Podstawowe zagadnienia RODO dla przedsiębiorców

Podstawowe zagadnienia RODO dla przedsiębiorców

RODO dla przedsiębiorców to dla wielu powód nieprzespanych nocy. Od 25 maja br. we wszystkich państwach Unii Europejskiej zaczęły obowiązywać nowe przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych.

RODO dla przedsiębiorców oznacza nic innego jak wdrożenie szeregu procedur i analiz, mających na celu szczególną dbałość o przetwarzanie danych osobowych. Na stronie internetowej Ministerstwa Cyfryzacji znajduje się informator, który w miarę prosty sposób przybliża zagadnienia związane z funkcjonującymi już przepisami RODO.

Znajdziemy tam m.in. tematykę:

  1. Rejestru czynności przetwarzania danych osobowych.
  2. Kwestię prawa do bycia zapomnianym.
  3. Prawa do przenoszenia danych.
  4. Uzyskiwanie zgody dziecka.
  5. Obowiązek aktualizowania uzyskanej już raz zgody na przetwarzanie danych po wejściu w życie RODO.
  6. Różnice między anonimizacją oraz pseudonimizacją.
  7. Obowiązek zgłaszania naruszeń przepisów RODO.

Co warto wiedzieć?

Ministerstwo Cyfryzacji w jednej z publikowanych ulotek dla przedsiębiorców, wskazuje na 8 zasad, które należy wziąć pod uwagę:

  1. NEUTRALNOŚĆ TECHNOLOGICZNA – Rodo nie wskazuje na konkretne wytyczne co do zastosowanych rozwiązań technologicznych, które miałyby zabezpieczyć proces przechowywania i przetwarzania danych. Wybrana metoda musi być skuteczna i dopasowana do prowadzonej działalności (inne mechanizmy powinny być zastosowane w niewielkim zakładzie fryzjerskim, inne w dużym sklepie internetowym).
  2. ZASADA MINIMALIZMU – zbierane dane muszą być adekwatne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
  3. ZASADA ROZLICZALNOŚCI – w świetle tej zasady Administrator danych osobowych jest nie tylko odpowiedzialny za przestrzeganie przepisów RODO, ale potrafi także udowodnić, że ich przestrzega, np. dysponuje dokumentacją potwierdzającą prawidłowe zabezpieczenie danych oraz posiada zgody na przetwarzanie danych.
  4. OCENA RYZYKA – to analiza, której celem jest znalezienie zagrożeń mogących naruszyć prywatność osób oraz zlokalizowanie w swojej firmie aktyw, które mogą zostać zagrożone. W ocenie ryzyka powinno się wskazać na prawdopodobieństwo jego wystąpienia oraz określić jaki będzie wpływ danego zdarzenia  na aktywa. Istotne jest również, aby pamiętać o okresowych przeglądach i zmianach w analizie, w miarę pojawiania się nowych zagrożeń.
  5. POWOŁANIE INSPEKTORA OCHRONY DANYCH – Inspektor Ochrony Danych (IOD) to pośrednik między przedsiębiorstwem a osobami, których dane są przetwarzane oraz między przedsiębiorstwem a organem nadzorującym. IOD powinien również być odpowiedzialny w firmie za przeprowadzenie oceny ryzyka oraz włączenie takich technologii zabezpieczających, które zminimalizują przetwarzanie danych.
    IOD należy powołać kiedy:
    a) dane osobowe przetwarzane są na dużą skalę
    b) główną gałęzią działalności jest przetwarzanie danych osobowych
    c) jeśli prowadzone są systematyczne monitorowania (np. wszelkie formy śledzenia i profilowania w sieci)
  6. REJESTR CZYNNOŚCI PRZETWARZANIA – to dokument, w którym zapisuje się informacje o czynnościach dokonywanych na danych osobowych.
  7. OBOWIĄZEK INFORMACYJNY – każda osoba, której dane będą przetwarzane powinna zostać o tym poinformowana. Ponadto osoba ta powinna wiedzieć, w jakim celu będzie następował proces przetwarzania, a także czy dane będą profilowane i jakie będą tego konsekwencje.
  8. OBOWIĄZEK ZGŁASZANIA NARUSZEŃ – to poinformowanie organu nadzorczego max. do 72 h od wykrycia naruszenia prywatności osób. W myśl tej zasady należy również poinformować te osoby o ww. fakcie.
Co przedsiębiorca powinien wiedzieć o RODO

Co przedsiębiorca powinien wiedzieć o RODO?

Co przedsiębiorca powinien wiedzieć o RODO? Dane osobowe pracowników. Nowe rozporządzenie unijne o ochronie danych osobowych, które obowiązuje od 25 maja 2018 roku to zmiany, które mają wprowadzić nowe reguły przetwarzania danych osobowych pracowników, a co za tym idzie, nowe obowiązki dla pracodawców. Projekt Ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych, został opublikowany dnia 12 września 2017 r.

Dane osobowe pracownika

Co przedsiębiorca powinien wiedzieć o RODO? Dotychczasowe przepisy przewidywały, iż pracodawca może zażądać od pracownika lub kandydata do pracy podania jego imion, nazwiska, imion rodziców, daty urodzenia, miejsca zamieszkania i adresu do korespondencji, a także informacji dotyczących wykształcenia i przebiegu dotychczasowego zatrudnienia. Co więcej pracodawca ma prawo uzyskać informacje na temat danych osobowych dzieci pracownika (imion, nazwisk i dat urodzenia, numeru PESEL), jeżeli pracownik ma korzystać z pewnych uprawnień.

Nowe zmiany wychodzą naprzeciw pracodawcom i ich oczekiwaniom, bowiem dane osobowe pracowników, zostaną zaktualizowane o dodatkowe informacje, wśród których znajdzie się adres poczty elektronicznej lub numer telefonu pracownika lub kandydata do pracy, przy jednoczesnym usunięciu danych na temat imion rodziców, które do tej pory były wymagane. Ważnym elementem jest również możliwość wymagania od pracownika, który nie posiada numeru PESEL, podania rodzaju i numeru dokumentu tożsamości.

Dane biometryczne

Najważniejszą zmianą, jaka dotyczyć będzie zmienionego w Kodeksie Pracy paragrafu (art. 22(2)§1), który pozwala na przetwarzanie innych, niż powyższe, danych pracownika lub kandydata do pracy, jeżeli ten wyrazi na to zgodę – zarówno na piśnie jak również elektronicznie. Dane te mają dotyczyć wyłącznie stosunku pracy. W kwestii danych biometrycznych, pracodawca będzie posiadał możliwość przetwarzania ich, jeżeli dotyczą one stosunku pracy i wyłącznie w odniesieniu do pracowników – już nie kandydatów do pracy. Warunkiem legalności tych działań podobnie jak w przypadku powyższych będzie zgoda pracownika. Wyjątkiem od tej zasady są jednak dane dotyczące nałogów, stanu zdrowia, orientacji seksualnej czy życia seksualnego pracownika lub kandydata (dane te nie mogą być przetwarzane nawet za zgodą pracownika).