Praktyczny przewodnik po RODO: jak zgodnie z prawem przetwarzać i przechowywać dane osobowe

Przez
Robert Tomaszewski
-
0
10
4/5 - (1 vote)

Nawigacja:

Co to znaczy „przetwarzać dane zgodnie z RODO” – bez straszenia i mitów

Dane osobowe – co to jest w normalnym życiu

Dane osobowe to każda informacja o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Brzmi podręcznikowo, ale w praktyce chodzi o odpowiedź na pytanie: czy z tej informacji – samej albo w połączeniu z innymi, którymi realnie dysponujesz – da się dojść do konkretnej osoby.

Do typowych danych osobowych należą m.in.:

  • imię i nazwisko,
  • adres e-mail w stylu imie.nazwisko@… lub taki, który pozwala kogoś zidentyfikować,
  • PESEL, NIP osoby fizycznej, numer dowodu,
  • adres zamieszkania lub adres dostawy powiązany z konkretną osobą,
  • numer telefonu, jeżeli prowadzi do konkretnej osoby,
  • identyfikator użytkownika w systemie, jeżeli administrator wie, kto za nim stoi.

Dane „zwykłe” to cała ta codzienność: dane klientów, pracowników, kandydatów do pracy, uczestników szkoleń, subskrybentów newslettera, użytkowników aplikacji. Nie trzeba sięgać po nic „wrażliwego”, by wpaść w zakres RODO – wystarczy zwykły formularz kontaktowy.

Szczególne kategorie danych (tzw. dane wrażliwe) to zupełnie inna liga. Chodzi np. o informacje ujawniające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne i biometryczne,
  • dane dotyczące zdrowia,
  • dane dotyczące życia seksualnego lub orientacji seksualnej.

Na takie dane potrzeba nie tylko „jakiejś” podstawy prawnej, ale wręcz jednej z dodatkowych podstaw przewidzianych dla danych szczególnych. Innymi słowy: cienki lód, po którym lepiej chodzić w kasku.

Przykłady z codzienności

RODO dotyczy nie tylko korporacji. Typowe sytuacje:

  • Newsletter – adres e-mail subskrybenta + informacja, że ktoś czyta wiadomości o danej tematyce to dane osobowe. System mailingowy, który pokazuje, kto otworzył mailing, przetwarza dane o aktywności.
  • Lista klientów – dane kontrahentów B2C i osób kontaktowych po stronie firm (B2B) to przetwarzanie danych osobowych, niezależnie od formy (Excel, CRM, notes, segregator).
  • Monitoring w firmie – nagranie, na którym można rozpoznać twarz pracownika czy klienta, to również dane osobowe.

Częsty błąd: przekonanie, że dane służbowe (np. e-mail w firmie, telefon służbowy) nie podlegają RODO. Podlegają, bo nadal można dotrzeć do konkretnej osoby fizycznej.

Kiedy informacja przestaje być daną osobową

Informacja przestaje być daną osobową, gdy zostanie skutecznie zanonimizowana, czyli nie ma możliwości identyfikacji osoby – nawet przy użyciu wszystkich dostępnych administratorowi danych oraz środków, które realistycznie mógłby zastosować.

Anonimizacja to:

  • trwałe usunięcie lub przekształcenie danych w taki sposób, że identyfikacja osoby jest niemożliwa,
  • proces nieodwracalny (nie da się wrócić do stanu wyjściowego).

Pseudonimizacja to tylko zastąpienie identyfikatorów innymi wartościami (np. ID klienta zamiast imienia i nazwiska), ale istnieje klucz lub inny sposób, by takie dane „odkodować”. To wciąż przetwarzanie danych osobowych – po prostu bezpośredni identyfikator został zastąpiony innym.

Przykład praktyczny: jeżeli usuwasz z bazy imię, nazwisko i e-mail, ale trzymasz numer klienta, który możesz powiązać z fakturami i tamtejszymi danymi – to nadal są dane osobowe (pseudonimizowane), a nie anonimowe statystyki.

Ogólne zasady RODO w ludzkim języku

RODO opiera się na kilku podstawowych zasadach. Brzmi to jak oklepany wstęp z prezentacji, ale w praktyce te zasady są dobrym filtrem do podejmowania codziennych decyzji.

Najważniejsze zasady to:

  • legalność – dane przetwarzasz tylko wtedy, gdy masz ważną podstawę prawną,
  • rzetelność – nie robisz z danymi niczego „po cichu” ani sprzecznie z tym, co deklarujesz,
  • przejrzystość – jasno informujesz, co się dzieje z danymi, po co i jak długo,
  • minimalizacja danych – zbierasz tylko to, co jest realnie potrzebne,
  • prawidłowość – dbasz, by dane były aktualne i poprawne,
  • ograniczenie przechowywania – nie trzymasz danych w nieskończoność „na wszelki wypadek”,
  • integralność i poufność – zabezpieczasz dane przed utratą, zniszczeniem i dostępem osób nieuprawnionych,
  • rozliczalność – potrafisz wykazać, że stosujesz się do powyższych zasad.

Te hasła można przekładać na bardzo konkretne decyzje:

  • jeżeli w formularzu kontaktowym nie potrzebujesz daty urodzenia, to jej nie zbierasz (minimalizacja),
  • jeżeli zmieniasz dostawcę hostingu, zawierasz umowę powierzenia i sprawdzasz zabezpieczenia (integralność, poufność),
  • jeżeli obiecasz, że newsletter będzie „raz w miesiącu”, nie wysyłasz pięciu maili tygodniowo (rzetelność, przejrzystość),
  • jeżeli kończy się termin przechowywania danych – planujesz ich usunięcie lub anonimizację (ograniczenie przechowywania).

Mały sklep internetowy a zasady RODO – przykład z życia

Załóżmy, że prowadzisz sklep internetowy z akcesoriami sportowymi. Dane osobowe „zahaczają” Cię z każdej strony. Jak to ogarnąć bez paniki?

Przykładowe obszary:

  • formularz zamówienia – zbierasz dane do realizacji umowy (imię, nazwisko, adres, e-mail, telefon do kuriera),
  • konto klienta – udostępniasz historię zamówień, dane logowania, preferencje,
  • newsletter – wysyłasz oferty i treści marketingowe,
  • system płatności – współpraca z operatorem płatności online,
  • logi serwera i pliki cookies – dane techniczne, adres IP, identyfikatory przeglądarki.

Jak sklep może stosować główne zasady RODO w praktyce:

  • Minimalizacja – w zamówieniu nie pytasz o PESEL ani o to, jaki sport klient uprawia od dziecka. Zbierasz to, co jest potrzebne do wysyłki i kontaktu.
  • Legalność – zamówienie = realizacja umowy; newsletter = zgoda; statystyki serwisu = uzasadniony interes lub zgoda (zależnie od rozwiązań analitycznych).
  • Przejrzystość – przy formularzu umieszczasz krótką klauzulę informacyjną i link do polityki prywatności.
  • Ograniczenie przechowywania – dane zamówień trzymasz np. przez okres wynikający z przepisów podatkowych i rękojmi, a dane marketingowe do czasu wycofania zgody lub sprzeciwu.
  • Integralność i poufność – korzystasz z certyfikatu SSL, ograniczasz dostęp do panelu sklepu, regularnie zmieniasz hasła i robisz kopie zapasowe.
Drewniane kafelki tworzące napis compliance na drewnianym tle
Źródło: Pexels | Autor: Markus Winkler

Podstawy prawne przetwarzania – kiedy wolno w ogóle dotykać cudzych danych

Zgoda to nie wszystko

RODO wyraźnie mówi: nie wolno przetwarzać danych osobowych bez podstawy prawnej. I nie chodzi tylko o zgodę. Podstawy z art. 6 RODO są równorzędne, a zgoda jest jedną z nich – niekoniecznie najwygodniejszą.

Jeżeli szukasz szerszego kontekstu prawnego lub chcesz pogłębić temat, pomocne mogą być zebrane w jednym miejscu praktyczne wskazówki: prawo, łączące RODO z innymi przepisami istotnymi dla biznesu i administracji.

Najważniejsze podstawy przetwarzania danych (dla tzw. danych zwykłych):

  • zgoda osoby – gdy osoba świadomie i dobrowolnie zgadza się na określone przetwarzanie,
  • niezbędność do wykonania umowy – np. realizacja zamówienia w sklepie, świadczenie usługi,
  • obowiązek prawny – np. przechowywanie dokumentacji księgowej, dokumentów kadrowych,
  • ochrona żywotnych interesów osoby – raczej sytuacje wyjątkowe (ratowanie życia, zdrowia),
  • wykonywanie zadania realizowanego w interesie publicznym – głównie administracja publiczna,
  • uzasadniony interes administratora – gdy Twoje potrzeby są „uzasadnione”, a prawa i wolności osoby nie przeważają nad tym interesem.

W praktyce: nie proś o zgodę na coś, co i tak musisz zrobić, aby zrealizować umowę lub wypełnić obowiązek prawny. To nie tylko zbędne, ale i mylące – bo osoba będzie sądzić, że może „odwołać” coś, czego odwołać się nie da (np. wystawienie faktury).

Przykładowe sytuacje

  • Sprzedaż usługi – podstawą jest umowa (art. 6 ust. 1 lit. b RODO). Zgoda nie jest potrzebna, by obsłużyć klienta i komunikować się z nim w sprawie świadczonej usługi.
  • Fakturowanie – tu wchodzi w grę obowiązek prawny wynikający z przepisów podatkowych. Przechowujesz dane z faktur przez okres wskazany w przepisach bez pytania o zgodę.
  • Wysyłka newslettera marketingowego – najczęściej zgoda (zwłaszcza w relacjach B2C oraz w świetle przepisów o komunikacji elektronicznej). RODO + prawo telekomunikacyjne i o świadczeniu usług drogą elektroniczną „spotykają się” w jednym miejscu.
  • Monitoring wizyjny – zwykle podstawa to uzasadniony interes (np. bezpieczeństwo mienia i osób), czasem obowiązek prawny, jeśli wynika z przepisów branżowych.

Kiedy więc korzystać ze zgody? Przede wszystkim przy typowej komunikacji marketingowej, newsletterach, dodatkowych profilowaniach czy zbieraniu danych wrażliwych poza ustawowymi wyjątkami. Tam, gdzie przetwarzanie nie jest niezbędne do realizacji umowy ani nie wynika bezpośrednio z prawa, zgoda staje się wygodnym (choć wymagającym) narzędziem.

Uzasadniony interes vs zgoda – najczęstsze nieporozumienia

Uzasadniony interes to podstawa, która kusi wygodą („nie muszę mieć zgody”), ale wymaga rozsądku i udokumentowania. Chodzi o sytuacje, w których:

  • masz konkretny interes (np. dochodzenie roszczeń, zabezpieczenie mienia, podstawowy marketing własnych usług),
  • przetwarzanie jest niezbędne dla realizacji tego interesu,
  • prawa i wolności osoby nie przeważają nad Twoim interesem.

Te trzy warunki sprawdza się w tzw. teście równowagi. W praktyce powinien to być krótki, sensowny dokument, a nie tajemniczy rytuał, o którym wszyscy słyszeli, ale nikt go nie widział.

Co powinien zawierać test równowagi

  • opis tego, co chcesz robić z danymi (np. monitoring wejścia do biura, marketing bezpośredni do obecnych klientów B2B),
  • określenie interesu administratora (np. ochrona mienia, informowanie obecnych klientów o podobnych produktach),
  • opis kategorii danych i osób (np. pracownicy, klienci firmowi, goście),
  • analizę możliwego wpływu na osoby (czy to ingeruje w prywatność, czy niesie ryzyko dyskryminacji etc.),
  • środki łagodzące (np. ograniczenie czasu przechowywania, ograniczenie dostępu, brak profilowania),
  • konkluzję: czy interes administratora przeważa, czy jednak nie.

Przykłady, gdzie uzasadniony interes ma sens:

  • Monitoring biura – celem jest bezpieczeństwo pracowników i mienia. Kamery są oznaczone, zasięg ograniczony, nagrania trzymane krótko (np. 30 dni). Test równowagi pokazuje, że prywatność nie jest nadmiernie naruszona.
  • Dochódzenie roszczeń – przechowujesz dane klienta po zakończeniu umowy, aby w razie sporu móc udowodnić swoje racje. Okres przechowywania powiązany z terminami przedawnienia.
  • Prosty marketing B2B – wysyłasz mailing do imiennych adresów osób zajmujących się zakupami w firmach, z ofertą podobnych usług, jakie wcześniej świadczyłeś. Treści są związane z pełnioną funkcją, a każda wiadomość zawiera opcję rezygnacji.

Jak nie „zepsuć” zgody – praktyczne zasady

Jeżeli już korzystasz ze zgody, dobrze ją skonstruuj. Słaba zgoda to podwójny problem: brak legalnej podstawy i nerwy przy pierwszej kontroli lub reklamacji.

Najważniejsze cechy zgody zgodnej z RODO:

Jeśli interesują Cię konkrety i przykłady, rzuć okiem na: Ryzyko a retencja danych: jak ustalić okresy przechowywania na podstawie analizy.

  • konkretna – osoba wie, na co się zgadza (np. newsletter o nowych produktach, a nie „wykorzystywanie danych w celach marketingowych i innych”),
  • świadoma – zgoda jest powiązana z jasną informacją, kto, po co i jak będzie dane przetwarzał,
  • dobrowolna – brak zgody nie może blokować usługi, która z nią nie ma nic wspólnego,
  • jednoznaczna – żadnych domyślnie zaznaczonych checkboxów ani zgód „ukrytych” w regulaminie,
  • odwoływalna – osoba może ją łatwo wycofać, a Ty to respektujesz.

Krótko mówiąc: zero zgód „na wszelki wypadek”. Lepiej mieć mniej zgód, ale porządnych, niż pięć checkboxów, z których żaden nie trzyma się RODO.

Jak formułować zgody w formularzach

Zgoda powinna być zrozumiała dla osoby bez prawniczego doświadczenia. Kilka wskazówek, które porządkują codzienną praktykę:

  • zamiast: „Wyrażam zgodę na przetwarzanie moich danych w celach marketingowych podmiotów współpracujących…” lepiej: „Chcę otrzymywać e‑mailem informacje o promocjach i nowych produktach sklepu X”,
  • oddziel zgodę na newsletter od zgody na marketing telefoniczny – to różne kanały komunikacji i różne przepisy,
  • nie uzależniaj realizacji umowy od zgody marketingowej – zamówienie powinno być możliwe także bez newslettera,
  • zapewnij prostą ścieżkę wycofania zgody: link wypisu w każdym mailu, jasne instrukcje na stronie, możliwość rezygnacji telefonicznie czy mailowo.

Dobrą praktyką jest dodanie krótkiej notki pod checkboxem: „Zgodę możesz w każdej chwili wycofać. Wycofanie nie wpływa na zgodność z prawem działań podjętych przed jego dokonaniem”. Brzmi poważnie, ale ratuje od wielu nieporozumień.

Szczególne kategorie danych – kiedy wchodzisz na „minowe pole”

Dane o zdrowiu, przekonaniach, poglądach politycznych, orientacji seksualnej, pochodzeniu rasowym czy etnicznym – to tzw. szczególne kategorie danych (często nazywane „wrażliwymi”). RODO co do zasady zakazuje ich przetwarzania, a dopuszcza tylko w konkretnych, wymienionych w przepisie przypadkach.

Najczęstsze podstawy przetwarzania takich danych w praktyce:

  • szczególna zgoda – wyraźna, jednoznaczna, na konkretny cel (np. zgoda pacjenta na przetwarzanie danych medycznych w prywatnej przychodni),
  • przepisy prawa pracy i ubezpieczeń – np. badania wstępne, okresowe i kontrolne pracowników,
  • ochrona żywotnych interesów – nagła sytuacja zagrożenia życia lub zdrowia, gdy osoba nie jest w stanie wyrazić zgody,
  • prowadzenie działalności leczniczej – przychodnie, szpitale, praktyki lekarskie, psychologiczne,
  • istotny interes publiczny – np. epidemie, statystyka publiczna, ale już mocno regulowane ustawami szczególnymi.

Jeżeli Twój biznes zwykle nie wymaga sięgania po takie dane, nie szukaj wymówek, by je zbierać „bo może się przydadzą kiedyś do marketingu”. To dokładnie ten rodzaj praktyk, który kończy się wysokimi karami lub wizerunkową katastrofą.

Zbliżenie na kostki z napisem privacy na czerwonym tle
Źródło: Pexels | Autor: Miguel Á. Padriñán

Obowiązek informacyjny – co powiedzieć osobie, której dane zbierasz

Klauzula informacyjna bez straszenia – co musi się w niej znaleźć

RODO nie wymaga elaboratu na dwie strony A4 drobnym drukiem. Wymaga natomiast, by osoba wiedziała, co się dzieje z jej danymi. To jest sens obowiązku informacyjnego.

Podstawowe elementy klauzuli informacyjnej (art. 13 RODO):

  • kto jest administratorem danych – pełna nazwa, adres, dane kontaktowe,
  • dane kontaktowe inspektora ochrony danych – jeżeli jest powołany,
  • cele i podstawy prawne przetwarzania – konkretnie: „w celu realizacji umowy sprzedaży” (podstawa: art. 6 ust. 1 lit. b RODO),
  • odbiorcy danych lub kategorie odbiorców – np. firma księgowa, operator płatności, firma kurierska, dostawca hostingu,
  • informacja o przekazywaniu danych poza EOG – jeżeli korzystasz z narzędzi typu newsletter, chmura, system CRM z serwerami w USA lub innych krajach trzecich,
  • okres przechowywania danych lub kryteria jego ustalania – np. „przez czas trwania umowy i okres przedawnienia roszczeń”, „do czasu wycofania zgody”,
  • prawa osoby – dostęp do danych, sprostowanie, usunięcie, ograniczenie przetwarzania, przenoszenie danych, sprzeciw, wycofanie zgody,
  • prawo wniesienia skargi do organu nadzorczego – w Polsce: Prezes UODO, z podaniem adresu,
  • informacja, czy podanie danych jest obowiązkowe i jakie są konsekwencje ich niepodania (np. brak możliwości zawarcia umowy),
  • jeżeli stosujesz profilowanie lub zautomatyzowane podejmowanie decyzji – podstawowe informacje o zasadach, znaczeniu i przewidywanych konsekwencjach.

To dużo elementów, ale da się je przekazać ludzkim językiem. Klucz tkwi w strukturze i dobrej kolejności informacji.

Gdzie i jak przekazywać informacje – kanały komunikacji

Obowiązek informacyjny nie musi oznaczać jednego, sztywnego wzorca dla każdej sytuacji. Inaczej wygląda klauzula:

  • na stronie internetowej,
  • w umowie papierowej,
  • na formularzu kontaktowym,
  • w rekrutacji prowadzonej przez portal ogłoszeniowy.

Sprawdza się podejście warstwowe, tzw. layered approach:

  • pierwsza warstwa – krótkie, konkretne podsumowanie przy samym formularzu: kto, po co, w jakim celu, podanie danych dobrowolne/obowiązkowe, odnośnik do pełnej informacji,
  • druga warstwa – pełna treść klauzuli w polityce prywatności lub w osobnym dokumencie, łatwo dostępna (link, załącznik do umowy).

Przykład pierwszej warstwy przy formularzu kontaktowym:

Administratorem Twoich danych jest XYZ sp. z o.o. z siedzibą w Warszawie, ul. Przykładowa 1. Dane z formularza wykorzystamy, żeby odpowiedzieć na Twoje zapytanie. Podanie danych jest dobrowolne, ale konieczne do udzielenia odpowiedzi. Więcej informacji o przetwarzaniu danych znajdziesz w naszej polityce prywatności.

Jeżeli dostajesz dane nie bezpośrednio od osoby (np. z publicznych rejestrów, od kontrahenta, z platformy sprzedażowej), wchodzi w grę art. 14 RODO, czyli obowiązek informacyjny „pośredni”. Tam terminy i sposób informowania są trochę inne – ale idea ta sama: osoba powinna wiedzieć, że masz jej dane i co z nimi robisz.

Najczęstsze błędy w klauzulach informacyjnych

W codziennej praktyce wracają pewne grzechy główne. Jeżeli je wyłapiesz i poprawisz, jesteś kilka kroków do przodu.

  • kopiuj–wklej bez refleksji – cudza klauzula może nie pasować do Twoich procesów, podstaw prawnych i odbiorców danych,
  • brak powiązania celów z podstawą prawną – wypisanie „umowa, zgoda, uzasadniony interes” w jednym akapicie nic nie mówi osobie, której dane dotyczą,
  • zbyt ogólne „cele marketingowe” – nie wiadomo, czy chodzi o newsletter, remarketing, profilowanie pod reklamy, współpracę z partnerami,
  • brak informacji o przekazaniu danych poza EOG – szczególnie przy popularnych narzędziach SaaS, gdzie dane realnie lądują na serwerach poza UE,
  • przemilczanie praw osób – „skargę zawsze można złożyć do UODO, ale lepiej, żeby nikt o tym nie wiedział” – to nie jest dobre podejście, delikatnie mówiąc.

Klauzula informacyjna jest też Twoją tarczą – jeśli jest spójna z realnym przetwarzaniem, łatwiej obronić się przy skargach lub kontrolach.

Stara maszyna do pisania z kartką z polityką prywatności
Źródło: Pexels | Autor: Markus Winkler

Praktyczne przetwarzanie danych w firmie/organizacji – procesy od środka

Mapa procesów – od czego w ogóle zacząć

RODO w firmie zaczyna się nie od zakupu szafy na dokumenty, tylko od odpowiedzi na proste pytanie: jakie dane, gdzie, po co i jak długo przetwarzasz. To Twoja mapa procesów.

Przydatne jest zrobienie podstawowego spisu procesów, na przykład:

  • obsługa klientów (sprzedaż, serwis, reklamacje),
  • marketing (newsletter, social media, kampanie reklamowe, eventy),
  • rekrutacja i kadry,
  • współpraca z dostawcami i podwykonawcami,
  • obsługa biura i bezpieczeństwo (monitoring, system kontroli dostępu, goście),
  • obsługa finansowo–księgowa.

Przy każdym procesie odpowiedz na kilka pytań:

  • jakie dane zbierasz (kategorie, niekoniecznie od razu każde pole z formularza),
  • skąd pochodzą te dane (bezpośrednio od osób, z portalu, od kontrahenta),
  • jaki jest cel i podstawa prawna,
  • kto ma dostęp do danych (działy, konkretne role, podmioty zewnętrzne),
  • jak długo dane są przechowywane i co się z nimi dzieje po upływie tego czasu,
  • jakie środki bezpieczeństwa stosujesz.

Taki „spis z natury” przydaje się później przy tworzeniu rejestru czynności przetwarzania, polityki bezpieczeństwa, instrukcji dla pracowników czy odpowiedzi na żądania osób (np. prawo dostępu, usunięcia danych).

Rejestr czynności przetwarzania – nie tylko dla dużych

RODO formalnie wymaga rejestru czynności od większości administratorów, z wyjątkami dla najmniejszych podmiotów. Praktyka pokazuje jednak, że nawet małej firmie opłaca się mieć choćby uproszczony rejestr – bo bez niego trudno nad czymkolwiek zapanować.

Typowe elementy rejestru czynności:

Na koniec warto zerknąć również na: Zapiekanka a bruschetta: różnice w formie i podaniu — to dobre domknięcie tematu.

  • nazwa procesu (np. „obsługa klientów B2B”, „rekrutacja”),
  • cel przetwarzania,
  • kategorie osób i danych (klienci, pracownicy, kontrahenci; dane kontaktowe, finansowe, kadrowe itd.),
  • kategorie odbiorców (np. biuro rachunkowe, dostawca hostingu, operatorzy płatności),
  • informacja o przekazaniu danych poza EOG,
  • planowane okresy usunięcia danych lub kryteria ich ustalania,
  • ogólny opis środków bezpieczeństwa (np. szyfrowanie, ograniczenie dostępu, kopie zapasowe).

Czy rejestr musi być w rozbudowanym systemie? Niekoniecznie. Na początek wystarczy porządnie prowadzony arkusz kalkulacyjny lub prosty plik tekstowy – o ile jest aktualny i odzwierciedla rzeczywistość. Martwy rejestr, którego nikt nie zna, jest niewiele wart.

Polityki i instrukcje – mniej papieru, więcej sensu

Wiele firm produkuje wielostronicowe „polityki bezpieczeństwa” tylko po to, by odłożyć je do segregatora. Dokumenty powinny przede wszystkim opisywać to, co naprawdę robisz i być zrozumiałe dla pracowników.

Podstawowy zestaw dokumentów wewnętrznych może obejmować:

  • politykę ochrony danych osobowych – ogólne zasady: role, odpowiedzialności, podstawowe definicje, odwołanie do szczegółowych procedur,
  • instrukcję zarządzania systemami informatycznymi – hasła, kopie zapasowe, dostęp zdalny, korzystanie z prywatnego sprzętu (BYOD), aktualizacje,
  • procedurę reagowania na naruszenia – kto, co i w jakiej kolejności robi, gdy coś pójdzie źle (wyciek, utrata laptopa, wysyłka maila do złego adresata),
  • procedurę realizacji praw osób, których dane dotyczą – kto odbiera wnioski, gdzie ich szuka, jak weryfikować tożsamość wnioskującego, termin odpowiedzi,
  • instrukcje dla konkretnych działów – np. dla handlowców, rekruterów, księgowości – w formie prostych wytycznych.

Im mniejsza organizacja, tym bardziej dokumenty powinny być proste. Zamiast żargonu – konkretne zasady typu: „Nie wysyłamy danych klientów na prywatne maile”, „Nie przechowujemy CV w skrzynce pocztowej dłużej niż…”.

Najczęściej zadawane pytania (FAQ)

Co to dokładnie znaczy „przetwarzanie danych osobowych” według RODO?

Przetwarzanie danych osobowych to praktycznie każda operacja na danych, które pozwalają zidentyfikować konkretną osobę. Chodzi nie tylko o samo zbieranie, ale też m.in. przechowywanie, przeglądanie, porządkowanie, udostępnianie, wysyłanie, analizowanie czy usuwanie danych.

Jeśli masz dane klienta w Excelu, w systemie CRM, w programie księgowym czy nawet w papierowym segregatorze – to wszystko jest przetwarzaniem danych w rozumieniu RODO. Nie trzeba zaawansowanej technologii; wystarczy zwykły notes z numerami telefonów klientów.

Jak sprawdzić, czy informacja jest daną osobową w rozumieniu RODO?

Zadaj sobie jedno pytanie: czy na podstawie tej informacji – samej albo w połączeniu z innymi danymi, którymi realnie dysponujesz – jesteś w stanie dojść do konkretnej osoby fizycznej. Jeśli tak, to masz do czynienia z daną osobową.

Imię i nazwisko, e-mail typu imie.nazwisko@…, numer telefonu powiązany z osobą, adres dostawy, identyfikator użytkownika w systemie, który możesz powiązać z konkretną osobą – to typowe przykłady. Nawet dane „służbowe” (np. służbowy e-mail czy telefon) podlegają RODO, bo nadal prowadzą do konkretnego człowieka, a nie do abstrakcyjnego biurka.

Jaka jest różnica między anonimizacją a pseudonimizacją danych?

Anonimizacja to takie przekształcenie danych, po którym nie da się już zidentyfikować osoby – nawet jeśli masz dostęp do wszystkich swoich systemów i realistycznych środków technicznych. Proces jest nieodwracalny. Przykład: usuwasz wszystkie identyfikatory i nie masz żadnego klucza, który pozwoli wrócić do pierwotnych danych.

Pseudonimizacja to tylko „schowanie” tożsamości za innym identyfikatorem, np. zamiast imienia i nazwiska używasz ID klienta. Gdzieś jednak istnieje klucz, tabela powiązań, faktura lub inny zbiór, który pozwala odtworzyć tożsamość. Takie dane nadal są danymi osobowymi i podlegają RODO – są po prostu lepiej zabezpieczone.

Jakie dane są wrażliwe (szczególne kategorie danych) według RODO?

Szczególne kategorie danych (tzw. dane wrażliwe) to informacje ujawniające m.in. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne, dane o zdrowiu, życiu seksualnym lub orientacji seksualnej.

Takie dane można przetwarzać tylko w wyjątkowych, ściśle określonych sytuacjach i na jednej z dodatkowych podstaw prawnych przewidzianych w RODO. Mówiąc po ludzku: to cienki lód – jeśli nie wiesz dokładnie, co robisz i na jakiej podstawie, lepiej tam nie wchodzić bez porządnej analizy.

Czy muszę mieć zgodę na każde przetwarzanie danych osobowych?

Nie. Zgoda to tylko jedna z kilku równorzędnych podstaw przetwarzania danych. Często wygodniejszą i bardziej właściwą podstawą jest np. niezbędność do wykonania umowy (realizacja zamówienia w sklepie), obowiązek prawny (przechowywanie dokumentów księgowych) czy tzw. uzasadniony interes administratora (np. dochodzenie roszczeń).

Zgody nie powinno się „wciskać wszędzie”. Nie proś o nią na coś, co i tak musisz zrobić, żeby zrealizować usługę lub wypełnić obowiązek ustawowy. Klient składający zamówienie nie musi wyrażać dodatkowej zgody na to, że użyjesz jego danych do wysyłki produktu – to wprost wynika z umowy. Zgoda przydaje się natomiast np. przy newsletterze czy dodatkowych działaniach marketingowych.

Jak stosować zasadę minimalizacji danych w praktyce (np. w sklepie internetowym)?

Zasada minimalizacji oznacza, że zbierasz tylko takie dane, które są realnie potrzebne do konkretnego celu. Jeżeli prowadzisz sklep internetowy, do realizacji zamówienia wystarczą: imię, nazwisko, adres dostawy, e-mail kontaktowy, ewentualnie telefon dla kuriera. Pytanie o PESEL, zawód czy „ulubiony sport od dzieciństwa” nie ma uzasadnienia – więc nie powinno się pojawić w formularzu.

Dobry test: czy potrafisz jasno wytłumaczyć klientowi, po co Ci dana informacja i co się z nią dzieje. Jeśli sam masz problem z odpowiedzią, to najpewniej ta dana jest zbędna i lepiej jej nie zbierać.

Jak długo można przechowywać dane osobowe zgodnie z RODO?

RODO nie podaje jednego, uniwersalnego terminu. Dane wolno trzymać tak długo, jak długo są potrzebne do celu, w jakim zostały zebrane, oraz przez okres wymagany innymi przepisami (np. podatkowymi, rachunkowymi, kadrowymi). Gdy cel znika, dane powinny zostać usunięte, zanonimizowane lub „odchudzone”.

Przykład: dane związane z zamówieniem w sklepie internetowym możesz przechowywać przez czas potrzebny do realizacji umowy, a następnie przez okres wynikający z przepisów o przedawnieniu roszczeń i obowiązków podatkowych. Dane do newslettera trzymasz do momentu wycofania zgody lub zgłoszenia sprzeciwu – nie „na wieczność”, bo kiedyś ktoś coś kliknął.

Kolejna porcja wiedzy: