Kompletny Poradnik o Danych Osobowych dla MŚP cz.3

Dziś skupimy się na kolejnym ważnym temacie, który często budzi wiele pytań i obaw – jak w praktyce wdrożyć zasady wynikające z przepisów RODO, tak by nie narazić się na kary i sankcje? Niezaprzeczalnie w erze cyfrowej ochrona danych osobowych to nie tylko wymóg prawny, ale także element budujący zaufanie klientów. Zgodność działalności Twojej organizacji z przepisami RODO nie tylko chroni Twoją firmę przed potencjalnymi karami, ale również wzmacnia Twoją reputację jako odpowiedzialnego i godnego zaufania partnera biznesowego.

Zasady prywatności w fazie projektowania oraz w ustawieniach domyślnych

Jako administrator przed rozpoczęciem przetwarzania danych osobowych, już na etapie projektowania operacji przetwarzania danych osobowych powinieneś wdrożyć odpowiednie środki i zabezpieczenia, które zapewnią bezpieczne przetwarzanie danych osobowych. Twoja organizacja powinna również gwarantować, że domyślnie przetwarzane są tylko te dane osobowe, które są niezbędne do osiągnięcia konkretnego celu (dotyczy to ilości danych, zakresu przetwarzania, ograniczenia przechowywania i ich dostępności). Tym samym stosując zasady prywatności w fazie projektowania i domyślnie (privacy by design, privacy by default) bierze się pod uwagę i uwzględnia ochronę danych i prywatność osób fizycznych w każdym aspekcie i na każdym etapie operacji przetwarzania, w wykorzystywanych narzędziach lub w jakiejkolwiek innej działalności biznesowej. Pamiętaj, aby móc wykazać, że przestrzegasz zasad prywatności ochrony danych w fazie projektowania oraz w ustawieniach domyślnych powinieneś dysponować odpowiednią dokumentacją, o której przeczytasz poniżej. 

Rejestr czynności przetwarzania

Zgodnie z art. 30 RODO, na organizacjach spoczywa  obowiązek  prowadzenia rejestru czynności przetwarzania w formie pisemnej, w tym również dopuszczalna jest forma elektroniczna. Warto zauważyć, że obowiązek ten dotyczy zarówno administratora jak i podmiotu przetwarzającego. Obowiązek prowadzenia rejestru czynności przetwarzania nie ma zastosowania do podmiotów zatrudniających mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych. 

W rejestrze czynności przetwarzania powinny znaleźć się m.in. następujące informacje: 

• kto ma dostęp do danych (np. firmy serwisujące sprzęt, operator pocztowy, dostawca rozwiązania informatycznego); 
• kategorie przetwarzanych danych osobowych (np. dane o zdrowiu, dane o zatrudnieniu);
• czy dane są przekazywane poza Europejski Obszar Gospodarczy (EEA); 
• cele przetwarzania (np. wykonanie umowy). 

Ocena skutków dla ochrony danych (DPIA)

Pamiętaj, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to przed rozpoczęciem przetwarzania Twoim obowiązkiem jako administratora jest dokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO). Ocena skutków dla ochrony danych jest  pisemną ocenę planowanych operacji przetwarzania, której celem jest zidentyfikowanie odpowiednich zabezpieczeń, które mają zmniejszyć ryzyko naruszeń oraz wykazać zgodność z przepisami. 

Przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe w sytuacji gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W szczególności ma to miejsce: 

• w przypadku przetwarzania na dużą skalę danych wrażliwych i danych związanych dotyczące wyroków skazujących i czynów zabronionych; lub 
• w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; lub 
• w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Kodeksy postępowania i certyfikacja

W zależności od miejsca prowadzenia przez Ciebie działalności gospodarczej  mogą istnieć stowarzyszenia lub inne organy reprezentujące administratorów danych lub podmioty przetwarzające dane. Te stowarzyszenia i organy mogą przygotowywać kodeksy postępowania, które określają wytyczne dla administratorów i podmiotów przetwarzających w jaki sposób obchodzić się z danymi osobowymi zgodnie z zasadami przewidzianymi przez RODO. 

Aby wykazać przestrzeganie przepisów RODO możesz również uzyskać certyfikat zgodności operacji przetwarzania danych osobowych. Przyznany certyfikat zgodności operacji przetwarzania danych przeprowadzanych przez organizację jest ważny przez maksymalnie 3 lata, ale może zostać odnowiona lub cofnięta. Aby zachować tę certyfikację, organizacja musi stale i konsekwentnie stosować w praktyce środki związane z operacją ochrony danych, która została certyfikowana.

Podsumowanie

Dbanie aby Twoja organizacja działała zgodnie z przepisami dotyczącymi ochrony danych osobowych może wydawać się wyzwaniem, ale jest kluczowym elementem odpowiedzialnego i nowoczesnego prowadzenia biznesu. Odpowiednie wdrożenie obowiązków wymaganych przez RODO niesie szereg korzyści, gdyż minimalizuje ryzyko naruszeń danych osobowych w Twojej organizacji.

Jeśli masz pytania lub potrzebujesz wsparcia w implementacji dokumentacji, nie wahaj się skontaktować z nami. Jesteśmy tu, aby pomóc Ci bezpiecznie i skutecznie zarządzać danymi osobowymi w Twojej firmie.