Vinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo Slider

Od 25 maja 2018 roku obowiązuje unijne rozporządzenie o ochronie danych osobowych RODO. Przepisy RODO obowiązują wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe, w tym przedsiębiorców.


Przetwarzanie oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie, przy czym nie ma znaczenia forma bazy danych (elektroniczna czy papierowa).

Dane osobowe to dane, dzięki którym można zidentyfikować konkretną osobę: imię, nazwisko, adres zamieszkania, PESEL, nr telefonu, adres e-mail itp.

Ochronie podlegają również dane wrażliwe czyli: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.


Każda, nawet najmniejsza firma posiada co najmniej podstawowe bazy danych osobowych: pracowników i kontrahentów, powinna więc wdrożyć RODO. Nie ma znaczenia, czy posiadane bazy danych przechowywane są w formie elektronicznej czy papierowej i czy ich wykorzystanie ograniczone jest ściśle do celów prowadzonej działalności (wystawianie faktur, tworzenie list płac), czy też w celach marketingowych (wysyłanie kartek świątecznych, rozsyłanie newsletterów). Zgodnie z RODO każda baza danych musi być rzetelnie zabezpieczona i chroniona przed dostępem osób nieupoważnionych, w tym przed wyciekiem danych na zewnątrz a przedsiębiorca nie może naruszać praw osób, ujętych w bazie.


Należy podkreślić, że wdrożenie RODO to nie wyłącznie dokumentacja papierowa, której opracowanie czy posiadanie w przypadku kontroli zapewni firmie spokój. Opracowanie wewnętrznej Polityki Bezpieczeństwa, określającej zakres obowiązków i odpowiedzialności poszczególnych osób, analizę posiadanych baz danych osobowych oraz opis ryzyka ich naruszenia i zastosowanych metod ochrony to tylko wstęp do wdrożenia RODO w firmie. Za nią powinien pójść szereg działań w rzeczywisty sposób chroniących dane osobowe, np. umieszczenie papierowych baz danych w zamykanej na klucz szafie, zablokowanie hasłem dostępu do elektronicznych baz danych osobowych, szyfrowanie poczty elektronicznej czy uzyskanie zgód osób, których dane osobowe są przetwarzane. Bez tych działań zarówno wdrożenie RODO jak i wynik ewentualnych kontroli przyniesie wynik negatywny.


Rozporządzenie RODO nie mówi wprost, w jaki sposób należy stosować przepisy i jak je wdrożyć, wskazuje jedynie cele, jakie powinno się osiągnąć, co daje administratorom danych osobowych dużą swobodę w działaniu i podejmowaniu koniecznych zabezpieczeń.


 1. Określenie odpowiedzialności

Administrator danych osobowych (skrót: ADO) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
W mikro i małych przedsiębiorstwach, prowadzonych jako jednoosobowa działalność gospodarcza, funkcję ADO pełni właściciel firmy, który ustala zakres i cel gromadzenia i przetwarzania danych osobowych oraz ich zabezpieczenie. W spółkach funkcję ADO powinna pełnić osoba, wyznaczona przez zarząd spółki na podstawie pisemnego umocowania.
Jeśli w firmie przetwarzaniem danych osobowych zajmują się również inne osoby (np. wystawiają faktury lub rozliczają płatności firmy), ADO powinien pisemnie upoważnić je do dostępu i przetwarzania danych osobowych.
Jeśli firma korzysta z usług zewnętrznego biura rachunkowego, oznacza, że przekazuje swoje bazy do przetwarzania. Biuro rachunkowe powinno podpisać z klientem umowę powierzenia danych osobowych, uprawniająca biuro do ich przechowywania i przetwarzania. Nie zmienia to jednak faktu, że funkcję ADO nadal pełni właściciel firmy (lub w spółkach osoba wyznaczona) i, że to firma nadal jest odpowiedzialna za ochronę danych osobowych. 


2. Obowiązek informacyjny

W mikro i małych firmach, posiadających podstawowe bazy danych (kontrahentów i pracowników), wykorzystanie tych baz w celach marketingowych (wysyłanie newsletterów, kartek świątecznych, przekazywanie prezentów, bonów świątecznych) zdecydowanie wiąże się z koniecznością wypełnienia obowiązku informacyjnego. Należy poinformować osoby, ujęte w bazie o:

  • tożsamości i danych kontaktowych administratora (lub gdy ma to zastosowanie – tożsamości i danych kontaktowe przedstawiciela administratora)
  • celu przetwarzania danych osobowych
  • podstawach prawnych przetwarzania
  • informacji o odbiorcach danych osobowych, jeżeli dane osobowe będą przekazywane dalej (a gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania)
  • okresie, przez który dane osobowe będą przechowywane
  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy
  • informacji o przysługujących prawach osobie, której dane dotyczą prawach tj. o prawie do dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania
  • informacji o prawie wniesienia skargi do organu nadzorczego (obecnie UODO – Urząd Ochrony Danych Osobowych)
  • o źródle pochodzenia danych, a gdy ma to zastosowanie informacja czy dane pochodzą ze źródeł publicznie dostępnych
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu (jeśli występuje)

 Ważne, by wyrażona zgoda była dobrowolna, napisana językiem prostym i zrozumiałym a osoba, której dane dotyczą, musi mieć zapewnione prawo do wycofania zgody w tak samo łatwy sposób, jak doszło do jej wyrażenia.

 Internet jest pełen wzorów klauzul informacyjnych oraz zgód na przetwarzanie danych osobowych, pomimo to dla naszych klientów załączamy wzór, który można wykorzystać (zmodyfikować) w zależności od celu przetwarzania danych osobowych.

WZÓR klauzuli i zgody

 Niestety nie do końca pewne jest, czy należy uzyskać powyższą zgodę w przypadku rozbudowanych baz danych kontrahentów, wykorzystywanych wyłącznie w celach ściśle związanych z prowadzeniem działalności gospodarczej, tj. wystawianiem faktur czy bieżącymi operacjami przetwarzania danych pracowników. Zdania specjalistów są podzielone.

W przypadku bazy danych osobowych kontrahentów, zwykle bardzo obszernej i wykorzystywanej wyłącznie do wystawiania faktur, uzyskanie zgód byłoby pracochłonne i czasochłonne, więc być może należałoby poczekać do zaleceń pokontrolnych.

W przypadku danych osobowych pracowników, bazy już nie tak rozbudowanej, zgody pracowników na przetwarzanie danych wydają się również zbędne, o ile ich zakres wynika wprost z Kodeksu Pracy. Jeśli jednak baza zwiera dodatkowe dane osobowe, zgoda na ich przetwarzanie powinna być przez pracownika wyrażona na piśmie. Oczywiście wyrażenie zgody pracownika na przetwarzanie danych osobowych, wynikających z przepisu Kodeksu Pracy, nie będzie żadnym uchybieniem, przy czym wycofanie jej przez pracownika uniemożliwi pracodawcy kontynuowanie współpracy.


3. Rejestrowanie czynności przetwarzania

Administrator danych osobowych ma obowiązek prowadzić rejestr czynności przetwarzania. RODO wprowadza jednak zwolnienie z tego obowiązku wielu mikro i małych firm. Zgodnie z RODO obowiązek spoczywa bowiem na firmach, które:

  • zatrudniają powyżej 250 pracowników,
  • przetwarzają dane wrażliwe
  • przetwarzają dane w sposób, który narusza lub może naruszać prawa i wolności osób, których dane dotyczą,
  • przetwarzają dane w sposób ciągły, czyli nie mają charakteru sporadycznego,
  • przetwarzają wyroki skazujące lub informacje o naruszeniu przepisów prawa.

Jeśli w firmie nie występuje żaden z tych punktów, nie ma potrzeby rejestrowania czynności przetwarzania.


 4. Ocena skutków ochrony danych

Administrator danych osobowych firmy powinien przeanalizować ryzyko utraty danych osobowych (dostęp osób trzecich, ryzyko wycieku danych osobowych) i podjąć wszelkie kroki w celu ich zabezpieczenia. Niestety często wiąże się to z dodatkowymi kosztami. Dostęp do danych elektronicznych powinien być zablokowany hasłem zarówno w stacjonarnych (komputer, serwer) jak i mobilnych urządzeniach (laptop, smartfon), dane osobowe papierowe powinny być umieszczone w zamykanej szafie a poczta elektroniczna powinna być szyfrowana. Oczywiście zakres ochrony może być dużo szerszy, zależny od interpretacji przepisów zarówno przez administratora danych osobowych firmy jak i instytucji kontrolujących.


5. Ograniczenie profilowania

Rozporządzenie reguluje zasady dotyczące zautomatyzowanego profilowania, które wg art. 4 pkt. 4 RODO oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega to na wykorzystaniu danych osobowych do oceny osoby fizycznej. Wykorzystywane w szczególności do analizy lub prognozy efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Rozporządzenie o ochronie danych osobowych uwzględnia możliwość profilowania w 3 przypadkach:

  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
  • wynika z przepisów prawa,
  • osoba, której dane dotyczą wyraziła na to zgodę.


6. Zgłoszenie naruszeń

Rozporządzenie RODO wymaga, by w ciągu 72 godzin Administrator danych osobowych obowiązkowo zgłosił do organu nadzorczego (obecnie UODO – Urząd Ochrony Danych Osobowych) każde naruszenie ochrony danych osobowych. Obowiązek nie powstaje w przypadku, kiedy istnieje małe prawdopodobieństwo, że incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. W przeciwnym razie, ADO będzie musiał powiadomić nie tylko organ nadzorczy, ale również wszystkie osoby, których dane dotyczą. Administrator danych samodzielnie będzie musiał ocenić, czy naruszenie powinno zostać zgłoszone.


7. Kary za niewłaściwe przetwarzanie danych osobowych

Naruszenie przepisów RODO skutkują poważnymi konsekwencjami finansowymi – sięgać mogą nawet do 20 milionów euro bądź 4 proc. obrotu światowego w związku z wyciekiem bądź incydentem związanym z danymi osobowymi. Kary pieniężne w każdym przypadku mają być odstraszające, proporcjonalne i skuteczne. Będą zależały od charakteru, wagi i czasu trwania naruszenia oraz innych czynników takich jak np. próba zminimalizowania ryzyka. Nakładane będą po uprzednich kontrolach organu nadzorczego (obecnie UODO – Urząd Ochrony Danych Osobowych), przy czym jest to kara ostateczna, nakładana na firmy, uporczywie łamiące przepisy RODO i nie stosujące się do zaleceń pokontrolnych.

Ministerstwo Cyfryzacji udostępniło poradniki dla przedsiębiorców, do których linki zamieszczamy i zachęcamy do lektury.

Ulotka RODO dla przedsiębiorców

Przewodnik RODO dla przedsiębiorców



Na naszych stronach internetowych stosujemy pliki cookies. Korzystając z naszych serwisów internetowych bez zmiany ustawień przeglądarki wyrażasz zgodę na stosowanie plików cookies zgodnie z polityka prywatności.

Akceptuję cookies tej strony