RODO – jakie obowiązki musi spełniać twoja firma?

Nowe przepisy o ochronie danych osobowych wymuszają na pracodawcy większą niż dotychczas, dbałość o zabezpieczenie i właściwe przechowywanie danych osobowych osób fizycznych. Wytyczne RODO wyraźnie wskazują jakie dane musimy chronić, jednak nie mówią do końca jak to robić.

Zmiany, jakie muszą wprowadzić firmy w krajach członkowskich Unii Europejskiej w związku z wprowadzeniem nowych przepisów są poważne, a niedostosowanie się do nich grozi nawet wielomilionowymi karami pieniężnymi.

Przepisy RODO dotyczą wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych, nie tylko w obszarze internetowym. Zabezpieczeniu podlegają takie dane jak: dane kontrahentów, czy dane pracowników.

Rozporządzenie o ochronie danych osobowych jest tematem na tyle szerokim, że do skutecznego wdrożenia RODO i jego poprawnego funkcjonowania, uwzględnić należy wiele czynników, między innymi współpracę z firmami – księgową, marketingową, administracją i innego typu przedsiębiorstwami świadczącymi usługi outsourcingowe.

O jakich konkretnie danych mówimy? Dane osobowe to wszystkie dane, które pozwalają na zidentyfikowanie osoby. W praktyce są to imię i nazwisko, numer PESEL, numer IP, czy nawet adres e-mail, w którego nazwie widnieje nazwisko i imię pracownika.

Zgodnie z przepisami zawartymi w nowym rozporządzeniu, gromadzone dane osobowe osób fizycznych można przetwarzać jedynie gdy podmiot, który przetwarza dane ma do tego podstawę, do której zaliczyć można:

  • Przepisy prawa, takie jak prawo podatkowe, kodeks pracy, ustawy ubezpieczeniowe,
  • Umowę z osobą, której dane są przetwarzane,
  • Zgodę osoby, której dane są przetwarzane – niezbędna jest wtedy gdy nie istnieją podstawy prawne ani umowa, która pozwala na gromadzenie i przetwarzanie danych osobowych.

Rozporządzenie w sprawie RODO zawiera katalog przykładowych czynności, które mogą pomóc przedsiębiorcy zachować bezpieczeństwo danych osobowych.

Ustawodawca wyróżnia:

  • pseudonimizację i szyfrowanie danych osobowych,
  • możliwość zapewnienia ciągłości poufności, integralności, dostępności i odporności systemów i usług przetwarzania
    zapewnienie szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • cykliczne i regularne testowanie i ocenianie skuteczności wdrożonych rozwiązań technicznych i organizacyjnych, których zadaniem jest zapewnienie bezpieczeństwa danych

Oprócz powyższych, RODO wprowadza także obowiązek prowadzenia tzw. „rejestru czynności przetwarzania”. Nałożony jest on obligatoryjnie na:

  • przedsiębiorców lub podmioty zatrudniające powyżej 250 osób,
  • przedsiębiorców lub podmioty zatrudniające mniej niż 250 osób, w przypadku gdy:
    • przetwarzanie danych może doprowadzić do naruszenia praw lub wolności osób, których dane dotyczą,
    • przetwarzanie nie ma charakteru sporadycznego
    • obejmują szczególną kategorie danych osobowych, o których mowa w art. 9 ust 1 rozporządzenia RODO (pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej)

Zaleca się jednak prowadzenie rejestru czynności przetwarzania nawet, jeśli według oceny Administratora jego prowadzenie nie jest obligatoryjne.

Każdy przedsiębiorca powinniśmy zacząć od ustalenia zasad protekcji gromadzonych danych. Zaczynając od bezpieczeństwa fizycznego, przez informatyczne, aż po szkolenia personelu z zakresu RODO.

Po decyzji o tym, jakie działania firma podejmie, najlepiej skonsultować je z adwokatem, który specjalizuje się w prawie o ochronie danych osobowych. Warto pamiętać, że w przypadku naruszenia danych osobowych, wina zawsze spoczywa na przedsiębiorcy, dlatego istotne jest uzyskanie profesjonalnej pomocy we wdrożeniu powyższych przepisów.

Oceną tego jak zabezpieczyliśmy naszą firmę każdorazowo zajmuje się pracownik urzędu ochrony danych osobowych.