RODO w firmie – przede wszystkim bezpieczeństwo i zdrowy rozsądek

Niedługo miną dwa miesiące od rozpoczęcia stosowania unijnego rozporządzenia o ochronie danych osobowych, zwanego RODO. W tym czasie chyba każdy spotkał się z koniecznością dokonania pewnych czynności związanych z nowymi regulacjami – od zaakceptowania znowelizowanych polityk prywatności witryn internetowych, po sporządzenie dodatkowej dokumentacji w zakresie ochrony danych w urzędzie, czy przedsiębiorstwie. Jednocześnie wokół RODO narosło wiele mitów, które bywają wykorzystywane do oszukiwania mniej świadomych przedsiębiorców, czy do doprowadzania do różnych absurdalnych sytuacji. Co zrobić aby nie popadając w paranoje nie narazić się na odpowiedzialność prawną za przekroczenie unormowań RODO? 

Jak podają media do nowopowołanego Urzędu Ochrony Danych Osobowych tylko do końca czerwca wpłynęło 756 skarg związanych z nieprzestrzeganiem przepisów o ochronie danych osobowych oraz ponad 600 pytań dotyczących stosowania nowych regulacji. Liczby te dobrze ilustrują skalę problemów i zamieszania wywołanego nowymi przepisami. Z informacji przekazywanych mediom przez rzeczniczka Urzędu Ochrony Danych wynika, że skargi dotyczą głownie omyłkowego skierowania korespondencji (elektronicznej i tradycyjnej), braku anonimizacji danych publikowanych w Biuletynie Informacji Publicznej, udostępnienia dokumentacji medycznej osobom nieuprawnionym, czy zagubienia dokumentów. Oczywiście te sytuacje były nieprawidłowościami także na gruncie poprzedniego stanu prawnego, co nie zmienia faktu, że przedsiębiorcy muszą pamiętać o wielu nowych obowiązkach.

Podstawowa kwestia: bezpieczeństwo danych i prawo do bycia zapomnianym

Dotyczą one wszystkich sfer działalności przedsiębiorstwa – od rekrutacji pracowników, prowadzenia dokumentacji tych, którzy już świadczą pracę na relacjach z klientami kończąc. W zakresie „pracowniczego” przetwarzania danych pracodawca musi pamiętać przede wszystkim, że na etapie rekrutacji można przetwarzać tylko te dane, które są bezwzględnie potrzebne do wybrania osoby na dane stanowisko. Jednocześnie, aby móc w przyszłości przetwarzać dane kandydata pracodawca musi uzyskać od niego na to zgodę. Zasady te dotyczą świadczących pracę nie tylko na podstawie umowy o pracę, ale również jakiegokolwiek innego stosunku (np. umowy cywilnoprawnej). Warto, że wszyscy pracodawcy mający wątpliwości w zakresie ochrony danych wzięli udział w tworzeniu specjalnie dla nich przeznaczonego poradnika. Pytania i wątpliwości, które posłużą do jego przygotowania można zgłaszać do 17 sierpnia Urzędowi Ochrony Danych Osobowych.

Jednak jednym z podstawowych problemów przed którym muszą stanąć wszyscy przetwarzający dane jest realizacja prawa do bycia zapomnianym. Zgodnie z RODO osoba, która dane dotyczą ma prawo żądać zaprzestania przetwarzania jej danych (w tym ich przechowywania) nie podając żadnego uzasadnienia swojej decyzji. Oczywiście zasada ta dotyczy także danych przetwarzanych na potrzeby marketingowe. Każdy przedsiębiorca wysyłający tego typu informacje musi pamiętać, że niezwłocznie po wycofanie zgody klienta na tego typu przetwarzania musi jego adres usunąć np. z listy mailingowej oraz z bazy danych. Oczywiście praktyka stosowania nowych regulacji przesądzi o ich faktycznym znaczeniu, jednak z pewnością nie należy ich demonizować. Delegowanie osoby odpowiedzialnej za przetwarzanie danych w firmie, zachowanie podstawowych standardów ochrony, zwłaszcza uzyskanie stosownych zgód na ich przetwarzanie i zapewnienie ich podmiotom realizacji praw, zwłaszcza do „bycia zapomnianym” powinno uchronić przedsiębiorcę przed problemami.

Jacek Kosiński
Jacek Kosiński