Zostaw swoje dane, a skontaktujemy się z Tobą jak najszybciej

* - pola wymagane

Klauzula informacyjna BIG InfoMonitor

Co warto wiedzieć o ochronie danych osobowych w firmie?

Wejście w życie w dniu 25 maja 2018 roku Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, potocznie nazywane RODO) w znacznym stopniu wymogło zmianę podejścia do ochrony danych osobowych i zagroziło wysokimi karami za naruszenie obowiązujących w tym względzie zasad. Przedstawiamy istotne - z perspektywy przedsiębiorcy - kwestie związane z niniejszym zagadnieniem.

Nowe podstawy prawne, nowa terminologia

Do dnia wejścia w życie RODO kwestię ochrony danych osobowych w Polsce regulowała Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku. Wejście w życie RODO wymogło zmiany w rodzimych regulacjach, czego efektem jest nowa Ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku (obowiązująca od 25 maja 2018 roku).
Nowa ustawa zlikwidowała instytucję Generalnego Inspektora Ochrony Danych Osobowych na rzecz Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Należy także wyróżnić zlikwidowanie funkcji Administratora Bezpieczeństwa Informacji (ABI), którego teraz zastąpił Inspektor Ochrony Danych Osobowych (IODO).

Kogo dotyczą przepisy o ochronie danych osobowych?

RODO oraz Ustawa o ochronie danych osobowych nie precyzują wprost, kogo dotyczą niniejsze regulacje, wskazują natomiast katalog podmiotów wyłączonych z obowiązku ich przestrzegania. Z treści art. 2 i art. 3 RODO wynika, że ustawą objęty jest każdy przedsiębiorca, bez względu na jego wielkość, zakres działania, czy ilość zatrudnionych pracowników.

Katalog wyłączający stosowanie RODO jest wąski. Dla przykładu, RODO nie dotyczy działalności nieobjętej zakresem prawa Unii Europejskiej, akt ten nie ma też zastosowania do osób fizycznych w ramach czynności o czysto osobistym lub domowym charakterze. Niemniej należy mieć świadomość, że przepisy te dotyczą nawet przedsiębiorcy prowadzącego jednoosobową działalność gospodarczą.

Czym są dane osobowe?

Zgodnie z brzmieniem art. 4 Pkt 1 RODO, danymi osobowymi są informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie. Z perspektywy przedsiębiorcy będą to szczególnie takie dane jak imię i nazwisko osoby, numer identyfikacyjny (np. PESEL), dane o lokalizacji (np. dane adresowe), czy też identyfikator internetowy (np. e-mail).

Definicja ta przewiduje też szczególne czynniki określające fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Ponadto, w artykule 9. Rozporządzenia zawarty został katalog danych szczególnie chronionych, których przetwarzanie - co do zasady - jest zabronione (np. stan zdrowia, orientacja seksualna, pochodzenie rasowe, dane biometryczne).

Przetwarzanie danych osobowych - czym jest, kiedy jest możliwe?

Z ochroną danych osobowych nierozerwalnie wiąże się pojęcie ich tzw. „przetwarzania”. Na gruncie RODO, przetwarzanie dotyczy operacji (lub zestaw operacji) wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Będą to takie działania, jak:

  • zbieranie, utrwalanie,
  • modyfikowanie, przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie,
  • rozpowszechnianie, udostępnianie, dopasowywanie,
  • łączenie, ograniczanie, usuwanie, niszczenie.

W art. 6 RODO przewidzianych jest kilka okoliczności, które uprawniają do przetwarzania danych osobowych. Z perspektywy przedsiębiorcy istotny jest obowiązek pozyskania zgody na ich przetwarzanie od osoby, której dane te dotyczą. Jednak przetwarzanie jest także możliwe np. wówczas, gdy jest ono niezbędne do wykonania umowy, której stroną jest osoba, której dotyczą dane.

Przedsiębiorca - administrator danych

Administratorem danych osobowych w przedsiębiorstwie jest osoba fizyczna lub prawna, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W praktycznym ujęciu administratorem danych w przedsiębiorstwie będzie osoba fizyczna będąca właścicielem przedsiębiorstwa, z kolei w przypadku przedsiębiorstwa posiadającego osobowość prawną - będzie nim samo przedsiębiorstwo (obowiązki administratora pełni tu zarząd).

Administrator odpowiada za wdrożenie procedur bezpieczeństwa i realizację aktów prawnych związanych z ochroną danych osobowych. Po stronie administratora leży też ustalenie celu i zakresu przetwarzania danych oraz zapewnienie ich prawidłowego przetwarzania. Należy zwrócić uwagę, że administrator może powierzyć przetwarzanie danych zewnętrznemu podmiotowi przetwarzającemu.

Obowiązki administratora danych - zapewnienie bezpieczeństwa danych

Ani RODO ani Ustawa o ochronie danych osobowych nie wskazują precyzyjnie, w jaki sposób administrator powinien zapewnić bezpieczeństwo danych osobowych. Sytuacja winna zostać oceniona indywidualnie, między innymi z uwzględnieniem zakresu i ryzyka naruszenia danych osobowych, czy też biorąc pod uwagę koszty wdrożenia zabezpieczeń.

Jednocześnie Rozporządzenie stanowi, że zabezpieczenia mogą mieć charakter zarówno techniczny jak i organizacyjny. Co ważne, zabezpieczenia te powinny być adekwatne do charakteru, zakresu, kontekstu i celu przetwarzania, a także do ryzyka naruszenia praw lub wolności osób, których dotyczą dane. RODO wskazuje kilka elementów, które w stosownych okolicznościach powinny być wykorzystywane przez administratora. Należą do nich:

  • pseudonimizajca i szyfrowanie danych osobowych (pseudonimizacja - przetworzenie danych osobowych w taki sposób, by nie można było przypisać konkretnej osobie bez użycia dodatkowych informacji),
  • zdolność do ciągłego zapewniania poufności, integralności, dostępności i odporności systemów i usług przetwarzania - oznacza to, że poziom bezpieczeństwa zawsze powinien być jednakowy,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego - oznacza to konieczność wykonywania kopii bezpieczeństwa danych,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania - oznacza to, że zabezpieczenie danych osobowych należy rozumieć jako ciągły proces, który bezustannie jest analizowany, udoskonalany i sprawdzany.

Bezpieczeństwo: środki techniczne i organizacyjne

Obowiązkiem administratora jest wprowadzenie zabezpieczeń zarówno natury technicznej, jak i organizacyjnej. Środkami natury technicznej będą np.:

  • zabezpieczenie komputerów systemem uwierzytelniania z koniecznością wprowadzenia loginu użytkownika oraz hasła,
  • stosowanie środków ochrony przed szkodliwym oprogramowaniem,
  • stosowanie środków zabezpieczających sieć komputerową,
  • szyfrowanie danych,
  • przechowywanie danych osobowych w formie fizycznej w zabezpieczonych pomieszczeniach/szafach.

Z kolei za środki organizacyjne można uznać między innymi:

  • dopuszczanie do przetwarzania danych jedynie upoważnionych pracowników,
  • wprowadzenie polityki czystego biurka, czystego ekranu,
  • wprowadzenie polityki kluczy,
  • wprowadzenie instrukcji ochrony danych osobowych,
  • zobowiązanie osób upoważnionych do przetwarzania danych do zachowywania ich w tajemnicy.

Rejestrowanie czynności przetwarzania - obowiązek przedsiębiorcy

RODO nakłada na administratorów danych osobowych obowiązek rejestrowania czynności przetwarzania (art. 30. RODO). Co do zasady, rejestrowanie takich czynności spoczywa na każdym przedsiębiorcy. Wyjątkiem jest przedsiębiorca, który zatrudnia mniej niż 250 osób, chyba że:

  • przetwarzanie danych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • przetwarzanie nie ma charakteru sporadycznego,
  • przetwarzanie obejmuje szczególne kategorie danych osobowych (dane wrażliwe) lub dane osobowe dotyczą wyroków skazujących i naruszeń prawa.

Niestety konstrukcja tych wyjątków ma charakter nieostry i może nastręczać trudności interpretacyjnych. W razie wątpliwości co do „sporadycznego” charakteru przetwarzania danych osobowych zalecamy, by nawet mały przedsiębiorca prowadził tego rodzaju rejestr. Szczegółowy wykaz informacji, jakie rejestr powinien zawierać, zawarty jest w art. 30 ust. 1 RODO.

Inspektor ochrony danych osobowych - kim jest, kiedy musi być ustanowiony?

Inspektor ochrony danych to osoba, do której zadań - w ogólnym ujęciu ?- należy wspieranie przedsiębiorstwa w zakresie przestrzegania przepisów o ochronie danych osobowych. Inspektor ochrony danych monitoruje przestrzeganie RODO, informuje administratora lub podmiot przetwarzający o obowiązkach wynikających z Rozporządzenia, współpracuje też z PUODO.

Nie każdy przedsiębiorca ma obowiązek ustanawiania inspektora ochrony danych, jednakże istnieje taka możliwość nawet wówczas, gdy przepisy RODO tego nie wymagają. Obowiązek powołania inspektora ochrony danych istnieje wówczas, gdy - zgodnie z art. 37 RODO:

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (dane wrażliwe) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Obowiązek zawiadomienia o naruszeniu ochrony danych osobowych

Przedsiębiorca powinien pamiętać, że administrator danych - w przypadku naruszenia ochrony danych osobowych - ma obowiązek zgłosić ten fakt organowi nadzorczemu (PUODO). Naruszenie winno być zgłoszone najpóźniej w ciągu 72 godzin od chwili jego stwierdzenia.

Zgłoszenie nie jest wymagane jedynie w sytuacji, w której istnieje małe prawdopodobieństw, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Należy zwrócić uwagę na nieostry termin tego sformułowania, co może nastręczać dużych wątpliwości administratorowi danych w momencie realnego naruszenia danych.

Jakie kary przewiduje RODO?

Za nieprzestrzeganie przepisów RODO oraz Ustawy o ochronie danych osobowych PUODO może nałożyć kary pieniężne na podmiot dopuszczający się naruszenia. Co do zasady, określając wysokość kary, organ nadzorczy bierze pod uwagę kilka czynników, takich jak np. skala naruszenia, umyślność naruszenia, czy też kategorie danych osobowych, których dotyczyło naruszenie.

W zależności od charakteru naruszenia, kara pieniężna może sięgać - w przypadku przedsiębiorstwa - do 20 mln Euro lub 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku. Co ważne, zastosowanie ma kwota wyższa.

Ochrona danych osobowych - regulacja, której nie można bagatelizować

Ochrona danych osobowych jest bardzo poważnym obowiązkiem, którego żaden przedsiębiorca nie może bagatelizować. Przede wszystkim za nieprzestrzeganie przepisów o ochronie danych osobowych przewidziane są wysokie kary pieniężne, a ponadto nałożenie takich kar wiąże się ze zdecydowanym obniżeniem wiarygodności wśród potencjalnych klientów firmy.

RODO nie chroni dłużników

Warto wiedzieć, że są sytuacje, w których RODO nie będzie chroniło osób, których dane przetwarza administrator. Dotyczy to np. dłużników wpisanych do Biur Informacji Gospodarczej (BIG-ów). Biura te prowadzą rejestry dłużników, czyli bazy danych, w których gromadzą i ujawniają dane osób i firm zalegających z zapłatą. Robią to zgodnie z Ustawą o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, która określa, w jakich przypadkach i na jakich warunkach można wpisać dłużnika do takiego rejestru, a także kiedy należy usunąć jego dane. Ustawa ta precyzyjnie określa również wymagania zarówno dotyczące ujawnienia informacji o dłużniku - konsumencie, jak też o dłużniku - przedsiębiorcy.

Jeśli dana osoba lub przedsiębiorca ma dług i wierzyciel może to udokumentować, dane dłużnika zgodnie z prawem mogą być ujawnione w jednym z rejestrów dłużników bądź nawet we wszystkich takich rejestrach funkcjonujących na rynku polskim (o ile wierzyciel spełni ustawowe warunki). Warto wiedzieć, że dłużnik nie może się przy tym powoływać na określone w RODO prawo do sprzeciwu wobec przetwarzania jego danych osobowych, jakie daje mu artykuł 21 ust. 1, ponieważ artykuł ten nie ma tutaj zastosowania. A zatem RODO nie chroni dłużników.

Jeśli dłużnik nie zgadza się umieszczeniem jego danych w Rejestrze Dłużników, ponieważ np. w jego opinii dług nie istnieje, ma on możliwość wniesienia sprzeciwu w trybie i na zasadach określonych w ustawie o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Natomiast nie może powoływać się na RODO.

Co do zasady dłużnik dowiaduje się o perspektywie wpisania do rejestru z wezwania do zapłaty wysyłanego do niego przez jego wierzyciela obowiązkowo na przynajmniej 30 dni przed dokonaniem wpisu do BIG. Wezwanie może wysłać również BIG w imieniu wierzyciela. W wezwaniu tym jest zawarte wyraźne ostrzeżenie o zamiarze wpisania danych dłużnika do rejestru dłużników jak również wymienione są możliwe konsekwencje znalezienia się w takim rejestrze.

Usunięcie informacji o długu może nastąpić w przypadku całkowitej spłaty zaległego zadłużenia, przedstawienia uzasadnionej informacji o spłacie, wygaśnięciu lub nieistnieniu zobowiązania oraz na podstawie innych okoliczności.

Masz pytania?
Potrzebujesz więcej informacji?

Zostaw swoje dane, a skontaktujemy się z Tobą jak najszybciej

* - pola wymagane

Administratorem Państwa danych osobowych jest Biuro Informacji Gospodarczej InfoMonitor S.A. z siedzibą w Warszawie, ul. Zygmunta Modzelewskiego 77, 02-679 Warszawa (dalej: „BIG InfoMonitor”). więcej...

Napisz do nas msp@big.pl

Zadzwoń (22) 486 56 91 pn-pt: 8:30 - 16:30