Przepisy związane z RODO nakładają na przedsiębiorstwa i różne instytucje wiele obowiązków związanych z ochroną i przetwarzaniem danych osobowych. Podstawowym celem tych regulacji jest zabezpieczenie danych przed dowolnym udostępnianiem innym podmiotom, a także niekontrolowanym ich wyciekiem. Administrator danych, czyli firma lub instytucja, która jest w ich posiadaniu, poza wdrożeniem systemu RODO do ochrony danych przed dostępem osób niepowołanych musi również wypełnić podstawowe obowiązki informacyjne wobec osób, których dane gromadzi. W ich ramach niezbędne jest powiadomienie o fakcie gromadzenia danych, zakresie informacji, jakie są zbierane, a także celu, któremu mają służyć. Mimo tego, że od czasu wdrożenia RODO do prawa polskiego minęło już sporo czasu, wciąż można się spotkać z nieporozumieniami dotyczącymi jej stosowania. Przyjrzyjmy się niektórym z nich.
Nie przetwarzam danych osobowych
Wielu przedsiębiorców, szczególnie prowadzących działalność na mniejszą skalę jest przekonanych, że nie przetwarza danych osobowych. Można sobie oczywiście wyobrazić sytuację, w której rzeczywiście tak się stanie, jednak będzie to przypadek szczególny. Ochroną objęte są bowiem dane osób fizycznych. Każdy przedsiębiorca, który zatrudnia choć jednego pracownika staje się automatycznie administratorem danych w rozumieniu przepisów o RODO. Dotyczy to każdej formy zatrudnienia, czyli zarówno umowy o pracę jak i umów cywilnoprawnych.
Podobna sytuacja może mieć miejsce, jeśli idzie o klientów firmy. Nawet gdy przedsiębiorca wykonuje wyłącznie usługi B2B, to w przypadku, kiedy wśród kontrahentów – klientów, podwykonawców bądź dostawców usług czy sprzętu – znajdzie się osoba wykonująca jednoosobową działalność gospodarczą, przedsiębiorca stanie się podmiotem gromadzącym i przetwarzającym dane osobowe. Stanie się tak dlatego, że dane osób zgłoszonych do CEIDG również są traktowane na równi z danymi osób fizycznych.
Umowa o przetwarzanie danych zwalnia mnie z obowiązków w zakresie RODO
Wielu przedsiębiorców sądzi, że po podpisaniu umowy na przetwarzanie danych osobowych z innym podmiotem, np. firmą księgową nie musi się już zajmować sprawami związanymi z RODO, o ile nie wykorzystuje tych informacji w innym zakresie, np. do prowadzenia bazy danych klientów czy działalności marketingowej.
W takim przypadku jednak firma musi również wdrożyć zasady dotyczące RODO, niezależnie od tych, które obowiązują u kontrahenta wykonującego na zlecenie różnego rodzaju usługi, np. księgowe, związane z dokumentacją BHP czy obsługę kadrowo-płacową. Przedsiębiorca taki pozostaje bowiem nadal administratorem tych danych.
Nie mogę już korzystać z komunikacji marketingowej z klientami
Wiele firm uważa, że ustawa o RODO wyklucza możliwość przesyłania klientom ofert czy informacji mailowych. W rzeczywistości mimo obowiązywania przepisów o ochronie danych taka działalność nadal może być prowadzona. Wymaga jedynie uzyskania odpowiedniej zgody, w ramach której klient powinien być poinformowany o tym, że jej udzielenie jest absolutnie dobrowolne oraz powiadomiony o celach, do których jego zgoda będzie wykorzystana. Warto pamiętać, że przepisy o RODO wymagają, by wszystkie informacje przedstawiane klientowi były napisane prostym i zrozumiałym językiem.