RODO

Kto powinien wdrożyć przepisy o RODO?

25 maja 2018 r. zapamięta wielu z Nas. Tego dnia zaczęły być stosowane przepisy unijnego rozporządzenia 2016/679 o ochronie danych osobowych, zwanego RODO. Dla większości oznaczało to wysyp e-maili i SMS-ów od firm przetwarzających dane osobowe. Przedsiębiorcy mieli jeszcze gorzej – przed tą datą tworzyli nowe zasady, których powinni przestrzegać pracownicy, aktualizowali regulaminy na stronach internetowych a często zastanawiali się, czy w ogóle jeszcze mogą prowadzić działalność. Wokół RODO narosło wiele mitów i nieścisłości niniejszy artykuł nie ma ambicji wyczerpania tematu jest próbą odpowiedzi na podstawowe najważniejsze pytania dotyczące RODO.

1. Kto podlega RODO? Kto powinien wdrożyć przepisy o RODO?
RODO podlega każdy przedsiębiorca, który prowadzi działalność na terenie Unii Europejskiej. Może to być działalność w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza, czy nawet oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Nie ma znaczenia obywatelstwo osób, których dane osobowe są przetwarzane. Nie ma znaczenia to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery).
Na przyklad:
• korzystanie przez polską spółkę z o. o. z usług przetwarzania danych w chmurze nie zwalnia tej spółki z konieczności stosowania RODO, • polski podmiot oferujący swoje usługi obywatelom Ukrainy podlega przepisom RODO, • oddział w Polsce przedsiębiorcy z USA podlega przepisom RODO.
RODO znajdzie zastosowanie nawet wtedy, gdy podmioty spoza Unii Europejskiej oferują swoje towary i usług osobom przebywający w Unii. RODO nie znajduje zastosowania do działalności osobistej lub domowej. To oznacza, że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów, czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych, np. do danych adresatów wysyłanych corocznie kartek świątecznych. Podstawa prawna – art. 3 RODO.

2. Jakie czynności podlegają RODO?
RODO stosuje się do przetwarzania danych osobowych. Przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak:
• zbieranie danych,
• przechowywanie danych,
• usuwanie danych,
• opracowywanie danych,
• udostępnianie danych.

Co bardzo ważne, RODO obejmuje wszelkie czynności, które mają za przedmiot dane osobowe – czyli nie tylko np. usługę archiwizowania dokumentów, ale wszelkie usługi, w których dochodzi do zbierania danych osobowych. RODO powinni więc stosować:
• przedsiębiorcy zajmujący się przetwarzaniem danych – archiwizowanie danych, niszczenie dokumentów, usługi kurierskie itp.,
• przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, np. pośrednicy ubezpieczeniowi, agenci biur podróży, księgowi, sklepy internetowe, zarządcy nieruchomości itp.
Podstawa prawna – art. 3, 4 pkt 2 RODO.

3. Co to są dane osobowe
Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osobą zidentyfikowaną jest osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób. Osobą możliwą do zidentyfikowania jest osoba, której tożsamości nie znamy, ale możemy poznać, korzystając z tych środków, które mamy.

Na przykład:
• osoba zidentyfikowana: pracownik, którego dane osobowe przetwarza pracodawca; klient sklepu internetowego, który podał swoje dane osobowe do wysyłki zamówienia; osoba, która w formularzu kontaktowym podaje swoje imię, nazwisko i adres e-mail,
• osoba możliwa do zidentyfikowania: potencjalny kontrahent, którego posiadamy tylko numer ewidencyjny w CEIDG; nadawca listu poleconego na podstawie numeru przesyłki;
Dane osobowe to informacje o osobach fizycznych – osoby prawne nie mają danych osobowych. Ale uwaga – pracownicy osób prawnych mogą mieć dane osobowe, jak każda inna osoba fizyczna:
a) informacja „XYX sp. z o. o.” – nie stanowi danych osobowych tego podmiotu, b) informacja „Jan Kowalski, pracownik XYZ sp. z o. o.” – może stanowić dane osobowe Jana Kowalskiego. Możliwość uznania informacji za dane osobowe nie zależy ani od wieku danej osoby, ani od jej obywatelstwa. Podstawa prawna – art. 4 pkt 1, art. 9 i 10 RODO.

4. Kto może przetwarzać dane osobowe
Przetwarzanie danych osobowych to ogólne sformułowanie, oznaczające którekolwiek operacje wykonywane na danych osobowych, takie jak:
• zbieranie danych,
• przechowywanie danych,
• usuwanie danych,
• opracowywanie danych,
• udostępnianie danych. Jeżeli jakiś przedsiębiorca przetwarza dane osobowe, to może to robić jako jeden z dwóch kategorii podmiotów:
• administrator danych,
• podmiot przetwarzający dane.
Administrator danych to podmiot, który decyduje o celach i sposobach przetwarzania danych. Innymi słowy, decyduje o tym, po co (cele) i jak (sposoby) wykorzystać dane osobowe. Na przykład:
• pracodawca w stosunku do danych osobowych swoich pracowników,
• sprzedawca w sklepie internetowym w stosunku do danych osobowych swoich klientów,
• właściciel strony internetowej w stosunku do danych osobowych osób, które zaprenumerowały newsletter.
Administratorem danych jest zawsze określony podmiot – np. spółka, a nie jego pracownik. Przykłady:
• administratorem danych jest spółka z o.o., a nie jej prezes zarządu, czy dyrektor marketingu,
• administratorem danych jest Jan Kowalski prowadzący jednoosobową działalność gospodarczą.
Podmiot przetwarzający dane osobowe nie decyduje o celach i środkach przetwarzania danych – działa na podstawie umowy z administratorem danych. Administrator danych może bowiem albo sam przetwarzać dane, albo skorzystać z usług zewnętrznego podmiotu, który te dane będzie przetwarzał dla niego. Na przykład:
• biuro rachunkowe przetwarza na zlecenie dane osobowe przekazane mu w tym celu przez klientów,
• podmiot utrzymujący na zlecenie swoich klientów konta poczty elektronicznej przetwarza na zlecenie dane osobowe,
• podmiot zajmujący się profesjonalnie niszczeniem danych osobowych przetwarza w tym zakresie dane osobowe na zlecenie swoich klientów.
Firma przetwarzająca dane na zlecenie powinna zawrzeć z administratorem danych odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania danych. W konkretnej organizacji, dane osobowe faktycznie przetwarzają osoby fizyczne – pracownicy lub współpracownicy administratora lub podmiotu przetwarzającego dane. Takie osoby powinny posiadać upoważnienie do przetwarzania danych osobowych. Podstawa prawna – art. 4 pkt 7 i 8 RODO.

5. Kiedy można przetwarzać dane osobowe?
Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna do przetwarzania danych. W przypadku przedsiębiorców, typowymi podstawami przetwarzania danych zwykłych są:
a) zgoda osoby, której dane dotyczą,
b) przetwarzanie danych jest konieczne do wykonania umowy z osobą, której dane dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
c) przetwarzanie jest konieczne do wypełnienia obowiązku prawnego ciążącego na administratorze,
d) przetwarzanie jest konieczne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
W przypadku szczególnych kategorii danych, typowe podstawy przetwarzania danych to:
a) wyraźna zgoda osoby, której dane dotyczą,
b) przetwarzanie danych jest niezbędne do wykonania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
c) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,
d) przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.
Zawsze to administrator danych powinien móc wykazać, że dysponuje odpowiednią podstawą przetwarzania danych. Jest to prawny obowiązek administratora danych wynikający z tzw. zasady rozliczalności. Podstawa prawna – art. 6 i 9 RODO.

6. Jak wiele danych osobowych można zbierać zgodnie z RODO?
RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z nią, można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przetwarzanie danych powinno więc zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych. Przykład – jeżeli celem przetwarzania danych jest realizacja zamówienia w sklepie internetowym, przetwarzanie danych o sytuacji rodzinnej, czy finansowej klienta, nie będzie dopuszczalne. Przetwarzanie takich danych byłoby dopuszczalne, ale w innym celu, np. w celu marketingowym, na innej podstawie prawnej. Podstawa prawna – art. 5 ust. 1 pkt c) RODO.

7. Kiedy nie trzeba zbierać zgody na przetwarzanie danych?
Zgoda na przetwarzanie danych jest jedną z podstaw prawnych przetwarzania danych – nie jedyną. Zgody na przetwarzanie danych nie trzeba zbierać w szczególności wtedy, gdy:
a) przetwarzanie danych jest niezbędne do wykonania umowy – np. sklep internetowy sprzedaje wysyłkowo książki; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych, przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży),
b) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – np. przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości,
c) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – np. skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych, a podstawą przetwarzania danych w takim wypadku jest właśnie realizacja prawnie uzasadnionego interesu administratora danych.
Prawnie uzasadnionym interesem realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w takim celu – marketingowym w stosunku do produktów i usług administratora danych – nie wymaga zgody na przetwarzanie danych osobowych. Ale uwaga – pewne formy kontaktu z osobami, których dane dotyczą, wymagają zgody. Zgody wymaga:
a) przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej, np. reklam za pomocą poczty elektronicznej,
b) wykorzystanie telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego, np. wysyłanie wiadomości SMS o treści reklamowej. Podstawa prawna: • art. 6, art. 12 i 13 RODO, • art. 10 ustawy o świadczeniu usług drogą elektroniczną, • art. 172 ustawy Prawo telekomunikacyjne.

8. Jak długo mogę przechowywać dane osobowe?
Dane osobowe nie powinny być przechowywane w nieskończoność. Jeżeli podstawą przetwarzania danych osobowych jest zgoda, to dane osobowe mogą być przetwarzane do odwołania zgody. Po odwołaniu zgody, przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. Obecnie okres ten wynosi 10 lat. Jeżeli podstawą przetwarzania danych jest wykonywanie umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. W przypadku przedsiębiorców ten okres czasu co do zasady wynosi nie dłużej, niż 3 lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych. Na przykład przepisy o rachunkowości nakazują przechowywać dowody księgowe umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Podstawa prawna – art. 5 ust. 1 pkt e) RODO.

9. Jak należy zabezpieczać dane osobowe?
Obecne przepisy odchodzą od praktyki polegającej na wskazywaniu konkretnych środków zabezpieczenia danych osobowych, jakie mają zostać wdrożone przez administratora lub podmiot przetwarzający. Zamiast tego, RODO wprowadza tzw. podejście oparte na ryzyku. Istota tego podejścia opartego sprowadza się do tego, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć. Dobór środków zabezpieczenia powinien być oparty o:
a) charakter, zakres, kontekst i cele przetwarzania,
b) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
c) stan wiedzy technicznej,
d) koszt wdrażania.
Każdy podmiot przetwarzający dane osobowe powinien więc:
a) ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza,
b) określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem,
c) dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe.
Obecne przepisy nie nakazują stosowania żadnych konkretnych środków zabezpieczenia danych. RODO wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu tego celu, tj. zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku. Dyrektywa RODO nie jest łatwa do zrozumienia a rzeczywistość komplikuje to, że mamy do czynienia z rozporządzeniem unijnym, które obowiązuje wprost, bez polskiej ustawy o ochronie danych osobowych mam nadzieję że powyższy materiał pomógł uporządkować trochę wiedzę o tych kontrowersyjnych przepisach.

Źródło:
PRZEWODNIK PO RODO DLA MAŁYCH I ŚREDNICH PRZEDSIĘBIORCÓW - 2018-08-08

przydatne Linki:
Generalny Inspektor Ochrony Danych Osobowych – http://www.giodo.gov.pl/
• Ministerstwo Przedsiębiorczości i Technologii – http://www.mpit.gov.pl/
• Ministerstwo Cyfryzacji – https://www.gov.pl/cyfryzacja


powrót
Kontakt


Skontaktuj się z nami:

Biuro Rachunkowe Agnieszka Miśkiewicz
ul. Marcelińska 92, 60-324 Poznań
Biurowiec SIGMA, I piętro

mailowo na adres: biuro@br-miskiewicz.pl
telefonicznie: +48 509 099 518
lub za pomocą formularza

NIP: 6171389396
REGON: 250847754


Jeżeli są Państwo zainteresowani naszą ofertą, mają pytania do usług lub chcą otrzymać wycenę, prosimy o wypełnienie poniższego formularza. Podane poniżej dane posłużą nam wyłącznie do udzielenia Państwu informacji zwrotnej.