Dokładamy wszelkich starań, aby dane współpracujących Salonów Kosmetycznych, Klientów, Dostawców oraz Pracowników i Współpracowników, były należycie chronione. Dlatego w ostatnich tygodniach mogli Państwo zaobserwować podjęcie wielu dodatkowych działań z naszej strony, aby dostosować istniejące w spółce systemy ochrony danych do nowych przepisów.
Na pytania odpowiada prawnik Przemysław Prochot z Kancelarii Radcy Prawnego Renaty Szczepanowskiej.
RODO? Czym jest? Czego dotyczy? Jakie zmiany wprowadza?
Przede wszystkim, należy wskazać co kryje się pod budzącym emocje pojęciem RODO. Jest ono Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016)
Czy RODO dotyczy tylko dużych firm takich jak BANDI?
Niestety nie. Wiele osób zadaje sobie pytanie czy RODO w ogóle ich dotyczy. Odpowiedź jest dość prosta, jeśli dane są przetwarzane w związku z działalnością gospodarczą, czyli w każdej sytuacji innej niż „prywatna sprawa”, to przepisy znajdują zastosowanie i należy bezwzględnie się do nich dostosować. Dlatego stosować RODO powinny nawet bardzo małe salony kosmetyczne.
Co to są dane osobowe?
Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, takie jak imię i nazwisko, a często nawet adres e-mail.
Kiedy dane osobowe są przetwarzane?
Przetwarzanie danych należy rozumieć jako pojęcie o bardzo szerokim znaczeniu, w skład którego wchodzą jakiekolwiek działania wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie tychże danych.Czyli nawet zapisanie imienia, nazwiska i telefonu klientki salonu kosmetycznego w terminarzu będzie przetwarzaniem danych.
Kto to jest administrator danych osobowych?
Administratorem danych osobowych jest podmiot posiadający zebrane dane, decydujący o celach i środkach ich przetwarzania. Właścicielka salonu kosmetycznego jest zatem administratorem danych osobowych jej klientek.
Kto zatem jest podmiotem przetwarzającym dane czyli procesorem?
Procesor to inny niż Administrator podmiot przetwarzający dane osobowe w imieniu Administratora. Procesorem będzie np. firma kurierska dostarczająca w imieniu Bandi zamówione w sklepie internetowym kosmetyki do klientek.
W jaki sposób możemy zatem przetwarzać dane osobowe?
Przede wszystkim przetwarzanie musi być zgodne z prawem. Jeśli pojawią się dane osobowe, należy ustalić podstawę ich przetwarzania, a osoby zainteresowane właściwie poinformować o przysługujących jej prawach.
Ale czym jest podstawa ich przetwarzania?
Cytując art. 6 RODO: Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikają cych z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczy.
Jeśli dane są zbierane w związku z wykonaniem umowy lub ciążącym obowiązkiem prawnym (np. wystawienie faktury, prowadzenie kadr pracowników, reklamacja), nie jest potrzebna zgoda osoby, której dane dotyczą. Jeśli natomiast chcemy zebrać dane by móc je wykorzystać w przyszłości, np. w celach marketingowych, przetwarzanie danych powinno odbywać się na podstawie wyraźnej zgody.
Co należy rozumieć pod pojęciem właściwego poinformowania osoby której dane chcemy przetwarzać?
Bez względu na podstawę przetwarzania, każdy podmiot przetwarzający dane MUSI poinformować osoby, których dane przetwarza o:
1) tożsamości i danych kontaktowych administratora;
2) gdy ma to zastosowanie – tożsamości i danych kontaktowych przedstawiciela administratora lub danych kontaktowych inspektora ochrony danych;
3) celu przetwarzania danych osobowych;
4) podstawach prawnych przetwarzania;
5) jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy;
6) odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
7) gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania;
8) okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
9) prawach przysługujących osobie, której dane dotyczą;
10) jeżeli przetwarzanie odbywa się na podstawie zgody, o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania;
11) prawie wniesienia skargi do organu nadzorczego;
12) o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
13) zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu;
Wszak, tylko osoba odpowiednio poinformowana jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie.
Zgoda?
RODO nie pozostawia wątpliwości, zgodą jest jedynie dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych. Każda osoba, która wyraża zgodę musi być w pełni świadoma swych poczynań, nie działając pod presją lub przymusem. Nie można więc uzależniać zgody od podpisania umowy pobocznej (np. obowiązek wyrażenia zgody na marketing jako przesłanka zakupu produktu).
Incydent, brzmi niewinnie, prawda?
Niestety na tym kończy się cała niewinność. Incydentem jest każde zdarzenie związane z bezpieczeństwem informacji, które stwarza znaczne prawdopodobieństwo zakłóceń działań biznesowych i zagrażają bezpieczeństwu informacji w zakresie danych osobowych. Jeśli stwierdzimy wystąpienie takich niepożądanych działań, w ciągu 72 należy dokonać zgłoszenia do właściwego Organu Nadzoru, przy czym bez względu jest czy incydent jest spowodowany przez nas czy tylko się o nim dowiedzieliśmy lub czy incydent nas dotyczy czy jesteśmy jedynie świadkami. 72 godziny na zgłoszenie naruszeń obowiązuje bezwzględnie.
A jakby pominąć te wszytkie powyższe „niepotrzebne” zapisy?
No cóż, poza złamaniem prawa? Przepisy przewidują szereg kar. Niedopilnowanie nowych obowiązków dotyczących ochrony danych osobowych może kosztować firmę nawet do 20 mln euro lub 4 proc. rocznego obrotu firmy, w zależności od tego, która kwota jest wyższa. Oczywiście są to jedynie górne granice, a kara każdorazowo powinna być uzależniona od skali naruszeń. Oznacza to, że jeśli sami zgłosimy incydent oraz podejmiemy niezbędne działanie, z całą pewnością kara będzie znaczącą łagodniejsza. Kończąc, proszę pamiętać, iż mimo przytłaczającej „ściany tekstu” w rzeczywistości, do większości podmiotów będących administratorem danych osobowych, szczególnie prowadzącymi mniejsze przedsiębiorstwa gospodarcze, gro przytoczonych powyżej czynności już obecnie powinno mieć miejsce, stanowiąc jedynie modyfikację istniejący przepisów. Dlatego warto poświecić trochę czasu na zapoznanie się z nowymi obowiązkami. Z pewnością pozwoli to uniknąć problemów i nieprzyjemności w przyszłości.
0 komentarzy