O RODO z pewnością słyszał już każdy. Minęło już ponad pół roku od wejścia w życie przepisów unijnych dotyczących ochrony danych osobowych. Bez wątpienia RODO dokonało “rewolucji” w wielu miejscach. Zaczynając od administracji publicznej i służby zdrowia, a kończąc na przedsiębiorstwach. Większość firm dostosowało już swoje procedury pod nowe przepisy. Są jednak dalej firmy, które mają nadzieję, że wdrożenie RODO “po łebkach” wystarczy. Niestety – wręcz przeciwnie. Pod koniec 2018 roku odbyło się pierwsze czytanie projektu ustawy, która ma zmienić aż 168 innych ustaw (!), a wszystko po to, aby… dostosować je pod RODO.

RODO – podstawowe zasady

Opracowań dotyczących tego tematu pojawiło się już bardzo dużo. Przedstawię zatem podstawowe zasady i wynikające z nich konsekwencje dla przedsiębiorców.

Zasada minimalizmu RODO

Podstawowa wytyczna w zakresie zbierania danych osobowych. Oznacza ona, że zbierane przez nas dane osobowe muszą być ograniczone do absolutnego minimum. Muszą być one adekwatne i niezbędne do wykonania zamierzonego celu. Przykładowo, jeżeli chcemy pozyskać dane klienta, aby wysłać mu ofertę w formie SMS, nie możemy wziąć od niego adresu zamieszkania, czy nr PESEL. Bierzemy tylko to, co konieczne, czyli w tym przypadku: imię (ew. nazwisko) i nr telefonu.

Zasada rozliczalności RODO

Zgodnie z tą zasadą przedsiębiorca musi nie tylko przestrzegać przepisów RODO, ale musi być w stanie wykazać ich przestrzeganie. Nie dotyczy to tylko sytuacji, gdy istnieje podejrzenie naruszenia przepisów RODO. Również, jeżeli w firmie będzie miała miejsce kontrola, trzeba umieć wykazać, że procedury z RODO są stosowane. Przedsiębiorca musi wskazać podstawę przetwarzania danych oraz udowodnić, że posiada zgody na ich przechowywanie i przetwarzanie.

RODO – najważniejsze kwestie dla przedsiębiorców

Dane osobowe na fakturach

Wielu przedsiębiorców nie zdaje sobie sprawy z tego, że dane umieszczone na wystawianych fakturach podlegają pod przepisy RODO i są chronionymi danymi osobowymi. Na szczęście zgodnie z przepisami RODO, aby wystawić fakturę (a szerzej jeżeli przetwarzanie danych jest niezbędne do wykonania np. umowy, albo do wypełnienia obowiązku prawnego) nie musimy otrzymywać dodatkowej zgody od osoby, której dane przetwarzamy.

W tym kontekście trzeba również zwrócić uwagę na korzystanie z programów do wystawiania faktur. Przedsiębiorca musi mieć pewność, że program spełnia wymogi bezpieczeństwa wynikające z przepisów o ochronie danych osobowych. Obowiązkowe są odpowiednie zabezpieczenia uniemożliwiające nieautoryzowany dostęp do danych.

Dane pracowników

RODO nie wymienia jakie dane pracownika może przetwarzać pracodawca na etapie rekrutacji oraz zatrudnienia. Trzeba kierować się zatem zasadą minimalizmu, przynajmniej do czasu wejścia w życie nowelizacji Kodeksu Pracy. Zgodnie z projektem ustawy, o którym wspominałem na początku artykułu, pracodawca na etapie rekrutacji może żądać od kandydata takich danych jak:

  1. imię i nazwisko,
  2. data urodzenia,
  3. dane kontaktowe,
  4. wykształcenie,
  5. kwalifikacje zawodowe,
  6. przebieg dotychczasowego zatrudnienia.

Natomiast od osoby zatrudnionej można żądać dodatkowo:

  1. adresu zamieszkania,
  2. numeru PESEL (a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość),
  3. nr rachunku bankowego, jeżeli wynagrodzenie nie jest płatne do rąk własnych,
  4. dane osobowe dzieci pracownika i innych członków rodziny, jeżeli jest to niezbędne do korzystania przez pracownika z uprawnień wynikających z prawa pracy.

Oczywiście można żądać od pracownika również innych danych, ale tylko wtedy, gdy są one konieczne i niezbędne do wypełnienia obowiązku pracodawcy nałożonego przepisem prawnym.

Wykorzystanie wizerunku pracownika

Często zdarza się, że firmy publikują wizerunek pracownika wraz z krótką notatką na stronie internetowej. Na gruncie RODO, a także Kodeksu Pracy (również po wejściu w życie projektowanej nowelizacji) takie działania wymagają uprzedniej zgody pracownika. Należy o tym pamiętać, jeżeli chcemy w taki sposób przedstawić zespół swojej firmy.

Brak zgody może oznaczać poważne kary. Zarówno na gruncie RODO, jak i przepisów o ochronie dóbr osobistych.

Wyciek danych osobowych z firmy

Z uwagi na to, że przedsiębiorcy przetwarzają mnóstwo danych osobowych, zarówno pracowników, klientów jak i innych podmiotów, muszą wdrożyć standardy bezpieczeństwa, które uchronią przed wyciekiem takich danych. RODO nakłada bowiem ogromne kary finansowe w przypadku utraty danych osobowych. Każde rozpowszechnienie danych może bowiem wiązać się bezpośrednio ze szkodami majątkowymi osób, których dotyczą. Zatem, jak zabezpieczyć swoje dane?

Z pewnością trzeba zwrócić uwagę na kwestie technologiczne. Warto zainstalować odpowiednie oprogramowanie (Data loss prevention), dane zabezpieczyć hasłami, a dostęp do nich powinien mieć tylko upoważniony pracownik. Jeżeli dane są trzymane w formie papierowej (np. wydrukowane CV) powinny znajdować się w szafce zamykanej na klucz.

RODO – pierwsze kary w 2018 roku

Wraz z wejściem RODO w ubiegłym roku największym zmartwieniem przedsiębiorców był fakt, że za naruszenie przepisów przewidziane są ogromne kary finansowe. Na szczęście są one przewidziane jako ostateczność i tylko za najpoważniejsze naruszenia (np. wyciek danych). Do tej pory odnotowano tylko kilka przypadków nałożenia kar finansowych z uwagi na naruszenia RODO. W Polsce nie było takiej sytuacji. Przykładowo już w lipcu 2018 roku francuski sklep internetowy Optical Center został ukarany za umożliwienie zapoznania się osób niepowołanych z danymi klientów. Chodziło o dane wrażliwe, takie jak: stan zdrowia, numer ubezpieczenia społecznego itp. Kara wyniosła aż 250 tys. euro.

RODO w 2019 – zmiany

W większości zmiany, które mają być wprowadzone ustawą wspominaną na początku artykułu, nie zmienią znacznie sytuacji przedsiębiorców. Dalej obowiązki wynikające z RODO będą bardzo podobne. RODO jest bowiem dyrektywą, która już od maja 2018 roku ma pierwszeństwo w stosowaniu przed ustawami krajowymi. Zatem nadchodząca nowelizacja (której treść może jeszcze się zmienić) to tylko wypełnienie obowiązku formalnego dostosowania prawa polskiego do RODO. Warto z pewnością spojrzeć na zmiany w Kodeksie Pracy i uszczegółowienie, jakie dane pracowników może gromadzić firma. Jeżeli jesteś przedsiębiorcą i nie dostosowałeś jeszcze procedur pod RODO, warto zabrać się za to jak najszybciej.

 

****
Jeżeli potrzebujesz pomocy prawnej w związku z wdrożeniem RODO, skontaktuj się ze mną:
Kamil Wasilewski – Adwokat Poznań
k.wasilewski@adwokatwasilewski.pl
503 070 837