Ochrona danych osobowych klientów w firmie

Jeżeli podczas prowadzenia działalności gospodarczej zawierasz umowy, wystawiasz faktury lub rozliczasz się przez internet (e-przelewy), to pozyskujesz dane osobowe (imię, nazwisko, adres) i je przetwarzasz.

Dopuszczalność przetwarzania danych

Najbardziej powszechną podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą. Nie zawsze jednak będzie ona wymagana w działalności gospodarczej.
Rozporządzenie RODO wymienia wiele przypadków, kiedy przetwarzanie danych osobowych jest dopuszczalne. W działalności gospodarczej zazwyczaj mają miejsce następujące sytuacje:

osoba, której dane dotyczą, wyrazi zgodę na przetwarzanie
przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest stroną tej umowy (np. spisanie umowy zlecenie, płatność przelewem za dostawę) lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy (złożenie zamówienia)
przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. prowadzenie ksiąg rachunkowych)
przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów (np. złożenie pozwu w sądzie przeciwko nieuczciwemu klientowi)

Zgodnie z tym przepisami będziesz mógł przetwarzać dane osobowe tylko na podstawie wskazanych okoliczności (bez dodatkowej zgody), jeżeli jest to niezbędne do realizacji usługi.

Zabezpieczenie danych osobowych

Jeżeli chodzi o sposób zabezpieczenia danych osobowych klientów, to – tak samo jak dane osobowe pracowników – musisz je przetwarzać przy zachowaniu odpowiednich zabezpieczeń fizycznych, systemowych i proceduralnych. Aby zabezpieczyć dane osobowe klientów, potrzebujesz więc podobnych środków, co w przypadku danych pracowników (pod warunkiem, że nie zawierają szczególnych kategorii danych osobowych). W rezultacie administratorzy tych danych, a więc przedsiębiorcy, którzy nimi dysponują, muszą przygotować, wdrożyć i przestrzegać politykę bezpieczeństwa. W ww. dokumentach – zgodnie z RODO – przedsiębiorca musi między innymi:

ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza
określić ryzyko naruszenia praw lub wolności osób fizycznych związanych z takim przetwarzaniem
dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe

Środki zabezpieczenia danych nie są narzucone przez RODO. Rozporządzenie określa jedynie ich przykładowy katalog, czyli:

szyfrowanie danych osobowych
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych, w tym wykorzystywanych systemów elektronicznych

Nad przygotowaniem i przestrzeganiem tych procedur czuwa Inspektor Ochrony Danych Osobowych (IOD).

Rejestr czynności przetwarzania

Rozporządzenie RODO określa również obowiązek rejestracji czynności przetwarzania danych osobowych. Musisz prowadzić rejestr odrębnie dla każdego procesu przetwarzania danych. Możesz go prowadzić w formie pisemnej lub elektronicznej. Rejestr musisz prowadzić jako administrator danych (pozyskanie danych) lub osoba je przetwarzająca (np. biura rachunkowe). W rejestrze powinno znajdować się

imię i nazwisko lub nazwę oraz dane kontaktowe administratora lub współadministratorów, a także przedstawiciela administratora oraz IOD
cele przetwarzania
opis kategorii osób (pracownik, zleceniobiorca, kontrahent), których dane dotyczą oraz kategorii danych osobowych (zwykłe, wrażliwe- szczególne)
kategorię odbiorców (np. biura rachunkowe), którym dane osobowe zostały lub zostaną ujawnione
przekazanie danych osobowych do państwa trzeciego - jeśli do niego doszło
planowane terminy usunięcia poszczególnych kategorii danych - jeżeli jest to możliwe
ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych - jeżeli jest to możliwe

Przykłady rejestrów dla sklepu internetowego i placówki oświatowej znajdziesz na stronie UODO.

Uwaga

Jeśli zatrudniasz mniej niż 250 osób, nie musisz prowadzić rejestru. Jednak zwolnienie nie obejmuje tych przypadków, gdy:

powstanie ryzyko naruszenia praw lub wolności osób, których dane dotyczą
dane nie mają charakteru sporadycznego lub obejmują szczególne kategorie danych osobowych (np. dane o stanie zdrowia, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność do związków zawodowych)
dotyczą wyroków skazujących i naruszeń prawa

W praktyce zatem, nawet gdy przedsiębiorca prowadzi jednoosobową działalność gospodarczą polegającą na oferowaniu towarów klientom, którzy sporadycznie proszą o wystawienie faktury, to i tak dane swoich kontrahentów gromadzi i przetwarza w sposób ciągły. W rezultacie wspomniane zwolnienie nie będzie miało do niego zastosowania.

Ocena skutków dla ochrony

RODO odchodzi od obowiązku rejestracji zbiorów danych osobowych. Zamiast tego wprowadza procedurę tzw. oceny skutków dla ochrony danych. Polega ona na opisie procedury przetwarzania, ocenie niezbędności tego przetwarzania oraz pomocy w zarządzaniu, w tym wykazaniu potrzeby zastosowania adekwatnych środków (tzw. metoda rozliczalności).

Ocena skutków dla ochrony danych osobowych jest obowiązkowa, jeżeli dany rodzaj przetwarzania danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W przepisach RODO wskazano trzy przypadki, w których przeprowadzenie oceny będzie obowiązkowe. Są to:

systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu
przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (orientacja, poglądy, religia, dane biometryczne) lub danych osobowych dotyczących wyroków skazujących lub naruszeń prawa
systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie (systemy monitoringu miejskiego)