Małe biuro rachunkowe, sklep internetowy z kilkuset klientami, gabinet lekarski czy agencja marketingowa – każdy z tych podmiotów codziennie przetwarza dane osobowe, przy czym nie każdy zdaje sobie sprawę z tego, jak wiele obowiązków się z tym wiąże. Przepisy potrafią zaskoczyć w najmniej oczekiwanym momencie: podczas kontroli, po wpłynięciu skargi od klienta albo gdy wychodzi na jaw, że przez lata firma wysyłała newslettery bez ważnej podstawy prawnej. Ochrona danych osobowych to obszar, który łączy prawo, technologię i organizację pracy w jedną całość, a zaniedbania w którymkolwiek z tych wymiarów mogą pociągnąć za sobą poważne skutki. Poniżej znajdziesz przegląd tego, co naprawdę warto wiedzieć – od podstaw prawnych, przez typowe błędy, po sytuacje, w których przydaje się zewnętrzne wsparcie.
Kto jest administratorem i dlaczego to ma znaczenie?
Zanim firma zacznie myśleć o procedurach i dokumentach, warto dobrze zrozumieć własną rolę w procesie przetwarzania. Administrator danych to podmiot, który samodzielnie decyduje o tym, w jakim celu i w jaki sposób dane są przetwarzane. W praktyce jest nim niemal każda firma, instytucja czy nawet osoba prowadząca jednoosobową działalność. Obok administratora funkcjonuje procesor, czyli podmiot przetwarzający dane na jego zlecenie – np. firma hostingowa, platforma do wysyłki e-maili lub zewnętrzne biuro kadrowe. Granica odpowiedzialności między administratorem a procesorem nie zaciera się automatycznie po podpisaniu umowy powierzenia – administrator odpowiada za wybór procesora i za to, by ten dawał wystarczające gwarancje bezpieczeństwa.
Rozróżnienie tych ról ma znaczenie praktyczne przy każdym wdrożeniu nowego narzędzia cyfrowego. Wystarczy wyobrazić sobie firmę, która zaczyna korzystać z zewnętrznego systemu CRM przechowującego dane klientów na serwerach dostawcy. Bez zawartej umowy powierzenia relacja ta pozostaje nieuregulowana prawnie, co stanowi naruszenie RODO niezależnie od tego, czy doszło do jakiegokolwiek wycieku.
Sześć podstaw prawnych przetwarzania – nie wszystko wymaga zgody
Jednym z najtrwalszych mitów jest przekonanie, że każde przetwarzanie danych osobowych wymaga zgody osoby, której dotyczą. Tymczasem zgoda to tylko jedna z sześciu dopuszczalnych podstaw, a jej nadużywanie prowadzi do problemów – bo zgoda musi być dobrowolna, a jej brak nie może blokować dostępu do usługi. Firmy, które wymuszają zgodę na marketing przy okazji zawierania umowy sprzedaży, naruszają przepisy, choćby zgoda była formalnie odnotowana. Podstawy, z których najczęściej korzystają organizacje, to:
- zgoda osoby fizycznej – stosowana przy marketingu, profilowaniu, plikach cookie;
- niezbędność do wykonania umowy – podstawa dla przetwarzania danych klientów w toku realizacji zamówienia;
- obowiązek prawny ciążący na administratorze – np. w zakresie dokumentacji pracowniczej czy rachunkowości;
- uzasadniony interes administratora – wymaga przeprowadzenia testu równowagi, ale bywa użyteczny przy marketingu B2B lub bezpieczeństwie sieci;
- ochrona żywotnych interesów osoby – rzadka, stosowana głównie w sytuacjach zagrożenia życia;
- interes publiczny lub sprawowanie władzy publicznej – dotyczy organów administracji i podmiotów wykonujących zadania publiczne.
Obowiązek informacyjny – między formalnością a realną komunikacją
Klauzula informacyjna to dokument, który większość użytkowników internetu zamknęła bez czytania przynajmniej kilkaset razy. Problem w tym, że jej jakość ma znaczenie nie tylko dla organów nadzorczych, ale też dla samych osób, których dane są zbierane. RODO wymaga, by informacje były podawane w zwięzłej, przejrzystej i zrozumiałej formie. Dokument liczący trzydzieści akapitów wypełnionych żargonem prawniczym spełnia ten warunek wyłącznie formalnie. W praktyce dobrze napisana klauzula powinna odpowiadać na kilka podstawowych pytań: kto przetwarza dane, w jakim celu, jak długo i jakie prawa przysługują osobie. Klauzula informacyjna nie jest dodatkiem do formularza – to fundament relacji między administratorem a osobą, której dane dotyczą, a jej brak lub wadliwość to jedna z najczęstszych przyczyn postępowań przed Prezesem UODO.
Rejestr czynności przetwarzania – dokument, który mówi o firmie więcej niż się wydaje
Obowiązek prowadzenia rejestru czynności przetwarzania dotyczy większości administratorów, choć przepisy przewidują pewne wyjątki dla mniejszych podmiotów niespełniających określonych kryteriów. Rejestr pełni podwójną rolę: z jednej strony to narzędzie wewnętrzne pozwalające zarządzać procesami przetwarzania, z drugiej – dokument, który organ nadzorczy może zażądać w toku kontroli. Firmy, które stworzyły rejestr jednorazowo na potrzeby wdrożenia RODO w 2018 roku i nigdy go nie aktualizowały, mają w praktyce dokument opisujący stan nieistniejący. Tymczasem każde nowe narzędzie, zmiana procesów kadrowych czy uruchomienie infolinii powinny znaleźć odzwierciedlenie w rejestrze.
Naruszenia bezpieczeństwa – co robić w ciągu 72 godzin?
Incydenty bezpieczeństwa zdarzają się nawet organizacjom, które inwestują w zabezpieczenia. Zgubiony laptop z niezaszyfrowanymi danymi klientów, atak phishingowy, który skompromitował skrzynkę mailową pracownika, omyłkowe wysłanie zestawienia z danymi osobowymi do niewłaściwego odbiorcy – każda z tych sytuacji wymaga oceny, czy doszło do naruszenia w rozumieniu RODO i czy należy je zgłosić. Administrator ma na to 72 godziny od chwili stwierdzenia naruszenia, przy czym termin ten jest ścisły i liczy się od momentu, gdy organizacja uzyskała wystarczającą wiedzę o zdarzeniu. Ocena ryzyka jest tu kluczowym krokiem: nie każde naruszenie wymaga zgłoszenia do Prezesa UODO, a jedynie takie, które może powodować ryzyko dla praw i wolności osób fizycznych. Firmy bez wdrożonej procedury reagowania na incydenty tracą te 72 godziny na organizowanie się zamiast na analizę i działanie.
Kiedy warto skonsultować się ze specjalistą?
Wiele organizacji radzi sobie z podstawową dokumentacją RODO samodzielnie, jednak pewne sytuacje wyraźnie wskazują, że potrzebna jest zewnętrzna wiedza. Kancelaria prawna RODO bywa nieoceniona przy wdrożeniu nowych procesów przetwarzania danych wrażliwych, przeniesieniu danych do państwa trzeciego, ocenie skutków dla ochrony danych (DPIA) czy obsłudze skargi złożonej przez osobę fizyczną. Kancelaria prawna ochrona danych osobowych oferuje zazwyczaj różne formy wsparcia – od jednorazowej opinii prawnej po stałe doradztwo i pełnienie funkcji zewnętrznego inspektora ochrony danych. Przykładowy zakres współpracy można zobaczyć na https://jdp-law.pl/ochrona-danych-osobowych/
Warto przy tym pamiętać, że specjalizacja ma znaczenie: prawnik zajmujący się kontraktami handlowymi niekoniecznie będzie sprawnie poruszał się w zawiłościach przepisów o prywatności.
Poniżej kilka sytuacji, w których zewnętrzna konsultacja okazuje się szczególnie uzasadniona:
- Uruchomienie nowego produktu cyfrowego zbierającego dane użytkowników – ocena zgodności już na etapie projektowania pozwala uniknąć kosztownych poprawek.
- Fuzja lub przejęcie firmy – due diligence w obszarze ochrony prywatności ujawnia ryzyka, które mogą wpłynąć na wycenę transakcji.
- Otrzymanie żądania od osoby fizycznej dotyczącego dostępu lub usunięcia danych – szczególnie gdy dane dotyczą trwającego stosunku pracy lub toczącego się sporu.
- Planowane wdrożenie monitoringu pracowników lub profilowania klientów – oba procesy wymagają starannej oceny prawnej.
- Kontrola organu nadzorczego – obecność prawnika podczas czynności kontrolnych jest uzasadniona i w pełni dopuszczalna.
Prywatność wbudowana w procesy, nie doklejona na końcu
Organizacje, które traktują przepisy o prywatności jako zewnętrzny obowiązek do spełnienia, zazwyczaj wracają do tych samych problemów przy każdym nowym projekcie. Podejście oparte na zasadzie privacy by design zakłada, że kwestie ochrony prywatności są uwzględniane od samego początku – przy projektowaniu procesu, aplikacji czy produktu. W praktyce oznacza to zadawanie pytań o minimalizację danych, podstawę prawną i retencję zanim jeszcze jakikolwiek formularz trafi do użytkownika. Takie podejście nie eliminuje wszystkich ryzyk, ale wyraźnie zmniejsza liczbę sytuacji, w których organizacja musi wprowadzać zmiany pod presją czasu lub wskutek interwencji organu nadzorczego. Warto też regularnie weryfikować istniejące procesy – to, co było zgodne z przepisami dwa lata temu, mogło się zdezaktualizować wskutek nowych wytycznych Europejskiej Rady Ochrony Danych lub orzeczeń Trybunału Sprawiedliwości UE.
Comments are closed.