RODO – nasza checklista, która pomoże Ci sprawdzić, czy w swojej firmie zrobiłaś to dobrze

Patrycja Kozik

Właśnie minął pierwszy miesiąc odkąd przepisy Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) są stosowane. Jeżeli jeszcze nie przygotowałaś swojej firmy do nowej regulacji lub chcesz wiedzieć czy zrobiłaś to dobrze, zobacz na jakie obszary powinnaś zwrócić szczególną uwagę.

Oto pierwsza część listy:

1. Zastanów się jakie dane przetwarzasz i skąd je zbierasz

Jeżeli masz chronić dane osobowe, w pierwszej kolejności powinnaś zastanowić się nad tym gdzie w Twojej działalności dochodzi do ich przetwarzania (gdzie zachodzą procesy przetwarzania danych). Najlepiej powiązać to z procesami biznesowymi, z którymi masz do czynienia w Twojej działalności np. rekrutowanie pracowników, pozyskiwanie klientów, windykacja należności. Zastanów się gdzie w każdym z działów w Twojej organizacji w ramach codziennej pracy mogą pojawiać się dane osobowe i jak są wykorzystywane.

Dane osobowe oznaczają przy tym informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). W związku z tym, danymi osobowymi są nie tylko dane konsumentów, ale także jednoosobowych przedsiębiorców, Twoich pracowników lub pracowników Twoich kontrahentów.

Co istotne, z danymi osobowymi mamy do czynienia niezależnie od tego czy zostały zebrane ze źródeł powszechnie dostępnych (np. ze strony internetowej firmy) oraz czy są dostępne w publicznych rejestrach np. KRS (w zakresie osób fizycznych) czy CEIDG.

Ważne, byś odnotowała skąd zbierasz dane – czy bezpośrednio od osób których dane dotyczą np. poprzez zapisanie się przez nich na newsletter czy też pośrednio (dane kandydatów do pracy są Ci udostępniane z bazy agencji rekrutacyjnej). Dzięki temu będziesz wiedziała gdzie i jak spełnić obowiązek informacyjny, który różni się w zależności od tego, czy zbierasz dane od osoby której dane dotyczą czy w inny sposób (zgodnie z art. 13 i 14 RODO).

2. Zastanów się czy masz podstawy by przetwarzać dane osobowe

Jeżeli ustalisz skąd i gdzie pozyskujesz dane osobowe, zastanów się czy masz podstawy prawne do ich przetwarzania. Podstawy zostały wskazane w art. 6 RODO (przetwarzanie danych osobowych zwykłych) i art. 9 RODO (przetwarzanie danych osobowych wrażliwych czyli np. dot. stanu zdrowia).

Choć słysząc o podstawach prawnych przetwarzania danych osobowych, często na myśl przychodzi pozyskiwanie zgody, zgoda nie jest jedyną ani w wielu przypadkach konieczną podstawą przetwarzania danych osobowych zwykłych. Jeżeli w ramach swojej działalności zawierasz umowy i w celu ich realizacji przetwarzasz dane osobowe (np. umowa sprzedaży produktu w sklepie internetowym), to realizacja umowy jest zgodnie z art. 6 ust. 1 b RODO właściwą przesłanką przetwarzania danych. Jeżeli zgłaszasz pracownika do ZUSU, także nie masz obowiązku pytać go o zgodę czy możesz przetwarzać jego dane w tym celu – podstawą są w tym zakresie przepisy prawa (w związku z art. 6 ust. 1 lit. c RODO). Dla każdego z wytypowanych zgodnie z punktem 1. procesów przetwarzania powinnaś być w stanie przypisać odpowiednią podstawę prawną. Brak podstawy prawnej – uniemożliwia legalne przetwarzanie danych.

3. Zastanów się czy przestrzegasz zasad przetwarzania danych osobowych

Zapewnienie podstawy prawnej, to nie jedyny obowiązek, który wiąże się z przetwarzaniem danych. Powinnaś mieć pewność, że przestrzegasz wszystkich zasad przetwarzania danych. Zostały one wskazane w art. 5 RODO. Są to zasady: zgodności z prawem, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz zasada rozliczalności.

Powinnaś się zastanowić czy dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (np. niedopuszczalne byłoby gdyby dane pozyskane w celu rekrutacji byłyby przetwarzane w celach marketingowych).

Zwróć uwagę czy dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (nie może być tak, że zbierasz dane na zapas albo dane w ogóle nie potrzebne np. w formularzu dotyczącym zawarcia umowy zbierasz imiona rodziców).

Dane powinnaś usuwać – pomyśl nad ustaleniem okresów przechowywania danych, po których będą usuwane. Często te okresy mogą wynikać z przepisów np. podatkowych (5 lat na koniec roku kalendarzowego). Niezależnie od wyznaczonych okresów, powinnaś także zapewnić by dane były prawidłowe i w razie potrzeby uaktualniane oraz podjąć rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane.
Musisz także odpowiednio zabezpieczyć dane – zapewnić ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Wreszcie, powinnaś zgodnie z zasadą rozliczalność zadbać także o to, by moc wykazać, że przestrzegasz zasad przetwarzania (opisać jakie działania podjęłaś, przyjąć dokumentację, która wykaże, że przestrzegasz przepisy RODO).

4. Zastanów się czy realizujesz obowiązki informacyjne

Jeżeli wiesz, że masz podstawy do przetwarzania danych osobowych, zastanów się czy i jak realizujesz obowiązek informacyjny. Obowiązek informacyjny został uregulowany w art. 13 i odpowiednio 14 RODO i zakłada, że musisz przekazać osobom, których dane przetwarzasz określone w przepisach informacje (dane administratora, cele i podstawy prawne przetwarzania danych, prawa które przysługują w związku z przetwarzaniem etc.).

RODO znacząco zwiększyło ilość przekazywanych informacji, rozbudowując ich katalog niemal dwukrotnie. Wobec tego, w pierwszej kolejności powinnaś zweryfikować czy wszystkie osoby których dane pozyskujesz w ramach wytypowanych procesów przetwarzania są informowane zgodnie z art. 13 RODO (w przypadku zbierania od nich danych bezpośrednio) lub art. 14 RODO (w przypadku zbierania danych z innych źródeł).

Jeżeli przekazujesz wskazanym osobom informacje o przetwarzaniu ich danych, upewnij się, że zawierają one wszelkie informacje o których mowa w art. 13 i 14 RODO oraz czy zgodnie z zasadą rozliczalności będziesz w stanie wykazać, że zrealizowałaś wobec nich obowiązek informacyjny.

5. Zastanów się czy realizujesz prawa osób, których dane są przetwarzane

Niezależnie od uzyskania informacji o przetwarzaniu danych osobowych zgodnie z art. 13 lub 14 RODO, osoba której dane przetwarzasz ma prawo korzystać z uprawnień przewidzianych w art. 15 RODO. Będzie to prawo dostępu do danych, w tym uzyskania kopii danych, przeniesienia danych, sprostowania, usunięcia danych, sprzeciwu, a także ograniczenia przetwarzania i niepodlegania decyzjom, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.

W pierwszej kolejności powinnaś w przejrzysty sposób poinformować o prawach jakie przysługują osobie, której dane zbierasz oraz o sposobie ich zgłoszenia. Jeżeli otrzymasz żądanie dotyczące skorzystania z któregoś ze wskazanych praw, pamiętaj by w pierwszej kolejności zweryfikować tożsamość zgłaszającego.

Jeżeli to zrobisz, powinnaś zająć się rozpatrzeniem wniosku. Miej na uwadze, że opisane prawa nie mają charakteru bezwzględnego – nie oznacza to zatem, że zawsze gdy np. ktoś zgłosi prawo usunięcia danych musisz dane usunąć. Najpierw powinnaś sprawdzić czy dane prawo przysługuje osobie zgłaszającej żądanie a następnie czy masz prawo odmówić realizacji żądania (sytuacje w których dane prawo nie znajdzie zastosowania lub kiedy możesz odmówić zostały opisane w art. 15-22 RODO).

Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.

Odpowiedzi powinnaś udzielić co do zasady niezwłocznie, nie później niż w ciągu miesiąca od otrzymania żądania. By w prawidłowy sposób realizować prawa osób, których dane są przetwarzane pomocne może być przygotowanie procedury realizacji żądań podmiotów danych – by nie budziło wątpliwości kto wewnątrz organizacji i w jaki sposób ma się tym zająć.

***

O autorce:

PATRYCJA KOZIK – Radca prawny w GKK Gumularz Kozieł Kozik Radcowie Prawni. Doktorantka w Katedrze Prawa Europejskiego na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego. Wykładowca na studiach podyplomowych z ochrony danych osobowych organizowanych przez Uniwersytet Marii Skłodowskiej-Curie w Lublinie. Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001:2013. Brała udział w warsztatach poświęconym relacjom B2B w regulacjach platform internetowych, organizowanych przez Komisję Europejską w ramach strategii na rzecz jednolitego rynku cyfrowego. Specjalizuje się w prawie dot. ochrony danych osobowych, prawie konsumenckim, ze szczególnym uwzględnieniem regulacji konsumenckich na rynku e-commerce oraz prawie nowych technologii.

Przeczytaj także