Jakie wymagania RODO muszą spełnić przedsiębiorcy?
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych zostało wprowadzone w 2016 roku i obowiązuje dla całej Unii Europejskiej, bez względu na przepisy dotyczące ochrony danych osobowych wprowadzane w poszczególnych państwach członkowskich. Zgodnie z założeniami RODO, ustawa ma chronić bezpieczeństwo i integralność danych osobowych wszystkich obywateli UE, przez co jej wytyczne obowiązują także firmy spoza UE działające na terenie krajów europejskich i przetwarzające dane mieszkańców UE. Jakie wymagania muszą spełnić przedsiębiorcy, by uzyskać zgodność z RODO?
Założenia RODO
Zgodnie z rozporządzeniem, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, pozwalające na jej pośrednią lub bezpośrednią identyfikację. W szczególności będą to informacje, takie jak:
- imię i nazwisko,
- numer identyfikacyjny,
- dane o lokalizacji,
- dane internetowe (np. adres IP),
a także szczegóły określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tejże osoby. RODO określa szczegółowe warunki i zasady przetwarzania takich danych przez administratorów danych, nakładając obowiązek zachowania szczególnej ostrożności oraz uwzględnienia woli o przetwarzaniu bądź zaprzestaniu przetwarzania danych osobowych od osoby, której dotyczą.
Przez przetwarzanie danych osobowych należy rozumieć nie tylko wykorzystywanie ich do celów marketingowych czy sprzedaży – RODO rozumie przetwarzanie jako wszystkie operacje wykonywane na pozyskanych danych osobowych, w tym sam proces ich zbierania, a także utrwalanie, porządkowanie, przechowywanie, modyfikowanie, wykorzystywanie, rozpowszechnianie oraz niszczenie danych osobowych.
Do czego zobowiązuje RODO?
Założenia RODO dla przedsiębiorców zostały bardzo szczegółowo rozpisane, wskazując precyzyjnie na obowiązki podmiotów zajmujących się przetwarzaniem danych osobowych. Przedsiębiorca powinien w szczególności zadbać, by przetwarzanie danych odbywało się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osób, których dane dotyczą. Zbieranie danych może odbywać się wyłącznie w konkretnych i prawnie uzasadnionych celach, a ich przetwarzanie powinno być ograniczone wyłącznie do tych celów i do minimum wymaganego na cele przetwarzania. Przedsiębiorca ma także obowiązek, by poinformować osoby fizyczne o fakcie zbierania danych osobowych zgodnie z RODO oraz uzyskać zgodę na ich zbieranie i przetwarzanie. Zgoda taka oznacza, że według RODO osoba, której dane osobowe dotyczą ma możliwość poproszenia o usunięcie lub sprostowanie danych osobowych pobranych od niej na potrzeby przetwarzania.
Przykłady zastosowania wymogów RODO w praktyce będą różne w zależności od charakteru działalności, jaką prowadzi administrator danych. Jeśli za przykład weźmiemy placówkę medyczną, jednostka taka powinna wprowadzić odpowiednie rozwiązania technologiczne oraz przeszkolić swoich pracowników w zakresie zbierania i przetwarzania danych, dbając o to by te nie zostały wykorzystane do celów innych niż te związane z obsługą pacjenta w danej placówce.
Placówki medyczne są przy tym przykładem szczególnym, ponieważ ich obowiązkiem będzie stosowanie się również do zasad ochrony tzw. danych wrażliwych i danych medycznych podlegających jeszcze surowszym wymogom i ochronie prywatności niż podstawowe dane osobowe.
Proces wdrażania RODO – na co należy zwrócić uwagę?
Wszyscy przedsiębiorcy, którzy w jakikolwiek sposób zbierają i przetwarzają dane osobowe są zobowiązani do stosowania się do wymogów RODO i wdrażania rozwiązań systemowych i technicznych umożliwiających zagwarantowanie bezpieczeństwa danych osobowych. W szczególności należy zwrócić uwagę na to, by przetwarzanie danych osobowych odbywało się w sposób legalny (wyłącznie za zgodą osoby, której dane dotyczą), a administrator był w stanie udowodnić uzyskanie zgodny na przetwarzanie danych w każdym celu, do którego je wykorzystuje. Zgody powinny być gromadzone w formie pisemnej lub elektronicznej – muszą być bezwzględnie dobrowolne i konkretne, co oznacza że konieczne jest by to użytkownik zaznaczył fizycznie zgodę na przetwarzanie danych osobowych (zgoda taka nie może być zaznaczone automatycznie w formularzu). Obowiązkiem administratora jest także poinformowanie użytkownika o możliwości wycofania zgody o przetwarzaniu danych osobowych i udostępnienie prostej drogi do cofnięcia takiej zgody. W przypadku jej wycofania, administrator musi całkowicie usunąć dane i zaprzestać ich przetwarzania.
Należy pamiętać, że przedsiębiorca prowadzący jakąkolwiek działalność zbiera dane osobowe swoich klientów, kontrahentów i inwestorów, ale także swoich pracowników. Zapewnienie ich bezpieczeństwa i objęcie ochroną zgodną z RODO jest równie istotne, jak w przypadku wszystkich danych osobowych trafiających w ręce przedsiębiorcy.
