Dnia 25 maja 2018 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119/1), czyli tzw. RODO. Zmieniło ono w istotny sposób możliwość przetwarzania danych oraz ich ochrony przez polskich przedsiębiorców.
Rozporządzenie unijne nie wymaga implementacji polską ustawą. Nowe przepisy wymagały jednak znowelizowania niektórych aktów prawnych, m.in. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2016 r. poz. 922).
RODO objęło wszystkich przedsiębiorców działających w Unii Europejskiej, a także podmioty spoza UE, które oferują swoje towary i usługi osobom znajdującym się na jej terytorium.
Kogo obejmuje RODO
Celem przepisów RODO jest zapewnienie bezpieczeństwa ochrony danych osobowych. Nowe regulacje wszystkich przedsiębiorców oraz wszystkie podmioty publiczne, które gromadzą i przetwarzają dane osobowe. W przypadku osób fizycznych prowadzących działalność gospodarczą, RODO należy zastosować zarówno do kontrahentów, jak i pracowników.
RODO – najważniejsze definicje
Nowe rozporządzenie unijne definiuje podstawowe pojęcia związane z ochroną danych osobowych. Definicje te znajdują się w art. 3 tego aktu prawnego. Znalazły się w nim m.in. definicje przetwarzania, danych osobowych, administratora, podmiotu przetwarzającego i naruszenia ochrony danych osobowych:
Art. 4
Definicje
Na użytek niniejszego rozporządzenia:
1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
(…)
7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
8) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
(…)
12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Wymagania RODO
Od podmiotów przetwarzających dane osobowe przepisy rozporządzenia o RODO wymagają samodzielnej oceny ryzyka naruszenia tych danych i zastosowania środków, które mają to ryzyko zminimalizować. Rozporządzenie nie określa jednak, jakie mają to być środki. Przedsiębiorca sam musi o tym zadecydować. Działania te muszą być prowadzone w taki sposób, aby zawsze można było wykazać, iż ryzyko zostało ocenione, a środki mające na celu jego zminimalizowanie – skutecznie wdrożone.
W praktyce konieczne jest przeanalizowanie, jakimi danymi osobowymi przedsiębiorca dysponuje, co dzieje się z tymi danymi, a także jakie ryzyko wiąże się z ich przetwarzaniem. Następnie należy wdrożyć w firmie działania mające na celu zoptymalizowanie tego ryzyka.
W przypadku podmiotów, których przetwarzanie danych osobowych stanowi przedmiot działalności, konieczne jest powołanie inspektora danych osobowych. Osoba ta jest pośrednikiem między firmą a urzędem oraz między firmą a osobami, których dane osobowe podlegają przetwarzaniu.
Przepisy dotyczące ochrony danych osobowych, obowiązujące w Polsce przed wejściem w życie rozporządzenia o RODO, wymagały m.in. stworzenia w formie dokumentu polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe. RODO tego nie wymaga. Rozporządzenie odwołuje się jednak do pewnego rodzaju „polityki ochrony danych” – z tego względu zaleca się, aby firmy dalej stosowały taką dokumentację, oczywiście po dostosowaniu jej do nowych regulacji.
Wymagania RODO – bezpieczeństwo danych
Choć rozporządzenie o RODO nie określa konkretnych wytycznych dotyczących zapewniania bezpieczeństwa danych, warto wymienić kilka możliwych. Mogą to być w szczególności:
- pseudonimizacja i szyfrowanie danych osobowych;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
Kolejna kwestia to ocena ryzyka związanego z przetwarzaniem danych. Należy wziąć pod uwagę przede wszystkim ryzyko wynikające z przypadkowego i niezgodnego z prawem zniszczenia danych osobowych, utraty ich lub dokonania modyfikacji. Bardzo istotne jest także ryzyko nieuprawnionego ujawnienia lub dostępu do danych przechowywanych, przesyłanych lub w inny sposób przetwarzanych.
RODO: Zgoda na przetwarzanie danych osobowych
Jednym z najbardziej widocznych elementów wdrożenia RODO w firmie jest przygotowanie zgody na przetwarzanie danych osobowych, udostępnianej wszystkim osobom, których dane są lub będą przetwarzane przez przedsiębiorstwo lub podmiot publiczny. Wytyczne w tym zakresie znajdują się w art. 6 rozporządzenia.
Zgodnie z art. 6 ust. 1 tego aktu prawnego:
Art. 6
Zgodność przetwarzania z prawem
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Rejestr czynności przetwarzania danych osobowych RODO
Administrator ma obowiązek prowadzić rejestr czynności przetwarzania danych – to obowiązkowy element prowadzonej dokumentacji, a przy tym zupełna nowość w porównaniu do poprzedniego stanu prawnego. Obowiązek ten nie dotyczy jednak wszystkich przedsiębiorców – rejestr muszą prowadzić podmioty zatrudniające minimum 250 osób.
Podatnicy zatrudniający mniejszą liczbę osób muszą prowadzić rejestr czynności przetwarzania danych, jeśli przetwarzanie danych w ich wypadku:
- Nie ma charakteru sporadycznego
- Może powodować ryzyko naruszenia praw lub wolności osób, których te dane dotyczą
- Obejmuje szczególne kategorie danych osobowych określone w art. 9 ust. 1 rozporządzenia o RODO, bądź dane osobowe dot. wyroków skazujących i naruszeń prawa
Rejestr czynności przetwarzania danych może być prowadzony w formie pisemnej lub elektronicznej. Na żądanie organu nadzorczego dany podmiot ma obowiązek udostępnić prowadzony rejestr.
Rejestr powinien zawierać:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych (IOD);
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
- gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
W rejestrze odnotowuje się:
- imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
- kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
- gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej;
- jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.
Kary za naruszenie przepisów RODO
Choć przepisy RODO nie określają dokładnie środków, jakie przedsiębiorca musi wdrożyć w celu prawidłowego przetwarzania danych, kary za naruszenie nowych wytycznych są już zupełnie konkretne. I wcale nie małe. Wynoszą one od 10 mln do 20 mln euro lub od 2% do 4% obrotu firmy. Przy czym jako obrót bierze się pod uwagę całkowity roczny obrót światowy przedsiębiorstwa z roku obrotowego poprzedzającego naruszenie przepisów RODO.
W art. 83 rozporządzenia RODO określono szczegółowo warunki nakładania administracyjnych kar pieniężnych oraz sposób określania kwot sankcji w poszczególnych przypadkach.
Programy dla firm gotowe na RODO
Wejście w życie przepisów RODO wpłynęło na wiele obszarów funkcjonowania każdego przedsiębiorstwa – zmiany te objęły zarówno sferę prawną, jak i sferę systemów informatycznych. RODO wpływa nie tylko na sposób prowadzenia działań marketingowych w firmie, ale też na procesy kadrowe, rekrutacyjne i wiele innych. Przedsiębiorcy korzystający z oprogramowania dla firm muszą mieć pewność, iż prowadzone przez nich działania są zgodne z nowymi wytycznymi.
Dostosowanie działalności do wymogów RODO jest proste, jeśli przedsiębiorca korzysta z nowoczesnego oprogramowania. Programy dla firm gotowe na RODO oferuje InsERT – wiodący producent oprogramowania, takiego jak m.in. Subiekt GT, Subiekt nexo, Gestor GT, Gestor nexo, Gratyfikant GT, Gratyfikant nexo, Rewizor GT, Rewizor nexo czy Rachmistrz GT i Rachmistrz nexo.
Zespół specjalistów InsERT na bieżąco śledzi zmiany w przepisach, dzięki czemu systemy InsERT GT oraz InsERT nexo są na nie gotowe jeszcze długo przed wejściem w życie nowych regulacji.
Programy InsERT nexo – zmiany związane z RODO
W związku z wprowadzeniem nowych regulacji dot. ochrony danych osobowych zaktualizowano programy:
- Biuro nexo – program do zarządzania biurem rachunkowym,
- Gestor nexo – program do zarządzania relacjami z klientami,
- Gratyfikant nexo – program do obsługi kadr i płac,
- Rachmistrz nexo – program do prowadzenia uproszczonej księgowość,
- Rewizor nexo – program do prowadzenia pełnej księgowości
- Subiekt nexo – program do zarządzania sprzedażą
W systemach tych wprowadzony został nowy moduł Ochrona danych osobowych – jest on dostępny w węźle Ewidencje dodatkowe i zawiera następujące widoki:
- Cele przetwarzania
- Monitorowanie danych osobowych
- Rejestr czynności przetwarzania (Gratyfikant nexo i Gestor nexo)
Zaktualizowane programy dla firm linii InsERT nexo umożliwiają konfigurację podstawowych parametrów związanych z RODO, takich jak m.in. dane administratora, inspektora danych osobowych oraz obowiązku informacyjnego. Systemy Biuro nexo, Subiekt nexo, Rachmistrz nexo, Rewizor nexo, Gestor nexo i Gratyfikant nexo umożliwiają wydruk szczegółowych danych osobowych.
Gratyfikant nexo i Gestor nexo dają użytkownikowi możliwość prowadzenia rejestru czynności przetwarzania.
Programy Gestor nexo, Gratyfikant nexo, Rachmistrz nexo, Rewizor nexo, Subiekt nexo pozwalają na bieżące monitorowanie przetwarzania danych, a także prowadzenie dodatkowej dokumentacji związanej z ODO.
To tylko niektóre zmiany, dzięki którym programy linii InsERT nexo pozwalają użytkownikowi w pełni dostosować swoją działalność do nowych przepisów. Stosowanie tych systemów w codziennej pracy to dla przedsiębiorstwa gwarancja skutecznego dostosowania się do nowych regulacji. Przetwarzanie danych osobowych zgodnie z wytycznymi RODO eliminuje ryzyko nałożenia na podatnika surowych kar określonych w rozporządzeniu unijnym, wzbudza zaufanie kontrahentów i zapewnia komfort pracownikom.
Programy InsERT GT – zmiany związane z RODO
Podobne zmiany zostały wprowadzone w klasycznej linii tych najpopularniejszych w Polsce programów dla firm – linii InsERT GT. Producent zadbał o zaktualizowanie wszystkich programów, do których mogą mieć zastosowanie przepisy RODO:
- Gestor GT – program do zarządzania relacjami z klientami,
- Gratyfikant GT – program do obsługi kadr i płac,
- Rachmistrz GT – program do prowadzenia uproszczonej księgowość,
- Rewizor GT – program do prowadzenia pełnej księgowości
- Subiekt GT – program do zarządzania sprzedażą
W wersji 1.52 programów InsERT GT pojawił się nowy moduł Ochrona danych osobowych zawierający następujące widoki:
- Cele przetwarzania
- Rejestr czynności przetwarzania
- Monitorowanie przetwarzania danych
We wszystkich wymienionych powyżej programach InsERT GT pojawił się nowy mechanizm wydruków z autotekstami. Znany z Gratyfikanta GT, mechanizm wydruków RTF z predefiniowanymi autotekstami można wykorzystać m.in. do druku dokumentów takich jak Upoważnienie do przetwarzania danych osobowych.
W systemach linii InsERT GT przygotowano kilka wydruków, które pozwalają m.in. na zrealizowanie obowiązku przedstawienia informacji o przetwarzanych danych na żądanie osoby, której te dane dotyczą.
Podobnie jak w przypadku linii nexo, to tylko niektóre zmiany w programach Subiekt GT, Rachmistrz GT, Rewizor GT, Gestor GT i Gratyfikant GT, które pozwalają przedsiębiorcy dostosować swoją działalność do nowych regulacji. Kary za naruszenie przepisów RODO są wysokie. Warto zadbać o prawidłowe wdrożenie nowych wytycznych w działalności – w trosce nie tylko o dobro przedsiębiorstwa, ale też jego pracowników i kontrahentów.