RODO – Rozporządzenie o Ochronie Danych Osobowych
W tym artykule chcielibyśmy przybliżyć wszystkie istotne informacje, które pozwolą zapoznać się z kwestią, jaką jest ochrona danych osobowych. Dotyczą one wszystkich przedsiębiorców, ale też konsumentów.
„Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)”
Rozporządzenie o Ochronie Danych Osobowych (RODO), zwane także z angielskiego GDPR – General Data Protection Regulation obowiązuje od 25 maja 2018 r. we wszystkich krajach członkowskich Unii Europejskiej i wiąże wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.
Kogo dotyczy RODO?
Obowiązek zastosowania się do RODO mają wszystkie firmy, które gromadzą, a później wykorzystują dane dotyczące osób fizycznych.
Ma to odniesienie w szczególności do danych osobowych klientów, kontrahentów, jak i samych pracowników.
Rozporządzenie o Ochronie Danych Osobowych nakłada na firmy liczne obowiązki, a jednocześnie oddaje w ręce klientów liczne prawa, pozwalające im zadbać o swoją prywatność.
Przepisy rozporządzenia dotyczą każdej firmy, zarówno jednoosobowej działalności, spółki jak i dużej korporacji, a także sklepów internetowych, które działają na terenie Unii Europejskiej i przetwarzają dane osobowe.
Co to są dane osobowe?
Dane osobowe pozwalają na określenie tożsamości osoby fizycznej. Jest to przede wszystkim imię i nazwisko, a także numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, oraz wszystkie inne dane, które pozwalają na identyfikację danej osoby.
Szczególnej ochronie na mocy ogólnego rozporządzenia RODO podlegają danych osobowych uznawane za tzw. „wrażliwe” i są to: zdrowie, przekonania religijne, poglądy polityczne, orientacja seksualna, dane genetyczne. Dane te powinny być chronione w szczególny sposób.
Rodzaj i ilość danych osobowych, które firma może zbierać i przetwarzać, zależy od uzasadnienia oraz konkretnego celu ich przetwarzani, ponadto musi być przejrzysty oraz zgodny z prawem.
Firmy mogą jednak zbierać dane, które w momencie ich podania nie są potrzebne do wypełnienia celów, np. do realizacji usługi czy zamówienia. Będzie jednak istniała konieczność wykazania, w jaki celu dane takie są zbierane oraz niezbędna będzie dobrowolna zgoda na ich podanie.
Ochrona danych osobowych – prawa i obowiązki
Wejście w życie RODO sprawiło, że firmy muszą zwracać większą uwagę na kwestię, jaką jest ochrona danych osobowych. Rozporządzenie o Ochronie Danych Osobowych nałożyło na wszystkie przedsiębiorstwa szereg obowiązków.
Najważniejsze obowiązki to:
- wdrożenie niezbędnych środków, zarówno organizacyjnych (właściwe prowadzenie rejestrów) jak i technicznych (ochrona komputerów firmowych oraz urządzeń mobilnych, szyfrowanie danych, bezpieczna wymiana sprzętu) w celu należytego zabezpieczenia, przechowywania i przetwarzania danych osobowych.
- informowanie o wycieku danych – w ciągu 72 godziny firma ma obowiązek poinformować o odkrytym naruszeniu, które mogłoby skutkować trafieniem prywatnych informacji w niepowołane ręce,
- dokumentowanie przetwarzania danych osobowych – firma musi tworzyć rejestr dotyczący tego, jakie dane, w jaki sposób, w jakim celu i przez kogo były przetwarzane,
- powołanie IOD (Inspektora Ochrony Danych) w firmach, w których przetwarzanie danych stanowi podstawę działalności.
Rozporządzenie RODO wprowadziło obowiązki dla przedsiębiorstw, natomiast dla osób fizycznych nowe prawa, które pozwalają na:
- wgląd i dostęp do swoich danych osobowych,
- przenoszenie danych osobowych,
- poprawienie danych osobowych,
- usunięcie danych osobowych – prawo do bycia zapomnianym.
Jak długo można przetwarzać dane osobowe?
Przepisy RODO nie mówią wprost, jak długo przedsiębiorstwo powinno przechowywać dane dotyczące osób fizycznych, jednak wskazują, że okres ten powinien zostać ograniczony do „ścisłego minimum”.
Zgodnie z RODO Administrator musi samodzielnie zdecydować, jak długi może to być okres. Ponadto powinien zadbać o to, aby okres przetwarzania danych był ograniczony do czasu, niezbędnego do wypełnienia celów, dla których dane zostały pobrane.
Konsekwencje i kary za nieprzestrzeganie i łamanie RODO
Firmy, które nie dostosują się do wytycznych Rozporządzenia o Ochronie Danych Osobowych, muszą liczyć się z dotkliwymi karami. Przewidziane są dwa maksymalne progi kar finansowych:
- do 10 mln eurolub 2 proc. całkowitego rocznego obrotu za niewypełnianie obowiązku informacyjnego, braki w systemach ochrony danych, nieprawidłowe prowadzenie rejestrów itp.,
- do 20 mln euro lub 4 proc. całkowitego rocznego obrotu za złamanie podstawowych zasad przetwarzania danych, złamanie praw konsumenckich, niedozwolone udostępnianie danych itp.
Szkolenia BHP a RODO
Mimo że od wejścia w życie RODO upłynął już jakiś czasu, ich prawidłowe stosowanie wciąż budzi wiele wątpliwości.
Rozporządzenie wciąż rodzi wiele pytań związanych z realizacją obowiązku uzyskiwania zgód na przetwarzanie danych osobowych, m.in. na temat pracowników w kwestiach związanych z BHP.
Jak wiadomo, bezpieczeństwo pracy jest jednym z priorytetowych obowiązków każdego pracodawcy, a każda zatrudniona osoba, przed objęciem stanowiska pracy powinna przejść nie tylko szkolenie wstępne, ale także specjalistyczny instruktaż oraz okresowy kurs BHP.
Ponieważ wymóg ten dotyczy wszystkich zakładów pracy, niezależnie od formy ich własności, pracodawcy zlecają realizację szkolenia BHP zewnętrznym firmom szkoleniowym.
Zlecenie to wiąże się z koniecznością przetwarzania przez firmę zewnętrzną, skierowanych na szkolenie, danych osobowych pracowników, w celu wystawienia zaświadczenia o odbytym kursie.
W tym celu pracodawca zawiera z zewnętrzną firmą szkoleniową umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 Rozporządzenia RODO oraz zleca przetwarzanie danych swoich pracowników wyłącznie w zakresie niezbędnym do realizacji zadania głównego.
Przekazywanie danych pracowników, biorących udział w szkoleniu następuje bez ich zgody i odbywa się na podstawie art. 6 ust. 1 lit. c) ogólnego rozporządzenia o ochronie danych osobowych tj. w celu wypełnienia ciążącego na pracodawcy obowiązku prawnego.
Jakie dane pracowników są wymagane w celu wystawienia zaświadczenia o ukończeniu szkolenia z zakresu BHP?
W celu wystawiania zaświadczenia o ukończeniu szkolenia z zakresu BHP wymagane są takie dane osobowe jak:
- imię i nazwisko,
- data urodzenia,
- typ stanowiska.
RODO w BHP – zmiany w przepisach
W czerwcu 2019 r. w związku z obowiązującymi w naszym kraju przepisami RODO weszły w życie dwa istotne rozporządzenia, zmieniające dokumentację związaną z bezpieczeństwem i higieną pracy.
- Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej w sprawie szkolenia BHP
Zmiana dotyczy nowego wzoru zaświadczenia o ukończeniu szkolenia z bezpieczeństwa i higieny pracy. W związku z ochroną danych osobowych z zaświadczenia zniknęło miejsce urodzenia pracownika.
- Rozporządzeniu Ministra Rodziny, Pracy i Polityki Społecznej w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy
Z protokołu usunięte zostało miejsca urodzenia poszkodowanego oraz imię ojca.
Nowe wzory dokumentów są obowiązkowe od 1 stycznia 2020 r.
Dziękujemy za poświęcony czas, mamy nadzieję, że nasz artykuł przybliżył i rozwiał nieco wątpliwości dotyczących RODO.
Wszystkich zainteresowanych profesjonalnymi szkoleniami z zakresu BHP zapraszamy do współpracy.
Cezary Myśliwiec