Wymogi prawne w zakresie ochrony danych osobowych nakładają na przedsiębiorców obowiązek dostosowania zasad działalności do przepisów RODO[1]. Poniżej Aleksandra Zwolińska-Mańczak przedstawia w 5 krokach opis minimalnych działań, jakie należy podjąć w celu oceny istnienia obowiązku wdrożenia wymogów z zakresu ochrony danych osobowych oraz przebiegu tego procesu.
Krok 1. Sprawdź czy RODO Ciebie dotyczy
Obowiązki wynikające z przepisów o ochronie danych osobowych spoczywają na osobach i podmiotach prowadzących działalnością gospodarczą i to bez względu na wielkość czy obrót przedsiębiorstwa. Czynnikiem decydującym jest przetwarzanie danych osobowych w ramach czynności o charakterze wykraczającym poza czysto osobiste lub domowe. Jeśli prowadzisz firmę zajmującą się doradztwem, projektowaniem, finansowaniem oraz budową instalacji wytwarzających zieloną energię i ciepło lub jesteś dostawcą surowców, paliw i komponentów czy też sprzedawcą ekologicznych paliw, z całą pewnością powinieneś podjąć działania mające na celu wdrożenie zasad ochrony danych osobowych. Oznacza to, że jesteś administratorem danych osobowych, na którym spoczywają liczne obowiązki wynikające z przepisów RODO.
Krok 2. Przeanalizuj jakie dane osobowe i w jakim celu przetwarzasz
Fachowo nazywa się to inwentaryzacją danych osobowych. Założeniem jest ustalenie z jakimi danymi osobowymi mamy do czynienia przy prowadzeniu działalności produkcyjnej czy handlowej oraz oszacowanie jakie ryzyko wiąże się z naruszeniem praw i wolności osób, których dane dotyczą. Najczęściej będą to dane zwykłej kategorii tj. imię, nazwisko, nazwa firmy, adres siedziby, numer telefonu, adres e-mail dotyczące osób fizycznych, w tym prowadzących działalność gospodarczą. Jeśli jednak firma zatrudnia pracowników, zakres przetwarzania będzie szerszy i może obejmować tzw. dane wrażliwe. W zależności od celu w jakim dane są zbierane i wykorzystywane, z ich przetwarzaniem mogą wiązać się dodatkowe obowiązki np. pozyskanie zgody przy wysyłce newslettera. Po zinwentaryzowaniu danych osobowych jakie przetwarzamy firmie, koniecznym jest oszacowanie prawdopodobieństwa i skutków nieuprawnionego ujawnienia czy dostępu do danych osobowych.
Krok 3. Opracuj podstawowe zasady przetwarzania danych osobowych
W zależności od rodzaju i sposób przetwarzania danych osobowych zaleca się opracowanie oraz wdrożenie do stosowania w firmie odpowiednich polityk ochrony danych. Polityki stanowią zbiór procedur i instrukcji regulujących m.in. sposób postępowania w razie wystąpienia naruszenia ochrony danych, tryb realizacji żądań osób, których dane dotyczą (np. w razie wystąpienia o usunięcie danych), zasad retencji danych czy spełniania obowiązku informacyjnego. W większości firm w branży OZE, przetwarzanie danych osobowych wiąże się z koniecznością bieżącego prowadzenia rejestru czynności przetwarzania, stanowiącego usystematyzowany spis czynności przetwarzania dokonywanych na danych.
Czytaj też: Dofinansowania do OZE dla rolników. 31 stycznia rusza nabór wniosków
Krok 4. Zastosuj środki ochrony danych osobowych
Konsekwencją oceny ryzyka jakie wiąże się z przetwarzaniem danych osobowych w firmie jest dobór właściwych środków technicznych i organizacyjnych celem zapewnienia bezpieczeństwa danych. Decydując się na konkretne środki należy kierować się proporcjonalnością zabezpieczeń do okoliczności przetwarzania (np. rodzaju, sposobu przetwarzania danych) i związanego z nim ryzyka ale również uwzględnić stan aktualnej wiedzy technicznej czy koszt wdrażania dostępnych na rynku środków bezpieczeństwa. Do podstawowych środków organizacyjnych zalecanych w każdej firmie zalicza się m.in. umożliwienie przetwarzania danych osobowych wyłącznie upoważnionym i przeszkolonym pracownikom, którzy zobowiązali się do zachowania danych w poufności czy organizację obszaru przetwarzania tak, aby uniknąć dostępu osób nieupoważnionych do danych. Minimalnymi środkami technicznymi służącymi ochronie danych przetwarzanych w systemach teleinformatycznych są w szczególności programy antywirusowe i ochrona firewall, tworzenie kopii zapasowych czy dostęp do systemów przy użyciu indywidualnych identyfikatorów i haseł logowania.
Krok 5. Zastanów się nad profesjonalnym doradztwem
Jeśli kroki opisane powyżej wydają się zbyt skomplikowane, najlepiej zlecić wdrożenie wymogów RODO podmiotom trudniącym się tym zawodowo. Ochrona danych osobowych jak każda inna dziedzina prawa może wymagać wsparcia prawników specjalizujących się w tym obszarze. Natomiast w sytuacji, w której w firmie stosowane są przepisy o ochronie danych osobowych, warto rozważyć zlecenie okresowego audytu ochrony danych, który potwierdzi zgodność procesów z RODO lub pozwoli na wskazanie obszarów wymagających podjęcia dodatkowych działań. Nieprzestrzeganie przepisów ochronie danych osobowych może się bowiem wiązać z odpowiedzialnością karną, cywilną czy administracyjną mogącą sięgać nawet 20 000 000 EUR.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Magazyn Biomasa. W internecie za darmo:
Inne wydania Magazynu Biomasa znajdziesz tutaj. Dlatego kliknij i czytaj!
Tekst: Aleksandra Zwolińska-Mańczak, Prawnik, Specjalista ds.ochrony danych osobowych
Guzek Szwanenfeld Szczepański i Partnerzy Adwokacka Spółka Partnerska
Newsletter
Bądź na bieżąco z branżą OZE