Oswajamy RODO – Rozporządzenie o ochronie danych osobowych

24 maja 2018

Co to jest RODO

Wiele paniki wywołuje ostatnio ten skrót, przedsiębiorców straszy się milionowymi karami, czy bez przyczyny…skoro nawet znany portal nazwa.pl podaje jako przyczynę ograniczenia swej oferty (usługi sklepu internetowego), wprowadzenie nowych regulacji? Panika jak zwykle jest złym doradcą, a że jesteśmy bombardowani informacjami i ofertami, firm które chcą nam pomóc w tym temacie postaram się przybliżyć w skrócie zagadnie- ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych wprowadzonego rozporządzeniem Parlamentu Europejskiego z dnia 27 kwietnia 2016.W teorii rozporządzenie, które wchodzi w życie z dniem 25 maja 2018 ma chronić osoby fizyczne przed nadmiernym, nieupoważnionym obrotem informacjami na ich temat.

Kogo obowiązuje RODO?

Odpowiedź jest prosta każdego przedsiębiorcę, który prowadzi działalność na terenie UE.
Ochronie podlegają „dane osobowe” czyli dane pozwalające zidentyfikować, że dana osoba to konkretnie ten osobnik np. imię, nazwisko i adres e-mail oraz wszelkie informacje przypisane do tej osoby.

Przetwarzanie danych to min. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Już widać, że każdy z nas zbiera i przetwarza dane, bo czy nie mamy listy kontrahentów, dla których świadczymy usługi, czy nie otrzymujemy e-maili od klientów, prowadzimy akt osobowych pracowników?

Przetwarzanie danych osobowych może odbywać się z poziomu administratora lub podmiotu przetwarzającego dane. Różnica pomiędzy tymi formami polega na tym, że administrator wyznacza cele i sposoby przetwarzania, a podmiot przetwarzający dane przetwarzania dokonuje na zlecenie administratora.
W tym drugim przypadku należy zawrzeć umowę powierzenia danych.

Kiedy można przetwarzać dane

Aby móc przetwarzać dane musi nastąpić jedna z przesłanek zawartych w art. 6 ustawy o RODO (Lista poniżej)
Najważniejszymi z nich są dla przedsiębiorców pierwsze trzy punkty.
Pkt 2 informuje, że nie potrzebujemy zgody na przetwarzanie danych jeżeli w celu realizacji danej usługi z kontrahentem niezbędne okazuje się zbieranie tych danych np. do wystawienia fv, wysłania towaru.
Zgodnie z pkt 1 każdy obrót danymi w innym celu np. marketingowym, wysłanie oferty itp. wymaga już zgody danej osoby na przetwarzanie i gromadzenie swoich danych osobowych.
Z kolej pkt 3 pozwala nam gromadzić dane w celu wywiązania się z obowiązku prawnego np. w celu rozliczenia się fiskusem.

Zgodność przetwarzania z prawem:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Pamiętajmy że możemy przetwarzać dane tylko w zakresie w jakim zostały wyrażona na to zgoda lub w jakim zakresie jest to niezbędne ze względny na cel przetwarzania. Czyli do wysłania towaru potrzebne jest nam jedynie adres danej osoby, a nie informacja o preferencjach politycznych.
Obrót danymi tzw wrażliwymi w odróżnieniu od zwykłych jest o wiele bardziej restrykcyjny, taka kategorią szczególną jest :pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Sama zgoda to nie wszystko.

Sposób w jaki udokumentujemy posiadanie zgody na przetwarzanie jest dobrowolny, musimy być w stanie wykazać, że osoba, której dane dotyczą, wyraziła na to zgodę.

Podczas zbierania danych musimy przekazać osobie szereg informacji najlepiej w tym celu stworzyć sobie gotową listę na podstawie poniższych wymogów.
• • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
• • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
• • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
• • jeżeli ma to zastosowanie (art. 6 ust. 1 lit. f) )– prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
• • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
• • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez  Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
••okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
• • jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
• • informacje o prawie wniesienia skargi do organu nadzorczego;
• • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
• • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli dane zostały pozyskane w inny sposób niż bezpośrednio od osoby jej dotyczących np. z Internetu lub udostępnione nam musimy w terminie:

• do końca miesiąca od pozyskania
• najpóźniej przy pierwszej komunikacji jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą
poinformować w zakresie jak przy samodzielnym pozyskiwaniu danych z uzupełniłem o informacje:
• kategorie odnośnych danych osobowych;
• źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;

Jak długo obowiązuje zgoda.

Zgoda obowiązuje, aż do jej odwołania, z tym że przetwarzanie danych nie powinno trwać przez okres dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Okres ten wydłuża się zazwyczaj ze względów na rozliczenia podatkowe o 5lat ( a tak naprawdę 7 lat), 10 lat np. ze względu na przedawnie roszczeń.

Zabezpieczenie danych

Ustawa o rado nakazuje odpowiednio zabezpieczyć dane osobowe, charakter i sposób zabezpieczeń dobierany jest indywidualnie do potrzeb. Najlepszym rozwiązaniem jest stworzenie i wdrożenie w firmie polityki ochrony danych.

Brak komentarzy

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *