RODO

RODO ÔÇô nasza checklista, kt├│ra pomo┼╝e Ci sprawdzi─ç, czy w swojej firmie zrobi┼éa┼Ť to dobrze

Patrycja Kozik

Share on facebook
Share on twitter
Share on email
Share on linkedin
Share on facebook
Share on twitter
Share on email
Share on linkedin

W┼éa┼Ťnie min─ů┼é pierwszy miesi─ůc odk─ůd przepisy Rozporz─ůdzenia Og├│lnego o Ochronie Danych Osobowych (RODO) s─ů stosowane. Je┼╝eli jeszcze nie przygotowa┼éa┼Ť swojej firmy do nowej regulacji lub chcesz wiedzie─ç czy zrobi┼éa┼Ť to dobrze, zobacz na jakie obszary powinna┼Ť zwr├│ci─ç szczeg├│ln─ů uwag─Ö.

Oto pierwsza cz─Ö┼Ť─ç listy:

1. Zastan├│w si─Ö jakie dane przetwarzasz i sk─ůd je zbierasz

Je┼╝eli masz chroni─ç dane osobowe, w pierwszej kolejno┼Ťci powinna┼Ť zastanowi─ç si─Ö nad tym gdzie w Twojej dzia┼éalno┼Ťci dochodzi do ich przetwarzania (gdzie zachodz─ů procesy przetwarzania danych). Najlepiej powi─ůza─ç to z procesami biznesowymi, z kt├│rymi masz do czynienia w Twojej dzia┼éalno┼Ťci np. rekrutowanie pracownik├│w, pozyskiwanie klient├│w, windykacja nale┼╝no┼Ťci. Zastan├│w si─Ö gdzie w ka┼╝dym z dzia┼é├│w w Twojej organizacji w ramach codziennej pracy mog─ů pojawia─ç si─Ö dane osobowe i jak s─ů wykorzystywane.

Dane osobowe oznaczaj─ů przy tym informacje o zidentyfikowanej lub mo┼╝liwej do zidentyfikowania osobie fizycznej (ÔÇ×osobie, kt├│rej dane dotycz─ůÔÇŁ). W zwi─ůzku z tym, danymi osobowymi s─ů nie tylko dane konsument├│w, ale tak┼╝e jednoosobowych przedsi─Öbiorc├│w, Twoich pracownik├│w lub pracownik├│w Twoich kontrahent├│w.

Co istotne, z danymi osobowymi mamy do czynienia niezale┼╝nie od tego czy zosta┼éy zebrane ze ┼║r├│de┼é powszechnie dost─Öpnych (np. ze strony internetowej firmy) oraz czy s─ů dost─Öpne w publicznych rejestrach np. KRS (w zakresie os├│b fizycznych) czy CEIDG.

Wa┼╝ne, by┼Ť odnotowa┼éa sk─ůd zbierasz dane ÔÇô czy bezpo┼Ťrednio od os├│b kt├│rych dane dotycz─ů np. poprzez zapisanie si─Ö przez nich na newsletter czy te┼╝ po┼Ťrednio (dane kandydat├│w do pracy s─ů Ci udost─Öpniane z bazy agencji rekrutacyjnej). Dzi─Öki temu b─Ödziesz wiedzia┼éa gdzie i jak spe┼éni─ç obowi─ůzek informacyjny, kt├│ry r├│┼╝ni si─Ö w zale┼╝no┼Ťci od tego, czy zbierasz dane od osoby kt├│rej dane dotycz─ů czy w inny spos├│b (zgodnie z art. 13 i 14 RODO).

2. Zastan├│w si─Ö czy masz podstawy by przetwarza─ç dane osobowe

Je┼╝eli ustalisz sk─ůd i gdzie pozyskujesz dane osobowe, zastan├│w si─Ö czy masz podstawy prawne do ich przetwarzania. Podstawy zosta┼éy wskazane w art. 6 RODO (przetwarzanie danych osobowych zwyk┼éych) i art. 9 RODO (przetwarzanie danych osobowych wra┼╝liwych czyli np. dot. stanu zdrowia).

Cho─ç s┼éysz─ůc o podstawach prawnych przetwarzania danych osobowych, cz─Östo na my┼Ťl przychodzi pozyskiwanie zgody, zgoda nie jest jedyn─ů ani w wielu przypadkach konieczn─ů podstaw─ů przetwarzania danych osobowych zwyk┼éych. Je┼╝eli w ramach swojej dzia┼éalno┼Ťci zawierasz umowy i w celu ich realizacji przetwarzasz dane osobowe (np. umowa sprzeda┼╝y produktu w sklepie internetowym), to realizacja umowy jest zgodnie z art. 6 ust. 1 b RODO w┼éa┼Ťciw─ů przes┼éank─ů przetwarzania danych. Je┼╝eli zg┼éaszasz pracownika do ZUSU, tak┼╝e nie masz obowi─ůzku pyta─ç go o zgod─Ö czy mo┼╝esz przetwarza─ç jego dane w tym celu ÔÇô podstaw─ů s─ů w tym zakresie przepisy prawa (w zwi─ůzku z art. 6 ust. 1 lit. c RODO). Dla ka┼╝dego z wytypowanych zgodnie z punktem 1. proces├│w przetwarzania powinna┼Ť by─ç w stanie przypisa─ç odpowiedni─ů podstaw─Ö prawn─ů. Brak podstawy prawnej ÔÇô uniemo┼╝liwia legalne przetwarzanie danych.

3. Zastan├│w si─Ö czy przestrzegasz zasad przetwarzania danych osobowych

Zapewnienie podstawy prawnej, to nie jedyny obowi─ůzek, kt├│ry wi─ů┼╝e si─Ö z przetwarzaniem danych. Powinna┼Ť mie─ç pewno┼Ť─ç, ┼╝e przestrzegasz wszystkich zasad przetwarzania danych. Zosta┼éy one wskazane w art. 5 RODO. S─ů to zasady: zgodno┼Ťci z prawem, rzetelno┼Ťci i przejrzysto┼Ťci, ograniczenia celu, minimalizacji danych, prawid┼éowo┼Ťci, ograniczenia przechowywania, integralno┼Ťci i poufno┼Ťci oraz zasada rozliczalno┼Ťci.

Powinna┼Ť si─Ö zastanowi─ç czy dane s─ů zbierane w konkretnych, wyra┼║nych i prawnie uzasadnionych celach i nieprzetwarzane dalej w spos├│b niezgodny z tymi celami (np. niedopuszczalne by┼éoby gdyby dane pozyskane w celu rekrutacji by┼éyby przetwarzane w celach marketingowych).

Zwr├│─ç uwag─Ö czy dane s─ů adekwatne, stosowne oraz ograniczone do tego, co niezb─Ödne do cel├│w, w kt├│rych s─ů przetwarzane (nie mo┼╝e by─ç tak, ┼╝e zbierasz dane na zapas albo dane w og├│le nie potrzebne np. w formularzu dotycz─ůcym zawarcia umowy zbierasz imiona rodzic├│w).

Dane powinna┼Ť usuwa─ç ÔÇô pomy┼Ťl nad ustaleniem okres├│w przechowywania danych, po kt├│rych b─Öd─ů usuwane. Cz─Östo te okresy mog─ů wynika─ç z przepis├│w np. podatkowych (5 lat na koniec roku kalendarzowego). Niezale┼╝nie od wyznaczonych okres├│w, powinna┼Ť tak┼╝e zapewni─ç by dane by┼éy prawid┼éowe i w razie potrzeby uaktualniane oraz podj─ů─ç rozs─ůdne dzia┼éania, aby dane osobowe, kt├│re s─ů nieprawid┼éowe w ┼Ťwietle cel├│w ich przetwarzania, zosta┼éy niezw┼éocznie usuni─Öte lub sprostowane.
Musisz tak┼╝e odpowiednio zabezpieczy─ç dane ÔÇô zapewni─ç ochron─Ö przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow─ů utrat─ů, zniszczeniem lub uszkodzeniem, za pomoc─ů odpowiednich ┼Ťrodk├│w technicznych lub organizacyjnych.

Wreszcie, powinna┼Ť zgodnie z zasad─ů rozliczalno┼Ť─ç zadba─ç tak┼╝e o to, by moc wykaza─ç, ┼╝e przestrzegasz zasad przetwarzania (opisa─ç jakie dzia┼éania podj─Ö┼éa┼Ť, przyj─ů─ç dokumentacj─Ö, kt├│ra wyka┼╝e, ┼╝e przestrzegasz przepisy RODO).

4. Zastan├│w si─Ö czy realizujesz obowi─ůzki informacyjne

Je┼╝eli wiesz, ┼╝e masz podstawy do przetwarzania danych osobowych, zastan├│w si─Ö czy i jak realizujesz obowi─ůzek informacyjny. Obowi─ůzek informacyjny zosta┼é uregulowany w art. 13 i odpowiednio 14 RODO i zak┼éada, ┼╝e musisz przekaza─ç osobom, kt├│rych dane przetwarzasz okre┼Ťlone w przepisach informacje (dane administratora, cele i podstawy prawne przetwarzania danych, prawa kt├│re przys┼éuguj─ů w zwi─ůzku z przetwarzaniem etc.).

RODO znacz─ůco zwi─Ökszy┼éo ilo┼Ť─ç przekazywanych informacji, rozbudowuj─ůc ich katalog niemal dwukrotnie. Wobec tego, w pierwszej kolejno┼Ťci powinna┼Ť zweryfikowa─ç czy wszystkie osoby kt├│rych dane pozyskujesz w ramach wytypowanych proces├│w przetwarzania s─ů informowane zgodnie z art. 13 RODO (w przypadku zbierania od nich danych bezpo┼Ťrednio) lub art. 14 RODO (w przypadku zbierania danych z innych ┼║r├│de┼é).

Je┼╝eli przekazujesz wskazanym osobom informacje o przetwarzaniu ich danych, upewnij si─Ö, ┼╝e zawieraj─ů one wszelkie informacje o kt├│rych mowa w art. 13 i 14 RODO oraz czy zgodnie z zasad─ů rozliczalno┼Ťci b─Ödziesz w stanie wykaza─ç, ┼╝e zrealizowa┼éa┼Ť wobec nich obowi─ůzek informacyjny.

5. Zastan├│w si─Ö czy realizujesz prawa os├│b, kt├│rych dane s─ů przetwarzane

Niezale┼╝nie od uzyskania informacji o przetwarzaniu danych osobowych zgodnie z art. 13 lub 14 RODO, osoba kt├│rej dane przetwarzasz ma prawo korzysta─ç z uprawnie┼ä przewidzianych w art. 15 RODO. B─Ödzie to prawo dost─Öpu do danych, w tym uzyskania kopii danych, przeniesienia danych, sprostowania, usuni─Öcia danych, sprzeciwu, a tak┼╝e ograniczenia przetwarzania i niepodlegania decyzjom, kt├│re opieraj─ů si─Ö wy┼é─ůcznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.

W pierwszej kolejno┼Ťci powinna┼Ť w przejrzysty spos├│b poinformowa─ç o prawach jakie przys┼éuguj─ů osobie, kt├│rej dane zbierasz oraz o sposobie ich zg┼éoszenia. Je┼╝eli otrzymasz ┼╝─ůdanie dotycz─ůce skorzystania z kt├│rego┼Ť ze wskazanych praw, pami─Ötaj by w pierwszej kolejno┼Ťci zweryfikowa─ç to┼╝samo┼Ť─ç zg┼éaszaj─ůcego.

Je┼╝eli to zrobisz, powinna┼Ť zaj─ů─ç si─Ö rozpatrzeniem wniosku. Miej na uwadze, ┼╝e opisane prawa nie maj─ů charakteru bezwzgl─Ödnego ÔÇô nie oznacza to zatem, ┼╝e zawsze gdy np. kto┼Ť zg┼éosi prawo usuni─Öcia danych musisz dane usun─ů─ç. Najpierw powinna┼Ť sprawdzi─ç czy dane prawo przys┼éuguje osobie zg┼éaszaj─ůcej ┼╝─ůdanie a nast─Öpnie czy masz prawo odm├│wi─ç realizacji ┼╝─ůdania (sytuacje w kt├│rych dane prawo nie znajdzie zastosowania lub kiedy mo┼╝esz odm├│wi─ç zosta┼éy opisane w art. 15-22 RODO).

Informacji udziela si─Ö na pi┼Ťmie lub w inny spos├│b, w tym w stosownych przypadkach ÔÇô elektronicznie. Je┼╝eli osoba, kt├│rej dane dotycz─ů, tego za┼╝─ůda, informacji mo┼╝na udzieli─ç ustnie, o ile innymi sposobami potwierdzi si─Ö to┼╝samo┼Ť─ç osoby, kt├│rej dane dotycz─ů.

Odpowiedzi powinna┼Ť udzieli─ç co do zasady niezw┼éocznie, nie p├│┼║niej ni┼╝ w ci─ůgu miesi─ůca od otrzymania ┼╝─ůdania. By w prawid┼éowy spos├│b realizowa─ç prawa os├│b, kt├│rych dane s─ů przetwarzane pomocne mo┼╝e by─ç przygotowanie procedury realizacji ┼╝─ůda┼ä podmiot├│w danych ÔÇô by nie budzi┼éo w─ůtpliwo┼Ťci kto wewn─ůtrz organizacji i w jaki spos├│b ma si─Ö tym zaj─ů─ç.

***

O autorce:

PATRYCJA KOZIK –┬áRadca prawny w GKK Gumularz Kozie┼é Kozik Radcowie Prawni. Doktorantka w Katedrze Prawa Europejskiego na Wydziale Prawa i Administracji Uniwersytetu Jagiello┼äskiego. Wyk┼éadowca na studiach podyplomowych z ochrony danych osobowych organizowanych przez Uniwersytet Marii Sk┼éodowskiej-Curie w Lublinie. Audytor wewn─Ötrzny systemu zarz─ůdzania bezpiecze┼ästwem informacji wg normy ISO 27001:2013. Bra┼éa udzia┼é w warsztatach po┼Ťwi─Öconym relacjom B2B w regulacjach platform internetowych, organizowanych przez Komisj─Ö Europejsk─ů w ramach strategii na rzecz jednolitego rynku cyfrowego. Specjalizuje si─Ö w prawie dot. ochrony danych osobowych, prawie konsumenckim, ze szczeg├│lnym uwzgl─Ödnieniem regulacji konsumenckich na rynku e-commerce oraz prawie nowych technologii.

Zarejestruj si─Ö aby otrzyma─ç newsletter

 

Na tej stronie wykorzystujemy cookies. Uzyskujemy do nich dost─Öp w celach analitycznych oraz w celu zapewnienia prawid┼éowego dzia┼éania strony. Je┼╝eli nie wyra┼╝asz na to zgody, mo┼╝esz zmieni─ç ustawienia w swojej przegl─ůdarce. Zobacz wi─Öcej w Polityce Prywatno┼Ťci.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close