RODO ÔÇô nasza checklista, kt├│ra pomo┼╝e Ci sprawdzi─ç, czy w swojej firmie zrobi┼éa┼Ť to dobrze

Patrycja Kozik

W┼éa┼Ťnie min─ů┼é pierwszy miesi─ůc odk─ůd przepisy Rozporz─ůdzenia Og├│lnego o Ochronie Danych Osobowych (RODO) s─ů stosowane. Je┼╝eli jeszcze nie przygotowa┼éa┼Ť swojej firmy do nowej regulacji lub chcesz wiedzie─ç czy zrobi┼éa┼Ť to dobrze, zobacz na jakie obszary powinna┼Ť zwr├│ci─ç szczeg├│ln─ů uwag─Ö.

Oto pierwsza cz─Ö┼Ť─ç listy:

1. Zastan├│w si─Ö jakie dane przetwarzasz i sk─ůd je zbierasz

Je┼╝eli masz chroni─ç dane osobowe, w pierwszej kolejno┼Ťci powinna┼Ť zastanowi─ç si─Ö nad tym gdzie w Twojej dzia┼éalno┼Ťci dochodzi do ich przetwarzania (gdzie zachodz─ů procesy przetwarzania danych). Najlepiej powi─ůza─ç to z procesami biznesowymi, z kt├│rymi masz do czynienia w Twojej dzia┼éalno┼Ťci np. rekrutowanie pracownik├│w, pozyskiwanie klient├│w, windykacja nale┼╝no┼Ťci. Zastan├│w si─Ö gdzie w ka┼╝dym z dzia┼é├│w w Twojej organizacji w ramach codziennej pracy mog─ů pojawia─ç si─Ö dane osobowe i jak s─ů wykorzystywane.

Dane osobowe oznaczaj─ů przy tym informacje o zidentyfikowanej lub mo┼╝liwej do zidentyfikowania osobie fizycznej (ÔÇ×osobie, kt├│rej dane dotycz─ůÔÇŁ). W zwi─ůzku z tym, danymi osobowymi s─ů nie tylko dane konsument├│w, ale tak┼╝e jednoosobowych przedsi─Öbiorc├│w, Twoich pracownik├│w lub pracownik├│w Twoich kontrahent├│w.

Co istotne, z danymi osobowymi mamy do czynienia niezale┼╝nie od tego czy zosta┼éy zebrane ze ┼║r├│de┼é powszechnie dost─Öpnych (np. ze strony internetowej firmy) oraz czy s─ů dost─Öpne w publicznych rejestrach np. KRS (w zakresie os├│b fizycznych) czy CEIDG.

Wa┼╝ne, by┼Ť odnotowa┼éa sk─ůd zbierasz dane ÔÇô czy bezpo┼Ťrednio od os├│b kt├│rych dane dotycz─ů np. poprzez zapisanie si─Ö przez nich na newsletter czy te┼╝ po┼Ťrednio (dane kandydat├│w do pracy s─ů Ci udost─Öpniane z bazy agencji rekrutacyjnej). Dzi─Öki temu b─Ödziesz wiedzia┼éa gdzie i jak spe┼éni─ç obowi─ůzek informacyjny, kt├│ry r├│┼╝ni si─Ö w zale┼╝no┼Ťci od tego, czy zbierasz dane od osoby kt├│rej dane dotycz─ů czy w inny spos├│b (zgodnie z art. 13 i 14 RODO).

2. Zastan├│w si─Ö czy masz podstawy by przetwarza─ç dane osobowe

Je┼╝eli ustalisz sk─ůd i gdzie pozyskujesz dane osobowe, zastan├│w si─Ö czy masz podstawy prawne do ich przetwarzania. Podstawy zosta┼éy wskazane w art. 6 RODO (przetwarzanie danych osobowych zwyk┼éych) i art. 9 RODO (przetwarzanie danych osobowych wra┼╝liwych czyli np. dot. stanu zdrowia).

Cho─ç s┼éysz─ůc o podstawach prawnych przetwarzania danych osobowych, cz─Östo na my┼Ťl przychodzi pozyskiwanie zgody, zgoda nie jest jedyn─ů ani w wielu przypadkach konieczn─ů podstaw─ů przetwarzania danych osobowych zwyk┼éych. Je┼╝eli w ramach swojej dzia┼éalno┼Ťci zawierasz umowy i w celu ich realizacji przetwarzasz dane osobowe (np. umowa sprzeda┼╝y produktu w sklepie internetowym), to realizacja umowy jest zgodnie z art. 6 ust. 1 b RODO w┼éa┼Ťciw─ů przes┼éank─ů przetwarzania danych. Je┼╝eli zg┼éaszasz pracownika do ZUSU, tak┼╝e nie masz obowi─ůzku pyta─ç go o zgod─Ö czy mo┼╝esz przetwarza─ç jego dane w tym celu ÔÇô podstaw─ů s─ů w tym zakresie przepisy prawa (w zwi─ůzku z art. 6 ust. 1 lit. c RODO). Dla ka┼╝dego z wytypowanych zgodnie z punktem 1. proces├│w przetwarzania powinna┼Ť by─ç w stanie przypisa─ç odpowiedni─ů podstaw─Ö prawn─ů. Brak podstawy prawnej ÔÇô uniemo┼╝liwia legalne przetwarzanie danych.

3. Zastan├│w si─Ö czy przestrzegasz zasad przetwarzania danych osobowych

Zapewnienie podstawy prawnej, to nie jedyny obowi─ůzek, kt├│ry wi─ů┼╝e si─Ö z przetwarzaniem danych. Powinna┼Ť mie─ç pewno┼Ť─ç, ┼╝e przestrzegasz wszystkich zasad przetwarzania danych. Zosta┼éy one wskazane w art. 5 RODO. S─ů to zasady: zgodno┼Ťci z prawem, rzetelno┼Ťci i przejrzysto┼Ťci, ograniczenia celu, minimalizacji danych, prawid┼éowo┼Ťci, ograniczenia przechowywania, integralno┼Ťci i poufno┼Ťci oraz zasada rozliczalno┼Ťci.

Powinna┼Ť si─Ö zastanowi─ç czy dane s─ů zbierane w konkretnych, wyra┼║nych i prawnie uzasadnionych celach i nieprzetwarzane dalej w spos├│b niezgodny z tymi celami (np. niedopuszczalne by┼éoby gdyby dane pozyskane w celu rekrutacji by┼éyby przetwarzane w celach marketingowych).

Zwr├│─ç uwag─Ö czy dane s─ů adekwatne, stosowne oraz ograniczone do tego, co niezb─Ödne do cel├│w, w kt├│rych s─ů przetwarzane (nie mo┼╝e by─ç tak, ┼╝e zbierasz dane na zapas albo dane w og├│le nie potrzebne np. w formularzu dotycz─ůcym zawarcia umowy zbierasz imiona rodzic├│w).

Dane powinna┼Ť usuwa─ç ÔÇô pomy┼Ťl nad ustaleniem okres├│w przechowywania danych, po kt├│rych b─Öd─ů usuwane. Cz─Östo te okresy mog─ů wynika─ç z przepis├│w np. podatkowych (5 lat na koniec roku kalendarzowego). Niezale┼╝nie od wyznaczonych okres├│w, powinna┼Ť tak┼╝e zapewni─ç by dane by┼éy prawid┼éowe i w razie potrzeby uaktualniane oraz podj─ů─ç rozs─ůdne dzia┼éania, aby dane osobowe, kt├│re s─ů nieprawid┼éowe w ┼Ťwietle cel├│w ich przetwarzania, zosta┼éy niezw┼éocznie usuni─Öte lub sprostowane.
Musisz tak┼╝e odpowiednio zabezpieczy─ç dane ÔÇô zapewni─ç ochron─Ö przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkow─ů utrat─ů, zniszczeniem lub uszkodzeniem, za pomoc─ů odpowiednich ┼Ťrodk├│w technicznych lub organizacyjnych.

Wreszcie, powinna┼Ť zgodnie z zasad─ů rozliczalno┼Ť─ç zadba─ç tak┼╝e o to, by moc wykaza─ç, ┼╝e przestrzegasz zasad przetwarzania (opisa─ç jakie dzia┼éania podj─Ö┼éa┼Ť, przyj─ů─ç dokumentacj─Ö, kt├│ra wyka┼╝e, ┼╝e przestrzegasz przepisy RODO).

4. Zastan├│w si─Ö czy realizujesz obowi─ůzki informacyjne

Je┼╝eli wiesz, ┼╝e masz podstawy do przetwarzania danych osobowych, zastan├│w si─Ö czy i jak realizujesz obowi─ůzek informacyjny. Obowi─ůzek informacyjny zosta┼é uregulowany w art. 13 i odpowiednio 14 RODO i zak┼éada, ┼╝e musisz przekaza─ç osobom, kt├│rych dane przetwarzasz okre┼Ťlone w przepisach informacje (dane administratora, cele i podstawy prawne przetwarzania danych, prawa kt├│re przys┼éuguj─ů w zwi─ůzku z przetwarzaniem etc.).

RODO znacz─ůco zwi─Ökszy┼éo ilo┼Ť─ç przekazywanych informacji, rozbudowuj─ůc ich katalog niemal dwukrotnie. Wobec tego, w pierwszej kolejno┼Ťci powinna┼Ť zweryfikowa─ç czy wszystkie osoby kt├│rych dane pozyskujesz w ramach wytypowanych proces├│w przetwarzania s─ů informowane zgodnie z art. 13 RODO (w przypadku zbierania od nich danych bezpo┼Ťrednio) lub art. 14 RODO (w przypadku zbierania danych z innych ┼║r├│de┼é).

Je┼╝eli przekazujesz wskazanym osobom informacje o przetwarzaniu ich danych, upewnij si─Ö, ┼╝e zawieraj─ů one wszelkie informacje o kt├│rych mowa w art. 13 i 14 RODO oraz czy zgodnie z zasad─ů rozliczalno┼Ťci b─Ödziesz w stanie wykaza─ç, ┼╝e zrealizowa┼éa┼Ť wobec nich obowi─ůzek informacyjny.

5. Zastan├│w si─Ö czy realizujesz prawa os├│b, kt├│rych dane s─ů przetwarzane

Niezale┼╝nie od uzyskania informacji o przetwarzaniu danych osobowych zgodnie z art. 13 lub 14 RODO, osoba kt├│rej dane przetwarzasz ma prawo korzysta─ç z uprawnie┼ä przewidzianych w art. 15 RODO. B─Ödzie to prawo dost─Öpu do danych, w tym uzyskania kopii danych, przeniesienia danych, sprostowania, usuni─Öcia danych, sprzeciwu, a tak┼╝e ograniczenia przetwarzania i niepodlegania decyzjom, kt├│re opieraj─ů si─Ö wy┼é─ůcznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.

W pierwszej kolejno┼Ťci powinna┼Ť w przejrzysty spos├│b poinformowa─ç o prawach jakie przys┼éuguj─ů osobie, kt├│rej dane zbierasz oraz o sposobie ich zg┼éoszenia. Je┼╝eli otrzymasz ┼╝─ůdanie dotycz─ůce skorzystania z kt├│rego┼Ť ze wskazanych praw, pami─Ötaj by w pierwszej kolejno┼Ťci zweryfikowa─ç to┼╝samo┼Ť─ç zg┼éaszaj─ůcego.

Je┼╝eli to zrobisz, powinna┼Ť zaj─ů─ç si─Ö rozpatrzeniem wniosku. Miej na uwadze, ┼╝e opisane prawa nie maj─ů charakteru bezwzgl─Ödnego ÔÇô nie oznacza to zatem, ┼╝e zawsze gdy np. kto┼Ť zg┼éosi prawo usuni─Öcia danych musisz dane usun─ů─ç. Najpierw powinna┼Ť sprawdzi─ç czy dane prawo przys┼éuguje osobie zg┼éaszaj─ůcej ┼╝─ůdanie a nast─Öpnie czy masz prawo odm├│wi─ç realizacji ┼╝─ůdania (sytuacje w kt├│rych dane prawo nie znajdzie zastosowania lub kiedy mo┼╝esz odm├│wi─ç zosta┼éy opisane w art. 15-22 RODO).

Informacji udziela si─Ö na pi┼Ťmie lub w inny spos├│b, w tym w stosownych przypadkach ÔÇô elektronicznie. Je┼╝eli osoba, kt├│rej dane dotycz─ů, tego za┼╝─ůda, informacji mo┼╝na udzieli─ç ustnie, o ile innymi sposobami potwierdzi si─Ö to┼╝samo┼Ť─ç osoby, kt├│rej dane dotycz─ů.

Odpowiedzi powinna┼Ť udzieli─ç co do zasady niezw┼éocznie, nie p├│┼║niej ni┼╝ w ci─ůgu miesi─ůca od otrzymania ┼╝─ůdania. By w prawid┼éowy spos├│b realizowa─ç prawa os├│b, kt├│rych dane s─ů przetwarzane pomocne mo┼╝e by─ç przygotowanie procedury realizacji ┼╝─ůda┼ä podmiot├│w danych ÔÇô by nie budzi┼éo w─ůtpliwo┼Ťci kto wewn─ůtrz organizacji i w jaki spos├│b ma si─Ö tym zaj─ů─ç.

***

O autorce:

PATRYCJA KOZIK –┬áRadca prawny w GKK Gumularz Kozie┼é Kozik Radcowie Prawni. Doktorantka w Katedrze Prawa Europejskiego na Wydziale Prawa i Administracji Uniwersytetu Jagiello┼äskiego. Wyk┼éadowca na studiach podyplomowych z ochrony danych osobowych organizowanych przez Uniwersytet Marii Sk┼éodowskiej-Curie w Lublinie. Audytor wewn─Ötrzny systemu zarz─ůdzania bezpiecze┼ästwem informacji wg normy ISO 27001:2013. Bra┼éa udzia┼é w warsztatach po┼Ťwi─Öconym relacjom B2B w regulacjach platform internetowych, organizowanych przez Komisj─Ö Europejsk─ů w ramach strategii na rzecz jednolitego rynku cyfrowego. Specjalizuje si─Ö w prawie dot. ochrony danych osobowych, prawie konsumenckim, ze szczeg├│lnym uwzgl─Ödnieniem regulacji konsumenckich na rynku e-commerce oraz prawie nowych technologii.