Ochrona danych osobowych a konieczność powołania Inspektora Ochrony Danych Osobowych, co przedsiębiorcy powinno wiedzieć o RODO i jakich obowiązków dopełnić

Ogólne rozporządzenie o ochronie danych (RODO) obejmuje wszystkich przedsiębiorców, bez względu na skalę ich działalności. Obowiązki RODO dotyczą zarówno globalnych korporacji, jak i jednoosobowych firm. W tym artykule omówimy kluczowe obowiązki mikroprzedsiębiorcy wynikające z przepisów unijnego rozporządzenia.

Obowiązki RODO - wyznaczenie Inspektora Ochrony Danych

Może się okazać, że nawet podmiot prowadzący jednoosobową działalność gospodarczą będzie zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD). Podmioty prywatne muszą wyznaczyć IOD w dwóch sytuacjach. Mianowicie gdy główna działalność administratora lub podmiotu przetwarzającego (tzw. procesora) polega na:

  • operacjach przetwarzania na dużą skalę. To ze względu na swój charakter, zakres lub cele wymagają one regularnego i systematycznego monitorowania osób, których dane dotyczą;
  • przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Pewne trudności interpretacyjne może stwarzać pojęcie „dużej skali”. Zgodnie z motywem 91 RODO operacje przetwarzania o dużej skali to operacje, „które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika”.

Inspektor Ochrony Danych pełni kluczową funkcję w procesie zapewnienia rozliczalności przez administratora danych. Wyznaczenie IOD, nawet jeśli nie ma prawnego obowiązku jego wyznaczenia, znacząco ułatwia przestrzeganie przez administratora obowiązujących przepisów. Kancelaria Adwokatów i Radców Prawnych Halaś i Wspólnicy oferuje wsparcie RODO w każdym procesie przetwarzania. Świadczy również usługi zewnętrznego Inspektora Ochrony Danych.

RODO dotyczy zarówno dużych korporacji, jak i jednoosobowych działalności gospodarczych. Artykuł wyjaśnia obowiązki mikroprzedsiębiorców, takie jak konieczność wyznaczenia Inspektora Ochrony Danych w określonych przypadkach, zgłaszanie naruszeń ochrony danych osobowych, tworzenie i aktualizacja dokumentacji RODO oraz współpraca z organem nadzorczym. Prawidłowe wdrożenie zasad RODO nie tylko chroni dane osobowe, ale także pozwala uniknąć kar.

Zgłaszanie naruszeń ochrony danych

Obowiązki RODO przewidują też zgłaszania wszelkich naruszeń ochrony danych osobowych. W przypadku zaistnienia takiego incydentu należy dokonać oceny ryzyka naruszenia praw i wolności osoby, której danych to dotyczyło. Jak postępować w zależności od skali wykroczenia?

  • Zgłaszanie naruszeń ochrony danych – średnie ryzyko

Powoduje konieczność pisemnego zgłoszenia incydentu do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych za pomocą dedykowanego formularza. Bezwzględnie należy przestrzegać terminów na dokonanie zgłoszenia. Administrator ma 72 godziny od stwierdzenia zaistnienia naruszenia. Jest to termin wprost wskazany w przepisach RODO. Zgłoszenie po czasie wymaga dołączenia uzasadnienia przyczyn opóźnienia. Organ nadzorczy ma prawo wymierzyć administracyjną karę pieniężną za niezgłoszenie naruszenia w terminie. Istnieje możliwość dokonania zgłoszenia wstępnego, gdy nie mamy jeszcze wszystkich niezbędnych informacji.

  • Zgłaszanie naruszeń ochrony danych – wysokie ryzyko

W tym przypadku poza Prezesem Urzędu Ochrony Danych należy także zawiadomić na piśmie osobę, której dane naruszono o incydencie i możliwych konsekwencjach.

Każdy przedsiębiorca przetwarzający dane osobowe, niezależnie od skali działalności, podlega przepisom RODO. Mikroprzedsiębiorcy powinni zwrócić uwagę na obowiązek dokumentowania procesów przetwarzania, zgłaszania naruszeń oraz, w określonych przypadkach, wyznaczenia Inspektora Ochrony Danych. Artykuł podkreśla, jak ważne jest dostosowanie polityki ochrony danych do specyfiki działalności i jej regularna aktualizacja. Właściwe podejście do RODO pozwala uniknąć ryzyk i kar finansowych.

Obowiązki mikroprzedsiębiorcy – dokumentacja RODO

Niewątpliwie wdrożenie RODO wiąże się z wdrożeniem odpowiedniej dokumentacji. Administrator musi być w stanie wykazać, że przetwarza dane zgodnie z RODO.

Najczęściej stosowanym dokumentem w przedsiębiorstwach jest Polityka ochrony danych (nazywana też Polityką bezpieczeństwa danych osobowych). Mylnie nieraz nazywa się ją Polityką Prywatności. Polityka ochrony danych jest dokumentem wewnętrznym przedsiębiorstwa. Określa zasady i sposób postępowania z danymi osobowymi przez administratora, jego pracowników i współpracowników. Polityka Prywatności jest zaś aktem upublicznionym na stronie internetowej, który reguluje podstawowe zasady przetwarzania danych przez administratora. Często można w niej znaleźć zapisy o plikach cookies. Niekiedy zaś administratorzy tworzą odrębną politykę przetwarzania „ciasteczek”.

Podczas prowadzonych audytów nieraz zdarza się, że mikroprzedsiębiorcy także nie przeprowadzają obowiązkowej analizy ryzyka. Niestety nadal wielu przedsiębiorców zakupuje gotowy pakiet dokumentacji RODO. Natępnie nie dostosowuje jej należycie do profilu swojej działalności, a później nie poddaje regularnym przeglądom i aktualizacjom. W celu stworzenia odpowiedniej dokumentacji należy poznać sposób funkcjonowania danego przedsiębiorstwa oraz zachodzące procesy przetwarzania.

Stworzenie rejestru czynności przetwarzania czy rejestru kategorii przetwarzania (rejestrów wymaganych wprost przez RODO) wymaga bieżącego aktualizowania. Choćby poprzez dodanie informacji o nowych procesach przetwarzania, odbiorcach danych, podmiotach przetwarzających, współadministratorach, czy dodanie informacji o przekazywaniu danych do państwa trzeciego lub organizacji międzynarodowej i stosowanych zabezpieczeniach danych osobowych.

Mikroprzedsiębiorcy, podobnie jak większe podmioty, muszą przestrzegać przepisów RODO. W artykule opisano kluczowe obowiązki, takie jak prowadzenie dokumentacji zgodnej z rozporządzeniem, analiza ryzyka, a także zasady zgłaszania incydentów ochrony danych. Przedstawiono też znaczenie wyznaczenia Inspektora Ochrony Danych oraz bieżącej współpracy z organem nadzorczym. Wdrażanie RODO to nie tylko wymóg prawny, ale i element budowania zaufania klientów.

Współpraca z organem nadzorczym

Warto pamiętać, że każdy administrator ma obowiązek współpracować z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Prezes Urzędu Ochrony Danych w prowadzonych przez siebie postępowaniach przy wydawaniu decyzji administracyjnych dokonuje oceny współpracy z administratorem.

Obowiązki RODO – podsumowanie

Obowiązki mikroprzedsiębiorcy wynikające z RODO zależą od charakteru przetwarzania danych, a ich wdrożenie zwiększa bezpieczeństwo informacji. Warto zadbać o właściwą dokumentację i świadomość przepisów, by skutecznie chronić dane osobowe i uniknąć ewentualnych kar. Jeśli masz więcej pytań o obowiązki RODO, skontaktuj się z Kancelarią Halaś i Wspólnicy.