RODO – 5 rzeczy, o których każdy przedsiębiorca powinien wiedzieć
Z obowiązku kronikarskiego, przypomnijmy, że od 25 maja 2018 roku RODO określa zasady dotyczące przetwarzania, wykorzystywania oraz przechowywania danych osobowych. Wraz z rozporządzeniem na przedsiębiorców nałożone zostały nowe obowiązki oraz sankcje w razie niestosowania się do zapisów Rozporządzenia. Zacznijmy od tych ostatnich.
RODO i kary finansowe
Na początek mocne uderzenie. Podmiot z sektora prywatnego, który z rozmysłem lub przez zaniedbanie nie zastosuje się do przepisów RODO, musi liczyć się z karą do 2% lub do 4% obrotu.
W sektorze publicznym jest to 10 mln euro lub 20 mln euro. Polska ustawa zmniejsza tę sumę do 100.000 złotych – tyle zapłaci jednostka sektora finansów publicznych, Narodowy Bank Polski lub instytut badawczy, i Narodowego Banku Polskiego. Zgodnie z polskimi przepisami kara 10 tys. zł grozi państwowym i samorządowym instytucjom kultury.
Żadna z tych kar nie bierze się jednak z księżyca. Podmiot nakładający te surowe sankcje zwraca uwagę na takie elementy jak m.in. charakter i czas naruszania przepisów, zakres przetwarzania danych, liczbę poszkodowanych, a także wagę szkody, którą ponieśli.
Łagodzącą okolicznością może być podjęcie współpracy z odpowiednim organem, szczera próba usunięcia naruszenia oraz jego skutków, a nawet sposób, w jaki organ nadzorczy zyskał wiedzę na temat naruszenia.
RODO a monitoring w pracy
Europejska Rada Ochrony Danych ustosunkowała się do problemu korzystania z monitoringu w obliczu funkcjonowania RODO. Zapis 10 lipca 2019 roku informuje, że technologie służące temu celowi nie mogą naruszać prywatności osób nagrywanych. Jako przykład podano rozwiązania umożliwiające maskowanie i mieszanie obszarów nieistotnych dla prowadzonego nadzoru. W rozporządzeniu czytamy również, że pracodawca wprowadzający monitoring musi dokładnie wytłumaczyć pracownikom, w jakim celu to robi. Każda z osób pracujących w firmie powinna wiedzieć o prowadzonym „podglądzie” – mają o tym informować tablice zawieszone w widocznych miejscach.
Montaż monitoringu musi być uzasadniony, a więc zapewniać „bezpieczeństwo pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę” (KP, Art. 222). W żadnym wypadku monitoringiem nie mogą być objęte obszary takie jak: szatnia, palarnia, stołówka lub pomieszczenia sanitarne. Na „podglądzie” nie mogą się znajdować również pokoje należące do zakładowej organizacji związkowej (chyba że chodzi o bezpieczeństwo).
Zarejestrowany obraz nie może być przechowywany dłużej niż 3 miesiące od nagrania, a jego przetwarzanie musi dotyczyć wyłącznie celów, w jakich został nagrany.
RODO a telefon służbowy
Pracownicy korzystający ze służbowych smartfonów bezustannie odbierają wiadomości SMS i e-maile zawierające dane osobowe kontrahentów, klientów, a także współpracowników. Rzadko zdarza się, by po godzinach pracy urządzenia zostawały w biurze – zwykle zabierane są do domu. Tymczasem telefon, jak każdy mobilny przedmiot, może zostać zgubiony czy skradziony. Co na to RODO? Przedsiębiorca powinien wyznaczyć zakres, w jakim urządzenie może być wykorzystywane, zakazać używania firmowego sprzętu w celach innych niż zawodowe oraz instalowania aplikacji niezwiązanych z pracą. Pracownik nie powinien również udostępniać służbowych urządzeń mobilnych osobom trzecim.
Po stronie firmy leży analiza ryzyka i zgodne z jej wynikami wdrożenie adekwatnych zabezpieczeń, takich jak oprogramowanie antywirusowe, czy szyfrowanie.
RODO a firmowa skrzynka e-mail
Korzystając ze służbowej skrzynki e-mail, pracownik musi pamiętać, że pracodawca może mieć wgląd w firmową korespondencję. Nawet jeśli taki monitoring nie jest zależny wyłącznie od widzimisię szefa, to istnieją okoliczności, kiedy jest on w pełni dozwolony.
Od maja 2018 r. w ramach Kodeksu pracy funkcjonuje art. 22 3 regulujący kwestię monitoringu służbowej poczty elektronicznej. Zgodnie z wprowadzoną dwa lata temu zasadą pracodawca może kontrolować skrzynkę e-mail pracownika wyłącznie wtedy, kiedy jest to absolutnie konieczne do zapewnienia właściwego użytkowania tejże oraz utrzymania właściwego użytkowania udostępnionych pracownikowi narzędzi pracy. Pracodawca musi przy tym pamiętać, by nie naruszyć tajemnicy korespondencji pracownika.
Zgodnie z ustawą zakres oraz cele wprowadzenia monitoringu powinny zostać ściśle określone w regulaminie pracy, układzie zbiorowym pracy lub w odpowiednim obwieszczeniu. Co więcej, pracownik musi zostać pisemnie poinformowany o takim monitoringu, zanim jeszcze zostanie dopuszczony do pracy.
Pracodawca monitorujący pocztę elektroniczną automatycznie staje się administratorem danych osobowych nie tylko pracownika, ale także osób lub firm, z którymi pracownik prowadzi korespondencję.
Ważne zatem, by nie przechowywać danych dłużej, niż jest to konieczne do osiągnięcia celu prowadzenia monitoringu.
RODO a pozyskiwanie baz danych
Istnieje kilka sposobów na pozyskiwanie danych przez firmy:
– Dane pozyskiwane bezpośrednio, których źródłem są formularze kontaktowe zamieszczone na stronach internetowych lub ankiety wypełniane przez uczestników konkursów, eventów lub webinarów. Przetwarzanie tego typu informacji może trwać do momentu wycofania zgody przez uczestnika (należy pamiętać, że może to uczynić w każdej chwili
– Dane nabyte przez firmę od innych podmiotów. W tym przypadku nowy właściciel bazy zobowiązany jest do realizacji zapisu z art. 14 RODO (Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą). Przedsiębiorca, który wchodzi w posiadanie takich danych, odpowiedzialny jest za prawidłowe posługiwanie się nimi. Dlatego przed dokonaniem transakcji warto dokładnie zweryfikować zakupioną bazę pod kątem wszelakich nieprawidłowości (w razie „wpadki” nie ma możliwości zrzucenia winy na byłego właściciela bazy).
– Licencja na użytkowanie informacji uzyskana od administratora. W tym przypadku — inaczej niż przy zakupie — przedsiębiorca nie staje się administratorem, lecz podmiotem przetwarzającym (tzw. procesorem). Licencji takiej udziela się na czas ograniczony ze ścisłym wskazaniem celu, w jakim dane będą wykorzystywane.
Istnieją również bazy dostępne publicznie (wpisy w KRS, CEIDG, Księgach Wieczystych, na stronach WWW firm). W przypadku korzystania ze zdobytych w ten sposób danych warto zachować szczególną ostrożność.
To nie ostatni tekst na temat RODO na blogu DaVinci Studio. Mamy świadomość, że mimo dwóch lat funkcjonowania rozporządzenia, nadal stanowi ono gorący temat. Dlatego w kolejnych tekstach mamy zamiar przyglądać się dalszym zagadnieniom związanym z przetwarzaniem danych.