wstępna konsultacja

Jedną ze spraw, o którą każdy przedsiębiorca otwierający biznes musi zadbać, jest wdrożenie przepisów o ochronie danych osobowych w firmie.  W praktyce oznacza to konieczność realizacji wymagań opisanych w RODO - ogólnym rozporządzeniu o ochronie danych (pełen tekst: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL

Istotnym elementem wdrożenia RODO jest opracowanie i przyjęcie w firmie dokumentacji w zakresie ochrony danych. Należy tu jednak podkreślić, że RODO nie sprowadza się jedynie do przygotowania dokumentów. Przepisy poruszają także między innymi takie tematy jak zabezpieczenia danych, komunikacja, zarządzanie incydentami, archiwizacja i przechowywanie danych, powołanie Inspektora Ochrony Danych czy projektowanie nowych usług. 

Dokumentacja pozostaje istotnym elementem wdrożenia, a braki w tym zakresie były już kilkakrotnie podstawą do nałożenia kar administracyjnych przez organ nadzoru, którym jest w Polsce Prezes Urzędu Ochrony Danych Osobowych. Wdrożenie dokumentów RODO w małej firmie, która nie zajmuje się przetwarzaniem ogromnej ilości danych i nie ma dostępu do tzw. danych o szczególnym charakterze, nie musi być bardzo skomplikowane. Przy odrobinie uwagi, biorąc pod uwagę ogromne ilości wzorów i poradników dostępnych w sieci, wdrożenie takie można przeprowadzić we własnym zakresie. 

Dokumenty stanowiące element wdrożenia RODO


Generalnie można wskazać kilkanaście różnego rodzaju dokumentów, które mogą stanowić element wdrożenia RODO. W przypadku mniejszych podmiotów, a w szczególności jednoosobowych działalności gospodarczych, nie każdy z nich będzie wymagany. 

Te, które występują w zasadzie w każdym wdrożeniu to: 

  1. Obowiązek informacyjny - nazywany niekiedy w bardziej rozbudowanej wersji „polityką prywatności”; 
  1. Rejestr Czynności Przetwarzania 

Dodatkowo bardzo często, także w małych firmach, konieczne jest również przygotowanie: 

  1. Upoważnienia do przetwarzania danych osobowych - jeżeli firma zatrudnia personel; 
  1. Umowy powierzenia przetwarzania danych osobowych - jeżeli firma korzysta z podwykonawców; 
  1. Rejestru Kategorii Czynności Przetwarzania - jeżeli firma występuje w roli podmiotu przetwarzającego; 

Dodatkowo w większych firmach polecałbym opracowanie polityk (bezpieczeństwa, bezpieczeństwa IT) oraz szeregu wzorów formularzy, użytecznych przy realizacji niektórych z obowiązków wynikających z RODO. Dokumenty te nie będą jednak konieczne w większości mniejszych podmiotów. 

Jednym z podstawowych dokumentów, który powinien zostać przygotowany w zasadzie w każdej firmie jest obowiązek informacyjny. Jego zakres został określony w art. 13 (jeżeli administrator sam pozyskał dane) lub w art. 14 (jeżeli dane zostały pozyskane z zewnętrznego źródła) RODO. 

W ramach niniejszej publikacji, zostaną opisane podstawowe zasady przygotowywania tego dokumentu. 

Obowiązek ten dotyczy wyłącznie administratorów, ale jest niemal pewne, że w takiej roli wystąpi zdecydowana większość uczestników obrotu gospodarczego. Nawet, jeżeli firma wykonuje wyłącznie zlecenia innych podmiotów i pracuje na danych tych podmiotów (czyli w roli procesora), to posiada dane pełnomocników swoich klientów, podwykonawców, dostawców, pracowników czy zleceniobiorców. I już ten fakt powoduje, że koniecznym jest przekazanie informacji wskazanych w RODO, zaś firma jest w stosunku do takich osób administratorem danych. 

Nie ma jednego, „złotego” standardu obowiązku informacyjnego, choć istnieje wiele jego wzorów. RODO nie wymaga tu bowiem określonej formy. Można więc przygotować tabelę, dokument z paragrafami lub kilka linijek ciągłego tekstu - w zależności od potrzeb i preferencji. 

Jak przygotować obowiązek informacyjny?


Aby właściwie przygotować obowiązek informacyjny, każdy administrator powinien odpowiedzieć na kilka pytań: 

  1. Jakie dane firma przetwarza jako administrator a jakie jako procesor? 
  1. Skąd pozyskano te dane ? 
  1. Na jakiej podstawie odbywa się przetwarzanie (np. w oparciu o przepisy prawa lub dobrowolną zgodę)? 
  1. W jaki sposób i w jakim celu firma zamierza wykorzystać pozyskane dane? 
  1. Jak długo będą przetwarzane dane? 
  1. Czy, komu i w jakim celu będę je przekazywał „na zewnątrz”? 
  1. Czy dane będą przetwarzane także poza obszarem EOG (UE + Norwegia, Islandia i Lichtenstein)? 

Mając przygotowane odpowiedzi na powyższe pytania, w oparciu o treść art. 13 albo 14 RODO, który można potraktować jako swoistą „chceck-listę” i wzór, uzyskany z wiarygodnego źródła, można opracować prawidłowy obowiązek informacyjny. Należy przy tym pamiętać o części dotyczącej praw podmiotu danych - która zasadniczo powinna być podobna w przypadku małych firm. Niemniej należy tu wziąć pod uwagę, że pewne różnice w zakresie tej części mogą wynikać ze sposobu pozyskania danych (np. występowanie lub nie prawa do usunięcia danych, kwestie związane z podejmowaniem zautomatyzowanych decyzji lub marketingu usług własnych). 

Kiedy powinien być zrealizowany obowiązek informacyjny?


Obowiązek informacyjny powinien być, zgodnie z RODO, zrealizowany „podczas pozyskiwania danych osobowych”. W praktyce oznacza to, że należy go zrealizować albo w trakcie pozyskiwania danych, albo bezpośrednio po ich uzyskaniu. RODO nie wskazuje preferowanej formy realizacji obowiązku informacyjnego - może być on zrealizowany w formie pisemnej (np. w pakiecie dokumentów dla nowego pracownika), mailowej lub nawet odczytany lub wysłany przez SMS. 

W praktyce może się zdarzyć, iż w przypadku bardzo prostej z poziomu ochrony danych działalności, całkowicie zgodny z RODO obowiązek informacyjny zamknie się w 3 linijkach tekstu. Warto więc zadbać o jego opracowanie, bowiem jest to zarówno obowiązek prawny jak i element uwiarygadniający firmę - szczególnie działającą w obszarze nowych technologii i IT. 

Link Skopiowany!

Powiązne publikacje

zobacz wszystkie publikacje
umowa
wstępna konsultacja