Pomimo że Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – czyli RODO, obowiązuje już od kilku lat, to wciąż pojawia się wiele nieporozumień związanych z jego stosowaniem. W tym wpisie omówimy podstawowe kwestie związane z ochroną danych osobowych wynikającą z RODO.
Ochrona danych osobowych – definicja według RODO
Przepisy RODO zostały wprowadzone z uwagi na to, że ochrona osób fizycznych w związku z przetwarzaniem ich danych osobowych jest jednym z podstawowych praw w Unii Europejskiej i każda osoba ma prawo do ochrony danych osobowych jej dotyczących. RODO zostało wprowadzone w celu ujednolicenia zasad ochrony danych osobowych w państwach Unii Europejskiej oraz w celu zapewnienia swobodnego przepływu danych osobowych między państwami członkowskimi. Przepisy wprowadzają zarówno ogólne jak i szczegółowe zasady ochrony danych osobowych w związku z ich przetwarzaniem. Przepisy o ochronie danych osobowych stosuje się przede wszystkim do przetwarzania danych przez przedsiębiorców i podmioty publiczne, ponieważ RODO wprost wyłącza swoje zastosowanie do przetwarzania przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.
Informacje osobowe RODO – jakie dane są chronione?
Według RODO za dane osobowe uznaje się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować. Jako przykład danych osobowych wskazuje się imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Informacja o osobie fizycznej a dane osobowe
Definicja danych osobowych zawartych w RODO jest bardzo szeroka, co bezpośrednio wpływa na stosowanie tych przepisów. Dane osobowe to nie tylko podstawowe dane osobowe identyfikujące daną osobę, jak np. jej imię i nazwisko czy PESEL, ale też informacje o lokalizacji osoby oraz informacje o cechach osobniczych danej osoby. Trzeba pamiętać, że za dane osobowe mogą być uznane informacje, które potocznie nie są za nie uważane – np. informacja o hobby w powiązaniu z numerem IP będzie już stanowiła dane osobowe. Istotne jest więc również, jakie informacje są zawarte w posiadanym zbiorze, bowiem, jeżeli będzie tam chociaż jeden element, który nawet pośrednio pozwoli na identyfikacje konkretnej osoby, to cały zbiór informacji należy już traktować jako dane osobowe. Dotyczy to również sytuacji, gdy posiadamy kilka informacji, z których każda z osobna nie umożliwi nam ustalenia tożsamości konkretnej osoby, jednak ich łączne zestawienie da nam taką możliwość (np. wiek, miejscowość, zawód, hobby, preferencje muzyczne).
Szczególne kategorie danych osobowych
Zgodnie z RODO przetwarzanie pewnych kategorii danych jest możliwe wyłącznie po spełnieniu dodatkowych warunków. Dane ten nazwane są „szczególną kategorią danych” i należą do nich informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne (przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej) oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Z perspektywy przedsiębiorców najistotniejsze będą dwa przypadki, kiedy przetwarzanie tego rodzaju danych będzie możliwe (dozwolone). Pierwszy przypadek, to sytuacja, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. Drugi przypadek to przetwarzanie niezbędne do celów medycyny pracy i do oceny zdolności pracownika do pracy.
Co prawda informacje dotyczące wyroków skazujących oraz czynów zabronionych nie są uważane za szczególne kategorie danych osobowych w rozumieniu RODO, ale trzeba pamiętać, że w stosunku do tych danych również istnieją istotne ograniczenia w ich przetwarzaniu. Przetwarzanie tych danych jest dopuszczalne wyłącznie, gdy przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego – abyśmy mogli przetwarzać te dane musi istnieć więc konkretny przepis, który będzie nam na to pozwalał.
Podstawowe zasady ochrony danych osobowych w przedsiębiorstwie
W niniejszym wpisie nie będziemy w stanie przedstawić wszelkich reguł przewidzianych w RODO w zakresie ochrony danych osobowych podczas ich przetwarzania, jednak warto wspomnieć o najważniejszych zasadach, jakie zostały uregulowane w przepisach. Przede wszystkim dane osobowe powinny być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. RODO wymaga też ograniczania celu, tzn. zbierania danych osobowych w konkretnym i uzasadnionym celu i dalszego ich przetwarzania wyłącznie w tym celu. Zgodnie z przepisami powinniśmy również dążyć do przetwarzania jak najmniejszej ilości danych, czyli minimalizować dane które przetwarzamy wyłącznie do tych, których faktycznie potrzebujemy i nie zbierać danych nadmiarowo. Przepisy zobowiązują nas również do dbałości o prawidłowość danych – w razie potrzeby błędne dane należy poprawić, a nieprawidłowe dane, których nie możemy poprawić powinniśmy usuwać. Należy pamiętać, aby nie przechowywać danych osobowych dłużej, niż jest to niezbędne w określonym celu. Dane osobowe powinny być przechowywane w bezpieczny sposób – zarówno w zakresie ich poufności jak i integralności (ochrona przed utratą, zniszczeniem lub uszkodzeniem) – w tym celu należy wdrożyć odpowiednie środki techniczne lub organizacyjne.
Ustawa RODO w praktyce – ochrona danych osobowych w firmie
Każdy przedsiębiorca w mniejszym lub większym zakresie ma do czynienia z danymi osobowymi. Nawet w przypadku jednoosobowej działalności gospodarczej, gdy klientami są wyłącznie inne firmy, przedsiębiorca przetwarza dane osobowe, np. przedstawicieli i reprezentantów kontrahentów. Warto pamiętać że przetwarzanie to wszelkie operacje na danych, w tym również ich zbieranie i przechowywanie.
Aby działalność Twojego przedsiębiorstwa była zgodna z RODO powinieneś skupić się na dwóch kwestiach. Pierwsza czynności, jaką powinien wykonać przedsiębiorca, to zdobycie przynajmniej minimalnej wiedzy w zakresie wymogów RODO – to właśnie z uwagi na brak wiedzy najczęściej pojawiają się problemy niezgodności z przepisami. Druga czynność, niemniej istotna, to dokonanie analizy obszarów i procesów w firmie, w ramach których występuje przetwarzanie danych osobowych, czyli tzw. audyt RODO. W ramach audytu RODO należy ustalić kategorie osób, których dane przetwarzamy oraz sposób i zakres tego przetwarzania, aby na tej podstawie móc w drugiej kolejności opracować właściwe rozwiązania zapewniające zgodność z przepisami. Nasza Kancelaria prowadzi zarówno szkolenia w obszarze ochrony danych osobowych dla pracowników i kierownictwa firm, jak również pomaga przeprowadzać wewnętrzne audyty RODO.
Ustawa o ochronie danych osobowych RODO – czego nie wolno robić?
Wbrew częstym obiegowym poglądom RODO nie zabrania przetwarzania danych osobowych. Ważne jest, aby przetwarzanie danych było zgodne z przepisami. Zabronione więc będzie przetwarzanie danych bez podstawy lub w oparciu o niewłaściwą podstawę (np. przetwarzanie w oparciu o zgodę udzieloną w nieprawidłowy sposób). Zabronione jest również przekazywanie danych innym podmiotom do przetwarzania, jeżeli nie zawrzemy z nimi stosownej umowy lub nie skorzystamy z innego instrumentu prawnego. Generalnie RODO nie zawiera regulacji, które wprost zakazywałyby określnych czynności – zakazane będą te czynności, które nie spełniają warunków i standardów przetwarzania danych osobowych wynikających z RODO.
Sankcje za naruszenie przepisów RODO
Przestrzeganie przepisów RODO powinno być bardzo ważne dla osób prowadzących działalności gospodarczą i prowadzących spółki, ponieważ przepisy przewidują dotkliwe sankcje w przypadku ich nieprzestrzegania.
W przypadku stwierdzenia naruszenia na przedsiębiorcę mogą być nałożone administracyjne kary pieniężne, których wysokość uzależniona jest m.in. od charakteru, wagi i czasu trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody. Nakładane kary przy niektórych naruszeniach mogą sięgać nawet 20 000 000 EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Najczęstsze błędy firm w ochronie danych osobowych
Najczęstsze błędy, jakie przedsiębiorcy popełniają przy przetwarzaniu danych osobowych, to przetwarzanie danych bez podstawy prawnej lub w oparciu o niewłaściwą podstawę. Bardzo często spotyka się również sytuacje, kiedy przetwarza się więcej danych osobowych, niż jest rzeczywiście konieczne.
Czasami przedsiębiorcy, chcąc zapewnić zgodność organizacji z RODO, wykupują tzw. pakiety niezbędnych dokumentów. Takie działanie niestety również prowadzi do niezgodności działalności z RODO, ponieważ dokumenty te często nie są przystosowane do konkretnej organizacji. Poza tym bez wiedzy o tym, jak stosować takie dokumenty, nawet jeżeli będą one prawidłowe, przedsiębiorca może narazić się na niezgodność z RODO.
Dlatego tak ważne jest, aby właściwe osoby w firmie posiadały stosowną wiedzę, oraz, aby organizacja znała swoje faktyczne potrzeby w zakresie spełnienia wymogów RODO. Jedną ze specjalizacji Keller i Wspólnicy jest compliance i prawo ochrony danych osobowych, w ramach której możemy pomóc w przeprowadzeniu stosownego audytu RODO oraz przygotować niezbędną dokumentację dostosowaną do danej organizacji oraz przeszkolić na tej podstawie pracowników.