Od 25 maja 2018 r. każdy podmiot, który przetwarza dane osobowe, bez względu na fakt czy jest spółką prawa handlowego, osobą fizyczną prowadzącą działalność gospodarczą, czy fundacją lub stowarzyszeniem, obowiązują przepisy RODO.
RODO1 (zwane także GDPR) to unijne rozporządzenie o ochronie danych osobowych, które reguluje przepisy dotyczące przetwarzania danych osobowych na obszarze Europejskiego Obszaru Gospodarczego (EOG). W praktyce nakłada ono szereg obowiązków m.in. na firmy, które w ramach swojej działalności przetwarzają dane osobowe, ale także nadaje wiele praw osobom fizycznym, aby mogły dbać o swoją prywatność.
Przepisy krajowe a RODO
Istotną rolę w zakresie przetwarzania danych osobowych odgrywają przepisy krajowe.
W Polsce:
- 25 maja 2018 r. weszła w życie nowa Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. zastępując tym samym poprzednią wersję,
- 4 maja 2019 r. weszła w życie tzw. Ustawa wdrażająca RODO z 21 lutego 2019 r., która dokonała zmian w 168 ustawach.
Z perspektywy pracodawcy szczególne zamiany nastąpiły w zakresie Kodeksu pracy. Uregulowane zostały przepisy odnośnie monitoringu stosowanego w zakładzie pracy. Także zmienił się zakres danych, których od 4 maja 2019 r. żąda pracodawca od kandydata do pracy oraz pracownika.
Ochrona danych osobowych – obowiązki
Od 25 maja 2018 r. przedsiębiorcy w ramach swojej działalności są zobowiązani dbać o zgodne z prawem przetwarzanie danych osobowych. RODO narzuca na Administratorów szereg obowiązków z zakresu ochrony danych osobowych.
Zgodnie z art. 5 Rozporządzania, Administrator jest odpowiedzialny za przetwarzanie danych zgodnie z poniższymi zasadami, ale także musi być w stanie je wykazać:
- zgodne z prawem, rzetelne oraz przejrzyste przetwarzanie danych osobowych;
- ograniczenie celu przetwarzania, czyli dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach np. w celu nawiązania stosunku pracy,
- minimalizacja danych, czyli zbieranie tylko tych danych, które są potrzebne,
- prawidłowość danych osobowych, czyli zadbanie, aby zbierane dane były aktualne oraz prawidłowe,
- ograniczenie przechowywania, czyli Administrator powinien przetwarzać dane osobowe tylko przez okres, który jest niezbędny do realizacji celi np. dane pracownicze zgodnie z obowiązującymi przepisami zbierana są nawet przez okres do 50 lat.
- integralność i poufność, czyli zapewnienie bezpieczeństwa danych osobowych.
RODO w praktyce
Dla firm najważniejsze jest skuteczne wdrożenie RODO, aby nie tylko zapewnić ochronę danych osobowych, ale także podjąć działania w celu zabezpieczenia wszelkich danych stanowiących tajemnicę przedsiębiorstwa.
Wdrażanie RODO to proces, który powinien zawierać takie elementy jak:
- przeprowadzenie Audytu wewnętrznego RODO,
- przygotowanie Analizy ryzyka / oceny ryzyka, aby zweryfikować prawdopodobieństwo oraz wagę naruszeń,
- wdrożyć odpowiednie środki techniczne i organizacyjne w ramach przedsiębiorstwa,
- przygotować dokumentację wewnętrzną uwzględniającą polityki, instrukcje oraz zarządzenia w zakresie ochrony danych osobowych,
- przygotować rejestry,
- zawrzeć Umowy powierzenia danych osobowych,
- przeszkolić pracowników z tematyki ochrony danych osobowych, ale także bezpieczeństwa informacji,
- przeprowadzać cyklicznie audyty wewnętrzne, w celu weryfikacji skuteczności zastosowanych środków technicznych i organizacyjnych.
Należy zauważyć, iż ani RODO, ani inne przepisy krajowe nie wskazują wprost jakie działania oraz procedury mają być podjęte przez Administratorów danych, w celu ochrony danych osobowych. Dają one wskazówki, zasady postępowania, a duża dowolność jest już po stronie podmiotów zobowiązanych do wdrożenia RODO.
1 Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)