RODOWSKAZY

Każda firma i instytucja, której działania wiążą się z dostępem do danych osobowych, choćby pracowników, współpracowników lub klientów, musi dostosować się do nowych regulacji w sprawie ochrony danych osobowych.

 

RODO dotyczy Twojej organizacji, jeśli prowadzisz działalność na terenie Unii Europejskiej lub przetwarzasz dane obywateli z UE.

Dane osobowe to wszelkie informacje, pozwalające zidentyfikować osobę (w szczególności przez nią samą) oraz wszystkie inne informacje dotyczące tej zidentyfikowanej osoby.

Danymi osobowymi nie są: numer rejestracyjny samochodu, adres budynku / mieszkania, numer księgi wieczystej.

 

UWAGA! Wyżej wymienione przykładowe informacje same w sobie nie stanowią danych osobowych, ale jako elementy katalogu informacji o zidentyfikowanej osobie, bedą wówczas danymi osobowymi.

Zakres nowych obowiązków, jakie RODO nakłada na przedsiębiorcę, zależy od wielkości organizacji i skomplikowania procesów przetwarzania danych osobowych. Dopiero po przeprowadzeniu audytu i indywidualnej analizy ryzyka można wytypować zakres działań i zabezpieczeń, których podjęcie spełni wymogi przepisów prawa w danej organizacji.

Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 w znacznym stopniu pozwala na spełnienie wymagań w zakresie ochrony danych osobowych.

 

Certyfikat zgodności z normą ISO 27001 potwierdza, że organizacja spełniła międzynarodowe wymagania dotyczące bezpieczeństwa informacji, w tym również danych osobowych.

Certyfikat zgodności z ISO 27001 otrzymują firmy i instytucje, które wdrożą System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001 oraz pozytywnie przejdą audyt certyfikacyjny.

 

Certyfikat jest ważny przez 3 lata, o ile SZBI jest prawidłowo utrzymywany, co potwierdzają audyty nadzoru.

Administrator danych osobowych realizuje swoje cele przetwarzania danych (ma bezpośrednią relację z podmiotem danych), zaś procesor przetwarza dane w imieniu administratora i nie może ich wykorzystywać dla swoich celów.

Obowiązek powołania Inspektora Ochrony Danych może dotyczyć Twojej organizacji, gdy:

  • jest organem lub podmiotem publicznym;
  • regularnie i systematycznie monitoruje osoby fizyczne;
  • na dużą skalę przetwarza dane szczególnej kategorii, np. o stanie zdrowia.

Wygodnym i bezpiecznym sposobem wywiązania się z obowiązku powołania Inspektora Ochrony Danych jest outsourcing funkcji IOD.

Zawsze wówczas, gdy administrator jakiś swój proces przetwarzania danych osobowych (który mógłby realizować wewnętrznie) lub jego część zleca innej firmie (o ile w ramach współpracy przekazywane są dane osobowe), np. usługi służby BHP, usługi księgowe, informatyczne, marketingowe.

Procesy te, tj. wszelkie powierzone operacje przetwarzania, powinny być jak najbardziej szczegółowo opisane w umowie powierzenia. Umowa powierzenia nie musi być odrębną umową, zapisy wymagane przepisami prawa mogą być zawarte w umowie głównej, jednakże musi być ona zawarta na piśmie.

UWAGA! Powierzeniem przetwarzania danych nie jest przekazanie danych innemu podmiotowi, które realizuje procesy przetwarzania danych, bo jest do nich uprawniony lub zobowiązany na podstawie szczególnych przepisów prawa lub zezwoleń, np. do zakładu medycyny pracy, operatora pocztowego, urzędu lub organu państwa. Takie przekazanie określamy mianem udostępnienia.

Umowa powierzenia jest również zbędna i wprowadza niepotrzebne nieporozumienia, gdy zewnętrznej firmie zlecamy tylko czynności niezwiązane z przetwarzaniem danych osobowych, np. sprzątanie czy przewóz osób (niezidentyfikowanych).

Każdą umowę powierzenia należy dostosować do przepisów RODO, jeśli współpraca przy przetwarzaniu danych jest kontynuowana.

Natomiast przy klauzulach informacyjnych nie jest to jednoznaczne, gdyż przedstawia się je przy zbieraniu lub tuż po pozyskaniu danych osobowych, dlatego w tej kwestii każdy przypadek należy rozpatrywać odrębnie.

Tylko wówczas, gdy umowa jest jedynym miejscem, w którym można przedstawić klauzulę informacyjną kierowaną do kontrahenta lub jego pracowników / przedstawicieli.

 

Jeśli dane tych osób zbierane są w innym czasie i klauzula informacyjna może być wówczas okazana podmiotom danych, to obowiązek informacyjny powinien być realizowany wówczas, a nie w umowie (umowa powinna być traktowana jako ostatnia szansa przedstawienia klauzuli).

Co do zasady nie ma konkretnego obowiązku prawnego, aby zbierać oświadczenia o zapoznaniu się z klauzulą informacyjną, ale w celu realizacji zasady rozliczalności (art. 5 ust. 2 RODO) należy pozyskiwać bezpośrednie lub przynajmniej pośrednie dowody na to, że obowiązek informacyjny jest realizowany. 

 

Z przedmiotowej zasady wynika pomysł zawierania klauzuli informacyjnej w treści umowy. Zatem jeśli treść umowy jest jedynym miejscem, w którym można przedstawić klauzulę informacyjną, to zmiana treści umowy powodowana innymi potrzebami może zostać wykorzystana również w tym celu.

 

Jeśli klauzula informacyjna jest elementem danego rodzaju umów, to aktualizacja umowy tego samego rodzaju może posłużyć dodaniu dodatkowo tejże klauzuli. 

 

Nie rekomenduję natomiast proponowania aneksów do umów tylko w celu wypełnienia obowiązku informacyjnego – wystarczy pismo lub nawet email.

Newsletter

Podanie adresu e-mail i potwierdzenie go przez kliknięcie przycisku "Zapisz", oznacza zgodę na przetwarzanie danych osobowych w tym zakresie, wyłącznie w celu dostarczania biuletynu informacyjnego "Newsletter", który zawiera m.in. artykuły dotyczące ochrony danych, bezpieczeństwa informacji, oferty, informacje o szkoleniach, do czasu wycofania zgody, np. za pomocą linku znajdującego się w stopce wiadomości zawierającej "Newsletter". Szczegóły dotyczące przetwarzania danych zawarte są w Polityce prywatności.

Potrzebujesz pomocy w zakresie ochrony danych osobowych lub bezpieczeństwa informacji?

Zapraszamy do kontaktu z Soczko & Partnerzy
Prezentacje do pobrania
  • svg Prezentacja GFODO
  • svg Prezentacja WFODO
  • svg Prezentacja FODO II