Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w znacznym stopniu zmieniło podejście do tego zagadnienia. Obecnie coraz większą wagę przykłada się do zabezpieczenia danych osobowych w firmie, ponieważ wszelkiego typu zaniedbania grożą wysokimi karami.
Funkcjonowanie firm a RODO i ustawa o ochronie danych osobowych
Większość współcześnie działających przedsiębiorców od czasu wejścia w życie RODO stara się realizować w swojej firmie politykę ochrony danych osobowych. Nowa ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku, która zlikwidowała instytucję Generalnego Inspektora Ochrony Danych Osobowych na rzecz Prezesa Urzędu Ochrony Danych Osobowych, wymusiła wprowadzenie nowych zasad ochrony danych osobowych w przedsiębiorstwach.
Warto wiedzieć, kogo dotyczą przepisy o ochronie danych osobowych. RODO i ustawa o ochronie danych nie precyzują bezpośrednio, kogo dotyczą wyżej wymienione regulacje, natomiast wskazują katalog podmiotów, które są wyłączone z obowiązku ich przestrzegania. Zgodnie z treścią artykułu 2 i artykułu 3 RODO, ustawą tą objęty jest każdy przedsiębiorca, który prowadzi działalność gospodarczą, bez względu na jej wielkość, zakres działania, czy liczbę zatrudnionych pracowników z tytułu umowy o pracę, umowy zlecenia, czy umowy o dzieło. Katalog wyłączający stosowanie RODO jest bardzo wąski.
RODO nie obejmuje działalności nieobjętych zakresem prawa Unii Europejskiej. Nie ma też zastosowania wobec osób fizycznych w ramach czynności, które wykonują o charakterze czysto domowym lub osobistym. Należy mieć świadomość, że przepisy RODO obowiązują także przedsiębiorców prowadzących jednoosobową działalność gospodarczą.
Na jakie działania względem danych osobowych zezwalają przepisy RODO?
W związku z nowelizacją przepisów o ochronie danych osobowych, warto wiedzieć, czym jest ten proces na gruncie RODO. Przetwarzanie dotyczy operacji bądź też zestawu procesów wykonywanych na danych osobowych w sposób niezautomatyzowany bądź też zautomatyzowany. Do działań tych zalicza się wykorzystywanie danych osobowych, ich ujawnianie poprzez przesłanie, modyfikację, przeglądanie, gromadzenie, utrwalanie, rozpowszechnianie, dopasowywanie, udostępnianie, jak również ograniczanie dostępu, łączenie, usuwanie lub niszczenie. Na gruncie RODO przetwarzanie danych osobowych oznacza zatem szereg różnego typu procesów ingerujących bezpośrednio w dane osobowe.
W artykule 6 RODO przewidzianych jest kilka okoliczności, które uprawniają dany podmiot do przetwarzania danych osobowych z perspektywy przedsiębiorcy. Zachodzi tutaj konieczność pozyskania zgody na przetwarzanie danych osobowych od podmiotu, którego dane te dotyczą. Możliwe jest także przetwarzanie danych osobowych wówczas, gdy jest to proces konieczny do zrealizowania umowy, transakcji bądź też innego procesu mającego konkretne skutki prawne, ekonomiczne bądź finansowe.
Kim jest administrator danych osobowych?
Przedsiębiorca, jako administrator danych osobowych, jest osobą fizyczną lub prawną, która samodzielnie bądź też wspólnie z innymi ustala, jakie cele i sposoby przetwarzania danych osobowych zachodzą w jego firmie. Należy nadmienić, że administratorem danych osobowych w JDG jest osoba fizyczna, będąca właścicielem. W przedsiębiorstwach posiadających formę prawną w postaci spółek z ograniczoną odpowiedzialnością, spółek jawnych, komandytowych, a także spółek z kapitałem zagranicznym, obowiązki administratora pełni zarząd. Administrator odpowiada za wejście w życie procedur bezpieczeństwa, jak również realizację aktów prawnych, powiązanych z ochroną danych osobowych. Z ramienia administratora ustala się także cel i zakres przetwarzania danych osobowych, jak również możliwość ich prawidłowego przetwarzania. Warto zwrócić uwagę również na to, że administrator może powierzyć przetwarzanie danych osobowych swoich klientów pracowników czy kontrahentów zewnętrznemu podmiotowi przetwarzającemu.
Ochrona danych osobowych wymaga stosowania się do istniejących aktów prawnych i procedur. Dzięki temu administrator danych osobowych może nimi swobodnie zarządzać.
