25 maja w życie weszło unijne rozporządzenie o ochronie danych osobowych (RODO). Rozporządzenie to dotyczy wszystkich, którzy w jakikolwiek sposób przetwarzają dane osób fizycznych. Nic dziwnego, że wielu przedsiębiorców ma obiekcje dotyczące tego, jak w prosty sposób zapewnić firmie zgodność z RODO.
Zacząć należy od tego, że RODO nie określa, w jaki sposób firma przetwarzająca dane osobowe ma dostosować swoją działalność, aby zagwarantować odpowiednie bezpieczeństwo danych. To akurat każda firma musi wykonać we własnym zakresie.
Kiedy podmiot narusza przepisy?
Podmiot przetwarzający dane osobowe narusza przepisy o ochronie danych osobowych w sytuacji, kiedy przetwarza je bez odpowiedniej podstawy czy też błędnie je identyfikuje. Najczęściej przepisy RODO łamane są w sytuacji, kiedy to takie dane przetwarzane są bez zgody na to osoby fizycznej, której one dotyczą. Plusem jest natomiast fakt, że przedsiębiorcy zbiorów danych nie muszą już rejestrować w GIODO. W zamian większy nacisk kładziony jest na to, aby zagwarantować danym rzeczywistą ochronę.
Weryfikacja konieczności obowiązywania przepisów RODO
Zgodnie z przepisami każdy przedsiębiorca zatrudniający ponad 250 pracowników powinien zweryfikować czy ma obowiązek prowadzenia rejestru przetwarzania danych osobowych. W przypadku mniejszych firm RODO obejmuje podmioty, które przetwarzają dane osobowe i mogą przy tym naruszyć prawa czy wolności osób, których dane te dotyczą. Jeśli nawet tak nie jest i nie ma obowiązku utrzymywania takiego rejestru, a ryzyko naruszania wolności i prawa jest niskie, warto zastanowić się, czy aby nie utrzymywać zgodności z RODO.
Ponadto każdy przedsiębiorca powinien rozstrzygnąć, czy ma obowiązek powołania w swojej firmie Inspektora Danych Osobowych (IDO). Taki obowiązek ciąży na podmiotach publicznych realizujących zadania publiczne czy firmach przetwarzających dane poufne. Dodatkowo także podmiotach, których działalność opiera się na przetwarzaniu danych.
Jak działać zgodnie z RODO?
Jak w najprostszy sposób firmy mogą działać swobodnie, nie narażając się przy tym na łamanie przepisów RODO? Najprościej jest poinformować osobę fizyczną o przetwarzaniu takich danych. Dokument taki powinien być podpisany przez taką osobę, co będzie wyraźnym dowodem na to, że zgadza się ona na profilowanie danych. Warto jednocześnie pamiętać, że taka zgoda w każdym czasie może zostać odwołana. W praktyce oznacza to więc tylko tyle, że zmienić należy pod kątem RODO stosowane przez firmy klauzule i formularze na wyrażanie zgody o przetwarzanie danych.
Na koniec dodajmy, że RODO wprowadza obowiązek zgłaszania naruszeń danych do organu nadzorczego lub podmiotów, których takie naruszenia dotyczą. Osoba poszkodowana w takiej sytuacji na działania ma czas do 72 godzin od identyfikacji zdarzenia.
W praktyce RODO nie jest więc niczym strasznym. Firmy, które i tak zarządzały danymi swoich pracowników robić to będą nadal. Wystarczy odpowiedni formularz i zgoda takiego pracownika na profilowanie jego danych wraz z celem ich przetrzymywania.