25 sierpnia 2022 r.
Rozporządzenie RODO obowiązuje od 25 maja 2018 r., czyli na tyle długo, że każdemu przedsiębiorcy powinno być znane, a zawarte w nim przepisy powszechnie stosowane – na przykład do przetwarzania danych osobowych pracowników czy kontrahentów firmy. Mimo to wiele kwestii stosowania RODO w biznesie wciąż budzi niejasności i dochodzi w tym obszarze do nieporozumień.
Przy działalności gospodarczej prowadzonej na relatywnie małą skalę stosowanie przepisów RODO nie jest szczególnie skomplikowane, natomiast pozwoli na uchronienie się przed wysokimi karami finansowymi – nawet do 4% obrotu rocznego firmy lub 20 mln euro.
RODO chroni
…prawa i wolności osób fizycznych (obywateli państw UE), a w szczególności ich prawo do ochrony danych osobowych.
Pojęcie „osoby fizycznej”
…nie jest definiowane przez RODO – jednak stawia się je w opozycji do osoby prawnej. W uproszczeniu różnica polega na tym, że osoby fizyczne to po prostu… ludzie, natomiast osoby prawne stanowią twory społeczne (np. spółki, stowarzyszenia, wspólnoty etc.). Osobą fizyczną jest każdy człowiek od chwili urodzenia do śmierci – niezależnie od wieku, płci, stanu zdrowia fizycznego i psychicznego.
Pojęcie „dane osobowe”
…również nie jest jednoznacznie określone w RODO. Co więcej, w analizowanych przepisach brak jest zamkniętego katalogu, jakie informacje powinny być chronione. Przepis wskazuje tylko ogólnie, że dane osobowe to informacje o osobie fizycznej – zidentyfikowanej lub możliwej do zidentyfikowania np. na podstawie imienia i nazwiska, numeru PESEL, numeru dowodu osobistego, identyfikatora internetowego (np. adresu e-mail lub nazwy profilu na portalu społecznościowym zawierającej imię i nazwisko właściciela). Katalog ten jest otwarty i za daną osobową może zostać uznana praktycznie każda informacja, na podstawie której istnieje możliwość jednoznacznego zidentyfikowania osoby fizycznej.
Lepiej „dmuchać na zimne”
Choć nie wszystkie informacje określające danego człowieka mogą być traktowane jako dane osobowe, od wejścia RODO w życie forsowane jest stanowisko poszerzające interpretację pojęcia danych osobowych. Zaleca się przyjęcie zasady, że jeśli nie można z całkowitą pewnością wykluczyć osobowego charakteru danych, administratorzy powinni wszystkie przetwarzane informacje o kimś domyślnie traktować jako dane osobowe. Nawet jeśli jest to ostrożność „na wyrost”, z pewnością wielu przedsiębiorców może uchronić ona przed wszczęciem postępowania przez UODO (Urząd Ochrony Danych Osobowych) oraz ewentualną karą.
Dowolna forma przekazu informacji
Informacja zawierająca dane osobowe wyrażona może zostać w dowolny sposób – np. jako tekst (drukowany), przekaz elektroniczny, ale także ustny. Utrwalanie danych osobowych dokonuje się w formie słownej (np. imię i nazwisko), numerycznej (PESEL) lub biometrycznej (np. odcisk palca).
Danymi osobowymi są również informacje, które zostały w trakcie przetwarzania zaszyfrowane lub zapisane w nietypowym formacie – którego odczytanie pozostaje jednak w zasięgu możliwości osoby niekoniecznie dysponującej profesjonalnym sprzętem.
Nie są chronione przez RODO informacje
...które realnie nie pozwolą „przeciętnemu Kowalskiemu” na zidentyfikowanie tożsamości konkretnej osoby, ponieważ wymagałoby to nadmiernych kosztów, czasu lub działań. Upraszczając – nie będzie chronioną przez RODO informacja pozwalająca na zidentyfikowanie osoby jedynie specjalistom ze służb wyposażonym w ultranowoczesną aparaturę i dysponujących wysokospecjalistyczną wiedzą.
RODO a dane osób prawnych
Informacjami chronionymi przez RODO są tylko te, które dotyczą osób fizycznych. Nie są zatem chronione dane osób prawnych i innych jednostek organizacyjnych, którym ustawa nadaje zdolność prawną. Sytuacja jednak zmienia się, jeśli z osobami prawnymi powiązane są informacje o osobach fizycznych – te już stanowią dane osobowe i podlegają ochronie. Na przykład nazwa spółki z o. o. nie jest chroniona przez RODO, jednakże imiona i nazwiska członków zarządu – już tak, ponieważ są one traktowane jako dane osobowe (patrz: interpretacja UODO).
Podobnie dzieje się w przypadku osób fizycznych prowadzących działalność gospodarczą zarejestrowanych w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG). Istotą prowadzenia działalności gospodarczej na podstawie wpisu w CEIDG jest funkcjonowanie przedsiębiorców w obrocie gospodarczym jako osób fizycznych. W związku z tym przepisy RODO odnoszą się także do danych osobowych dotyczących osób fizycznych samodzielnie prowadzących działalność gospodarczą.
Ochrona RODO nie dotyczy wszystkich danych osobowych
Twórcy rozporządzenia o ochronie danych zdawali sobie sprawę z tego, że ochrona w tym przypadku nie może mieć charakteru absolutnego i czasami musi ustępować miejsca ważniejszym prawom czy wolnościom. Tak właśnie uznano w przypadku:
-
wolności wypowiedzi i informacji – wyłączenia spod RODO dotyczą wypowiedzi w ramach działalności literackiej, akademickiej lub artystycznej, a także wynikają z ustawy Prawo Prasowe (dotyczy redagowania, przygotowywania, tworzenia lub publikowania materiałów prasowych);
-
danych osobowych przetwarzanych przez właściwe organy do celów zapobiegania przestępczości, wykrywania i ścigania czynów zabronionych lub wykonywania kar, ochrony przed zagrożeniami dla bezpieczeństwa publicznego;
-
przetwarzanych przez osobę fizyczną do celów o czysto osobistym, prywatnym charakterze – czyli bez związku z działalnością zawodową lub gospodarczą (nie musimy zatem obawiać się „ścigania” przez UODO z powodu np. prowadzenia baz adresowych w naszych prywatnych smartfonach, komputerowych programach pocztowych, czy posiadania w domu notatek dotyczących znajomych).
RODO nie obejmuje również informacji dotyczących osób zmarłych – nie są zatem chronione dane osobowe umieszczane na klepsydrach informujących o zgonach oraz nagrobkach.
RODO w działalności gospodarczej
Rozporządzenie obejmuje każdego przedsiębiorcę Unii Europejskiej – zarówno dużych korporacji, firm mniejszych, jak i przedsiębiorców prowadzących jednoosobową działalność gospodarczą. Oznacza to konieczność dokonania analizy oraz oceny ryzyka przetwarzania i pozyskiwania danych osobowych.
W przypadku firm jednoosobowych
…RODO działa niejako „dwukierunkowo”. Z jednej strony bowiem chroni dane kontrahentów firmy, z drugiej natomiast zabezpiecza dane osobowe samych przedsiębiorców. Każda osoba prowadząca działalność gospodarczą ma takie same prawa w zakresie ochrony dotyczących ją informacji, co osoba „prywatna”. Podmiot, który będzie chciał wykorzystywać informacje na jej temat, musi spełnić wszystkie obowiązki, jakie nakłada na niego RODO – w tym dopełnić wobec przedsiębiorcy obowiązek informacyjny, zastosować skuteczne zabezpieczenia organizacyjne i techniczne przetwarzanych informacji itd.
Szczególną ostrożność przedsiębiorca powinien zachować np.
…przy wystawianiu faktur bądź rachunków sporządzanych dla osób fizycznych, korzystaniu z takich narzędzi jak newsletter czy masowa korespondencja (należy brać pod uwagę niedopuszczalną prawnie możliwość udostępniania odbiorcom informacji, które pozwalają na zidentyfikowanie tożsamości innych odbiorców maila lub jego kopii).
Pamiętać należy, że dane osobowe to nie tylko imię, nazwisko, PESEL czy NIP. Są to wszystkie informacje pozwalające na identyfikację danej osoby fizycznej – m.in. jej numer telefonu, adres mailowy i korespondencyjny, stanowisko pracy itd. W sposób szczególny chronione winny być tzw. informacje wrażliwe (sensytywne) – o pochodzeniu, przebytych chorobach, orientacji seksualnej, wyznawanej religii itp.
Przedsiębiorca zatrudniający pracowników powinien
-
przeszkolić ich i przekazać niezbędne informacje dotyczące ochrony danych osobowych;
-
uzyskać zgody na przetwarzanie ich danych osobowych, poinformować o sposobie przetwarzania tych danych oraz o przysługujących im prawach – m.in. do wglądu w dane, ich zmiany, przeniesienia, a także prawie do „zostania zapomnianym”;
-
poinformować pracowników o sposobie administrowania baz danych osobowych.
W średnich i większych firmach, gdzie kwestia przetwarzania danych osobowych nieco się komplikuje, a ryzyko poniesienia konsekwencji za naruszenie RODO rośnie, firmy często decydują się na zatrudnianie profesjonalnych pracowników zajmujących się przetwarzaniem danych osobowych – tzw. Inspektorów Ochrony Danych Osobowych. W jednoosobowej firmie zazwyczaj to sam przedsiębiorca staje się administratorem danych.
Rodzaj i sposób ochrony danych osobowych zależy od różnych czynników – specyfiki firmy, jej wielkości itd. Jednakże w pewną dokumentację powinien zaopatrzyć się każdy przedsiębiorca. Dotyczy to m.in.: polityki bezpieczeństwa danych osobowych, ewidencji zawartych umów powierzenia przetwarzania danych osobowych, rejestru czynności przetwarzania, wykazu przetwarzanych zbiorów danych osobowych, dokumentacji podstawowych zasad zabezpieczenia danych i zgłaszania naruszeń.
Przepisy RODO dla przedsiębiorcy wprowadziło bardzo ważną zasadę, którą muszą respektować wszyscy – cała dokumentacja dotycząca ochrony danych osobowych musi być sporządzona w prostym języku – tak, aby każda osoba mogła się z nią zapoznać i w całości zrozumieć.
Uzyskaj zgodę osoby
Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać w oparciu o zgodę osoby, której dane dotyczą. Zbierając dane osobowe, przedsiębiorca będzie musiał wskazać m.in. cel przetwarzania danych i okres ich przechowywania. Zgoda może mieć charakter uproszczony – na przykład może polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej.
Warto pamiętać, że RODO uwzględnia prawo do…
-
„bycia zapomnianym” – na podstawie którego osoba, której dane są przetwarzane może żądać usunięcia wszystkich informacji o sobie z bazy danych przedsiębiorcy,
-
wglądu we własne dane (osoby, której dane są przetwarzane),
-
żądania skorygowania i aktualizacji własnych danych osobowych.