RODO w firmie – jak chronić dane osobowe pracowników i klientów

Ochrona danych osobowych stała się jednym z kluczowych zagadnień funkcjonowania współczesnych przedsiębiorstw. Ogólne rozporządzenie o ochronie danych (RODO) nie jest już „nowością”, ale nadal pozostaje źródłem wielu praktycznych problemów dla pracodawców i przedsiębiorców obsługujących klientów – zarówno w relacjach B2C, jak i B2B. Prawidłowe wdrożenie RODO wymaga nie tylko wdrożenia dokumentacji, lecz przede wszystkim realnego uporządkowania procesów przetwarzania danych i zrozumienia, jakie prawa przysługują osobom, których dane dotyczą, oraz jakie obowiązki ciążą na administratorze.

Celem niniejszego artykułu jest przedstawienie w sposób praktyczny i przystępny najważniejszych zasad ochrony danych osobowych pracowników i klientów w firmie, z uwzględnieniem kluczowych podstaw prawnych, najistotniejszych orzeczeń sądów oraz przykładów z praktyki.

Podstawy prawne ochrony danych osobowych w Polsce

Fundamentalnym aktem prawnym w obszarze ochrony danych jest rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., powszechnie zwane RODO (albo GDPR – General Data Protection Regulation). Rozporządzenie to obowiązuje bezpośrednio we wszystkich państwach członkowskich UE. Na poziomie krajowym RODO jest uzupełniane przez ustawę z 10 maja 2018 r. o ochronie danych osobowych oraz szereg ustaw sektorowych, przede wszystkim Kodeks pracy i przepisy szczególne regulujące działalność określonych branż (np. bankową, medyczną, telekomunikacyjną).

RODO definiuje dane osobowe jako:

„wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej” (art. 4 pkt 1 RODO).

Osobą możliwą do zidentyfikowania jest w szczególności ktoś, kogo można bezpośrednio lub pośrednio powiązać z takim identyfikatorem jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy, czy też z jednym lub kilkoma szczególnymi czynnikami określającymi fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość.

Najważniejszą rolę odgrywa administrator danych, czyli podmiot, który:

„samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych” (art. 4 pkt 7 RODO).

W realiach przedsiębiorstwa administratorem danych pracowników będzie co do zasady pracodawca, a administratorem danych klientów – firma, która decyduje o tym, w jakim celu i jak dane klientów są wykorzystywane (np. w celu realizacji umowy, marketingu, obsługi reklamacji).

Podstawowe zasady przetwarzania danych osobowych

RODO opiera się na kilku fundamentalnych zasadach, których przestrzeganie ma kluczowe znaczenie dla prawidłowej ochrony danych osobowych. Zostały one ujęte w art. 5 RODO. Warto przytoczyć najistotniejsze fragmenty tego przepisu:

„Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”);

c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

d) prawidłowe i w razie potrzeby uaktualniane („prawidłowość”);

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”);

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych (…) („integralność i poufność”).”

Dla przedsiębiorcy praktyczne znaczenie mają zwłaszcza zasady: zgodności z prawem, minimalizacji danych, ograniczenia celu oraz rozliczalności. Ta ostatnia nie została wprost wymieniona w powyższym wyliczeniu, jednak wynika z art. 5 ust. 2 RODO:

„Administrator jest odpowiedzialny za przestrzeganie [zasad] oraz musi być w stanie wykazać ich przestrzeganie („rozliczalność”).”

Innymi słowy, nie wystarczy wdrożyć środków ochrony danych – trzeba być w stanie udokumentować, że zostały one zastosowane w sposób zgodny z przepisami, np. poprzez prowadzenie rejestrów czynności przetwarzania, polityk bezpieczeństwa, protokołów szkoleń czy analiz ryzyka.

Legalne podstawy przetwarzania danych pracowników i klientów

Kluczowym przepisem określającym, kiedy wolno przetwarzać dane osobowe, jest art. 6 RODO. Wskazuje on sześć przesłanek legalności przetwarzania. W praktyce biznesowej szczególne znaczenie mają trzy z nich: wykonanie umowy, wypełnienie obowiązku prawnego oraz prawnie uzasadniony interes administratora.

Art. 6 ust. 1 RODO stanowi m.in.:

„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (…) ;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (…) z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.”

W relacjach z pracownikami podstawą przetwarzania danych są przede wszystkim przepisy prawa pracy (art. 22¹ Kodeksu pracy) oraz obowiązki publicznoprawne pracodawcy, np. związane z rozliczaniem podatków czy składek ZUS. Dane przetwarzane są więc przede wszystkim w celu zawarcia i wykonywania umowy o pracę oraz realizacji obowiązków ustawowych. Zgoda pracownika ma tu ograniczone znaczenie i może być stosowana jedynie pomocniczo, do danych wykraczających poza zakres wskazany w przepisach.

Art. 22¹ § 1 Kodeksu pracy (stan prawny na dzień sporządzania artykułu) stanowi:

„Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.”

Zakres danych może być inny na etapie rekrutacji i inny po nawiązaniu stosunku pracy, jednak zawsze musi pozostawać w granicach wyznaczonych prawem. Pracodawca nie może więc domagać się od pracownika czy kandydata na pracownika danych, które nie są niezbędne do realizacji stosunku pracy.

W relacjach z klientami podstawą przetwarzania danych jest często umowa (np. sprzedaży, świadczenia usług), a także prawnie uzasadniony interes administratora, jakim może być dochodzenie roszczeń, zapewnienie bezpieczeństwa, marketing produktów własnych czy analiza satysfakcji klientów. Tam, gdzie to konieczne, wykorzystywana jest również zgoda osoby, której dane dotyczą – na przykład w przypadku przesyłania informacji handlowych drogą elektroniczną.

Dane pracowników – szczególne wyzwania dla pracodawcy

Przetwarzanie danych pracowniczych to obszar, w którym ścierają się różne porządki prawne: RODO, Kodeks pracy, przepisy BHP, przepisy podatkowe i ubezpieczeniowe. Dla pracodawcy oznacza to konieczność pogodzenia wymogów związanych z ochroną prywatności z obowiązkiem zapewnienia bezpieczeństwa i organizacji pracy.

Jednym z najczęściej omawianych zagadnień jest monitoring wizyjny oraz kontrola aktywności pracowników. Kodeks pracy w art. 22² i 22³ wprowadza szczegółowe zasady stosowania monitoringu. Dla przykładu art. 22² § 1 i 2 k.p. stanowi:

„Pracodawca może wprowadzić monitoring wizyjny, jeżeli jest to niezbędne do zapewnienia:

1) bezpieczeństwa pracowników lub

2) ochrony mienia lub

3) kontroli produkcji lub

4) zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Monitoring wizyjny nie może obejmować pomieszczeń udostępnianych zakładowej organizacji związkowej, a także pomieszczeń sanitarnych, szatni, stołówek oraz palarni, chyba że stosowanie monitoringu w tych pomieszczeniach jest niezbędne (…) a zakres i sposób jego zastosowania nie narusza godności oraz innych dóbr osobistych pracownika (…)”

Wprowadzenie monitoringu wymaga odpowiedniego uregulowania w aktach wewnątrzzakładowych (np. regulaminie pracy), oznaczenia obszaru objętego kamerami oraz spełnienia obowiązków informacyjnych wobec pracowników. Niedopuszczalne jest potajemne monitorowanie pracowników, z wyjątkiem bardzo wąskich, uzasadnionych sytuacji, zwykle związanych z postępowaniami karnymi i realizowanych przez organy ścigania, a nie przez samego pracodawcę.

Przykładem praktycznego zastosowania tych zasad może być wyrok Sądu Najwyższego z 19 marca 2019 r. (sygn. I PK 25/18), jeszcze na gruncie poprzednich regulacji, w którym sąd uznał, że długotrwałe i ukryte monitorowanie pracownika może naruszać jego dobra osobiste. Choć wyrok zapadł przed wejściem w życie obecnych przepisów Kodeksu pracy, jest nadal istotną wskazówką interpretacyjną. Sąd podkreślił, że kontrola pracownika (w tym kontrola jego poczty elektronicznej) musi pozostawać w racjonalnych granicach i być proporcjonalna do zamierzonego celu.

Case study: monitoring poczty służbowej

Wyobraźmy sobie firmę usługową, w której pracodawca wprowadza system monitorujący całą pocztę elektroniczną pracowników, łącznie z treścią wiadomości, i przechowuje ją przez okres 10 lat. Nie informuje przy tym wprost pracowników, że treść e-maili będzie czytana, a jedynie ogólnie wskazuje w regulaminie, że „poczta służbowa służy do celów zawodowych, a pracodawca ma prawo do jej kontroli”.

W takiej sytuacji dochodzi do naruszenia kilku zasad RODO: przejrzystości (pracownicy nie są dostatecznie poinformowani o skali kontroli), minimalizacji danych (brak uzasadnienia dla tak długiego okresu przechowywania całej treści e-maili) oraz proporcjonalności. Dodatkowo pracodawca narusza przepisy Kodeksu pracy dotyczące zasad monitoringu. W razie skargi pracownika Urząd Ochrony Danych Osobowych (UODO) mógłby nałożyć administracyjną karę pieniężną, a sam pracownik mógłby domagać się ochrony dóbr osobistych na gruncie Kodeksu cywilnego.

Dane klientów – od pozyskania do usunięcia

O ile w relacjach pracowniczych zakres danych i ich podstawy prawne są w znacznym stopniu zdeterminowane przepisami, o tyle w relacjach z klientami przedsiębiorca ma większą swobodę, ale i większą odpowiedzialność. Dane klientów są często przetwarzane w wielu celach: realizacja umowy, obsługa posprzedażowa, rozpatrywanie reklamacji, windykacja należności, działania marketingowe, analityka biznesowa, profilowanie.

Administrator powinien każdorazowo jasno określić cele przetwarzania danych klientów oraz wskazać, na jakiej podstawie prawnej się ono odbywa. RODO wymaga, by informacje te były przekazywane w formie klauzul informacyjnych, najpóźniej w momencie pozyskiwania danych (art. 13 i 14 RODO). Przedsiębiorca ma również obowiązek zadbania o to, by dane nie były przechowywane dłużej niż jest to konieczne dla zrealizowania danego celu. Typowym błędem jest przechowywanie pełnej bazy danych klientów „na wszelki wypadek” przez wiele lat, bez weryfikacji, czy dane te są jeszcze potrzebne.

W praktyce różne cele przetwarzania mogą posiadać odmienne okresy przechowywania. Dane niezbędne do wystawienia faktury powinny być przechowywane tak długo, jak wymagają tego przepisy podatkowe, jednak dane wykorzystywane do bieżącej komunikacji marketingowej powinny zostać usunięte (lub zanonimizowane) w razie cofnięcia zgody przez klienta, sprzeciwu wobec przetwarzania lub upływu okresu, w którym marketing był uzasadniony.

Ciekawym orzeczeniem ilustrującym podejście do przechowywania danych klientów jest wyrok Naczelnego Sądu Administracyjnego z 6 września 2011 r. (sygn. I OSK 1476/10) wydany jeszcze na gruncie poprzednich przepisów, ale wciąż aktualny co do zasady. NSA stwierdził, że przedsiębiorca nie może przechowywać danych osobowych byłych klientów przez nieograniczony czas tylko dlatego, że „może się jeszcze przydać”. Konieczne jest wskazanie konkretnego, zgodnego z prawem celu.

Case study: baza klientów sklepu internetowego

Sklep internetowy prowadzi sprzedaż detaliczną. Dane klientów są gromadzone przy składaniu zamówień oraz podczas zakładania konta użytkownika. Początkowo dane są niezbędne do realizacji umowy sprzedaży i wykonania obowiązków podatkowych. Po kilku latach sklep decyduje się wykorzystać pełną bazę adresów e-mail do wysyłania newslettera, nie weryfikując, czy klienci wyrazili na to zgodę ani czy ich dane są jeszcze aktualne.

Takie działanie narusza przepisy RODO i ustawy o świadczeniu usług drogą elektroniczną. Dane klientów, którzy nie posiadają już aktywnego konta, a których dane nie są konieczne ze względów prawnych, powinny zostać usunięte lub zanonimizowane. Wysyłanie newslettera bez zgody stanowi dodatkowo naruszenie przepisów o niezamówionej informacji handlowej.

Prawa osób, których dane dotyczą – pracownik i klient wobec firmy

RODO wzmacnia pozycję osób, których dane dotyczą, przyznając im szeroki katalog praw, takich jak: prawo dostępu do danych, prawo do ich sprostowania, usunięcia („prawo do bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia danych, prawo sprzeciwu, a także prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu (art. 15–22 RODO).

W praktyce pracownik może zwrócić się do pracodawcy o informację, jakie jego dane są przetwarzane, w jakim celu, na jakiej podstawie, przez jaki okres oraz komu są ujawniane. Pracodawca ma obowiązek udzielić takiej informacji w sposób zwięzły, przejrzysty, zrozumiały (art. 12 i 15 RODO). Nie może przy tym powołać się na „tajemnicę przedsiębiorstwa” jako na powód całkowitej odmowy udzielenia informacji, chyba że zachodzi szczególna sytuacja uzasadniająca ograniczenie praw pracownika na podstawie szczególnych przepisów.

Podobnie klient ma prawo zwrócić się do firmy z żądaniem udzielenia informacji o swoich danych, ich poprawienia, a w uzasadnionych przypadkach – usunięcia. Przykładowo, jeżeli dane klienta są przetwarzane wyłącznie na podstawie zgody na cele marketingowe, a klient taką zgodę cofnie, przedsiębiorca ma obowiązek niezwłocznie zaprzestać przetwarzania tych danych w tym celu i – co do zasady – je usunąć, chyba że istnieje inna podstawa do ich dalszego przechowywania.

Cenne wskazówki w zakresie realizacji praw osób, których dane dotyczą, zawiera orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej. W wyroku z 20 grudnia 2017 r. w sprawie C‑434/16 Nowak TSUE uznał, że nawet odpowiedzi udzielone przez kandydata na pytania egzaminacyjne oraz uwagi egzaminatora mogą stanowić dane osobowe, do których osoba zainteresowana ma prawo dostępu. Pokazuje to, jak szeroko rozumiane są „dane osobowe” i jak duża jest odpowiedzialność administratora za udzielanie dostępu do informacji.

Obowiązki administratora – dokumentacja, rejestry, IOD

Przedsiębiorca jako administrator danych ma szereg konkretnych obowiązków organizacyjnych i technicznych. Najważniejsze z nich to: prowadzenie rejestru czynności przetwarzania (art. 30 RODO), wdrożenie odpowiednich środków bezpieczeństwa (art. 32 RODO), zgłaszanie naruszeń ochrony danych osobowych do organu nadzorczego (art. 33 RODO), a w niektórych przypadkach także powołanie inspektora ochrony danych (IOD) – art. 37–39 RODO.

Art. 32 ust. 1 RODO określa ogólną zasadę doboru środków bezpieczeństwa:

„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania (…) administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”

Oznacza to, że nie istnieje jeden „sztywny” katalog środków bezpieczeństwa; powinny być one dostosowane do skali i rodzaju działalności. Niewielka kancelaria doradcza będzie wdrażać inne środki niż ogólnopolska sieć sklepów internetowych, ale każda z nich musi przeprowadzić analizę ryzyka i udokumentować przyjęte rozwiązania.

Powołanie inspektora ochrony danych jest obowiązkowe m.in. w przypadku, gdy główna działalność administratora polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób na dużą skalę, lub gdy przetwarzane są na dużą skalę szczególne kategorie danych (np. dane medyczne). Niezależnie jednak od obowiązku formalnego, nawet mniejsze przedsiębiorstwa coraz częściej decydują się na wyznaczenie osoby koordynującej kwestie ochrony danych, choćby w ograniczonym zakresie, co poprawia poziom bezpieczeństwa i zmniejsza ryzyko sankcji.

W polskim orzecznictwie szczególne znaczenie ma decyzja Prezesa UODO z 2019 r. wymierzająca karę spółce Morele.net za niewystarczające zabezpieczenia danych i skutkowanie wyciekiem danych ok. 2,2 mln klientów. Prezes UODO stwierdził m.in., że stosowane środki techniczne (w szczególności w obszarze uwierzytelniania i zarządzania dostępem) nie były adekwatne do skali i rodzaju przetwarzanych danych. Sprawa ta pokazała, że organ nadzorczy oczekuje realnych, a nie tylko formalnych działań w obszarze bezpieczeństwa.

Naruszenia ochrony danych i odpowiedzialność firmy

Naruszenie ochrony danych osobowych to – zgodnie z art. 4 pkt 12 RODO – „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych”. Może to być zarówno wyciek danych, jak i ich utrata (np. zgubienie niezabezpieczonego laptopa z danymi pracowników, rozesłanie newslettera z uwidocznionymi adresami e-mail wszystkich odbiorców, ujawnienie danych osobie trzeciej w wyniku pomyłki).

Administrator ma obowiązek bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, zgłosić je organowi nadzorczemu, chyba że jest „mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (art. 33 ust. 1 RODO). Jeżeli naruszenie może powodować wysokie ryzyko, administrator jest zobowiązany również poinformować same osoby, których dane dotyczą (art. 34 RODO).

Niewywiązanie się z obowiązków wynikających z RODO grozi poważnymi sankcjami finansowymi. Zgodnie z art. 83 ust. 5 RODO mogą one sięgać do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego – w zależności od tego, która kwota jest wyższa. Prezes UODO, wymierzając karę, bierze pod uwagę m.in. charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, działania podjęte w celu złagodzenia szkody oraz dotychczasowe postępowanie administratora.

Orzecznictwo sądów administracyjnych potwierdza, że ocena adekwatności środków bezpieczeństwa jest dokonywana całościowo. Przykładem może być wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 września 2020 r. (sygn. II SA/Wa 2559/19), który utrzymał w mocy decyzję Prezesa UODO w sprawie Morele.net. Sąd uznał, że spółka, przetwarzając dane na dużą skalę, powinna była zastosować bardziej zaawansowane zabezpieczenia, w tym silniejsze mechanizmy uwierzytelniania użytkowników i wewnętrzną kontrolę dostępu.

Praktyczne wdrożenie RODO w firmie – podejście „szyte na miarę”

Skuteczne wdrożenie RODO w firmie wymaga przyjęcia podejścia projektowego: identyfikacji procesów przetwarzania danych, określenia ich celów i podstaw prawnych, wskazania kategorii danych i odbiorców, a następnie dobrania adekwatnych środków technicznych i organizacyjnych. Nie chodzi o stworzenie rozbudowanej dokumentacji „do szuflady”, lecz o praktyczne uporządkowanie obiegu informacji.

Każda firma powinna w szczególności:
– zmapować procesy przetwarzania danych (np. rekrutacja, obsługa kadrowo-płacowa, obsługa klientów, marketing, obsługa reklamacji),
– ustalić, które dane są niezbędne, a które można ograniczyć,
– przygotować jasne klauzule informacyjne dla pracowników i klientów,
– uregulować zasady przekazywania danych podmiotom zewnętrznym (np. biurom rachunkowym, dostawcom systemów IT) za pomocą umów powierzenia przetwarzania danych,
– przeprowadzić szkolenia dla pracowników, zwłaszcza tych mających bezpośredni dostęp do danych,
– wdrożyć procedury reagowania na incydenty bezpieczeństwa i realizacji praw osób, których dane dotyczą.

Case study: mała firma usługowa

Niewielka firma szkoleniowa zatrudniająca 15 pracowników prowadzi kursy dla klientów indywidualnych i podmiotów gospodarczych. Początkowo wdrożenie RODO sprowadziło się w niej do zakupu „gotowego pakietu dokumentów” w internecie. Z czasem pojawiły się problemy: skargi klientów na brak jasnych informacji o tym, co dzieje się z ich danymi, trudności z realizacją żądań usunięcia danych, brak procedur reagowania na incydenty.

Po audycie ochrony danych okazało się, że:
– firma przechowuje dane byłych uczestników szkoleń sprzed 8–10 lat, choć nie są one potrzebne do żadnych rozliczeń,
– brak jest jednoznacznych zasad nadawania uprawnień pracownikom do systemu CRM; w praktyce wszyscy mają dostęp do pełnej bazy,
– nie zawarto umów powierzenia z podmiotami zewnętrznymi (dostawcą systemu mailingowego, biurem rachunkowym),
– klauzule informacyjne są nieczytelne i niekompletne.

Dopiero uporządkowanie powyższych kwestii, połączone z przeszkoleniem personelu, pozwoliło firmie realnie dostosować się do RODO i zmniejszyć ryzyko naruszeń.

RODO w firmie – najczęstsze błędy i ryzyka

Analiza decyzji Prezesa UODO, orzeczeń sądów oraz praktyki biznesowej pozwala wskazać kilka typowych błędów popełnianych przez przedsiębiorców:
– utożsamianie RODO wyłącznie z dokumentacją i brak realnych działań organizacyjnych i technicznych;
– nadmierne opieranie się na zgodzie jako podstawie przetwarzania, również tam, gdzie właściwsze są inne podstawy (np. w relacjach pracodawca–pracownik);
– zbieranie zbyt szerokiego zakresu danych (naruszenie zasady minimalizacji);
– brak przejrzystej informacji dla pracowników i klientów;
– niewłaściwe ustalanie okresów przechowywania danych (przechowywanie „na wszelki wypadek”);
– niewystarczające zabezpieczenia techniczne, zwłaszcza w obszarze haseł, szyfrowania, kontroli dostępu;
– brak procedur realizacji praw osób, których dane dotyczą (np. brak jasnej ścieżki postępowania po otrzymaniu żądania usunięcia danych);
– niezgłaszanie naruszeń ochrony danych do UODO z obawy przed konsekwencjami, co nierzadko skutkuje jeszcze poważniejszymi sankcjami.

Świadome i systematyczne unikanie powyższych błędów, połączone z kulturą bezpieczeństwa informacji w organizacji, znacząco redukuje ryzyko odpowiedzialności administracyjnej, cywilnej i reputacyjnej.

Podsumowanie

RODO nie jest jedynie „uciążliwym obowiązkiem” nałożonym na przedsiębiorców. Prawidłowo wdrożone, staje się elementem kultury organizacyjnej nastawionej na poszanowanie prywatności pracowników i klientów oraz na odpowiedzialne zarządzanie informacją. W dobie rosnącej cyfryzacji, pracy zdalnej i gospodarki opartej na danych ochrona danych osobowych jest istotnym filarem zaufania do firmy.

Odpowiedzialny pracodawca i przedsiębiorca powinien:
– znać i stosować podstawowe zasady RODO,
– rozróżniać specyfikę przetwarzania danych pracowników i klientów,
– zapewniać przejrzystość przetwarzania i respektować prawa osób, których dane dotyczą,
– inwestować w adekwatne środki bezpieczeństwa i regularnie je weryfikować,
– reagować na naruszenia w sposób szybki i transparentny.

Takie podejście nie tylko ogranicza ryzyko kar finansowych, ale także buduje przewagę konkurencyjną firmy jako partnera godnego zaufania.

Q&A – Najczęstsze pytania dotyczące RODO w firmie

Czy zawsze potrzebuję zgody pracownika lub klienta na przetwarzanie danych?

Nie. Zgoda jest tylko jedną z kilku podstaw przetwarzania danych. W relacjach pracowniczych główną podstawą są przepisy prawa pracy i obowiązki pracodawcy, a w relacjach z klientami – zawarcie i wykonywanie umowy oraz prawnie uzasadniony interes administratora. Zgody używamy przede wszystkim w sytuacjach fakultatywnych (np. marketing e-mailowy), gdy brak jest innej, wyraźnej podstawy.

Jak długo mogę przechowywać dane pracowników i klientów?

Tak długo, jak jest to niezbędne do realizacji celu, w jakim dane zostały zebrane, i tak długo, jak wymagają tego przepisy szczególne (np. podatkowe, ubezpieczeniowe, archiwalne). Po upływie tego okresu dane powinny zostać usunięte lub zanonimizowane. Należy przy tym rozróżnić cele, dla których dane są przetwarzane, i przypisać im odrębne okresy przechowywania.

Czy mogę nagrywać obraz z kamer w miejscu pracy?

Tak, ale tylko pod warunkiem spełnienia wymogów z art. 22² Kodeksu pracy i RODO. Monitoring musi być niezbędny do zapewnienia bezpieczeństwa, ochrony mienia, kontroli produkcji lub ochrony tajemnicy przedsiębiorstwa. Pracownicy muszą zostać o nim wyraźnie poinformowani, obszary objęte monitoringiem powinny być oznaczone, a zakres i sposób monitoringu nie może naruszać godności oraz innych dóbr osobistych pracowników.

Czy pracownik może żądać usunięcia swoich danych (prawo do bycia zapomnianym)?

Może wystąpić z takim żądaniem, ale pracodawca nie zawsze musi je spełnić. Dane niezbędne do wypełnienia obowiązków prawnych (np. dokumentacja pracownicza, rozliczenia podatkowe) muszą być przechowywane przez okres wskazany w przepisach. Prawo do usunięcia danych dotyczy przede wszystkim tych danych, które są przetwarzane na podstawie zgody lub gdy ustał cel ich przetwarzania.

Czy mogę udostępnić dane pracownika lub klienta innym firmom z mojej grupy kapitałowej?

Można, o ile istnieje podstawa prawna i zostały spełnione wymogi RODO, w tym obowiązki informacyjne względem osób, których dane dotyczą. Udostępnienie danych innym administratorom wymaga jasnego określenia celu i podstawy przetwarzania. W wielu przypadkach właściwe będzie zawarcie umów powierzenia lub porozumień o współadministrowaniu.

Co zrobić w przypadku wycieku danych osobowych w firmie?

Należy jak najszybciej ustalić zakres naruszenia, rodzaj danych, liczbę poszkodowanych osób i potencjalne skutki. Następnie ocenić ryzyko naruszenia praw lub wolności tych osób. Jeżeli ryzyko jest co najmniej istotne, trzeba zgłosić naruszenie do Prezesa UODO w ciągu 72 godzin od jego stwierdzenia. W przypadku wysokiego ryzyka należy także poinformować osoby, których dane dotyczą. Równolegle należy podjąć działania naprawcze i dokumentować całe zdarzenie.

Czy muszę powołać inspektora ochrony danych (IOD)?

Obowiązek ten dotyczy m.in. podmiotów publicznych, przedsiębiorstw, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę, oraz podmiotów przetwarzających na dużą skalę szczególne kategorie danych (np. placówek medycznych). Mniejsze firmy, które nie spełniają tych kryteriów, nie mają obowiązku powoływania IOD, choć mogą to zrobić dobrowolnie.

Czy mogę korzystać z usług zewnętrznego biura rachunkowego lub firmy IT bez dodatkowych formalności?

Nie. Każdorazowo, gdy przekazujesz dane osobowe innemu podmiotowi w celu ich przetwarzania w Twoim imieniu (np. księgowość, hosting, system mailingowy), musisz zawrzeć z nim umowę powierzenia przetwarzania danych zgodnie z art. 28 RODO. W umowie należy określić m.in. zakres i cel przetwarzania, środki bezpieczeństwa oraz obowiązki i prawa obu stron.

Czy adres e-mail w formacie imię.nazwisko@firma.pl to dane osobowe?

Tak, co do zasady jest to dana osobowa, ponieważ pozwala bezpośrednio zidentyfikować konkretną osobę fizyczną. Oznacza to, że zarówno w relacjach wewnętrznych (pracownicy), jak i zewnętrznych (klienci, kontrahenci), odpowiednie zasady RODO mają zastosowanie do przetwarzania takich adresów.

Czy mogę używać danych klientów do profilowania i marketingu spersonalizowanego?

Tak, o ile robisz to na podstawie odpowiedniej przesłanki prawnej (najczęściej zgoda lub prawnie uzasadniony interes) oraz zapewniasz przejrzystość przetwarzania. Osoba, której dane dotyczą, powinna być poinformowana o profilowaniu, jego celach i konsekwencjach. W niektórych sytuacjach (np. gdy profilowanie prowadzi do istotnych skutków prawnych) konieczne jest oparcie go na zgodzie i zapewnienie dodatkowych zabezpieczeń, w tym prawa do zakwestionowania decyzji i interwencji człowieka.

Implementacja powyższych zasad pozwoli firmie nie tylko działać zgodnie z prawem, lecz także budować trwałe relacje zaufania z pracownikami i klientami, co w dłuższej perspektywie przekłada się na stabilność i rozwój biznesu.