Stosowanie RODO
porady i szablony dokumentów

blog-123Rok przed rozpoczęciem obowiązywania RODO – jak wynikało z badania Fundacji Wiedza To Bezpieczeństwo pt. „Co wiemy o ochronie danych” – jedynie połowa kadry zarządzającej zdawała sobie sprawę z tego jakie nowe obowiązki nakłada na ich firmy ogólne rozporządzenie o ochronie danych osobowych.

Czy coś się zmieniło po prawie roku od kiedy RODO obowiązuje?

Na pewno świadomość przedsiębiorców znacząco wzrosła, co zauważamy współpracując z wieloma firmami i prowadząc liczne szkolenia oraz kursy. Jednakże nadal wiele podmiotów nie dostosowało swej działalności do wymogów rozporządzenia, widoczne jest to chociażby na ich stronach internetowych, gdzie nadal znaleźć możemy klauzule niezgodne z treścią rozporządzenia. 

Poniższy tekst odwołuje się bezpośrednio do ogólnego rozporządzenia o ochronie danych osobowych (RODO). Treść rozporządzenia udostępniamy bezpłatnie w opracowaniu pt. „RODO NAWIGATOR”, które możecie Państwo znaleźć pod tym linkiem. Opracowanie zawiera zaktualizowany tekst samego RODO (sprostowanie wydane przez Komisję Europejską), treść ustawy z 10 maja 2018 r. o ochronie danych osobowych, listę najważniejszych wytycznych Grupy Roboczej art. 29 oraz Europejskiej Rady Ochrony Danych wraz z linkami do ich pobrania, interaktywne powiązania pomiędzy RODO a ustawą o ochronie danych osobowych oraz interaktywne powiązania pomiędzy RODO a konkretnymi wytycznymi, które wyjaśniają, jak je stosować.

Strefa RODO

Obowiązek informacyjny

Przed rozpoczęciem stosowania RODO oraz przez ostanie miesiące stosowania rozporządzenia  zalani zostaliśmy mailami, w których firmy informują nas o dostosowaniu się do nowych przepisów RODO. Aktualizacji wymagały w szczególności polityki prywatności, regulaminy stron internetowych, klauzule informacyjne, czy też klauzule zgody.

Jakie informacje powinny znaleźć się w obowiązku informacyjnym?

Na pierwszy rzut oka daje się zauważyć, że na gruncie obecnie obowiązujących przepisów ilość informacji jakie należy przekazać osobie fizycznej znacząco wzrosła. Obowiązek informacyjny powinien zawierać między innymi:

  • dane administratora danych,
  • kontakt do inspektora ochrony danych (o ile został powołany),
  • cel przetwarzania,
  • podstawę prawną przetwarzania,
  • czas przez jaki dane będą przetwarzane,
  • informacje o przysługujących osobie fizycznej prawach w związku z przetwarzaniem jej danych osobowych.

Dla wszystkich przedsiębiorców, którzy nie dostosowali jeszcze treści klauzul informacyjnych do wymogów RODO udostępniamy przykładową treść obowiązku informacyjnego.

Pobierz teraz: przykładowy obowiązek informacyjny.

Ważne
Klauzulę informacyjną należy udostępnić klientom do wglądu, w momencie pozyskiwania ich danych. W przypadku mikro działalności (zakład fryzjerski, szewc itp.) najlepiej będzie ją po prostu umieścić w widocznym miejscu na ladzie. Z kolei sklepy internetowe mogą umieścić ją jako link na ekranie składania zamówienia oraz dodatkowo aby dokonać należytej staranności przesłać mailowo wraz z wiadomością potwierdzającą zamówienie.

Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania

Na gruncie RODO pojawił się obowiązek prowadzenia rejestru czynności przetwarzania oraz rejestru kategorii czynności przetwarzania. W pierwszych miesiącach stosowania rozporządzenia przedmiotowe dokumenty budziły niepokój wśród przedsiębiorców, jednak obecnie większość firm poradziło sobie z tym wymogiem. Pomocne w tym zakresie okazał się przykładowy rejestr czynności oraz wskazówki i wyjaśnienia dotyczące obowiązku rejestrowania czynność i kategorii czynności przetwarzania określonego w art. 30 ust. 1 i 2 RODO, udostępnione na stronie UODO.  Podkreślamy, iż zgodnie z RODO niemal każdy administrator danych zobowiązany jest do prowadzenia rejestru czynności przetwarzania. To dokument, który powinien zawierać m. in.:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora,
  • cele przetwarzania danych,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • opis technicznych i organizacyjnych środków bezpieczeństwa.

Oczywiście to tylko niektóre z informacji, jakie powinny znaleźć się w rejestrze, szczegółowy wykaz znajdziecie Państwo w art. 30 ust. 1 RODO.

W zakresie rejestru kategorii czynności przetwarzania administrator zobligowany jest prowadzić przedmiotowy rejestr wówczas, gdy występuje w roli podmiotu przetwarzającego w jakimkolwiek procesie przetwarzania danych osobowych w swojej organizacji. Rejestr kategorii czynności przetwarzania zawiera mniej obligatoryjnych informacji niż rejestr administratora. W art. 30 ust. 2 RODO wylistowane zostały wszystkie informacje jakie muszą się znaleźć w przedmiotowym rejestrze.

Rejestr czynności przetwarzania prowadzony przez administratora jest jednym z pierwszych dokumentów o jakie może poprosić UODO w czasie przeprowadzanej kontroli, gdyż dokument ten pozwala na najlepsze rozeznanie wśród procesów przetwarzania danych osobowych w organizacji, a więc dobrze nie lekceważyć tego obowiązku.

Wsparcie IOD

Umowa powierzenia przetwarzania danych

W dzisiejszych czasach niemal każdy korzysta z usług outsourcingu – na zewnątrz przekazujemy coraz więcej danych osobowych w ramach np.: obsługi kadrowo płacowej, hostingu, obsługi stron www, marketingu. Przekazywanie danych „na zewnątrz” organizacji, aby pozostawało zgodne z RODO musi odbywać się na podstawie umowy lub innego instrumentu prawnego. W art. 28 RODO wskazane zostały obligatoryjne elementy, które powinny znaleźć się w umowie powierzenia przetwarzania danych osobowych.

Największym wyzwaniem i nowością dla administratora danych jest obowiązek sprawdzenia swojego dostawcy. Administrator powinien bowiem korzystać z usług jedynie takich podmiotów, które zapewnią odpowiednie środki techniczne i organizacyjne zabezpieczające udostępniane dane. Rozporządzenie nie precyzuje w jaki sposób administrator powinien sprawdzić podmiot, któremu powierzy przetwarzanie swoich danych osobowych, administrator musi więc samodzielnie wybrać najbardziej skuteczną ze swojego punktu widzenia metodę.

Problematykę zgodności procesora z RODO oraz sposoby jego weryfikacji opisywaliśmy szerzej tutaj. Pod wskazanym linkiem znajdą Państwo również przygotowaną przez nas listę kontrolną dla procesora, która stanowi alternatywę dla przeprowadzania audytu procesora.

Jakie elementy powinna zawierać umowa powierzenia?

  • przedmiot przetwarzania,
  • czas trwania przetwarzania,
  • charakter i cel przetwarzania,
  • rodzaj danych osobowych,
  • kategorię osób, których dane dotyczą,
  • obowiązki i prawa administratora,
  • obowiązki podmiotu przetwarzającego.

Kiedy należy podpisać umowę powierzenia? Każdorazowo w momencie udostępniania danych naszych pracowników, bądź klientów np. w przypadku korzystania z zewnętrznej usługi BHP, hostingu czy firmy księgowej.

Szerzej o umowie powierzenia pisaliśmy tutaj, natomiast dodatkowe informacje o obowiązkach jakie stają przed procesorem danych można znaleźć tutaj.

Pobierz teraz: wzór umowy powierzenia zgodny z RODO.

Klauzule zgody

Zgoda stanowi jedną z podstaw do przetwarzania danych osobowych, zawartą w art. 6 ust. 1 lit. a RODO. Wydaje się, że omawiana podstawa przysporzyła najwięcej problemów administratorom, którzy zaczęli w pewien sposób jej nadużywać. Wprowadziło to zamieszanie i doprowadziło do pobierania przez administratorów zgody „na wszystko”, bez rozważenia, czy w konkretnym przypadku dane osobowe nie są przetwarzane w oparciu o inną podstawę prawną.

Szczególnie widocznie jest to w działaniach marketingowych, gdzie przedsiębiorcy pobierają od swoich klientów zgody na przetwarzanie danych osobowych, w celu wysyłki informacji handlowych drogą elektroniczną. Docieranie przez firmy do swoich klientów z informacjami o nowościach i produktach stanowi marketing bezpośredni, będący prawnie uzasadnionym interesem administratora, o którym mowa w art. 6 ust. 1 lit. f RODO. Powyższe znajduje odzwierciedlenie w motywie 47 preambuły RODO.

Ważne
Pamiętać jednak należy, iż w przypadku kierowania drogą elektroniczną marketingu bezpośredniego do swoich klientów konieczne jest pozyskanie zgód na kanał komunikacji, które wynikają z ustaw szczególnych tj. Prawo telekomunikacyjne oraz Ustawa o świadczeniu usług drogą elektroniczną. 

Kolejną błędną praktyką często pojawiającą się wśród przedsiębiorców jest zamieszczanie w ogłoszeniach o pracę wymogu zawarcia pisemnej zgody na przetwarzanie danych w celach rekrutacyjnych w dokumentach aplikacyjnych (CV, list motywacyjny). Zgodnie ze stanowiskiem UODO nie ma konieczności zamieszczania przez kandydatów do pracy w dokumentach aplikacyjnych pisemnej zgody na przetwarzanie danych osobowych, gdyż pracodawca przetwarza dane osobowe kandydatów na podstawie art. 6 ust. 1 lit. b RODO tj. w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Szerzej o problematyce zgody w procesie rekrutacji można przeczytać w opublikowanym przez UODO Poradniku dla pracodawców .

IOD – powoływać, nie powoływać?

Inspektora ochrony danych powołać muszą wszystkie organy publiczne za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Jak jest w przypadku sektora prywatnego? Motyw 97 preambuły stanowi, iż inspektora powinien powołać każdy administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skanujących i naruszeń prawa. Problemów przysparzać może interpretacja powyższych pojęć, w szczególności pojęcia „dużej skali”. Pomoc w tym zakresie stanowią wytyczne grupy roboczej art. 29 (WP 243)  dot. inspektorów ochrony danych.

Nawet jeżeli na administratorze nie ciąży obowiązek powołania inspektora ochrony danych wynikający z RODO, warto rozważyć jego wyznaczenie. Zadaniem inspektora jest w szczególności czuwanie nad przestrzeganiem zasad ochrony danych osobowych w organizacji, co z pewnością pozytywnie wpłynie na bezpieczeństwo przetwarzania danych oraz przyczyni się do budowania wiarygodności organizacji. Inspektor będzie również punktem kontaktowym dla osoby, których dane przetwarza administrator jak i dla organu nadzorczego czyli Prezesa Urzędu Ochrony Danych i jest zobowiązany z nim współpracować jednoznacznego wymogu.

Z uwagi na powyższe przedsiębiorcy coraz częściej decydują się na wyznaczenie IOD-a w swojej organizacji. Inspektorem może być pracownik administratora bądź firma lub osoba spoza zewnątrz organizacji. O wadach i zaletach każdego z tych rozwiązań piszemy szerzej tutaj.

-
4.67/5 (45) 1
-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Przemysław Gąsiorowski
25 maja 2018

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się