ul. J. Słowackiego 24/17A
+48 786 802 800
kontakt@kancelariawrobel.com

Wdrożenie RODO w firmie. Od czego zacząć?

Wdrożenie RODO w firmie. Od czego zacząć?

Wdrożenie RODO w firmie. Od czego zacząć?

Po 25 maja każdy podmiot przetwarzający dane osobowe musi wdrożyć przepisy RODO pod groźbą odpowiedzialności karnej i cywilnej. Jak zacząć proces wdrażania i jakie dokumenty będą potrzebne do spełnienia wymogów rozporządzenia?

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) kontynuuje kierunek ochrony zmian zawarty w polskiej ustawie o ochronie danych osobowych z 1997 roku, która w całości wdrażała dyrektywę unijną 95/46/WE. Wobec tego większość przedsiębiorców już obecnie powinna stosować wymogi bliskie nowym standardom.

 

Analiza

 

Audyt dostosowania do RODO należy rozpocząć od sporządzenia listy zbiorów danych osobowych i danych przetwarzanych w sposób zautomatyzowany.

Wszelkie zbiory danych osobowych powinny zostać oznaczone i skatalogowane w sposób umożliwiający kontrolę w dowolnym momencie podstawy przetwarzania danych (zgoda, realizacja umowy, interes administratora, wykonanie obowiązku prawnego) oraz osób, których dane dotyczą (ze względu na uprawnienia do cofnięcia zgody, ograniczenia przetwarzania, wniesienia sprzeciwu).

„Zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów. Będą to więc wszelkie listy mailingowe, zbiory faktur, lista kontrahentów, historia transakcji, wyciągi z rachunku bankowego.

Dane osobowe przetwarzane automatycznie dotyczą wszystkich informacji, które mogą być przetwarzane automatycznie, bez ingerencji osoby przetwarzającej w każdą jedną informację (automatyczne będzie odebranie poczty, ale wypełnienie blankietu KP /innego formularza już nie).

Ma to znaczenie ze względu na zastosowanie RODO tylko do przetwarzania zautomatyzowanego i przetwarzania zbiorów w sposób tradycyjny (a więc nie wszelkich danych.

 

Weryfikacja niezbędności

 

Po wstępnym skatalogowaniu danych należy rozważyć, czy wszystkie dane muszą być przetwarzane po 25 maja 2018 roku. Czy np. historia korespondencji mailowej sprzed 2 lat, a zawierająca dane osobowe nadal jest niezbędna np. do wykonania umowy lub dochodzenia roszczeń?

Jeśli nie musisz przechowywać danych informacji ze względu na swój prawnie dopuszczalny interes (np. marketingowy) lub obowiązki nałożone prawem (rękojmia, podatki, rachunkowość) i o ile nie są one przetwarzane w interesie osoby której dotyczą, dane powinny zostać trwale usunięte.

 

Kontrola legalności

 

Przetwarzanie danych po 25 maja będzie możliwe jedynie w przypadkach dopuszczonych przez RODO i w takim zakresie należy analizować zgodność przetwarzanych danych przed i po 25 maja. Podstawą jest art.6 i właściwa litera zezwalająca na przetwarzanie gdy:

  1.  osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

  2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

  3.  przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; (konkretne obowiązki ewidencyjne)

  4. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

  5. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Skupiając się na podstawach określonych w pkt. 1,2,3,6 należy ustalić czy przetwarzanie danych jest uzasadnione choćby jedną z tych przesłanek. Wszystkie przesłanki należy oceniać zawężająco, tak aby w razie kontroli móc wykazać (udowodnić), że podstawa jest zgodna z RODO.

Ważne jest też to, że dane zebrane przed wejściem RODO, a przetwarzane po 25 maja muszą podlegać rozliczności podstaw, a wiec np. zgód. Jeśli nie ma dowodu na to, że dana osoba zgody udzieliła, a nie ma innej podstawy to należy ponownie zwrócić się do niej o wyrażenie zgody

Zgoda nie może być dorozumiana, ani ogólna – musi mieć określony konkretny cel przetwarzania

 

Obowiązek informacyjny

 

W każdym przypadku przetwarzania danych należy poinformować osobę, której dane dotyczą, zgodnie ze wzorem klauzuli informacyjnej. Także osoby, których dane już są przetwarzane (przed 25 maja) i będą po tej dacie mają prawo do uzyskania informacji, której nie otrzymały przy zbieraniu danych (a takie nowe informacje wprowadza RODO.

Tekst RODO można znaleźć pod tym adresem na stronie GIODO lub w publikatorze UE.

Kancelaria świadczy usługi w zakresie dostosowywania przetwarzania danych do standardów RODO. Sporządzamy komplet dokumentacji i wykonujemy audyt przetwarzania wdrażając rozwiązania wymagane prawem. Nasi adwokaci i radcowie prawni służą pomocą także najmniejszym przedsiębiorcom - jednoosobowym działalnościom i mikro-spółkom prawa handlowego - dostosowując naszą ofertę do ich potrzeb i możliwości.

 

Zostaw numer - oddzwonimy


Przed wysłaniem wiadomości zapoznaj się z zasadami przetwarzania przez Kancelarię danych osobowych zawartymi w Polityce Prywatności.