W nawiązaniu do poprzednich „Aktualności”, w niniejszych ponownie skupimy się głównie na ochronie danych osobowych w firmach (RODO) i koniecznej w tej sprawie dokumentacji. Oczywiście nie jesteśmy w stanie w tych aktualnościach przekazać wszystkich unormowań i zaleceń wynikających z tego rozporządzenia , niemniej postaramy się przybliżyć podstawowe kwestie, a po szczegóły odsyłamy do aktu podstawowego i dostępnych opracowań.
Na wstępie przypominamy, że zgodnie z Unijnym Rozporządzeniem o Ochronie Danych Osobowych (2016/679 z dnia 27 kwietnia 2016 r.) każda firma, urząd czy instytucja musi być przygotowana do ochrony tych danych do 25 maja 2018 roku a niedopełnienie nowych obowiązków może grozić wysoką karą finansową. Do przepisów RODO należy się stosować tak, jakby to była polska ustawa (będzie uchwalona w najbliższych dniach).
Musimy mieć na uwadze, że spełnienie wymagań Rozporządzenia, to nie tylko unikanie wysokich kar. Coraz więcej osób zdaje sobie sprawę z tego, jaka jest ekonomiczna wartość danych, które dzięki nowym technologiom przetwarzane są coraz szybciej. Rośnie też świadomość osób, których dane są przetwarzane zdających sobie sprawę z zagrożeń wynikających z udostępniania danych. Z uwagi na to, coraz ważniejszym zadanie staje się zapewnienie ochrony ich prywatności, której klienci oczekują.

Na początek trochę definicji określonych w art. 4 Rozporządzenia:

1) "dane osobowe" oznaczają informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do
zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub
pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego
jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator
internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną,
fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2) "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na
danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany
lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie,
porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie,
przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie
lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie,
usuwanie lub niszczenie;

3) "ograniczenie przetwarzania" oznacza oznaczenie przechowywanych danych
osobowych w celu ograniczenia ich przyszłego przetwarzania;

4) "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę
lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby
przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są
określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie
Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator
lub mogą zostać określone konkretne kryteria jego wyznaczania;

5) "podmiot przetwarzający"(nazywany też procesorem) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu
administratora;
6) "zbiór danych" oznacza uporządkowany zestaw danych osobowych dostępnych
według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

7) "odbiorca" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny
podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią;

8) "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne,
świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w
formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na
przetwarzanie dotyczących jej danych osobowych;

9) "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa
prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia,
utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego
dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób
przetwarzanych.

Istotną kwestią na którą należy zwrócić uwagę jest fakt, że - w odróżnieniu od dotychczasowych polskich przepisów dot. ochrony danych – przepisy unijne różnicują obowiązki w zależności od wielkości firmy. i tak przykładowo:
• organizacje, które nie przetwarzają danych osobowych na dużą skalę, nie będą musiały powoływać inspektora ochrony danych osobowych,
• rejestrowania czynności przetwarzania nie będą dokonywać podmioty, które zatrudniają mniej niż 250 osób i spełniają warunki określone w art. 30 ust. 5 Rozporządzenia,
• grupa przedsiębiorstw będzie mogła powołać jednego inspektora ochrony danych osobowych.

Jestem zobowiązany poinformować Państwa, że – jako biuro rachunkowe – nie jesteśmy ekspertami w dziedzinie ochrony danych osobowych, w szczególności w świetle nowych przepisów, i zdajemy sobie sprawę, że przekazywane przez nas informacje są niepełne. Mają one na celu przekazanie podstawowego minimum wiedzy umożliwiającej Państwu ukierunkowanie działań w tym kierunku i sporządzenie podstawowej dokumentacji.
Biorąc to pod uwagę, jeszcze raz polecamy większym firmom dysponującym odpowiednimi środkami finansowymi skorzystać z usług profesjonalnej firmy. Pozostałym proponujemy skorzystać z załączonych 2 kart kontrolnych pozwalających ustalić, czy musicie powoływać inspektora ochrony danych osobowych oraz czy są przestrzegane przepisy ochrony danych i w zależności od wyników podjąć się sporządzenia dokumentacji we własnym zakresie korzystając z naszych materiałów i wzorów, ale także z innych dostępnych źródeł, tj. dostępnych przepisów, opracowań bądź programów.
Niezbędnym elementem w tym zakresie wydaje się przyswojenie sobie treści wcześniej opisanych niektórych podstawowych pojęć w aspekcie RODO, tj. m.in.: dane osobowe, administrator, podmiot przetwarzający, zgoda osoby na przetwarzanie, naruszenie ochrony danych osobowych, itp.
Dodać trzeba, że w małych firmach nie będzie potrzeby powoływania osobnego inspektora ochrony danych osobowych (a z pewnością w tych, które nie zatrudniają pracowników), gdyż te zadania będzie mógł wykonywać osobiście przedsiębiorca, niemniej jednak należałoby to opisać w Polityce ochrony danych osobowych. Ponieważ każda firma może mieć inne potrzeby i możliwości niezbędne dokumenty należy przygotować odpowiednio do potrzeb RODO i swoich.