Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych z 2018 roku spowodowało znaczną zmianę podejścia do tego w jaki sposób należy chronić dane osobowe. RODO dotyczy zarówno małych, średnich, jak i dużych firm, bez względu na to jaką liczbę pracowników zatrudniają. Każda tych jednostek pozyskuje bowiem dane osobowe oraz je przetwarza. Co warto wiedzieć na temat ich ochrony?
Podstawowe informacje o ochronie danych osobowych
Każdy przedsiębiorca jest zobowiązany do zastosowania środków (technicznych oraz organizacyjnych), które zabezpieczą gromadzone dane osobowe. Warto wspomnieć o tym, że RODO wymienia przypadki, które wskazują na to, że przetwarzanie danych jest w ogóle dopuszczalne. Mowa o sytuacji, gdy dana osoba wyrazi zgodę na przetwarzanie danych, które jej dotyczą, gdy przetwarzanie jest niezbędne do realizacji umowy (osoba jest jedną ze stron umowy), gdy przetwarzanie wiąże się z koniecznością wypełnienia obowiązku prawnego oraz gdy jest potrzebne do celów dotyczących prawnie uzasadnionych interesów. Przedsiębiorca musi pamiętać, że GDPR, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych pozwala na ich przetwarzanie tylko jeśli zaistnieją wyżej wymienione okoliczności i jest to niezbędne do wykonania usługi. W takich przypadkach nie ma konieczności uzyskania dodatkowej zgody.
Jeśli chodzi o samą definicję danych osobowych, są to wszystkie informacje, które pozwalają na zidentyfikowanie konkretnej osoby. Zaliczają się do niech zarówno imię, nazwisko, numery identyfikacyjne, dane o lokalizacji, jak i identyfikatory internetowe. Ponadto RODO mówi o czynnikach dotyczących m.in. fizycznej, psychicznej, genetycznej i społecznej tożsamości. W rozporządzeniu jest również mowa o danych szczególnie chronionych, których przetwarzanie jest zabronione co do zasady. Mowa m.in. o stanie zdrowia, danych biometrycznych czy pochodzeniu rasowym.
Obowiązki przedsiębiorcy w zakresie ochrony danych
Należy zaznaczyć, że nie istnieją precyzyjne wytyczne dotyczące tego w jaki sposób trzeba zapewnić bezpieczeństwo danych. Wynika to z faktu, iż sposób ich przetwarzania w każdym przedsiębiorstwie jest nieco inny i potrzebne jest indywidualne podejście. W dopasowaniu środków technicznych i organizacyjnych może pomóc kancelaria specjalizująca się w dziedzinie jaką jest prawo korporacyjne. Na etapie wprowadzania zabezpieczeń konieczne jest uwzględnienie zakresu oraz samego ryzyka związanego z przetwarzaniem danych. Oprócz tego trzeba wziąć pod uwagę koszty związane z wdrożeniem zabezpieczeń. Niezbędne jest wyznaczenie osoby, która będzie pełnić funkcję Inspektora Ochrony Danych Osobowych. Jej zadaniem jest przygotowanie procedur oraz dbanie o ich przestrzeganie.
Zabezpieczenia można podzielić na fizyczne, proceduralne oraz systemowe. W przygotowanej polityce bezpieczeństwa muszą znaleźć się m.in. informacje o tym jakie dane przetwarza firma, jaki jest ich charakter oraz środowisko przetwarzania. Kolejnym krokiem jest określenie ryzyka ich naruszenia i dobranie środków zabezpieczających. Przykładowe sposoby zabezpieczenia to szyfrowanie danych oraz rozwiązania pozwalające na szybkie przywrócenie dostępności danych w razie wystąpienia incydentu.
RODO wymaga także rejestracji czynności przetwarzania danych osobowych. Przykłady takich rejestrów znajdują się na stronie UODO, czyli Urzędu Ochrony Danych Osobowych. Przedsiębiorca musi prowadzić rejestr w formie pisemnej lub elektronicznej dla każdego procesu przetwarzania danych. Warto zaznaczyć, że ten obowiązek co do zasady nie dotyczy przedsiębiorców zatrudniających mniej niż 250 osób, chyba że zaistnieją określone przypadki (m.in. ryzyko naruszenia praw osób, których dane dotyczą lub gdy dane mają związek z wyrokami skazującymi i naruszeniem prawa).
Post zewnętrzny.