MITY RODO
Autor: Anna Lulis / 28.02.2019 / RODO, Wiedza
  1. RODO wywróciło świat do góry nogami

Bardzo często osoby wspominając o RODO wywracają oczami, wzdychają lub w inny sposób wyrażają swoje niezadowolenie wobec faktu, przed jakim stawił nas europejski ustawodawca 25 maja 2018 roku. Niewiele osób wie, że zanim weszło w życie RODO, w Polsce obowiązywała ustawa z 1997 r. o ochronie danych osobowych, która od dawna regulowała tę materię, a co więcej posiadała już wiele wymogów, do których obecnie odwołuje się RODO. RODO wyprowadziło natomiast wiele dodatkowych zasad ponad te, które już nas wcześniej obowiązywały. Natomiast co bardziej istotne, RODO wprowadziło za naruszenia zasad ochrony danych osobowych bardzo dotkliwe kary finansowe, które prawdopodobnie są główną i niestety dla wielu przedsiębiorców – jedyną motywacją do wprowadzenia tych przepisów w życie.

Zatem, RODO nie wywróciło świata do góry nogami, ale wprowadziło kary finansowe, dzięki którym udało się zwrócić uwagę na wprowadzane przepisy.

  1. Najlepiej kupić „pakiet RODO” w Internecie i mieć temat z głowy

Nie istnieje coś takiego jak uniwersalna, dobra dla każdego dokumentacja RODO. Regulacje, procedury i systemy muszą być „uszyte na miarę” dla każdego przedsiębiorstwa, a proces wdrażania RODO musi zostać poprzedzony wnikliwym audytem. Rozwiązań tych nie da się zastąpić gotowym szablonem, który jako że powstał dla wszystkich, nie chroni w rezultacie nikogo. Najlepiej powierzyć to zadanie specjalistom, bo pomimo, że koszt przygotowania i wdrożenia RODO może wydać się istotny, to dzięki niemu jesteśmy w stanie zminimalizować ryzyko nałożenia wysokiej kary finansowej, co w rezultacie może okazać się bardziej korzystne finansowo. Poza tym, wprowadzając odpowiednie, zgodne z RODO procedury, mamy jedyną okazję, aby raz na zawsze uporządkować temat danych osobowych w naszej firmie. Należy pamiętać, że RODO to także obowiązek periodycznych szkoleń, zaznajomienia naszego zespołu z uprawnieniami osób których dane dotyczą i instrukcjami jak potem mają zachować się w praktyce.

Podsumowując, nie jest możliwym zakup gotowego pakietu, który byłby jednocześnie dopasowany do naszej działalności.

  1. RODO dotyczy tylko danych osobowych moich klientów i kontrahentów

Istotnie, RODO reguluje zasady ochrony danych osobowych jakich musimy przestrzegać w stosunku do danych naszych klientów i kontrahentów, ale nie tylko. Jesteśmy przecież także pracodawcami, którzy zatrudniają i rekrutują pracowników, również powierzamy przetwarzanie danych osobowych firmom, które pomagają nam prowadzić nasz biznes np. księgowym, informatykom, właścicielom serwerów, na których przechowujemy dane – te wszystkie relacje powodują przepływ danych osobowych, a zatem muszą podlegać odpowiednim procedurom. Mało kto pamięta, że RODO dotyczy jedynie danych osobowych osób fizycznych, co powoduje, że dane spółek prawa handlowego, instytucji, podmiotów publicznych jako takie nie podlegają ochronie tych przepisów, z tym jednak zastrzeżeniem, że dane osób prowadzących indywidualną działalność gospodarczą, jak również osób występujących w imieniu osób prawnych tj. ich przedstawiciele i reprezentanci stanowią już dane osobowe w rozumieniu RODO.

W konsekwencji, ochronie podlegają nie tylko dane osobowe naszych klientów i kontrahentów, ale o wiele więcej danych przepływających przez nasze przedsiębiorstwo.

  1. Mogę przetwarzać dane osobowe, tylko jeśli mam na to zgodę

Nie jest to zawsze prawdą. Istnieją różne podstawy przetwarzania danych, a zgoda jest tylko jedną z nich. Należy pamiętać, że w przypadku kiedy łączy nas z osobą, której dane dotyczą jakiegokolwiek rodzaju umowa to właśnie ona jest podstawą przetwarzania danych np. posiadając sklep internetowy nie musimy od naszych klientów odbierać osobnych zgód na przetwarzanie ich danych w celu realizacji transakcji sprzedaży i wysyłki towarów, bo podstawą tych operacji przetwarzania jest już samo złożenie zamówienia. Podobnie pracodawca, który zgłasza swoich pracowników do ZUS lub US realizuje łączącą go z pracownikiem umowę o pracę i spełnia ustawowy obowiązek jaki ciąży na nim jako pracodawcy, dlatego w takich przypadkach także nie musimy pytać pracownika o zgodę na przetwarzanie danych. Jeżeli natomiast prowadzimy rekrutację, przetwarzamy dane w celach marketingowych lub przetwarzamy wizerunek naszych pracowników – musimy uzyskać zgodę na przetwarzanie danych osobowych.

Dlatego pamiętajmy, że aby przetwarzać dane osobowe, nie zawsze wymagana jest zgoda osoby, której dane dotyczą.

  1. Muszę powołać Inspektora Ochrony Danych

Nie jest to zawsze prawdą, z tego względu, że powołanie IOD jest obowiązkowe tylko dla niektórych podmiotów np. dla organów lub podmiotów publicznych, podmiotów których głównym przedmiotem działalności jest monitorowanie osób na dużą skalę lub przetwarzają na dużą skalę dane osobowe szczególnych kategorii (np. dane o stanie zdrowia, seksualności, nałogach, poglądach politycznych) lub dane dot. wyroków skazujących i naruszeń prawa. Pomimo, iż obowiązek ten, jak widać, wcale nie dotyczy aż tak znacznej liczby firm, należy rozważyć czy aby na pewno nie powinniśmy tego zrobić. Niewątpliwie powołanie IOD spowoduje, że będziemy mieć jedną osobę specjalizującą się w tym temacie i dedykowaną do obsługi wniosków od osób których dane dotyczą, nasz zespół nie będzie miał wątpliwości do kogo zgłosić zauważone naruszenia danych osobowych w przedsiębiorstwie, a nasi klienci będą mieli jedną osobę do kontaktu, co jednocześnie wyczerpie wymóg jasnego i przejrzystego komunikowania na zewnątrz, które tak przecież lubią konsumenci.

Jednym słowem: pomimo, że wymóg powołania IOD dotyczy niewielu przedsiębiorców, warto się zastanowić czy nie zrobić tego zarówno dla celów zmniejszenia ryzyka przeciążenia informacyjnego wewnątrz firmy, jak i celów czysto wizerunkowych.

  1. W dobie RODO nie mogę korzystać z monitoringu

Nie jest to prawdą. Mamy jako przedsiębiorcy swobodę, by podjąć decyzję o korzystaniu z monitoringu. Należy przede wszystkim rozważyć czy zapewnienie bezpieczeństwa naszym pracownikom, klientom lub naszemu biznesowi jako takiemu wymaga jego posiadania. Jeśli posiadamy taki uzasadniony interes – RODO nie ogranicza nas w tym przedmiocie, natomiast wyznacza zasady, zgodnie z którymi musimy postępować posiadając monitoring. W pierwszej kolejności musimy o tym poinformować nasz zespół lub odwiedzające nas osoby.  W przypadku pracowników należy uzyskać zgodę na przetwarzanie ich wizerunku i nagrania głosu, które także są danymi osobowymi. W przypadku klientów, kontrahentów lub osób odwiedzających naszą firmę musimy zadbać o to by informacja o systemie monitorowania znalazła się w widocznym miejscu w przedsiębiorstwie, w regulaminie naszych usług, polityce prywatności lub w informacji o administratorze danych przedstawianej naszym klientom.

Zatem możemy stosować monitoring, ale przy spełnieniu określonych zasad.

  1. Nie mogę bez zgody publikować zdjęć w Internecie

Nie zawsze jest to prawdą. Trzeba pamiętać, że RODO nie reguluje naszej działalności czysto osobistej, domowej, niezwiązanej z działalnością gospodarczą czy zarobkową. Mamy prawo wrzucać do Internetu czy na portale społecznościowe zdjęcia z naszymi znajomymi, przyjaciółmi, rodziną tak, jak robiliśmy to do tej pory. Pamiętajmy tylko, że zdjęcie raz wrzucone do Internetu może być dowolnie wykorzystane przez właścicieli portali społecznościowych, skopiowane lub wykorzystane przez ich użytkowników nie zawsze w sposób jaki nam odpowiada. Jednak jeśli umieszczamy zdjęcia na firmowym profilu internetowym lub koncie na portalu społecznościowym – należy bezwzględnie uzyskać zgody osób prezentowanych na tych zdjęciach na przetwarzanie danych, ponieważ ich wizerunek i nagranie głosu (w przypadku filmu) stanowią dane osobowe w rozumieniu przepisów RODO.

Pamiętaj zatem, że na opublikowanie wizerunku w Internecie w ramach działalności zawodowej musisz uzyskać zgodę osoby której dane dotyczą.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.