Wymogi prawne w zakresie ochrony danych osobowych nakładają na przedsiębiorców obowiązek dostosowania zasad działalności do przepisów RODO [1]. Opis minimalnych działań jakie należy podjąć celem oceny istnienia obowiązku wdrożenia wymogów z zakresu ochrony danych osobowych oraz przebiegu tego procesu opisano poniżej, w 5 krokach.


Reklama

Krok 1. Sprawdź czy RODO dotyczy twojej firmy

Obowiązki wynikające z przepisów o ochronie danych osobowych spoczywają na osobach i podmiotach prowadzących działalnością gospodarczą i to bez względu na wielkość czy obrót przedsiębiorstwa. Czynnikiem decydującym jest przetwarzanie danych osobowych w ramach czynności o charakterze wykraczającym poza czysto osobiste lub domowe.

Jeśli prowadzisz firmę zajmującą się doradztwem, projektowaniem, finansowaniem oraz budową instalacji wytwarzających zieloną energię i ciepło lub jesteś dostawcą surowców, paliw i komponentów czy też sprzedawcą ekologicznych paliw, z całą pewnością powinieneś podjąć działania mające na celu wdrożenie zasad ochrony danych osobowych. Oznacza to, że jesteś administratorem danych osobowych, na którym spoczywają liczne obowiązki wynikające z przepisów RODO.

Krok 2. Przeanalizuj jakie dane osobowe i w jakim celu przetwarzasz

Fachowo nazywa się to inwentaryzacją danych osobowych. Założeniem jest ustalenie z jakimi danymi osobowymi mamy do czynienia przy prowadzeniu działalności produkcyjnej czy handlowej oraz oszacowanie jakie ryzyko wiąże się z naruszeniem praw i wolności osób, których dane dotyczą. Najczęściej będą to dane zwykłej kategorii tj. imię, nazwisko, nazwa firmy, adres siedziby, numer telefonu, adres e-mail dotyczące osób fizycznych, w tym prowadzących działalność gospodarczą.

Jeśli jednak firma zatrudnia pracowników, zakres przetwarzania będzie szerszy i może obejmować tzw. dane wrażliwe. W zależności od celu w jakim dane są zbierane i wykorzystywane, z ich przetwarzaniem mogą wiązać się dodatkowe obowiązki np. pozyskanie zgody przy wysyłce newslettera. Po zinwentaryzowaniu danych osobowych jakie przetwarzamy w firmie, koniecznym jest oszacowanie prawdopodobieństwa i skutków nieuprawnionego ujawnienia czy dostępu do danych osobowych.

Krok 3. Opracuj podstawowe zasady przetwarzania danych osobowych

W zależności od rodzaju i sposobu przetwarzania danych osobowych zaleca się opracowanie oraz wdrożenie do stosowania w firmie odpowiednich polityk ochrony danych. Polityki stanowią zbiór procedur i instrukcji regulujących m.in. sposób postępowania w razie wystąpienia naruszenia ochrony danych, tryb realizacji żądań osób, których dane dotyczą (np. w razie wystąpienia o usunięcie danych), zasad retencji danych czy spełniania obowiązku informacyjnego.

W większości firm w branży OZE, przetwarzanie danych osobowych wiąże się z koniecznością bieżącego prowadzenia rejestru czynności przetwarzania, stanowiącego usystematyzowany spis czynności przetwarzania dokonywanych na danych.

Krok 4. Zastosuj środki ochrony danych osobowych

Konsekwencją oceny ryzyka jakie wiąże się z przetwarzaniem danych osobowych w firmie, jest dobór właściwych środków technicznych i organizacyjnych celem zapewnienia bezpieczeństwa danych. Decydując się na konkretne środki należy kierować się proporcjonalnością zabezpieczeń do okoliczności przetwarzania (np. rodzaju, sposobu przetwarzania danych) i związanego z nim ryzyka, ale również trzeba uwzględnić stan aktualnej wiedzy technicznej czy koszt wdrażania dostępnych na rynku środków bezpieczeństwa.

Do podstawowych środków organizacyjnych zalecanych w każdej firmie zalicza się m.in. umożliwienie przetwarzania danych osobowych wyłącznie upoważnionym i przeszkolonym pracownikom, którzy zobowiązali się do zachowania danych w poufności czy organizację obszaru przetwarzania tak, aby uniknąć dostępu osób nieupoważnionych do danych.

Minimalnymi środkami technicznymi służącymi ochronie danych przetwarzanych w systemach teleinformatycznych są w szczególności programy antywirusowe i ochrona firewall, tworzenie kopii zapasowych czy dostęp do systemów przy użyciu indywidualnych identyfikatorów i haseł logowania.

Krok 5. Zastanów się nad profesjonalnym doradztwem

Jeśli kroki opisane powyżej wydają się zbyt skomplikowane, najlepiej zlecić wdrożenie wymogów RODO podmiotom trudniącym się tym zawodowo.

Ochrona danych osobowych, jak każda inna dziedzina prawa, może wymagać wsparcia prawników specjalizujących się w tym obszarze. Natomiast w sytuacji, w której w firmie stosowane są przepisy o ochronie danych osobowych, warto rozważyć zlecenie okresowego audytu ochrony danych, który potwierdzi zgodność procesów z RODO lub pozwoli na wskazanie obszarów wymagających podjęcia dodatkowych działań. Nieprzestrzeganie przepisów o ochronie danych osobowych może się bowiem wiązać z odpowiedzialnością karną, cywilną czy administracyjną mogącą sięgać nawet 20 000 000 EUR.


Aleksandra Zwolińska-Mańczak

Prawnik/Specjalistka ds. ochrony danych osobowych

Guzek Szwanenfeld Szczepański i Partnerzy 

Adwokacka Spółka Partnerska


Chcesz wiedzieć więcej? Dlatego czytaj Magazyn Biomasa. W internecie za darmo:

Inne wydania Magazynu Biomasa znajdziesz tutaj. Dlatego kliknij i czytaj!

Zdjęcie: Shutterstock
Źródła:
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Newsletter

Newsletter

Bądź na bieżąco z branżą OZE