RODO – Ogólne rozporządzenie o ochronie danych

Szanowny Kliencie,

Zbliża się termin wejścia w życie istotnych zmian w zakresie gromadzenia i przetwarzania danych osobowych .

Z dniem 25 maja 2018 roku wejdzie w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – tzw.[RODO].

W związku z powyższym przekazujemy Państwu niniejszą informację , w której ramowo zostały zaprezentowane najistotniejsze kwestie związane z nowymi regulacjami.

Zakres regulacji i obowiązki przedsiębiorcy:

  1. gromadzenie i przetwarzanie danych osobowych osób fizycznych

  2. obowiązek dotyczy wszystkich przedsiębiorców , którzy pozostają w stosunkach gospodarczych z kontrahentami , posiadają bazy klientów lub zatrudniają pracowników

  3. gromadzenie danych osobowych – obowiązek uzyskania zgody osoby fizycznej na operowanie jej danymi osobowymi , wprowadzenie określonych obowiązków informacyjnych przedsiębiorcy ( administratora danych osobowych ) ; wstępna ocena nowych regulacji pozwala wskazać , iż zgoda na przetwarzanie danych osobowych nie będzie obowiązkowa , jeżeli przetwarzanie danych niezbędne jest dla realizacji umowy zawartej z klientem , tj. kontaktowania się z klientem w trakcie trwania umowy , wymiany korespondencji , wystawiania faktur , dochodzenia należności , a w przypadku dotyczącym pracowników w zakresie niezbędnym do należytego realizowania stosunku pracy. Obowiązek uzyskania zgody na przetwarzanie danych osobowych wystąpi zatem w każdym przypadku wykraczającym poza zakres realizacji umowy , w tym dla każdego zamierzonego celu osobno.

W zakresie dotyczącym obowiązków informacyjnych przedsiębiorcy wprowadzony został obowiązek przekazywania osobom , których dane są pozyskiwane , takich danych jak : kto jest administratorem danych osobowych , w jakim celu dane osobowe są gromadzone i w jakim celu będą wykorzystywane , przez jaki okres dane będą przechowywane , pouczenie o możliwości cofnięcia zgody na przetwarzanie danych osobowych oraz możliwości wglądu w jej treść celem modyfikacji w każdym czasie.

Obowiązek informacyjny w powyższym zakresie nie został uzależniony od okoliczności związanych z realizacją umowy z klientem zatem dotyczy wszystkich podmiotów związanych z przedsiębiorcą. Oznacza to konieczność wprowadzenia stosownych klauzul informacyjnych w umowach ( załącznikach do umów ) bądź poinformowanie klienta w inny sposób; niezależnie od wybranego sposobu informacji treść pouczenia musi bez wątpliwości dotrzeć do klienta.

  1. przetwarzanie danych osobowych – przepisy rozporządzenia nie wprowadzają stosowania konkretnych środków ochrony danych osobowych ; forma i sposób ochrony zgromadzonych danych osobowych , jak wynika z regulacji , został pozostawiony w gestii przedsiębiorcy. To od niego zależy dobór takich środków , które pozwolą należycie / zgodnie z przepisami / zabezpieczyć posiadane dane. Przedsiębiorca powinien we własnym zakresie dokonać oceny w jakim zakresie przetwarza dane osobowe , jakie jest ich źródło i czy obecnie stosowane metody są wystarczające do ich zabezpieczenia. Równolegle należy wprowadzić procedury i zabezpieczenia maksymalizujące ochronę danych osobowych , należy opracować odpowiednie dokumenty , formularze , zmodyfikować dotychczas stosowane umowy poprzez wprowadzenie do nich odpowiednich klauzul.

  1. umowa powierzenia – na uwagę zasługuje fakt , iż wiele firm korzysta z usług innych przedsiębiorstw, wykonujących na ich zlecenie usługi związane z bieżącą obsługą w zakresie , np.: księgowości , BHP , usług prawnych , usług archiwalnych . W trakcie realizacji warunków współpracy przedsiębiorca / zleceniodawca / przekazuje firmom zewnętrznym dane kontrahentów oraz dane pracowników. W takich przypadkach zleceniodawca, jako administrator danych osobowych, jest zobowiązany do zawarcia umowy powierzenia z firmą zewnętrzną jako „podmiotem przetwarzającym”.

Przepisy określają katalog obligatoryjnych zapisów, które powinna zawierać umowa powierzenia . Należą do nich :

- przedmiot przetwarzania

- czas trwania przetwarzania

- charakter i cel przetwarzania

- rodzaj danych osobowych

- kategorię osób, których dane dotyczą

- obowiązki i prawa administratora

- obowiązki podmiotu przetwarzającego.

Umowa wymaga formy pisemnej . Umowy obecnie obowiązujące powinny być zweryfikowane w celu dostosowania ich brzmienia do nowych przepisów i aneksowane najpóźniej do dnia 25 maja 2018 roku.

/ umowa powierzenia w zakresie usług księgowych oraz usług kadrowych zostanie przygotowana przez Biuro; po jej akceptacji zostanie przez strony podpisana /

  1. zgoda na przetwarzanie danych osobowych – zgodnie z nowymi regulacjami zgoda na przetwarzanie danych osobowych powinna być określona w sposób jasny , czytelny i niebudzący wątpliwości , powinna zostać sporządzona osobno dla każdej zamierzonej formy przetwarzania danych osobowych ; zgodna nie może być dorozumiana, zatem preferowaną formą będzie forma pisemna.

  1. rejestr czynności przetwarzania danych osobowych – nowe przepisy nakładają na każdego administratora danych osobowych / przedsiębiorcę / obowiązek prowadzenia rejestru czynności i przetwarzania danych . Rejestr powinien zawierać : nazwę oraz dane kontaktowe administratora , cel przetwarzania , kategorie osób których dotyczą dane , kategorie odbiorców którym dane osobowe zostały ujawnione , w tym adnotacje o ich udostępnieniu osobom trzecim , planowane terminy usunięcia danych , oraz dane techniczne i organizacyjne służące zachowaniu środków bezpieczeństwa. W rejestrze znajdą się również informacje o ewentualnych naruszeniach danych osobowych oraz planowanych czy podjętych środkach naprawczych.

  1. sankcje - rozporządzenie w zależności od naruszenia przepisów przewiduje następujące kary:
    - w wysokości do 10.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, / np. obowiązek rejestrowania czynności przetwarzania /

    - w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, / np. naruszenie przepisów dotyczących podstawowych zasad przetwarzania , w tym warunków uzyskania zgody/.

  1. wdrożenie systemu RODO – wskazówki :

- system ochrony danych osobowych zależy od przedsiębiorcy , to on tworzy własną politykę i procedury oraz systemy zabezpieczające;

- system ochrony danych osobowych powinien być elastyczny i dostosowany do rodzaju prowadzonej działalności , struktury organizacyjnej , ilości przetwarzanych danych , specyfiki branży w której pracujemy;

- przedsiębiorca może wykorzystać dotychczasowe systemy ochrony jako fundament i dokonać koniecznych modyfikacji lub stworzyć zupełnie nowe;

- sposób przetwarzania danych osobowych powinien uwzględniać cele , dla których jest stosowany , np.: sprzedaż , marketing , reklama , księgowość , pracownicy; pozwoli to na ocenę zgodności przetwarzania danych z nowymi regulacjami;

-prowadzenie różnego rodzaju ewidencji i rejestrów : rejestr czynności przetwarzania , rejestr naruszeń ochrony danych , ewidencja żądań dotyczących realizacji praw osób, których dane dotyczą , instrukcje i procedury stosowanych środków technicznych i organizacyjnych, które zapewniają wymagany stopień bezpieczeństwa pozwolą wykazać przestrzeganie przepisów RODO;

- należy mieć na uwadze konieczność dostosowania systemów informatycznych umożliwiających bezpieczne przechowywanie i przetwarzanie danych osobowych , w tym funkcjonowanie systemu wykrywania naruszeń bezpieczeństwa;

- aby sprostać regulacjom zawartym w nowych przepisach ważne jest przygotowanie pracowników firmy odpowiedzialnych za przetwarzanie danych osobowych , zapoznanie ich z procedurami i zasadami obowiązującymi w tym zakresie , przeprowadzanie szkoleń , informowanie o zagrożeniach.

Z poważaniem

Doradca Podatkowy

mgr Wioletta Gądek