RODO FAQ, czyli najważniejsze pytania dotyczące ochrony danych osobowych
Obowiązujące przepisy nakładają na administratorów danych osobowych szereg wymagań oraz obowiązków. W przypadku ich niedopełnienia, firmom grożą wysokie kary, sięgające nawet 4% rocznych przychodów. Między innymi z tego powodu w sieci znaleźć można mnóstwo pytań zakłopotanych przedsiębiorców, którzy nie wiedzą, czy postępują słusznie czy też muszą wprowadzić niezbędne zmiany. Zapytania związane są przede wszystkim z wykorzystaniem dokumentów zawierających dane osobowe.
Rozwikłanie tego typu wątpliwości może okazać się kluczowe dla funkcjonowania przedsiębiorstwa, dlatego też postanowiliśmy odpowiedzieć na najważniejsze pytania dotyczące zarówno samych danych osobowych, jak i procedur przechowywania oraz niszczenia dokumentów.
1. Co to jest przetwarzanie danych osobowych?
Określa ono wszelkie operacje wykonywane na danych osobowych. Mowa tu nie tylko o ich zbieraniu, ale też przechowywaniu, udostępnianiu, opracowywaniu, a także usuwaniu. Szczegółowe przepisy związane z przetwarzaniem danych znajdują się w Rozporządzeniu o Ochronie Danych Osobowych z 2018 roku.
2. Kto to jest administrator danych osobowych?
Mianem tym określa się osobę fizyczną lub prawną, organ publiczny bądź inny podmiot, który określa cele, sposoby i metody przetwarzania danych osobowych (samodzielnie lub wspólnie z innymi podmiotami). Za administratora danych osobowych może więc zostać uznany szef firmy, konkretny dział lub całe przedsiębiorstwo. Co ważne, administrator odpowiada nie tylko za przetwarzania danych osobowych, ale również za powierzanie tego procesu innym podmiotom.
3. Jak długo dokumentu zawierające dane osobowe mogą być przechowywane?
Jest to jedna z najbardziej kłopotliwych kwestii, ponieważ przepisy dzielą konkretne dokumenty na wiele rodzajów – mowa tu między innymi o dokumentach księgowych, pracowniczych czy medycznych. Zgodnie z Rozporządzeniem, nie mogą być one przetrzymywane dłużej niż jest to niezbędne dla realizacji wskazanych celów ich przetwarzania.
Po upływie tego terminu, administrator danych osobowych musi je zniszczyć w taki sposób, aby niemożliwe okazało się ich odczytanie lub odtworzenie. Wyjątkiem w tym przypadku będą dane przechowywane do celów statystycznych, archiwalnych lub badań naukowych.
4. Jak należy niszczyć dokumenty zawierające dane osobowe?
Niszczenie dokumentów RODO powinno uniemożliwić ich odczytanie lub odtworzenie. W przepisach polskiego prawa nie ma jednak dokładnej wykładni wyjaśniającej, jak dokładnie cały proces powinien wyglądać. Z tego też powodu obowiązuje norma DIN 66399 – wskazuje ona odpowiednie stopnie bezpieczeństwa niszczonych dokumentów, jak również dopuszczalną wielkość ścinków powstałych z kartek umieszczonych w niszczarce. Sam sprzęt także musi spełniać te normy, w przeciwnym wypadku może on zostać uznany za nieodpowiednio, co w skrajnych przypadkach kończy się nałożeniem kary.
5. Czy niszczenie dokumentów zawierające dane osobowe można wykonać samodzielnie?
Oczywiście jest to możliwe. Należy przy tym pamiętać o wspomnianych wcześniej normach, które określają stosowne stopnie bezpieczeństwa. Najważniejszy okaże się więc zakup niszczarki.
Realizacja procedury utylizacji może jednak okazać się utrudniona w momencie, gdy liczba dokumentów przeznaczonych do zniszczenia znacznie wzrośnie. W takim przypadku dobrym rozwiązaniem będzie zatrudnienie profesjonalnej firmy, która wykona wszystko za nas. Wystarczy umówić się na konkretny termin, a przeszkoleni fachowcy odbiorą dokumenty i inne nośniki danych, zabezpieczą je, a następnie przewiozą do niszczarni. Całą procedurę może obserwować wyznaczony pracownik. Wykonawca zlecenia przedstawi nam również szczegółowy protokół zniszczenia, będący potwierdzeniem realizacji całej procedury zgodnie z prawem.
Ochrona danych osobowych wciąż wzbudza wiele kontrowersji i problemów, zwłaszcza wśród przedsiębiorców, którzy są odpowiedzialni za ich przetwarzanie. Mamy więc nadzieję, że powyższe informacje przynajmniej w pewnym stopniu rozjaśnią omówione zagadnienie.