Czy muszę przygotować dokumentację do RODO
Tak. Wynika to z tzw. zasady rozliczalności wyrażonej w art. 5 ust. 2 RODO, zgodnie z którym „administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 [zasad przetwarzania danych osobowych] i musi być w stanie wykazać ich przestrzeganie (…)”.
Brak odpowiedniej dokumentacji i procedur powoduje niespełnianie zasady rozliczalności.
Co mi grozi
W przypadku kontroli organu nadzorczego istnieje ryzyko otrzymania kary, która może wynieść, w przypadku największych przedsiębiorstw, do 20 milionów euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Oczywiście kary w przypadku sektora MŚP będą zdecydowanie niższe i dostosowane do wielkości przedsiębiorstwa oraz skali naruszeń, co nie zmienia faktu, że będą miały charakter odstraszający.
Istnieje również ryzyko, że na rynku będą działały podmioty, które będą sprawdzały zasady przetwarzania danych osobowych konkretnego przedsiębiorcy, ustalały naruszenia i następnie proponowały swoje usługi polegające na wdrożeniu RODO, pod rygorem zawiadomienia PUODO (GIODO). Podobna praktyka miała miejsce w przypadku klauzul niedozwolonych i pozwów wnoszonych do Sądu Ochrony Konkurencji i Konsumentów, gdzie takie podmioty potrafiły stworzyć dla przedsiębiorcy zagrożenie kosztów sądowych w wysokości kilkudziesięciu tysięcy złotych. W efekcie przedsiębiorcy płacili kilka tysięcy złotych za usunięcie klauzul niedozwolonych z regulaminów, żeby uniknąć pozwu.
Polski prawodawca w nowej Ustawie o ochronie danych osobowych, zdecydował się również niestety, na stworzenie nowego czynu zabronionego. W efekcie naruszenie RODO, będzie również rozpatrywane na gruncie prawa karnego.
Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech
Oferta
Kompleksowe przygotowanie procedur i dokumentacji rozpoczyna się od ustalenia zakresu działalności, tego jakie dane są przetwarzane, określenia celów ich przetwarzania, potencjalnych ryzyk, z uwzględnieniem zachowań pracowników i klientów. Dopiero na tej podstawie możliwe jest przygotowanie procedur i dokumentacji. Ustalone procedury i dokumentacja są wdrażane w trakcie szkolenia lub poprzez pisemne instrukcje, z którymi zapoznaje się administrator danych oraz jego pracownicy.
Koszt usługi wynosi od 1.500 zł netto* i jest określany po wstępnym określeniu potrzeb danego przedsiębiorcy. Skontaktuj się z nami w celu ustalenia zakresu usługi dostosowanego do Twojej działalności gospodarczej.
Nie zalecamy korzystania z gotowych wzorów dokumentów, ponieważ rzadko kiedy będą możliwe do dostosowania na potrzeby konkretnej działalności gospodarczej, bez udziału prawnika. W związku z tym nie oferujemy do sprzedaży gotowych wzorów dokumentów.
Szczegółowe czynności składające się na usługę zostały opisane poniżej.
*w przypadku najprostszych wdrożeń (brak pracowników, brak baz klientów), cena usługi może być niższa. Wysokość podatku VAT dla usług prawnych wynosi 23%.
Jakie obowiązki wynikają z RODO
- Ustalenie jakie dane są przetwarzane. Należy ustalić co jest danymi osobowymi w ramach prowadzonej działalności i jakie czynności stanowią ich przetwarzanie, zgodnie z art. 4 pkt 1) i 2) RODO.
- Pogrupowanie danych na poszczególne kategorie i przyporządkowanie ich do konkretnych celów przetwarzania danych, zgodnie z art. 5 ust. 1 lit. b) i art. 6 RODO.
- Ustalenie jakie dane należy usunąć, w związku z brakiem celów ich przetwarzania, zgodnie z art. 5 ust. 1 lit. d) RODO.
- Ustalenie nowych celów przetwarzania danych, w przypadku chęci gromadzenia konkretnych kategorii danych.
- Ustalenie okresu w jakim możliwe jest przetwarzanie danych i czasu po jakim konieczne jest ich usunięcie, zgodnie z art. 5 ust. 1 lit. e) RODO.
- Ustalenie, czy przetwarzanie dotyczy tzw. szczególnych kategorii danych osobowych, co wiąże się z koniecznością wprowadzenia dodatkowych procedur, zgodnie z art. 9 RODO.
- Przygotowanie procedur i dokumentów zapewniających przetwarzanie danych w myśl zasady integralności i poufności. Konieczne jest istnienie procedur zapewniających ochronę danych przed niezgodnym z prawem lub ustalonymi celami przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem danych, zgodnie z art. 5 ust. 1 pkt f) RODO. Wdrożenie takich procedur i dokumentów może nastąpić w formie tzw. Polityki ochrony danych, o której mowa w art. 24 ust. 2 RODO.
- Weryfikacja treści umów zawieranych pomiędzy administratorem a klientem końcowym, w celu wykazania, że konkretne kategorie danych są bezpośrednio związane z koniecznością realizacji umowy, zgodnie z art. 6 ust. 1 lit. b) RODO. W zakres weryfikacji wchodzi ewentualna modyfikacja treści takich umów, w celu prostszego wykazania, że dane kategorie danych są niezbędne dla wykonania umowy.
- Przygotowanie dokumentu / procedury potwierdzającej wyrażenie zgody na przetwarzanie danych, jeśli zgoda taka jest wymagana, zgodnie z art. 7 RODO.
- Przygotowanie procedury usuwania danych osobowych w taki sposób, aby możliwe było wykorzystywanie pozostałych danych, które kiedyś dotyczyły danej osoby, zgodnie z art. 11 RODO.
- Przygotowanie dokumentu z informacjami wymaganymi przez RODO, dla osoby, której dane są przetwarzane, a także przygotowanie procedur sprostowania, usuwania, ograniczenia przetwarzania i przenoszenia danych, zgodnie z art. 12 – 20 RODO.
- Przygotowanie wzoru dokumentu / informacji o prawie do wniesienia sprzeciwu przy przetwarzaniu danych na potrzeby marketingu, zgodnie z art. 21 ust. 3 i 4 RODO.
- Przygotowanie umowy powierzenia, którą należy zawrzeć z podmiotem, który ma dostęp do jakichkolwiek gromadzonych przez nas danych (np. wystawiane faktury), zgodnie z art. 28 RODO.
- Przygotowanie upoważnień dla pracowników, stażystów itp. do przetwarzania danych osobowych, z uwzględnieniem konkretnych kategorii danych, zgodnie z art. 37 i 39 Ustawy o ochronie danych osobowych.
- Przygotowanie rejestru czynności przetwarzania danych osobowych, w sytuacji gdy przetwarzanie danych nie ma charakteru sporadycznego lub ma zastosowanie inna przesłanka, zgodnie z art. 30 ust. 5 RODO.
- Przygotowanie rejestru kategorii czynności przetwarzania, jeśli jesteśmy podmiotem, któremu powierzono przetwarzanie danych, zgodnie z art. 30 ust. 2 RODO.
- Przeszkolenie osób, które przetwarzają dane osobowe, ze szczególnym uwzględnieniem uprawnień osób, których dane osobowe są przetwarzane oraz ze szczególnym uwzględnieniem uprawnień organów kontrolnych.
Przykłady wynikające z ww. obowiązków.
- Weryfikacja treści umów zawieranych pomiędzy administratorem a klientem końcowym, w celu wykazania, że konkretne kategorie danych są bezpośrednio związane z koniecznością realizacji umowy, zgodnie z art. 6 ust. 1 lit. b) RODO. W zakres weryfikacji wchodzi ewentualna modyfikacja treści takich umów, w celu prostszego wykazania, że dane kategorie danych są niezbędne dla wykonania umowy.
PRZYKŁAD: Jeśli administrator nie chce uzyskiwać odrębnej zgody na posługiwanie się adresem mailowym klienta to wystarczy, że w umowie będzie zastrzeżone, że klient oczekuje kontaktu mailowego. Wtedy posługiwanie się adresem mailowym klienta jest niezbędne dla wykonania umowy i nie trzeba pozyskiwać odrębnej zgody.
- Przygotowanie dokumentu / procedury potwierdzającej wyrażenie zgody na przetwarzanie danych, jeśli zgoda taka jest wymagana, zgodnie z art. 7 RODO.
PRZYKŁAD: W RODO przewidziano szereg nowych informacji, które należy przekazywać przy pozyskiwaniu zgody na przetwarzanie danych np. informacje o kategoriach odbiorców danych osobowych. Klient będzie musiał więc wiedzieć, że jego dane osobowe trafią do biura rachunkowego, pracowników, dostawcy usługi newslettera itp.
- Przygotowanie procedury usuwania danych osobowych w taki sposób, aby możliwe było wykorzystywanie pozostałych danych, które kiedyś dotyczyły danej osoby, zgodnie z art. 11 RODO.
PRZYKŁAD: Jeśli przechowywaliśmy dane dotyczące tego w jaki sposób pozyskaliśmy danego klienta, co ułatwia nam działania marketingowe, możliwe jest stworzenie procedury, w ramach której dane dotyczące konkretnej osoby będą usuwane, a pozostawiane będą dane statystyczne dotyczące tego w jaki sposób klienci są pozyskiwani. Do takich danych RODO nie będzie już miało zastosowania. Jeśli jednak były klient dostarczy informacje, które pozwolą ustalić jakie dane go dotyczyły (np. kiedy zawarł umowę, czego dotyczyła, jakie było wynagrodzenie) i na tej podstawie uda nam się go zidentyfikować, będziemy musieli przekazać mu informacje, które zachowaliśmy. Wymaga to stworzenia procedury postępowania w takich przypadkach.
- Przygotowanie dokumentu z informacjami wymaganymi przez RODO, dla osoby, której dane są przetwarzane, a także przygotowanie procedur sprostowania, usuwania, ograniczenia przetwarzania i przenoszenia danych, zgodnie z art. 12 – 20 RODO.
PRZYKŁAD: Jeśli klient wniesie jakiekolwiek żądanie w oparciu o art. 15 – 22 RODO (np. prawo uzyskania dostępu do przetwarzanych danych osobowych), administrator w szeregu przypadków musi pouczyć klienta o prawie wniesienia skargi do organu nadzorczego tj. PUODO (GIODO).
- Przygotowanie rejestru czynności przetwarzania danych osobowych, w sytuacji gdy przetwarzanie danych nie ma charakteru sporadycznego lub ma zastosowanie inna przesłanka, zgodnie z art. 30 ust. 5 RODO.
- przygotowanie rejestru kategorii czynności przetwarzania, jeśli jesteśmy podmiotem, któremu powierzono przetwarzanie danych, zgodnie z art. 30 ust. 2 RODO.
PRZYKŁAD: Każde biuro rachunkowe lub firma windykacyjna poza zawarciem umowy powierzenia będzie musiała prowadzić również rejestr kategorii czynności przetwarzania, niezależnie od rejestru czynności przetwarzania danych osobowych.
Jaki jest termin wdrożenia nowych procedur
RODO obowiązuje od 25 maja 2018 r. Jest jednak bardzo mało prawdopodobne, żeby organy nadzoru od razu wszczęły masowe kontrole. Bezspornie jednak będą miały one miejsce w niedalekiej przyszłości, w związku z czym ważne jest jak najszybsze zaadaptowanie nowych przepisów do działalności swojego przedsiębiorstwa.
Większe ryzyko wiąże się natomiast z ewentualną działalnością podmiotów, które będą próbowały narzucić swoje usługi poprzez grożenie przedsiębiorcy zawiadomieniem organów nadzoru, co opisano wyżej. W przypadku otrzymania takiego zawiadomienia, dotyczącego konkretnego przedsiębiorcy, organ nadzoru na pewno rozpocznie postępowanie administracyjne.