Pierwszym krokiem do wdrożenia regulacji z zakresu ochrony danych w jakimkolwiek przedsiębiorstwie jest ustalenie, jakie dane osobowe są w niej przetwarzane w codziennej działalności. Mogą to być dane takie jak numer PESEL czy imienny adres e-mail, jak również bardziej złożone, jak linie papilarne, zawartość służbowej skrzynki pocztowej czy też ewidencja wejść i wyjść z systemu kontroli czasu pracy. Mogą też należeć do różnych kategorii osób – pracowników firmy, klientów, odbiorców newslettera czy dostawców. 

RODO – czym jest?

Następnie należy zastanowić się, co z tymi danymi robimy, tj. jakie procesy związane z przetwarzaniem tych danych zachodzą w firmie. Wystawianie faktur dostawcom? Prowadzenie dokumentacji pracowniczej? Przechowywanie historii zakupów klientów sklepu internetowego? 

Przetwarzanie danych w firmie musi odbywać się zgodnie z obowiązującymi przepisami prawnymi. Jednym z kluczowych aktów regulujących tę kwestię w Unii Europejskiej jest tzw. rozporządzenie RODO. Nakłada ono na firmy obowiązek przetwarzania danych m.in. zgodnie z zasadą legalności. Oznacza to, że każdy wyodrębniony proces przetwarzania danych osobowych w firmie musi mieć podstawę prawną, tj. przepis prawa, który zezwala na korzystanie z tych danych. 

RODO – podstawy

RODO wymienia elementarne podstawy prawne – przetwarzanie jest możliwe m.in., gdy:

1. osoba, której dane dotyczą wyrazi zgodę na korzystanie z jej danych,

Przykład: 

Odbiorca newslettera wyraża zgodę na jego otrzymywanie na swój imienny adres e-mail.

Kandydat na pracownika udziela zgody na wykorzystanie jego CV przez rok od złożenia dla celów przyszłych procesów rekrutacyjnych.

2. przetwarzanie jest konieczne dla wykonania umowy, której stroną jest ta właśnie osoba,

Przykład: 

Dla wykonania umowy dostawy zakupionego przez klienta produktu konieczne jest, aby podał on adres dostawy, np. adres zamieszkania.

3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego,

Przykład: 

Art. 22¹ Kodeksu pracy zobowiązuje pracodawcę do uzyskania od pracownika m.in. daty urodzenia, danych kontaktowych, adresu zamieszkania, numeru PESEL, informacji o wykształceniu czy historii zatrudnienia.

4. przetwarzanie jest niezbędne do celów wynikających z tzw. prawnie uzasadnionych interesów firmy.

Przykład:

Działania administratora bezwzględnie niezbędne do zapobiegania oszustwom. 

Marketing bezpośredni.

Podstawy przetwarzania danych można też znaleźć w wielu innych aktach prawnych – np. w wyżej wspomnianym Kodeksie pracy.

RODO – procedury

W firmie powinny również funkcjonować związane z przetwarzaniem danych transparentne procedury określające sposób postępowania w poszczególnych sytuacjach. 

Przede wszystkim należy określić osoby odpowiedzialne i upoważnione do przetwarzania poszczególnych danych. Wyznaczona osoba powinna wiedzieć, jakie dane może wykorzystywać, a które są poza granicami jej upoważnienia. Powinna również – w granicach upoważnienia – mieć udzielony dostęp do danych, ale jednocześnie ograniczony wobec tych, których nie ma prawa przetwarzać.

Konieczne jest również ustalenie procesu pozyskiwania zgody od osoby, której dane są zbierane. Niekiedy będzie się to odbywać drogą elektroniczną (np. odbiorca newslettera zaznacza checkbox umieszczony przy informacji o udzieleniu zgody na przetwarzanie), innym razem tradycyjną (np. kandydat na pracownika podpisuje mający formę papierową formularz zgody na wykorzystanie jego CV przez rok od złożenia dla celów przyszłych procesów rekrutacyjnych).

Należy również określić sposób postępowania z wszelkimi żądaniami pochodzącymi od osób, których dane dotyczą. Osoby te mają prawo dostępu do danych, prawo żądania ich sprostowania, usunięcia, przeniesienia, ograniczenia ich przetwarzania, czy też prawo wniesienia sprzeciwu wobec ich przetwarzania. Konieczne jest więc ustalenie, jak realizowane mogą być te uprawnienia – w jaki sposób można je zgłosić, kto ma być odpowiedzialny za ich realizację czy kontakt z osobą uprawnioną.

Nasza Kancelaria może pomóc Państwu ustalić przetwarzane dane osobowe i związane z tym procesy zachodzące w Państwa firmie.

autor: radca prawny Tomasz Wiese