Pani Anna Kowalska stanęła przed problemem, jak przetwarzać dane osobowe klientów zgodnie z RODO w małej firmie szkoleniowej? Jako mikroprzedsiębiorca prowadzi działalność gospodarczą w oparciu o wpis do Centralnej Ewidencji i Informacji o Działalności Gospodarczej. Posiada bazę danych klientów: są to np. architekci, ale i pracownicy różnych instytucji (np. urzędnicy), korzystający wcześniej z jej szkoleń.

Pani Anna myśli o dalszym rozwoju firmy, musi więc zdobywać nowych klientów. W związku z wejściem w życie unijnego rozporządzenia o ochronie danych osobowych (RODO) zastanawia się, jak to robić zgodnie z nowymi przepisami. Znaczna liczba niewiadomych spowodowała, że pani Anna postanowiła spotkać się z radcą prawnym.

• Etap 1 Przedstawienie problemów

Zapraszając prawnika na spotkanie, pani Anna miała nadzieję, że rozmowa z nim pozwoli jej na rozwianie najważniejszych wątpliwości. Dobrze się do spotkania przygotowała. Sporządziła też listę swoich pytań i wątpliwości, którą przesłała do kancelarii.
Przede wszystkim chciała się dowiedzieć, jak nawiązać kontakt z potencjalnymi klientami. Czy np. może wysłać e-mail do potencjalnego klienta (architekta, lekarza, urzędnika, pracownika instytucji), którego adres znalazła np. na stronie internetowej? Czy i w jaki sposób należy prawidłowo wypełnić obowiązek informacyjny względem nowego klienta będącego osobą fizyczną? Pani Anna zastanawia się również, jak prawidłowo pozyskać zgody i jak je archiwizować.
Kolejna grupa pytań dotyczyła już istniejącej i mozolnie zbieranej bazy teleadresowej klientów. Pani Anna co pewien czas do nich dzwoni i zaprasza ich na kolejne szkolenia. Czy konieczne jest dostosowanie tejże bazy danych do wymogów RODO?
Z kolei przy organizacji niektórych przedsięwzięć pani Anna otrzymuje listę uczestników od administratora, np. instytucji, dla której szkolenie będzie prowadzone. Zastanawia się, czy w takim przypadku powinna podpisać umowę powierzenia przetwarzania tych danych osobowych.
Ostatnia grupa pytań dotyczy dokumentacji, jaką firma powinna posiadać zgodnie z RODO. Czy pani Anna powinna prowadzić rejestr czynności przetwarzania i co w nim zapisywać? Czy przepisy przewidują jeszcze inne obligatoryjne dokumenty z zakresu ochrony danych osobowych?
Mecenas przybył na spotkanie z listą wcześniej otrzymanych pytań w ręku.
– Dzień dobry, dziękuję, że znalazł pan dla mnie czas w tak gorącym, jak się domyślam, dla pana czasie – przywitała go właścicielka firmy.
– Tak, temat RODO wciąż sprawia przedsiębiorcom olbrzymie problemy – odparł mecenas.
– Wiem coś o tym. Jak wspomniałam już w rozmowie telefonicznej, potrzebuję kompleksowej porady w związku z RODO. Przeczytałam rozporządzenie, wiele artykułów, brałam też udział w szkoleniu, jednak wiele spraw nadal jest dla mnie niejasnych – stwierdziła pani Anna.
– Nie dziwi mnie to – odparł prawnik. – Zapoznałem się z przesłanymi pytaniami i dokumentami. Muszę panią pochwalić. To dobrze, że na stosowanych formularzach dla uczestników szkoleń są klauzule pozwalające na udzielenie zgody na przetwarzanie danych osobowych, również na cele marketingowe. Ale warto je jednak dostosować do obecnych wymogów.

• ETAP 2 Przedstawienie możliwych rozwiązań

– Cieszę się, że nie musimy zaczynać od zera – kontynuowała pani Anna. – Kluczowe jest dla mnie jednak to, czy i jak mogę pozyskiwać dane osobowe od potencjalnych klientów. Czy bez uzyskania ich zgody na przetwarzanie danych osobowych nie mogę absolutnie nic zrobić?
– RODO nie jest aż tak stanowcze. Rozporządzenie przewiduje bowiem kilka różnych przesłanek pozwalających na przetwarzanie danych osobowych. Jedną z nich, ale nie jedyną, jest zgoda osoby, której dane podlegają przetwarzaniu… – rozpoczął odpowiedź radca prawny.
– Czy zatem nie potrzebuję zgody na zbieranie danych z internetu i mogę swobodnie z tych danych osobowych korzystać? – przerwała pani Anna.
– Sprawa jest bardziej skomplikowana – ciągnął dalej prawnik. – W tym przypadku mogłaby pani powołać się na przesłankę prawnie uzasadnionych interesów realizowanych przez administratora danych, konkretnie zaś na realizację celu marketingowego, ale nie zamyka to sprawy.

co na to prawo? rada 1

– Domyślam się, że chodzi o obowiązek informacyjny, tak? – pytała dalej klientka.
– W pierwszej kolejności tak, ale nie tylko o to obostrzenie tu chodzi – odpowiedział mecenas. – Obowiązek informacyjny trzeba spełnić niezależnie od podstawy, na której dane osobowe są przetwarzane. Z tą istotną różnicą, że jeżeli stanowi ją cel marketingowy, to osobie, której dane zostały zebrane, przysługuje prawo sprzeciwu. O czym rzecz jasna należy wskazać w treści przekazywanej jej informacji. Skorzystanie z tego prawa przez klienta niestety uniemożliwia dalsze przetwarzanie danych w tym celu.

co na to prawo? rada 2

– I to wszystko? – dopytywała pani Anna.
– Niestety nie, są jeszcze inne obostrzenia – kontynuował radca prawny. – I, co gorsza, nie wynikają wcale z RODO. Zgodnie bowiem z ustawą o świadczeniu usług drogą elektroniczną zakazane jest przesyłanie niezamówionej informacji handlowej do konkretnego odbiorcy będącego osobą fizyczną, za pośrednictwem m.in. poczty elektronicznej. Podobnie rzecz się ma w odniesieniu do wykorzystywania telefonów do marketingu bezpośredniego. W obu przypadkach konieczne jest posiadanie zgody adresata lub odbiorcy.
– A co to oznacza w praktyce? – zapytała klientka. – Z jednej strony mogę pobrać legalnie dane kontaktowe z internetu, z drugiej jednak nie mogę z nich korzystać. Trochę to dziwne.
– Spieszę z wyjaśnieniami – kontynuował prawnik. – Kolejność w takim przypadku powinna być następująca: po pobraniu danych osobowych należy wysłać osobie, której te dane dotyczą informacje wymaganą przez RODO. Jeżeli nie wniosła sprzeciwu, to możliwe jest przetwarzanie danych osobowych takiej osoby. Jednakże, jeżeli chciałaby pani wysłać jej informację handlową mailem lub zadzwonić z ofertą udziału w szkoleniu, to czynność taką należy poprzedzić pytaniem o zgodę.
– Czyli mogę zadzwonić po prostu z pytaniem o zgodę? – dociekała Pani Anna.
– Ta kwestia już od dawna budzi kontrowersje. Z uwagi na brzmienie art. 172 ust. 1 prawa telekomunikacyjnego należałoby przyjąć, że jeżeli przedsiębiorca chce prezentować swoją ofertę przez telefon, to musi już przed pierwszą tego typu rozmową mieć zgodę na kontakt w celu marketingu bezpośredniego. Jednak przyjąć by można, że jeżeli kontakt jest ograniczony tylko do samego pytania o możliwość przedstawienia oferty produktu X, a w przypadku negatywnej odpowiedzi rozmowa nie jest kontynuowana, to nie ma podstaw do traktowania zapytania jako marketingu bezpośredniego. Wskazany przepis mówi bowiem o tym, że zakazane jest używanie m.in. telefonu dla celów marketingu bezpośredniego, chyba że odbiorca komunikatu uprzednio wyraził na to zgodę. Co ważne, zgoda musi być jasna, utrwalona oraz możliwa do cofnięcia w każdym czasie. Rzecz jasna kluczowa będzie treść konkretnego komunikatu, nie sposób zatem wyprowadzić tu jednolitej reguły, która każdorazowo znajdzie zastosowanie – tym razem wywód prawnika był dłuższy.
– Aha, wydaje mi się, że da się zmienić sposób naszego postępowania tak, aby uwzględniał wszystkie wskazane wymogi – odpowiedziała pani Anna. – A co z dotychczasową bazą klientów? Muszę ich usunąć czy powiadomić o przetwarzaniu danych osobowych?
– Podobnie jak w poprzednim przypadku, sprawa nie jest tak prosta – odpowiedział prawnik. – Należy bowiem rozpocząć od weryfikacji bazy pod kątem legalności danych osobowych w niej przechowywanych. Jeżeli znajdują się tam dane osobowe gromadzone na innej podstawie niż zgoda osoby, której one dotyczą, to okres ich legalnego przechowywania mógł już upłynąć.
– O, to jest ta retencja danych!? – wyrwało się pani Annie.
– Właśnie tak. Zgodnie z RODO dane osobowe mogą być przetwarzane jedynie przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane – kontynuował mecenas. – Jeżeli na przykład dane osobowe przetwarzane są w związku z zawartą umową, to jej wygaśnięcie powoduje odpadnięcie tej przesłanki. W takim przypadku podstawą prawną dalszego przechowywania danych stanowić może np. obowiązek ciążący na administratorze (np. przechowywania dokumentacji księgowej) – do czasu jego wygaśnięcia, bądź jego uzasadniony interes polegający na zapewnieniu możliwości dochodzenia roszczeń wynikłych z umowy (np. później ujawnione wady, gwarancja itp.) – do czasu ich przedawnienia. Upływ stosownych okresów czyni koniecznym usunięcie danych osobowych.
– Rozumiem – dociekała pani Anna. – Jednak dane osobowe w mojej bazie przechowuję bądź na podstawie wyraźnej zgody odbieranej na specjalnym formularzu bądź bez takiej zgody. Ani umowa, ani obowiązki księgowe bądź przedawnienie w zasadzie nie wchodzą w grę. Rozumiem, że tam, gdzie mam zgodę, nie ma problemu. A co z resztą wpisów w bazie?

co na to prawo? rada 3

– Co prawda, zgoda udzielona na gruncie poprzednio obowiązującej regulacji pozostaje co do zasady ważna – rozpoczął radca prawny. – Niemniej jednak należy zweryfikować, czy odebrano ją w sposób dobrowolny, tzn. np. czy nie była częścią umowy, co do której strona nie mogła się wypowiedzieć. Nadto konieczne jest wykonanie obowiązku informacyjnego. Odnośnie zaś do danych osobowych zebranych na potrzeby marketingu bezpośredniego własnych usług to przesłanka ta w nieco bardziej rygorystycznej wersji kryje się obecnie pod pojęciem prawnie uzasadnionych interesów realizowanych przez administratora. Także i w tym przypadku kluczowe jest wykonanie obowiązku informacyjnego, ze wskazaniem w nim prawa do wniesienia sprzeciwu. Co więcej, należy pamiętać o konieczności dysponowania zgodami wymaganymi przez przywoływane już przeze mnie ustawy szczególne.
– W porządku, przejrzę niezwłocznie swoją bazę danych. Przejdźmy zatem do kwestii powierzenia danych osobowych – powiedziała klientka.
– Umowy tego typu zawierane są pomiędzy administratorem danych osobowych a podmiotem przetwarzającym, zwanym także procesorem – wyjaśnił mecenas. – Najlepiej zależność tą przedstawić na przykładzie pani współpracy z biurem rachunkowym. Pani, będąc administratorem danych osobowych swoich pracowników i klientów, powierza ich przetwarzanie księgowej, określając cele, w których to przetwarzanie ma następować. Księgowa może przetwarzać te dane tylko w zakresie wynikającym z umowy i dodatkowo w imieniu administratora danych. Wystawiane przez księgową faktury bądź składane deklaracje podatkowe i opłacane podatki lub składki dokonywane są w imieniu pani jako pracodawcy, podatnika bądź płatnika składek. Innymi słowy, księgowa wykonuje pewne czynności za panią, nie zaś we własnym imieniu.
– Hmm – zadumała się pani Anna. – Czyli jak organizuję szkolenie, to raczej nie jestem tym procesorem, bo przygotowuję je we własnym imieniu. Co w takim przypadku powinnam robić?
– Ma pani rację – odpowiedział prawnik. – W przypadku szkoleń organizowanych przez pani firmę, na które zapisują się dobrowolnie poszczególni uczestnicy, to pani występuje w roli administratora ich danych osobowych. Jeżeli zatem np. pracodawca przekazuje pani dane osobowe swoich pracowników zainteresowanych konkretnym szkoleniem, to powinien czynić to za ich zgodą. Dochodzi wtedy do udostępnienia danych osobowych innemu administratorowi danych. Można to rozwiązać przez zamieszczenie stosownego pola i informacji na formularzu zgłoszenia. Taki formularz może też zawierać informację o przetwarzaniu danych osobowych, o której rozmawialiśmy wcześniej.
– Rozumiem, wydaje się to jasne. Chcę jeszcze spytać o kwestię dokumentacji, jaką powinnam mieć u siebie – kontynuowała pani Anna.
– Bez wątpienia powinna pani zadbać o posiadanie kilku dokumentów, które wykażą, że odpowiednio pani dba o bezpieczeństwo danych – rozpoczął odpowiedź radca prawny. – Mam tu na myśli politykę bezpieczeństwa, która opisuje sposoby przetwarzania danych osobowych oraz domyślny poziom ochrony danych wprowadzony przez panią w firmie, oraz procedurę postępowania w przypadku naruszenia bezpieczeństwa danych osobowych wraz z rejestrem naruszeń. Należy również pamiętać o wydaniu upoważnień do przetwarzania danych osobowych wszystkim pracownikom dopuszczonym przez panią do danych osobowych, a także zawarciu umów powierzenia danych osobowych do przetwarzania tam, gdzie jest to konieczne.

co na to prawo? rada 4

– A co z rejestrem czynności przetwarzania? – wtrąciła pani Anna.
– RODO przewiduje, że tego dokumentu nie mają obowiązku prowadzić przedsiębiorcy i podmioty zatrudniające mniej niż 250 osób – wyjaśnił mecenas. – Jednak jednocześnie zastrzega, że z wyłączenia tego nie mogą korzystać podmioty, gdy m.in. przetwarzanie danych może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, albo nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych. Zwłaszcza owa przesłanka braku sporadycznego przetwarzania danych osobowych, a także możliwość wystąpienia ryzyka przy przetwarzaniu danych przy użyciu narzędzi internetowych i aplikacji komputerowych, sprawiają, że zalecam prowadzenie tych rejestrów w pani firmie.

co na to prawo? rada 5

– Dziękuję – odparła klientka. – W zasadzie przygotowałam już taki rejestr, gdyż podobnie jak pan rozumiem te warunki. Widziałam też, że przesłał mi pan mailem wzory wymienionych dokumentów. Zapoznam się z nimi i jak będę miała dodatkowe pytania, to się do pana odezwę. Na razie nie mam więcej pytań. Cieszę się, że mogliśmy porozmawiać, gdyż pozwoliło mi to zrozumieć wiele kwestii.
– Również dziękuję za spotkanie – powiedział na zakończenie prawnik. – W razie potrzeby pozostaję do dyspozycji. Do widzenia. ©℗

rada 1 Jakie są przesłanki przetwarzania danych osobowych?

Wbrew powszechnemu przekonaniu, nie tylko zgoda jest przesłanką umożliwiającą legalne przetwarzanie danych osobowych. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO; Dz.Urz. UE z 2016 r. L 119, s. 1) wskazuje kilka innych przypadków umożliwiających gromadzenie i wykorzystywanie danych osobowych w prowadzonej działalności gospodarczej.
Zgodnie z art. 6 ust. 1 RODO wystarczające jest do tego spełnienie co najmniej jednego z poniższych warunków:
• osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
• przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – należy zwrócić uwagę, że przesłanka ta nie dotyczy przypadku, w którym to przedsiębiorca inicjuje kontakt z klientem,
• przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – chodzi tu o wszelkie obowiązki wynikające z przepisów prawa, czy to podatkowego (np. do przechowywania faktur VAT), czy też pracowniczego (np. do przechowywania akt osobowych pracowników),
• przetwarzanie jest niezbędne do celów wynika jących z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem – typowymi przykładami prawnie uzasadnionego interesu administratora danych jest przechowywanie danych osobowych po zakończeniu umowy na potrzeby dochodzenia roszczeń bądź obrony przed nimi, a także przetwarzanie danych na potrzeby marketingu bezpośredniego.
Niezależnie od powyższego, aby przetwarzanie danych osobowych było legalne, należy pamiętać o kilku dalszych obowiązkach wynikających z RODO. W szczególności o zasadach:
• ograniczonego celu przetwarzania – dane osobowe mogą być przetwarzane wyłącznie w konkretnych celach zakomunikowanych osobie, której dane dotyczą;
• minimalizacji danych – dane osobowe mogą być gromadzone i wykorzystywane jedynie w zakresie, w jakim są niezbędne do określonego celu; nie można zatem przetwarzać, w tym także przechowywać, danych które nie są konieczne do realizacji konkretnego celu ich przetwarzania;
• prawidłowości danych – dane osobowe nieprawidłowe należy usunąć bądź zaktualizować;
• ograniczenia przechowywania – dane osobowe mogą być przetwarzane jedynie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Bardzo ważny jest też obowiązek informacyjny – to w nim wskazujemy m.in. cele przetwarzania danych osobowych. Dlatego w przypadku zmiany celu przetwarzania obowiązek informacyjny powinien zostać spełniony ponowie, przynajmniej w zakresie danych, które uległy zmianie względem poprzedniej informacji przekazanej osobie, której dane dotyczą.

rada 2 Czy zgody udzielone przed wejściem w życie RODO pozostaną ważne?

Zgody udzielone przez osoby, których dane osobowe są przetwarzane, przed 25 maja 2018 r. zachowują swoją ważność, ale skutek ten nie dotyczy wszystkich przypadków. Zgoda taka musi bowiem spełniać przesłanki ważności, o których mowa w RODO, czyli powinna być wyrażona:
• dobrowolnie,
• świadomie,
• konkretnie,
• jednoznacznie.
W praktyce oznacza to, że pod rządami RODO nie mogą zostać uznane za ważne zgody udzielane poprzez akceptację regulaminu strony internetowej, wpisywane jako klauzula do umowy czy też zbierane poprzez domyślne zaznaczenie pól (checkboksów) przy formularzach. Również zgody ogólne, które nie precyzują celu przetwarzania danych osobowych, nie będą ważne na gruncie nowej regulacji.
Należy również pamiętać o tym, że zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Innymi słowy: jeżeli odbieramy od określonej osoby więcej niż jedną zgodę, np. oprócz zgody na przetwarzanie danych osobowych także zgodę na przesyłanie informacji handlowych czy też akceptację regulaminu strony internetowej, to zgoda na przetwarzanie danych osobowych musi być odbierania oddzielnie od pozostałych zgód – nie może znaleźć się w treści jednego pola (checkboksu) połączona z inną zgodą. Jeżeli dotychczas stosowano taką praktykę, to zgoda udzielona w ten sposób nie będzie ważna na gruncie RODO.
Warunkiem udzielenia zgody nie jest natomiast uprzednie wykonanie obowiązku informacyjnego. Jeżeli zatem pod rządami poprzedniej ustawy nie został on wykonany, to należy go wykonać już na zasadach przewidzianych przez RODO. Inaczej bowiem jak dotychczas, obecnie prawidłowe wykonanie obowiązku informacyjnego stało się jednym z warunków legalnego przetwarzania danych osobowych.

rada 3 Czy trzeba realizować obowiązek informacyjny względem przedsiębiorców zarejestrowanych w CEIDG?

Przepisy obowiązujące do 25 maja 2018 r. wprost wyłączały stosowanie większości przepisów z zakresu ochrony danych osobowych do przedsiębiorców wpisanych do CEIDG. Dotyczyło to m.in. obowiązku informacyjnego, który nie musiał być takim podmiotom przedstawiany.
Po wejściu w życie RODO sytuacja uległa diametralnej zmianie. Od tego dnia dane osobowe przedsiębiorców jednoosobowych należy traktować tak samo, jak dane osobowe konsumentów. Oznacza to m.in. konieczność informowania kontrahentów o przetwarzaniu ich danych osobowych, a także rozpoznawania zbioru danych takich podmiotów oraz weryfikacji gromadzonych danych pod kątem przesłanki legalizującej przetwarzanie, minimalizacji danych oraz czasowego ograniczenia ich przetwarzania.
Prawidłowość powyższego sposobu postępowania została potwierdzona zarówno przez Komisję Europejską, jak i polskie władze.

rada 4 Jak zapewnić domyślną ochronę danych osobowych?

Osoba przetwarzająca dane osobowe zobowiązana jest do ustanowienia domyślnej ochrony danych, czyli zorganizowania procedur na odpowiednim podstawowym poziomie, który ma zapewniać ich bezpieczeństwo. W tym celu należy wziąć pod uwagę: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikającego z przetwarzania. Z jednej zatem strony istotne znaczenie ma ryzyko naruszenia oraz prawdopodobieństwo jego wystąpienia, z drugiej natomiast stan wiedzy technicznej oraz koszty wdrażania systemu zabezpieczeń.
Podmioty uczestniczące w przetwarzaniu danych osobowych, na podstawie przeprowadzonej oceny ich dotychczasowego stanu ochrony danych oraz z uwzględnieniem zidentyfikowanego ryzyka naruszenia, skali jego konsekwencji oraz prawdopodobieństwa wystąpienia, a także mając na względzie koszty wdrożenia nowych rozwiązań powinny – w miarę konieczności – uzupełnić bądź zmodernizować dotychczasowe metody ochrony danych osobowych.
Na przykład po przeglądzie miejsc, w których znajdują się segregatory z dokumentacją, stwierdzono, że klient oczekujący na spotkanie w sekretariacie może łatwo zapoznać się z teczkami innych klientów, znajdującymi się na regale. Postanowiono więc, że zamiast regału wstawiona zostanie szafa z szybą mleczną i zamkiem na klucz. Dzięki temu petenci nie mają dostępu do dokumentów znajdujących się w szafie.
Efektem przeprowadzania wskazanego audytu powinno być wprowadzenie podstawowego poziomu ochrony danych osobowych w zakresie ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

rada 5 Kiedy w małej firmie trzeba prowadzić rejestr?

Nowa regulacja prawna nie przewiduje już obowiązku rejestracji zbiorów danych osobowych w publicznym rejestrze. Dotychczas prowadzony przez generalnego inspektora ochrony danych osobowych rejestr w całości ma trafić do archiwum państwowego.
Nie oznacza to jednak całkowitego braku ewidencjo nowania czynności przetwarzania danych osobowych. Zgodnie z RODO administratorzy danych osobowych oraz podmioty przetwarzające dane na mocy powierze nia (procesorzy) zobowiązani zostali do samodzielnego prowadzenia nieskomplikowanych rejestrów przetwarzania. W nich wpisywane powinny być podstawowe informacje na temat przetwarzanych zbiorów danych osobowych.
Należy zwrócić szczególną uwagę na konieczność rozróżnienia rejestrów prowadzonych przez administratorów danych osobowych i procesorów. Podmiot pełniący obie te role względem różnych zbiorów danych osobowych zobligowany jest zatem do zaprowadzenia dwóch odrębnych rejestrów: jednego dla czynności przetwarzania wykonywanych na zbiorach danych osobowych, których są administratorami, oraz drugiego dla operacji wykonywanych na zbiorach danych osobowych, wobec których pełnią funkcję procesora.
Przykładowo, w rejestrze czynności przetwarzania prowadzonym przez administratora danych osobowych powinny znaleźć się następujące elementy:
a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania – np. wykonywanie praw i obowiązków pracodawcy, realizacja umów zawartych z klientami, wysyłka newslettera itp.;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych – np. pracownicy, klienci, kontrahenci, osoby które zapisały się na newsletter itp.;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych – odbiorcą jest każdy podmiot, któremu administrator ujawnia dane osobowe, będą to zatem zarówno inni administratorzy, podmioty przetwarzające, jak i inne instytucje;
e) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych – np. 50 lat od ustania stosunku pracy, do czasu przedawnienia roszczeń umownych, do czasu cofnięcia zgody itp.;
f) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – np. dostęp do danych mają wyłącznie osoby upoważnione; system komputerowy: indywidualne loginy i hasła, wymuszanie zmiany hasła do systemu co 30 dni, komputer chroniony programem antywirusowym i zaporą internetową, wygaszacz ekranu, w razie potrzeby szyfrowane maile, dokumentacja przechowywana w szafce zamykanej na klucz poza dostępem osób trzecich;
g) gdy ma to zastosowanie – informacja o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a także dokumentacja odpowiednich zabezpieczeń, gdy jest to wymagane.

!PODSUMOWANIE

Dzięki spotkaniu z radcą prawnym pani Anna Kowalska uzyskała informacje pozwalające na weryfikację oraz usystematyzowanie wiedzy z zakresu RODO.
Dowiedziała się m.in., że:
• Zgoda nie jest jedyną przesłanką legalnego przetwarzania danych.
• Jeżeli przedsiębiorca przetwarza dane osobowe, to powinien wypełnić obowiązek informacyjny także w stosunku do osób fizycznych prowadzących działalność gospodarczą.
• Posiadane dotychczas zgody można uznać za obowiązujące, o ile spełniają one wymogi RODO.
• Administratorzy danych osobowych przetwarzający dane w sposób ciągły powinni prowadzić (nieskomplikowane) rejestry przetwarzania.
Okazało się również, że chociaż nowe przepisy mogą budzić pewne wątpliwości, to ich stosowanie nie stwarza większej trudności, a wymaga jedynie wyrobienia sobie nowych nawyków w kontaktach z klientami i kontrahentami.
W dalszej kolejności pomoc radcy prawnego nakierowana będzie na uaktualnienie dokumentacji oraz pomoc w ustaleniu domyślnej ochrony danych. Po dostosowaniu dotychczasowych procedur oraz przeanalizowaniu istniejących zabezpieczeń ochrony danych osobowych i ich uzupełnieniu pani Anna może nadal prowadzić działalność gospodarczą, nie narażając się na zarzut postępowania naruszającego przepisy o ochronie danych osobowych.