Przejdź do treści 
Z perspektywy przedsiębiorcy, RODO to bardzo ważny element prawny, który należy wziąć pod uwagę podczas prowadzenia działalności.
Czym jest RODO?
RODO to rozporządzenie o ochronie danych osobowych Unii Europejskiej, które obowiązuje od 25 maja 2018 roku. Rozporządzenie jest aktem prawnym służącym ochronie danych osobowych, mającym na celu przede wszystkim zapewnić, że dane osobowe są przetwarzane w sposób przejrzysty, zgodnie z prawem i z poszanowaniem prywatności osób fizycznych.
Cel RODO
RODO ma przede wszystkim na celu zwiększenie bezpieczeństwa informacji dotyczących osób fizycznych, jak również wprowadzenie jednolitych zasad w krajach UE. Rolą Urzędu Ochrony Danych Osobowych (UODO) jest monitorowanie przestrzegania przepisów, udzielanie informacji oraz wsparcie przedsiębiorców w dostosowywaniu się do wymogów RODO.
Zasady przetwarzania danych osobowych zgodnie z RODO
Na gruncie RODO dane osobowe dzielą się na dane zwykłe oraz szczególne, dane szczególne to informacje takie jak np. dane o stanie zdrowia, czy dane dotyczące pochodzenia, lub wyznania. Pełny katalog danych szczególnych określony został w art. 9 przedmiotowego Rozporządzenia. Przetwarzanie danych osobowych, zgodnie z RODO, może obejmować ich zbieranie, organizowanie, przechowywanie, modyfikowanie, a także udostępnianie. W każdej z tych czynności administrator danych osobowych (którym jest także Pracodawca) odpowiada za ich przetwarzanie zgodnie z Prawem. Stosowanie przepisów RODO powinno zostać już uwzględnione na etapie „projektowania” działań biznesowych.
Podstawy prawne przetwarzania danych
Zapewnienie środków ochrony indywidualnej
Przetwarzanie danych osobowych powinno być podparte właściwą podstawą prawną, określoną w art.6 RODO. Może być to zgoda osoby, której dane dotyczą, konieczność realizacji umowy czy wypełnienia obowiązków prawnych ciążących na Administratorze. W przypadku szczególnych kategorii danych, wymagana jest zgoda osoby, której dane dotyczą. Obowiązki informacyjne wobec osób, których Administrator dane przetwarza są obowiązkowe. Administrator zobowiązany jest spełnić obowiązek informacyjny wynikający z art. 13 i 14 RODO – podając osobie, której dane dotyczą m.in. informacje na temat celów przetwarzania, podstawy prawnej oraz praw przysługujących im w związku z przetwarzaniem ich danych.
Prawo do prywatności i ograniczenia przetwarzania danych osobowych.
Przepisy RODO wprowadzają prawa, które mają służyć ochronią prywatność osób, których dane są przetwarzane. Prawo do bycia zapomnianym to jedno z tych praw, które umożliwia osobom zażądanie usunięcia ich danych (w zakresie określonym rozporządzeniem). Administrator danych osobowych powinien być więc przygotowany na obsługę wniosków np. klientów chcących skorzystać z tego prawa. Na gruncie przepisów funkcjonuje także prawo do przenoszenia danych osobowych – pozwalające klientom na uzyskanie kopii swoich danych oraz ich przesłanie innemu administratorowi. Prawo sprzeciwu z kolei umożliwia żądanie zaprzestania przetwarzania ich danych w sytuacjach, gdy podstawy prawne do tego przetwarzania nie są wystarczające lub występują szczególne przesłanki.
Rejestr czynności przetwarzania danych osobowych.
Ważnym wymogiem wynikającym z RODO jest prowadzenie rejestru czynności przetwarzania danych. Administrator danych osobowych jest zobowiązany zawrzeć w rejestrze informacje dotyczące celów przetwarzania, kategorii osób, których dane dotyczą, oraz kategorii danych osobowych. Zasady prowadzenia rejestru są określone w przepisach RODO i powinny być przestrzegane zarówno przez administratorów danych, jak i przez podmioty przetwarzające dane na rzecz administratora. Rola administratora i podmiotu przetwarzającego jest istotna, ponieważ obie strony wspólnie odpowiadają za bezpieczeństwo danych osobowych osób których dane dotyczą.
Incydenty bezpieczeństwa danych osobowych
Incydenty związane z RODO mogą prowadzić do wielu konsekwencji. Dla osób których dane dotyczą wiążą się z możliwymi zagrożeniami, jak choćby możliwość wykorzystania danych osobowych w celu wyłudzeń, dla administratora natomiast wiążą się możliwością przeprowadzenia postępowań z udziałem urzędu ochrony danych osobowych oraz ryzykiem roszczeń ze stronnych osób których dane dotyczą. Przykładowe naruszeń to np. nieuprawnione udostępnianie danych osobowych, brak odpowiednich środków bezpieczeństwa, utrata dostępu do danych. Konsekwencje naruszenia przepisów RODO mogą obejmować nie tylko sankcje finansowe, ale przede wszystkim wizerunkowe.
Incydenty bezpieczeństwa danych osobowych
W przypadku gdy dane osobowe przetwarzane są na dużą skalę, obowiązkiem Administratora jest powołanie Inspektora Ochrony Danych (IOD). Wymóg ten dotyczy również firm, które przetwarzają szczególne kategorie danych lub monitorują dane na dużą skalę. Inspektor Ochrony Danych jest osobą odpowiedzialną za nadzór nad przestrzeganiem przepisów RODO, a także za punktem kontaktowym z Urzędem Ochrony Danych Osobowych. Obowiązki IOD są zróżnicowane i obejmują doradztwo w sprawie przetwarzania danych, dokonywanie ocen skutków dla ochrony danych, czy też szkolenie pracowników. Katalog obowiązków IOD został określony w przepisach RODO. Powołanie IOD w innych przypadkach jest fakultatywne, choć dla Pracodawcy może być bardzo pomocne.
Audyt RODO
Aby wdrożyć rozwiązania wynikające z RODO, lub zweryfikować firmę pod względem zgodności obecnego stanu z przepisami, można skorzystać z audytu ochrony danych osobowych. Audyt ochrony danych może skupiać się na aspektach dokumentacji RODO, zabezpieczeń fizycznych, bezpieczeństwa IT, lub najlepszych praktyk wynikających z polskich norm z uwzględnieniem normy ISO IEC27001.
Działania zgodne z RODO umożliwią mi nie tylko uniknięcie potencjalnych sankcji, ale również budowanie pozytywnego wizerunku firmy.