Przykładem takich przepisów są postanowienia dotyczące ochrony danych osobowych oraz praw autorskich w zakresie utrwalenia wizerunku pracownika. Inny to zgoda na przetwarzanie danych osobowych i zgoda na przesyłanie niezamówionej informacji handlowej. Jak obie regulacje mają się do siebie? Czy można je łączyć w jedną zgodę? To jedne z wielu pytań, które pojawiają się w praktyce sprzedażowej. Dla wielu przedsiębiorców zaskoczeniem jest też, że obecnie żaden akt prawny nie przewiduje już tzw. „książeczki sanepidowskiej”. Z dniem 2 stycznia 2012 r. uchylone zostało bowiem rozporządzenie Ministra Zdrowia z dnia 2 lutego 2006  r. w sprawie badań sanitarno-epidemiologicznych, które nakładało obowiązek posiadania takiej książeczki. Przykłady można by mnożyć bardzo długo.

Sprawdź w LEX: Czy pracodawca musi skierować na badania sanitarno-epidemiologiczne pracownika, któremu ważność badań upływa w trakcie okresu wypowiedzenia? >

Ochrona danych osobowych. Zbiór przepisów. Ogólne rozporządzenie o ochronie danych (RODO). Ustawa o ochronie danych osobowych (UODO). Ustawa sektorowa

Sprawdź  

Jak wdrożyć unijne prawo

Chciałbym się jednak skupić tu na sposobie wdrażania zasad ochrony danych osobowych przez pracodawców. Wielu z nich bowiem nadal bagatelizuje te kwestie lub też stosuje zasadę minimalizacji wysiłku wdrożeniowego (nie należy jej mylić z zasadą minimalizacji danych). Problem wynika z tego, że ogólne rozporządzenie o ochronie danych (RODO):

• nie jest ustawą lecz rozporządzeniem unijnym,
• dotyczy całokształtu działalności przedsiębiorcy.

Pierwsza z wymienionych trudności sprowadza się do konieczności sięgnięcia po akt prawny, który jest inaczej zbudowany niż znane nam ustawy lub rozporządzenia polskiego prawodawcy. Przykładowo, motywy nie mają mocy normatywnej, służą jednak do interpretacji i lepszego zrozumienia przepisów rozporządzenia, uzasadniając potrzebę i cel ich wydania. Rzeczywiście - są one bardzo pomocne, warto je czytać, aby lepiej zrozumieć, co prawodawca unijny miał na myśli. Przypuszczam, że gdyby w polskich ustawach znajdowały się motywy, łatwiej byłoby wszystkim je stosować.

Czytaj w LEX: RODO - bezpieczeństwo danych osobowych w dziale kadr >

Drugi z problemów jest dużo bardziej poważny. Ochrona danych osobowych jest bowiem na tyle kompleksową problematyką, że powinna być brana pod uwagę w każdym elemencie podejmowanych działań: rekrutacji pracowników, wdrażania benefitów, marketingu produktów i usług, zawierania jakichkolwiek umów, przyjmowania reklamacji, kontaktów z kontrahentami czy wystawiania faktur. Powoduje to, że wielu z przedsiębiorców porzuca temat RODO, albo - co częstsze - realizuje go jedynie na papierze. Samo posiadanie dokumentacji nie jest jednak wystarczające. Konieczne jest również jej stosowanie w praktyce. Inaczej bowiem mamy do czynienia ze stosowaniem wspomnianej zasady minimalizacji wysiłku wdrożeniowego.

Minimalizowanie kosztów nie popłaca

Skutki pozorowanych działań mogą być bardzo dotkliwe. Na przykład ktoś umieścił na stronie internetowej dane osobowe sędziów piłkarskich. Podano numery PESEL oraz adresy zamieszkania. Dolnośląski Związek Piłki Nożnej został za to ukarany karą w wysokości 55.750,50 zł. Tymczasem świadomy pracownik wiedziałby, że takie działanie może narazić na dotkliwe sankcje finansowe. Wymaga to jednak przeszkolenia i realnego realizowania zasad ochrony danych osobowych. To z kolei wiąże się z kosztami, których nie da się niestety uniknąć. Wiele samorządów zobowiązanych do posiadania Inspektora Ochrony Danych Osobowych realizuje ten obowiązek minimalizując koszty. Niestety powoduje to wiele błędów i niedociągnięć. Gotowe pakiety dokumentów też nie sprawdzają się w praktyce.

Sprawdź w LEX: Czy pracownicy działu kadr oprócz ogólnego upoważnienia do przetwarzania danych osobowych powinni posiadać dodatkowe upoważnienie do przetwarzania danych wrażliwych np. orzeczeń o niepełnosprawności pracowników, danych związanych z ubieganiem się o świadczenia z ZFŚS? >

Dodatkowo, nakłada się na to coraz większa świadomość na temat RODO. Większość osób już wie, że wysyłając jedną wiadomość e-mail do wielu adresatów, należy ukryć innych adresatów poprzez zastosowanie tzw. pola UDW („ukryte do wiadomości”). Niemniej jednak naruszenia się zdarzają i będą się zdarzać. Ważne, aby szkolić pracowników, realnie wdrożyć zasady RODO w zakładzie pracy i nie ukrywać naruszeń.

Czytaj również: Europejczycy chętnie zgłaszają naruszenia RODO, urzędy nie boją się wymierzać wysokich kar>>
 

Jak w praktyce chronić dane w firmie

Pierwszym krokiem powinno być zorganizowanie audytu (mniej lub bardziej sformalizowanego), który pozwoli zidentyfikować podejmowane czynności przetwarzania danych osobowych. Następnie konieczne jest wpisanie rodzaju wykonywanych czynności i okresu przechowywania danych do rejestru czynności przetwarzania danych osobowych. Na tej bazie możliwe jest podejmowanie kolejnych kroków związanych z przygotowaniem lub aktualizacją odpowiedniej dokumentacji i wdrożeniem:

1. Polityki bezpieczeństwa
2. Procedury realizacji praw podmiotów danych
3. Procedury w przypadku naruszenia
4. Instrukcji zarządzania systemami informatycznymi (w przypadku ich posiadania)
5. Upoważnień do przetwarzania dla pracowników/współpracowników oraz ewidencji osób upoważnionych i oświadczeń upoważnionych pracowników
6. Umów powierzenia przetwarzania danych osobowych
7. Instrukcji zarządzania kopiami zapasowymi (w przypadku ich tworzenia)
8. Wzorcowych zgód oraz brzmienia obowiązku informacyjnego

Tak zorganizowany proces pozwoli uniknąć problemów związanych z próbami wyłudzeń w związku z RODO. Dobre wdrożenie każdej nowej regulacji (a jest ich coraz więcej – i nic nie zapowiada zmiany tego trendu) oznacza mniej kłopotów i sprawnie działający biznes.

Autor: Tomasz Klemt, radca prawny z kancelarii Klemt

Czytaj w LEX: Strona internetowa zgodna z przepisami o ochronie danych osobowych >