Ogólne rozporządzenie o ochronie danych osobowych (RODO) weszło w życie w dniu 25 maja 2018 roku. Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Każdy przedsiębiorca przetwarzający dane osobowe powinien wdrożyć te nowe regulacje.
Istotnym jest, iż RODO wprowadza w dużej mierze nowe zasady przetwarzania danych osobowych, jak też zawiera zbiór nowych definicji w zakresie przetwarzania danych osobowych. W związku z powyższym nowe regulacje wymagają od każdego przedsiębiorcy gruntownej rewizji zarówno pod kątem aktualnie posiadanych dokumentów, jak i w zakresie konieczności zapoznania się na nowo z przepisami i definicjami zawartymi w RODO. Niestety, niektóre kwestie są uregulowane w RODO w sposób mało przejrzysty, pozostawiając dużo wątpliwości.
Każdy przedsiębiorca powinien zatem zastosować się do przepisów i obowiązków wynikających z RODO, w tym między innymi stworzyć stosowną dokumentację przetwarzania danych osobowych, ponieważ jest ona jednym z warunków koniecznych do zabezpieczenia się przed organem nadzoru. Eksperci w tematyce RODO – prawnicy, adwokaci i radcy prawni – z Kancelarii Prawnej Skarbiec pomagają odpowiedzieć na pytanie: jak wdrożyć RODO w firmie?
Usługi Kancelarii
Zakres usług Kancelarii Prawnej Skarbiec na gruncie prawa ochrony danych osobowych obejmuje w szczególności:
- sporządzenie projektu dokumentów związanych z ochroną danych osobowych, w tym: polityki prywatności, polityki retencji danych, rejestru czynności przetwarzania danych, instrukcji zarządzania systemem informatycznym, polityki bezpieczeństwa, wzoru upoważnienia do przetwarzania danych osobowych, wzoru ewidencji osób upoważnionych, wzoru wykazu pomieszczeń, wzoru oświadczenia dla osoby przetwarzającej dane osobowe, oświadczenia o ustanowieniu IOD;
- reprezentowanie w postępowaniu administracyjnym przed GIODO/PUODO;
- reprezentowanie w toku kontroli prowadzonej przez GIODO/PUODO.
Dodatkowo, Kancelaria Prawna Skarbiec realizuje czynności związane z:
- badaniem zgodności postanowień umów z przepisami o ochronie danych osobowych;
- przygotowywaniem polityk i wewnętrznych regulaminów dotyczących ochrony danych osobowych i ochrony baz danych;
- wsparciem prawnym w przedmiocie umów przenoszących prawa do baz danych;
- przygotowaniem opinii prawnych w zakresie ochrony danych osobowych;
- wsparciem prawnym w sporach z zakresu ochrony danych osobowych;
- analizą zgodności przetwarzania i przechowywania danych osobowych z przepisami prawa;
- wsparciem procesów transferu danych osobowych poza granice Polski.
Weryfikacja dokumentów
Pierwszym krokiem przy wdrażaniu unijnego rozporządzenia winna być weryfikacja posiadanej dokumentacji oraz dostosowanie jej do nowych regulacji. Przede wszystkim każdy przedsiębiorca powinien implementować i stworzyć nowe procedury wewnętrzne.
Warto wskazać, iż ogólne rozporządzenie o ochronie danych osobowych przewiduje szereg nowych obowiązków, między innymi w zakresie notyfikacji organowi nadzorczemu przypadków naruszenia ochrony danych osobowych, czy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Kancelaria Prawna Skarbiec pomaga dokonać audytu istniejących dokumentów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, jak też udziela wsparcia przy sporządzeniu nowych dokumentów zgodnie z wymogami RODO.
Certyfikacja ochrony danych osobowych
Zgodnie z prawem ochrony danych osobowych, państwa członkowskie UE, organy nadzorcze oraz Komisja Europejska rekomendują ustanawianie mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z RODO operacji przetwarzania danych osobowych. Przedmiotowe certyfikaty zgodności z RODO będą wydawane przez Prezesa Urzędu Ochrony Danych Osobowych lub przez podmioty przy nim akredytowane. Kancelaria Prawna Skarbiec pomaga uzyskać stosowny certyfikat wydany przez Prezesa Urzędu Ochrony Danych Osobowych.
Zgoda na przetwarzanie danych
Wyrażenie zgody na przetwarzanie danych osobowych jest najpowszechniejszą podstawą prawną przetwarzania danych osobowych. W związku z wprowadzeniem prawa ochrony danych osobowych powstaje pytanie, czy zgoda na przetwarzanie danych udzielona przez podmiot danych przed wejściem w życie nowych przepisów będzie skuteczna i będzie nadal obowiązywała po wejściu ich w życie. Nasza Kancelaria podpowiada jak zmierzyć się z tym tematem.
Przezorny, zawsze ubezpieczony
Zgodnie z prawem ochrony danych osobowych przewidziane są dość drastyczne kary dla przedsiębiorców którzy naruszyli określone obowiązki w zakresie ochrony danych osobowych. Za naruszenie przedmiotowych obowiązków w przypadkach mniejszej wagi administracyjna kara pieniężna może być wymierzona do wysokości 10 000 000 € lub w wysokości do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
W przypadkach większej wagi kary pieniężne mogą być wymierzone odpowiednio w kwocie do 20 000 000 € lub w wysokości do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Dlatego tak istotnym jest dokonanie stosownej weryfikacji istniejących dokumentów i procedur, następnie dokonanie zmiany i wdrożenie ich. Bez tego kontrola w kontekście RODO przeprowadzona przez organ nadzoru może mieć dla przedsiębiorcy poważne konsekwencje.
Usługi w zakresie prawa ochrony danych osobowych – w tym kompleksowe doradztwo dotyczące ochrony danych osobowych – świadczone przez Kancelarię Prawną Skarbiec pozwala na skuteczne zmierzenie się z tematyką ochrony danych osobowych w firmie.
Dokumentacja RODO
Już w trakcie uchwalania przedmiotowego aktu, rodziły się pytania, jakie konkretnie dokumenty przedsiębiorca powinien posiadać i wdrożyć, aby spełnić wymogi ochrony danych osobowych. Otóż dokumentacja wymagana przez RODO nie jest w tym akcie prawnym sformułowana, a przynajmniej nie wprost. Wyjątkiem jest tu rejestr czynności przetwarzania danych osobowych, który to dokument został wyraźnie wymieniony w unijnym rozporządzeniu.
W pozostałym zakresie RODO zostawia luz decyzyjny przedsiębiorcy. Czy oznacza to, iż firma nie musi kłaść nacisku na dokumentację w zakresie ochrony danych osobowych? Nic bardziej mylnego. Przedsiębiorca dla dobra ochrony danych osobowych, jak i dla swojego bezpieczeństwa prawnego, powinien stworzyć odpowiednią dokumentację przetwarzania danych osobowych, w której powinien w szczególności zadbać o realizację zasad przetwarzania danych osobowych wynikających z unijnego rozporządzenia.
Każdorazowo przed podjęciem decyzji o zakresie koniecznej dokumentacji warto przeprowadzić audyt RODO, tzn. audyt danych osobowych w sferze ich przetwarzania w firmie. Niezależnie jednak od tego, każdy przedsiębiorca powinien zadbać o stworzenie i wdrożenie wymienionych poniżej dokumentów:
- 1) polityka przetwarzania danych,
- 2) polityka bezpieczeństwa danych osobowych / polityka ochrony danych osobowych / polityka bezpieczeństwa przetwarzania danych osobowych,
- 3) polityka dot. zarządzania ryzykiem w zakresie danych osobowych,
- 4) instrukcja zarządzania systemem informatycznym zgodna z RODO,
- 5) polityka retencji danych zgodna z RODO,
- 6) wzór oświadczenia dla pracownika dotyczącego ochrony danych osobowych,
- 7) wzór ewidencji osób upoważnionych,
- 8) wzór ewidencji pomieszczeń, w których przetwarzane są dane osobowe,
- 9) wzór upoważnienia do przetwarzania danych osobowych RODO,
- 10) rejestr czynności przetwarzania danych osobowych (dokument wymieniony w rozporządzeniu RODO),
- 11) wzór obowiązku informacyjnego,
- 12) wzór oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych,
- 13) polityka prywatności, jeśli działalność prowadzona jest także w ramach Internetu.
Co ważne, na gruncie nowych unijnych przepisów zniknął obowiązek zgłaszania zbioru danych do organu ochrony danych osobowych. Należy mieć na uwadze, iż każda działalność gospodarcza stawia inne wyzwania pod kątem RODO i generuje potrzebę indywidualnego podejścia w zakresie dokumentacji RODO (wcześniej GIODO).
Nasza Kancelaria pomaga w stworzeniu i we wdrożeniu przedmiotowych procedur, a przede wszystkim do ich skrojenia pod konkretną działalność przedsiębiorcy. Zagadnienia dokumentacji RODO nie należy lekceważyć, nie tylko dlatego, iż warto chronić dane osobowe swoich klientów, ale także z uwagi na drakońskie kary jakie przewidziane są w RODO, a które nie występowały w ogóle podczas istnienia GIODO.
Zadania IODO
Ważnym aspektem powinno być także rozważenie, czy warto powołać w przedsiębiorstwie inspektora ochrony danych (w skrócie IOD lub IODO), który czuwałby nad przestrzeganiem i wdrażaniem procedur ujętych w ww. dokumentacji RODO. Należy zaznaczyć, iż w niektórych przypadkach unijne rozporządzenie nakazuje powołanie IOD i nie pozostawia tu wyboru.
Obowiązki inspektora ochrony danych osobowych (jak również zadania inspektora ochrony danych osobowych) powinien każdorazowo dookreślać administrator danych, z tym, że inspektor ochrony danych osobowych pozostaje w strukturze firmy niezależny w wykonywaniu swoich obowiązków. Do zadań inspektora ds. ochrony danych osobowych powinno należeć między innymi bieżące monitorowanie przestrzegania zasad ochrony danych w firmie, wprowadzanie modyfikacji i korekt do obowiązujących procedur oraz szkolenie pracowników w zakresie ochrony danych.
Na pytanie jak wdrożyć RODO w firmie nie ma prostej odpowiedzi – na pewno przeprowadzenie audytu i przygotowanie kompletu dokumentów to kroki obowiązkowe. Kancelaria Prawna Skarbiec pomaga we wdrażaniu RODO w przedsiębiorstwach i innych instytucjach.
Regulamin serwisu a RODO
W związku z wejściem w życie ogólnego rozporządzenia o ochronie danych osobowych (RODO) wielu przedsiębiorców z branży netbiznesu zastanawia się, czy należy zmienić regulamin portalu internetowego lub regulamin serwisu internetowego w ramach którego prowadzą oni działalność gospodarczą. Regulamin strony lub serwisu www, a w szczególności regulamin sklepu internetowego, to podstawowy dokument, który jest de facto umową pomiędzy administratorem serwisu a jego użytkownikami. Zazwyczaj regulamin określa prawa i obowiązki administratora i użytkowników serwisu.
Unijne rozporządzenie RODO nie daje jasnych wytycznych jak napisać lub stworzyć regulamin strony lub serwisu, lub sklepu internetowego. Ze względu jednak na zasady przetwarzania danych osobowych, w szczególności zasadę przejrzystości, internetowy regulamin ochrony danych osobowych (najczęściej nazywany po prostu polityką prywatności) powinien stanowić odrębny od regulaminu serwisu dokument.
Ten ostatni powinien bowiem koncentrować się na reglamentacji praw i obowiązków związanych ściśle z realizacją umowy pomiędzy właścicielem portalu a jego użytkownikami, a zarazem wystrzegać się niedozwolonych klauzul. W tym wypadku pomocniczy dla przedsiębiorców może być rejestr klauzul niedozwolonych dostępny na stronie UOKiKu. Oczywiście zgoda na przetwarzanie danych osobowych zapisana w treści regulaminu serwisu i niejako automatycznie udzielana w związku z akceptacją regulaminu portalu internetowego, nie będzie zgodna z RODO i tym samym będzie nieskuteczna.
Zatem na pytanie o to, jak pod kątem RODO napisać regulamin dla serwisu/sklepu internetowego należy odpowiedzieć w pierwszej kolejności, iż jest to pytanie o to, jak napisać politykę prywatności. Powinna ona zawierać szereg informacji o tym, w jaki sposób i dlaczego przedsiębiorca z branży netbiznesu przetwarza dane osobowe użytkowników/klientów, komu te dane są ewentualnie udostępniane, czy i jak są zabezpieczane. Tak naprawdę wskazanym jest, aby treść polityki prywatności realizowała zarazem obowiązek informacyjny. Tutaj przedsiębiorca powinien opisać, czy wykorzystuje pliki cookies i czy dane osobowe są przetwarzane w związku z profilowaniem, jeśli takie jest dokonywane.
Nie należy zapominać, iż polityka prywatności jest tylko jednym z wielu dokumentów, jakie w kontekście RODO przedsiębiorca winien wdrożyć w swojej firmie. Więcej o dokumentacji ochrony danych osobowych koniecznych do wdrożenia w związku z RODO można przeczytać tutaj, gdzie bliżej prezentowane są usługi Kancelarii w tym zakresie.
Zobacz również: NetProtection