Kancelaria Prawna Radkiewicz Adwokaci i Radcowie Prawni w ramach usługi — obsługa prawna firm — oferuje m.in. firmom z Warszawy i okolic szereg usług z zakresu ochrony danych osobowych. Wśród szerokiej gamy naszej oferty znajduje się również możliwość przeprowadzenia audytów pod względem zgodności z RODO u przedsiębiorców, zarówno spółek, jak i osób fizycznych prowadzących działalność gospodarczą. W ramach powyższych usług udzielamy wsparcia w dostosowaniu dokumentacji do wymagań rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”) oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. Zlecając czynności Kancelarii Prawnej Radkiewicz Adwokaci i Radcowie Prawni otrzymają Państwo komplet dokumentacji wymaganej przepisami RODO (np. rejestr czynności przetwarzania danych osobowych) oraz procedury wprost niewymagane przez RODO, ale zalecane przez polski organ nadzoru, takie jak procedura zarządzania systemem informatycznym.
Przetwarzanie danych osobowych zgodnie z RODO
Aby dobrze zrozumieć, czym jest przetwarzanie danych osobowych, najpierw należy zdefiniować sobie czym jest w ogóle dane osobowe oraz jakie informacje mogą za takie dane zostać uznane. Zgodnie z definicją zawartą w RODO danymi osobowymi są takie informacje o osobie fizycznej, które służą do jej zidentyfikowania lub umożliwiają jej zidentyfikowanie. Wśród przykładowego katalogu zawartego w przepisach RODO unijny ustawodawca wskazuje m. in. na imię i nazwisko danej osoby, jej numer telefonu, jej adres e‑mail czy adres korespondencyjny. Obowiązujące przepisy prawne wskazują na konieczność ochrony danych, za pomocą których można zidentyfikować dany podmiot.
Przetwarzanie danych osobowych RODO definiuje natomiast jako operację lub zestaw operacji. Operacje te muszą być wykonywane na danych osobowych. Wśród przykładowego katalogu operacji, jakie podają przepisy RODO znalazły się następujące czynności:
- zbieranie danych osobowych;
- przechowywanie danych osobowych;
- przeglądanie danych osobowych itp.
Katalog zawarty w RODO jest otwarty, zatem również inne czynności wykonywane na danych osobowych mogą zostać uznane za ich przetwarzanie.
Prawa i obowiązki wprowadzone przepisami RODO
Należy mieć świadomość, iż RODO jest rozporządzeniem Unii Europejskiej i jest stosowany bezpośrednio we wszystkich państwach członkowskich UE. Reguluje on swobodę przepływu danych osobowych, a w szczególności ich ochronę.
Analizowany akt prawny wprowadza nowe obowiązki dla przetwarzających dane osobowe a jednocześnie prawa dla osób, których dane są przetwarzane. Wśród obowiązków wskazanych w RODO wprowadzono konieczność prowadzenia przez administratorów danych osobowych oraz procesorów szczegółowej dokumentacji świadczącej o zgodności przetwarzania przez nich danych osobowych z obowiązującymi przepisami prawnymi, którą to Kancelaria sporządza w ramach pełnego audytu RODO.
Obowiązki administratorów danych osobowych i procesorów
W pierwszej kolejności wartym wyjaśnienia jest kto jest administratorem danych osobowych. Przepisy RODO za administratora danych uznają każdy podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Zabrakło w nich jednak doprecyzowania czym jest „ustalanie celów”. Może to w praktyce stwarzać szereg problemów interpretacyjnych, zatem ferowanie opinii w zakresie czy dany podmiot posiada przymiot administratora danych osobowych winno być dokonywane w oparciu o konkretne okoliczności.
Wśród szeregu obowiązków, jakie zostały nałożone na administratora danych osobowych znalazł się obowiązek:
- wdrażania środków technicznych i organizacyjnych odpowiednich dla przetwarzania danych osobowych posiadanych przez podmiot (np. na podstawie przeprowadzonego uprzednio audytu;
- wyznaczenia inspektora ochrony danych osobowych;
- prowadzenia rejestru czynności przetwarzania, gdy jest to wymagane;
- przeprowadzenia analizy ryzyka naruszenia danych osobowych posiadanych przez administratora.
Zgodnie z RODO procesorem czyli podmiotem przetwarzającym jest każdy kto przetwarza dane osobowe w imieniu administratora, a kto nie jest jego pracownikiem (np. usługi outsourcingu). Wśród obowiązków takiego podmiotu jest m. in. prowadzenie rejestru kategorii czynności przetwarzania.
Ocena skutków dla ochrony danych
Jak wskazano powyżej na administratorów danych osobowych został nałożony obowiązek przeprowadzenia oceny analizy ryzyka naruszenia ochrony danych osobowych. Ocena taka zawiera szereg elementów wskazanych w RODO, wśród których jest opis planowanych operacji przetwarzania i jego celów. Nadto dokonuje się w niej oceny ryzyka i wskazuje planowane środki zaradcze dostosowane do stwierdzonych ryzyk. Obowiązek taki istnieje, gdy rodzaj przetwarzania danych osobowych, jaki działa u danego przedsiębiorcy z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw osób. Celem wyjaśnienia za wysokie ryzyko naruszenia praw osób uznaje się przetwarzanie danych szczególnych (np. o stanie zdrowia), ale musi ono być wykonywane na dużą skalę. Przeprowadzenie takiej oceny z całą pewnością będzie pomocne dla całościowej oceny dokonywanej w ramach audytu ochrony danych osobowych.
Rejestr czynności przetwarzania
Zasadą jest, iż prowadzenie rejestru czynności przetwarzania jest elementem obligatoryjnym każdego podmiotu przetwarzającego dane osobowe. Wyjątki od takiej zasady zostały uwzględnione w przepisach RODO, do których należy okoliczność, podmioty zatrudniają mniej niż 250 osób. Zwolnienie takie nie będzie jednak przysługiwać, gdy przetwarzanie danych osobowych przez taki podmiot powodować będzie ryzyko naruszenia wolności lub praw osób, których dane dotyczą. Ustaleniu czy okoliczności takie zachodzą z całą pewnością pomóc może przeprowadzony u danego przedsiębiorcy audyt RODO, w trakcie którego analizuje się, czy i w jakim stopniu w firmie przestrzegane są zasady przetwarzania danych osobowych, w tym przepisy ustawy o ochronie danych osobowych.
Obowiązek wyznaczenia inspektora ochrony danych osobowych
Jeżeli w ramach głównej działalności podmiotu przetwarza on dane osobowe, które związane są z monitorowaniem osób (monitorowanie to jest regularne i systematyczne) bądź przetwarza szczególne kategorie danych na dużą skalę to taki podmiot jest zobowiązany do powołania inspektora ochrony danych osobowych. Mając na uwadze niejednoznaczność użytych w przepisach Rozporządzenia sformułowań, zalecamy przeprowadzenie audytu zgodności z RODO w swojej firmie, aby sprawdzić, czy powołanie inspektora ochrony danych osobowych jest przez danego przedsiębiorcę obligatoryjne.
Podsumowanie
RODO wprowadza szereg obowiązków nałożonych na administratorów oraz podmioty przetwarzające celem ochrony danych osobowych przez nich przetwarzanych. Podmioty te są bowiem obowiązane do wdrożenia takich działań, aby zapewnić odpowiedni stopień bezpieczeństwa danych osobowych, które zgromadzili w ramach prowadzonej przez siebie działalności gospodarczej. Jednym z elementów takich działań jest cykliczne przeprowadzanie audytów RODO, podczas których badana jest dotychczasowa działalność przedsiębiorcy pod względem jej zgodności z RODO oraz udzielana pomoc we wdrożeniu procedur mających na celu eliminację dotychczasowych błędów pojawiających się u podmiotu badanego. Takie właśnie audyty ochrony danych osobowych są przeprowadzane przez Kancelarię Prawną Radkiewicz Adwokaci i Radcowie Prawni m.in. dla klientów z Warszawy i okolic.
Powrót do podstrony — szkolenie RODO