Temat RODO to dla wielu wciąż tajemnica – nie wiedzą co dokładnie oznacza ani w jakim celu zostało wprowadzone. Niejednemu nowe zagadnienia o Ochronie Danych Osobowych spędzają sen z powiek - nie ma się co dziwić, to niełatwy temat.
Nawet jeżeli z grubsza wiesz co to jest RODO (jeżeli nie, możesz przeczytać o tym >>> tutaj), to pozostaje jeszcze pytanie…
RODO dotyczy każdego, kto przetwarza czyjeś dane osobowe. Nie ma potrzeby zajmowania się danymi osobowymi, dopóki nie korzystasz z danych innych ludzi. A korzystanie z danych osobowych to właśnie tzw.: przetwarzanie danych.
Otóż przetwarzanie danych osobowych oznacza wszelkie operacje wykonywane na danych osobowych. Przykładem takich operacji jest:
Jeżeli zbierasz dane – to już je przetwarzasz. Jeżeli pracownik w Twojej firmie przegląda dane klientów – to już je przetwarza. Tym bardziej jeżeli do tych klientów później dzwoni lub pisze maile. Dla uproszczenia możesz przyjąć, że przetwarzanie danych osobowych to właściwie każda czynność jaką wykonujesz z danymi – nawet usuwanie danych jest rozumiane jako ich przetwarzanie.
Wiemy już, że przetwarzanie danych osobowych to szerokie pojęcie, w którym zawarte są wszelkie procesy wykorzystywania danych. Czy to oznacza, że można po prostu wziąć dane osobowe dowolnej osoby i zacząć z nich korzystać? Otóż nie.
Żeby w ogóle móc korzystać z obcych danych osobowych, trzeba mieć podstawę do przetwarzania tych danych. RODO dokładnie precyzuje 5 takich przesłanek. W artykule (dla lepszego zapamiętania czytelników), roboczo nazwaliśmy te przesłanki „Złotą piątką RODO”:
Każda z tych przesłanek to tak naprawdę odpowiedni sposób działania – procedura, którą można z powodzeniem wdrożyć w firmie.
Odpowiednia podstawa do przetwarzania danych to jednak nie wszystko. Jeżeli ktoś już wyraził zgodę na przetwarzanie swoich danych, to czy od tego momentu możemy z nimi robić, co nam się podoba? – Znów musimy zaprzeczyć.
Przetwarzanie danych to nieskończenie szeroki katalog możliwości - RODO ustanawia ogólne zasady przetwarzania danych, które tworzą główne ramy dla wszelkiego przetwarzania danych.
Dane zatem możemy przetwarzać, mając odpowiednie podstawy (nasza roboczo nazwana „złota piątka RODO”) oraz stosując do tego przetwarzania omówione poniższe zasady:
Na pierwszy rzut oka zasady te mogą jawić się jako niezrozumiałe, prawnicze zaklęcia, jednak każda z tych zasad, to po prostu pewna praktyka, jaką należy wdrożyć w firmie poprzez np.: odpowiednie procedury lub dokumenty.
RODO precyzuje więc, czym są dane osobowe, a także ustanawia podstawy i zasady korzystania z danych. Aby system był kompletny, trzeba jeszcze ustalić, kto dokładnie te dane przetwarza. Dzięki temu wiadomo, kto jest zobowiązany do stosowania wcześniej omówionych zasad.
Najważniejszym podmiotem w łańcuchu przetwarzania danych osobowych jest administrator danych osobowych. Administrator to podmiot, który decyduje o celach i środkach przetwarzania danych – a więc osoba, która najczęściej zbierała dane i decydowała o dalszych losach ich przetwarzania.
W praktyce więc administratorem będzie spółka, która prowadzi sklep internetowy i w ramach swojej działalności zbiera dane klientów oraz użytkowników, którzy np.: zapisali się do otrzymywania firmowego newslettera. Spółka decyduje, jak będzie przetwarzała zebrane dane – np. poprzez wysyłkę reklam pocztą e-mail.
Drugim ważnym podmiotem jest procesor danych osobowych. Jest to podmiot, który przetwarza dane w imieniu administratora danych osobowych. Najlepszym przykładem procesora będzie biuro księgowe – otrzymuje ono od swoich klientów masę danych osobowych, takich jak dane pracowników, ale tylko po to, żeby odpowiednio rozliczyć ich pensje czy podatki - wyłącznie na potrzeby administratora takich danych. Sam procesor nie decyduje co i jak będzie robił z danymi i wręcz nie może używać ich do żadnych swoich celów.
Jeżeli Twoja firma zbiera dane osobowe użytkowników lub klientów, to z pewnością dokonuje ich przetwarzania. W takim wypadku powinna spełniać wszystkie wymogi RODO – te dotyczące podstawy przetwarzania i ich zasad – ale także powinna prowadzić stosowne rejestry przetwarzania danych osobowych, podpisać umowy powierzenia przetwarzania i pamiętać o koniecznych upoważnieniach.