobieranie będzie naruszeniem tego obowiązku.
Opisane powyżej obowiązki należą do kategorii podstawowych, czyli takich, które na pewno należy wypełnić, żeby w razie kontroli czuć się bezpiecznym i nie martwić się możliwością nałożenia kary. RODO nakłada jeszcze inne, ale to czy należy je wypełnić, zależy już od konkretnej sytuacji.
Fot. Pixabay/geralt