Obowiązki firmy wobec osób, których dane przetwarza

3 miesięcy temu

Wprowadzenie Ogólnego Rozporządzenia o Ochronie Danych przyniosło ze sobą szereg zasad i obowiązków mających na celu ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych przez firmy. Chociaż już poprzednio obowiązujące przepisy regulowały ochronę danych osobowych, to z uwagi na brak namacalnych sankcji, często były one bagatelizowane. RODO ustanawia natomiast ramy prawne, które mają zagwarantować, iż dane osobowe są przetwarzane w sposób zgodny z prawem, uczciwy i przejrzysty, a także, iż osoby, których dane dotyczą, mają pełną kontrolę nad swoimi danymi. W artykule omówimy najważniejsze obowiązki, jakie firmy mają wobec osób, których dane przetwarzają, w świetle przepisów RODO.

Zasady przetwarzania danych osobowych

Pierwszym i podstawowym obowiązkiem firmy jest przestrzeganie zasad przetwarzania danych osobowych określonych w art. 5 RODO. Zasady te obejmują:

  • Zasadę zgodności z prawem, rzetelności i przejrzystości – firma musi przetwarzać dane zgodnie z prawem, w sposób rzetelny i przejrzysty dla osoby, której dane dotyczą.
  • Zasadę ograniczenia celu – dane osobowe mogą być zbierane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.
  • Zasadę minimalizacji danych – przetwarzane dane muszą być adekwatne, stosowne i ograniczone do tego, co jest niezbędne dla celów, w jakich są przetwarzane.
  • Zasadę prawidłowości – firma ma obowiązek zapewnić, iż dane są prawidłowe i w razie potrzeby aktualizowane.
  • Zasadę ograniczenia przechowywania – dane mogą być przechowywane w formie umożliwiającej identyfikację osoby tylko tak długo, jak jest to konieczne do realizacji celów przetwarzania.
  • Zasadę integralności i poufności – firma musi przetwarzać dane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem.
Obowiązek informacyjny

Jednym z kluczowych obowiązków firmy jest zapewnienie, iż osoby, których dane są przetwarzane, są odpowiednio poinformowane o tym przetwarzaniu. Zgodnie z art. 13 i 14 RODO, firma musi dostarczyć osobom fizycznym szczegółowe informacje, w tym:

  • Tożsamość i dane kontaktowe administratora danych oraz, jeżeli ma to zastosowanie, inspektora ochrony danych (IOD).
  • Cele przetwarzania oraz podstawę prawną przetwarzania.
  • Informację o odbiorcach danych osobowych lub kategoriach odbiorców.
  • Okres przechowywania danych lub kryteria ustalania tego okresu.
  • Prawa przysługujące osobom, których dane dotyczą, takie jak prawo dostępu, sprostowania, usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo do wniesienia sprzeciwu wobec przetwarzania danych.
  • Informacje o możliwości wniesienia skargi do organu nadzorczego.
Zgoda na przetwarzanie danych

W przypadku, gdy przetwarzanie danych osobowych opiera się na zgodzie osoby, której dane dotyczą, firma ma obowiązek upewnić się, iż zgoda ta jest dobrowolna, konkretna, świadoma i jednoznaczna. Zgodnie z art. 7 ust. 1 RODO, firma musi być w stanie wykazać, iż osoba udzieliła zgody na przetwarzanie jej danych. Zgoda ma spełniać kryterium dobrowolności, świadomości, konkretności i wyraźności, przez co nie może być nadużywana, a osoba, której dane dotyczą, ma prawo w każdej chwili wycofać swoją zgodę.

Prawa osób, których dane dotyczą

RODO przyznaje osobom, których dane są przetwarzane, szereg praw, które firma ma obowiązek respektować:

  • Prawo dostępu do danych – osoby fizyczne mają prawo do uzyskania potwierdzenia, czy ich dane są przetwarzane, a jeżeli tak, to mają prawo do uzyskania dostępu do tych danych oraz informacji na temat przetwarzania.
  • Prawo do sprostowania – osoby mogą żądać sprostowania nieprawidłowych danych osobowych lub uzupełnienia niekompletnych danych.
  • Prawo do usunięcia danych – tzw. „prawo do bycia zapomnianym” umożliwia osobom żądanie usunięcia ich danych osobowych, gdy zajdzie jedna z przesłanek wskazanych w art. 17 RODO, np. gdy dane nie są już potrzebne administratorowi lub gdy przetwarzane były niezgodnie z prawem.
  • Prawo do ograniczenia przetwarzania – osoby mogą żądać ograniczenia przetwarzania danych w określonych przypadkach, np. gdy kwestionują prawidłowość danych.
  • Prawo do przenoszenia danych – osoby mają prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie oraz prawo do ich przesłania do innego administratora.
  • Prawo do sprzeciwu – osoby mogą wnieść sprzeciw wobec przetwarzania danych na podstawie uzasadnionych interesów firmy, w tym w celach marketingowych, a także gdy przetwarzanie odbywa się w ramach realizacji zadania w interesie publicznym.
  • Prawo do niepodlegania zautomatyzowanemu podejmowaniu – osoby mają prawo do tego, aby nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywołuje wobec nich skutki prawne lub w inny podobny sposób istotnie na nią wpływa
Zabezpieczenie danych

Firmy mają obowiązek przeprowadzenia analizy ryzyka, aby w oparciu o jej wynik zapewnić odpowiednie środki techniczne i organizacyjne, aby chronić dane osobowe przed przypadkowym lub niezgodnym z prawem przetwarzaniem, utratą, zniszczeniem lub uszkodzeniem. Zgodnie z art. 32 RODO, środki te powinny obejmować m.in.:

  • Pseudonimizację i szyfrowanie danych osobowych.
  • Zdolność do zapewnienia ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego.
  • Regularne testowanie, mierzenie i ocenianie skuteczności stosowanych środków bezpieczeństwa.
Zgłoszenie naruszenia ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych, które może skutkować ryzykiem dla praw i wolności osób fizycznych, firma ma obowiązek zgłosić ten fakt do organu nadzorczego (w Polsce do Prezesa Urzędu Ochrony Danych Osobowych) nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. jeżeli naruszenie może powodować wysokie ryzyko dla osób, firma musi również poinformować o tym fakcie osoby, których dane dotyczą.

Inspektor Ochrony Danych (IOD)

W niektórych przypadkach firma ma obowiązek powołać Inspektora Ochrony Danych (IOD), który będzie odpowiedzialny m.in. za monitorowanie przestrzegania RODO w organizacji. IOD musi mieć odpowiednią wiedzę fachową i niezależność w wykonywaniu swoich obowiązków. Jego zadania obejmują m.in. doradzanie firmie w kwestiach związanych z ochroną danych, monitorowanie przestrzegania przepisów, współpracę z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla osób, których dane są przetwarzane.

Podsumowanie

Firmy przetwarzające dane osobowe mają wiele obowiązków wobec osób, których dane dotyczą. Przestrzeganie tych obowiązków jest nie tylko wymogiem prawnym, ale również kluczowym elementem budowania zaufania klientów i ochrony reputacji organizacji. Niewłaściwe przetwarzanie danych może prowadzić do poważnych konsekwencji prawnych i finansowych, w tym wysokich kar administracyjnych.

Jeśli Twoja firma potrzebuje wsparcia w spełnieniu wymagań RODO, to nasza usługa Inspektora Ochrony Danych (IOD) jest idealnym rozwiązaniem. Oferujemy kompleksową pomoc w monitorowaniu zgodności z przepisami, doradzamy w zakresie polityk ochrony danych, przeprowadzamy audyty oraz szkolimy personel. Nasz zespół ekspertów posiada wieloletnie doświadczenie w branży. Pozwala nam to na skuteczne wdrażanie niezbędnych procedur oraz minimalizowanie ryzyka związanego z przetwarzaniem danych osobowych. Zaufaj profesjonalistom i zabezpiecz swoją firmę przed potencjalnymi zagrożeniami.

Autor: Sylwia Ostrowska

Idź do oryginalnego materiału