Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Można z pewnością powiedzieć, że nie ma obecnie firmy, która działa bez przetwarzania danych osobowych. I to zarówno w przypadku gdy mamy do czynienia z prostymi firmami usługowymi, firmami technologicznymi i internetowymi, przedsiębiorstwami z branży handlu internetowego (ecommerce) czy też z firmami produkcyjnymi. Każda z nich wykonuje operacje na danych osobowych. Powstaje więc słuszne pytanie – czy jako przedsiębiorca muszę coś z tym zrobić? A jeśli tak, to co i kiedy? W tym artykule odpowiem na pytanie: kiedy muszę wdrożyć procedury związane z ochroną danych osobowych (RODO)?
Czym jest RODO?
RODO to ogólne rozporządzenie o ochronie danych. Jest to prawo unijne, które działa bezpośrednio na terenie krajów członkowskich – w tym także i w Polsce. O tym co dokładnie reguluje i z czego się składa przeczytasz w innym artykule. Na ten momentu musisz wiedzieć, że RODO to przepisy, które chronią osoby fizyczne w związku z przetwarzaniem ich danych osobowych. Ten akt prawny wskazuje co mają robić wszystkie osoby czy podmioty przetwarzające dane osobowe osób fizycznych, jakie procedury wdrożyć oraz jakie środki bezpieczeństwa zastosować. Jeśli więc przetwarzasz dane osobowe (pracowników, klientów, współpracowników, odbiorców newslettera itd.) to RODO powinno zdecydowanie znaleźć się w zasięgu Twojej uwagi.
Sprawdź również: Outsourcing IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?
Kiedy wdrażać RODO?
Odpowiedź na to pytanie jest dosyć prosta. Musisz wdrożyć RODO wtedy, gdy stajesz się administratorem (danych osobowych). Rozporządzenie unijne wprost wskazuje, że administrator to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Mówiąc prościej administrator to podmiot , który decyduje po co i w jaki sposób będą wykorzystywane dane osobowe.
Więc wiesz już, że administrator to ten podmiot, który przetwarza dane. Zaraz przejdziemy do wyjaśnienia tego czym dokładnie jest przetwarzanie. Natomiast musisz wiedzieć, że określenie tego czy jesteś administratorem czy nie zazwyczaj nie będzie wynikało z jakiejś decyzji administracyjnej lub jakiejś czynności, po której tym administratorem się stajesz, ale będzie wynikać z elementów faktycznych lub okoliczności danego przypadku.
Czyli jeśli przetwarzasz faktycznie przetwarzasz dane to znaczy, że jesteś administratorem. Nikt tego nie musi potwierdzać. Należy przyjrzeć się konkretnym operacjom przetwarzania i zrozumieć, kto je określa, odpowiadając na pierwszym etapie na pytania „dlaczego dane przetwarzanie ma miejsce? Kto je rozpoczął?”. Bycie administratorem danych wynika przede wszystkim z okoliczności faktycznej, w której podmiot podjął decyzję o przetwarzaniu danych osobowych dla własnych celów.
Co więcej, rozporządzenie stanowi, iż administrator danych jest osobą, która „określa”, a nie „zgodnie z prawem określa” cel i sposoby. Decydujące znaczenie ma skuteczne zidentyfikowanie sprawowania kontroli, nawet jeżeli wyznaczenie wydaje się niezgodne z prawem lub przetwarzanie danych odbywa się w sposób niezgodny z prawem.
Aby uzupełnić powyższe powinieneś wiedzieć czym jest przetwarzanie. To tak naprawdę każda operacja na danych osobowych. Może być wykonywana w sposób zautomatyzowany lub zautomatyzowany. Przykładami czynności przetwarzania może być zbieranie (np. danych e-mail do newslettera), utrwalanie, organizowanie, porządkowanie, przechowywanie itd. RODO wskazuje tutaj więcej przykładów.
Odpowiadając więc kiedy dokładnie musisz wdrożyć RODO w swojej organizacji trzeba powiedzieć, że powinieneś być gotowy (czyli mieć wdrożone procedury) w momencie rozpoczęcia przetwarzania pierwszych danych. Oznacza to, że w zasadzie każde przedsiębiorstwo powinno mieć odpowiednio dla swojej charakterystyki i przedmiotu działalności wdrożone procedury dot. ochrony danych osobowych. Oczywistością jest, że jest to bardzo trudne do spełnienia ze względu na koszty oraz inne priorytety. Warto wtedy jednak rozważyć choćby minimalne wdrożenie. Co masz przez to rozumieć? Zadbaj chociaż o dokumentację, którą “widać” na zewnątrz, tj. którą widzą Twoi odbiorcy. Mowa tutaj w szczególności o wszelkich obowiązkach informacyjnych jak np. polityka prywatności.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Zastanawiasz się, kiedy powinieneś wdrożyć RODO w swojej firmie? Oto co musisz wiedzieć:
- Jeśli prowadzisz jakąkolwiek działalność i przetwarzasz dane osobowe (np. pracowników, klientów czy subskrybentów newslettera), podlegasz pod RODO. To unijne rozporządzenie chroni dane osobowe i określa, jak powinieneś je zabezpieczać.
- Kiedy dokładnie powinieneś mieć wdrożone procedury? Od momentu, gdy stajesz się administratorem danych – czyli gdy zaczynasz decydować o tym, jak i po co wykorzystujesz dane osobowe. Nie potrzebujesz do tego żadnego oficjalnego potwierdzenia – wystarczy, że faktycznie przetwarzasz dane.
- Najważniejsze: powinieneś być gotowy zanim zaczniesz zbierać pierwsze dane. Jeśli masz ograniczony budżet, zacznij przynajmniej od dokumentacji widocznej dla Twoich odbiorców, jak polityka prywatności.
- Pamiętaj, że przetwarzanie to każda operacja na danych – od ich zbierania, przez przechowywanie, aż po usuwanie. Dlatego praktycznie każda firma potrzebuje odpowiednich procedur RODO.
Prawidłowe wdrożenie RODO w firmie wymaga nie tylko dobrej znajomości specyfiki prowadzonej działalności, ale przede wszystkim przepisów wraz z wytycznymi, zarówno krajowymi, jak i międzynarodowymi. Dlatego to zadanie warto zlecić specjalistom z wieloletnim doświadczeniem w zakresie opracowywania procedur przetwarzania danych osobowych. Doświadczeni prawnicy dokonają kompleksowej oceny stanu wdrożenia mechanizmów ochrony danych, ocenią ich adekwatność oraz przygotują zalecenia pozwalające na poprawę bezpieczeństwa i zwiększenie produktywności organizacji.
Kancelaria Linke Kulicki to kancelaria prawna specjalizująca się we wdrożeniach RODO w firmach. Dokonujemy audytu prawnego i IT, przygotowujemy niezbędną dokumentację wewnętrzną oraz szkolimy pracowników. Dołożymy wszelkich starań, aby pracownicy zdobyli niezbędną wiedzę na temat RODO i czuli się pewnie podczas wykonywania swoich codziennych obowiązków.