O tym, co właściwie oznacza ochrona danych osobowych zgodnie z nowymi przepisami, kiedy dane podlegają ochronie, kto jest za to odpowiedzialny i co grozi przedsiębiorcy, który obowiązku ochrony danych nie dopełni, opowiadała Justyna Chomicz.

Jak wskazała prowadząca, dane podlegające ochronie zależą bezpośrednio od podmiotu, który je gromadzi i przetwarza: dla pracodawcy są to dane pracowników, dla banku dane klientów itp. Do zbioru danych osobowych nie należą tylko dane „osobiste” (imię i nazwisko, adres, płeć i in.), ale też wszelkie informacje pozwalające na identyfikację konkretnej osoby, jak np. identyfikatory internetowe, dane o lokalizacji zbierane na podstawie urządzeń lokalizacji w samochodach czy nagrania z monitoringu.

Jak najmniej, jak najkrócej
Prowadząca przedstawiła prawne podstawy – ustanowione w RODO – przetwarzania danych osobowych i wskazała wynikające z rozporządzenia zasady przetwarzania: zgodności z prawem, rzetelności i przejrzystości danych, ograniczenia celu (tj. wykorzystywania danych wyłącznie do celu, w jakim zostały pozyskane), minimalizacji danych (wolno zbierać tylko dane konieczne do realizacji celu), prawidłowości danych, ograniczenia ich przechowywania (tylko na okres potrzebny do realizacji celu) oraz integralności i poufności danych. Ostatnia zasada dotyczy nie tylko fizycznych zabezpieczeń, ale też – przede wszystkim w czasach powszechnej digitalizacji – zabezpieczeń systemów IT.

Trzeba pamiętać, że przetwarzanie danych osobowych zaczyna się od momentu, kiedy zaczynamy je zbierać. – Samo przeglądanie czyichś danych jest już ich przetwarzaniem – mówi Justyna Chomicz. – Ochronie podlegają dane osób fizycznych, a także osób fizycznych prowadzących jednoosobową działalność gospodarczą. To oznacza, że nie trzeba chronić danych spółek – wyjaśnia. Jak jednak od razu zaznacza, dane pracowników spółek już są informacjami podlegającymi ochronie na podstawie RODO, a przecież najczęściej kontakt nawiązuje się właśnie z konkretnym pracownikiem firmy.

Obowiązkowe samodonosy
Co ciekawe, w fali zalewających nas w ostatnich tygodniach informacji wysyłanych przez wszelakie podmioty w związku z RODO wiele z nich już popełniło naruszenie rozporządzenia. Stało się tak, kiedy informacja wysłana została z otwartą listą e-mailingową do więcej niż jednej osoby. Trzeba mieć świadomość, że tego typu działanie jest naruszeniem podlegającym obowiązkowi zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Powinien to zrobić podmiot, który naruszenia takiego się dopuścił.

Po zmianie przepisów każdy przypadek naruszenia ochrony danych osobowych trzeba zgłosić do Urzędu z wyjaśnieniem, co się wydarzyło, jakie dane zostały utracone, jakie są możliwe konsekwencje tego zdarzenia i jakie środki zaradcze podjęliśmy. Mamy na to 72 godziny od momentu wystąpienia zdarzenia. To informacja ważna dla podmiotów przetwarzających dane osobowe, bo sytuacje podlegające obowiązkowi zgłoszenia wcale nie są bardzo rzadkie – to np. wspomniane wysłanie e-maila z otwartą listą adresową odbiorców, zgubienie dysku, pendrive’a czy innego nośnika, na którym przechowywane były jakiekolwiek dane osobowe, kradzież komputera, włamanie do systemu itd. Co ciekawe, osoba, której dane utracono w ten sposób, musi być poinformowana o zdarzeniu tylko wtedy, gdy występuje wysokie ryzyko poniesienia z tego powodu konsekwencji (np. utracono jej dane medyczne, loginy itp.).

Zgody i rezygnacje
Prowadząca spotkanie podkreśliła, że zgoda na przetwarzanie danych osobowych nie musi być przekazana na piśmie. Równie ważna z prawnego punktu widzenia jest ta wyrażona ustnie. Jeśli jednak podmiot, któremu zgody takiej udzielono, nie ma na to dowodu (np. nie jest to firma rejestrująca rozmowy), zdecydowanie zalecane jest potwierdzenie pisemne bądź w jakiejkolwiek formie internetowej. Podczas spotkań targowych – jak to, w którym uczestniczymy – przekazanie wizytówki oznacza wyrażenie zgody na przetwarzanie zawartych na niej danych, ale tylko do celu, w jakim została przekazana, jeśli ze specyfiki danej sytuacji cel taki wprost wynika bądź właściciel wizytówki określił zakres wykorzystania danych.

Mówiąc o prawach osób, których dane są przetwarzane, Justyna Chomicz zauważyła, że np. prośba o usunięcie danych z bazy w niektórych sytuacjach wcale nie zobowiązuje podmiotu przetwarzającego dane do natychmiastowego ich usunięcia. Wręcz przeciwnie – w niektórych sytuacjach nie możemy tego zrobić, np. gdy dane są wciąż potrzebne do realizacji zawartej z taką osobą umowy, świadczenia jej usług gwarancyjnych bądź innych, do których jesteśmy zobowiązani.

Prowadząca odniosła się również do kwestii powołania inspektora ochrony danych osobowych oraz ewentualnych kontroli w firmie. Pocieszyła uczestników spotkania informacją, że wskazane w rozporządzeniu bardzo wysokie kary za brak należytej ochrony danych nie będą nakładane automatycznie, ale wyznaczane odpowiednio do możliwości firmy. I kara finansowa nie będzie pierwszą reakcją na stwierdzone podczas kontroli naruszenie danych. Najpierw zapewne wydane zostaną zalecenia, zawsze też sporządzony musi być protokół pokontrolny, do którego kontrolowany przedsiębiorca może zgłosić swoje uwagi.