Prawy start w startup. RODO dla startupu, czyli 7 kluczowych zasad przetwarzania danych osobowych

RODO i przetwarzanie danych osobowych w startupie
RODO i przetwarzanie danych osobowych w startupie, fot. Adobe Stock
Niezależnie od formy prawnej twojego startupu pamiętaj, że nawet jeśli jesteś na wczesnym etapie rozwoju działalności, nie oznacza to, że nie masz czego chronić i RODO cię nie dotyczy.

Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!

Trudno dziś znaleźć biznes, który nie wiąże się z wykorzystywaniem danych osobowych i nie podlega wymogom RODO, choć mogłoby się wydawać, że „przetwarzanie danych” dotyczy wyłącznie tych przedsiębiorców, których działalność koncentruje się na tworzeniu i dostarczaniu gotowych baz danych oraz podmiotów, które z takich baz korzystają na potrzeby marketingu lub oceny wiarygodności kontrahentów. Nic bardziej mylnego! 

Co to znaczy, że przetwarzam dane osobowe?

Obowiązujące od 25 maja 2018 roku unijne Ogólne Rozporządzenie o Ochronie Danych (RODO) jednoznacznie stwierdza, że każdy europejski przedsiębiorca „przetwarza dane osobowe” jeśli wykonuje jakąkolwiek operację na danych w związku z prowadzoną działalnością gospodarczą. Nie ma tutaj znaczenia branża, w której funkcjonujesz, rozmiar twojej działalności ani to czy działasz na danych elektronicznie, w sposób zautomatyzowany, czy papierowy. Wystarczy, że pozyskasz jakąkolwiek informację, która pozwala zidentyfikować konkretną osobę fizyczną, np. wizytówkę lub adres e-mail podany w formularzu kontaktowym na stronie internetowej twojej firmy, a staniesz się dysponentem danych osobowych w rozumieniu RODO, niezależnie od tego, czy z danych tych będziesz korzystać stale, czy tylko incydentalnie. Jeśli zatem rekrutujesz i zatrudniasz pracowników lub nawiązujesz relacje biznesowe i tworzysz bazę kontaktów albo podpisujesz umowy z kontrahentami i wystawiasz  faktury – nie ulega wątpliwości, że przetwarzasz dane. Co więcej, jeśli twoje przedsięwzięcie dotyczy branży aplikacji mobilnych, usług internetowych lub e-commerce, to niemal pewne, że twój produkt będzie mógł pozyskać dostęp do danych osobowych użytkowników np. adresu IP urządzenia.  

Szukasz prostego pomysłu na biznes?

Pozyskując dane stajesz się odpowiedzialny za ich przetwarzanie

Gromadzenie i wykorzystywanie danych w ramach obsługi firmy lub projektowanego produktu, usługi lub technologii nadaje twojej firmie status administratora tych danych. W praktyce oznacza to, że twoja firma staje się adresatem większości obowiązków wynikających z RODO, których naruszenie może skutkować nałożeniem wysokich kar pieniężnych. W konsekwencji, od momentu zgromadzenia danych, twoja firma będzie zobowiązana do zapewnienia ich ochrony oraz wykorzystywania ich w sposób zgodny z przepisami RODO. Nie jest bowiem możliwe ani zrzeczenie się statusu administratora i związanych z nim obowiązków ani ich przeniesienie na inny podmiot. Odpowiedzialności za przetwarzanie danych nie znosi również outsourcing obsługi procesów przetwarzania danych do podmiotu zewnętrznego.  

Czy mogę i w jaki sposób mogę przetwarzać dane osobowe 

Pierwsze pytanie jakie może nasuwać się każdemu początkującemu przedsiębiorcy, to „jak przetwarzać dane, aby być zgodnym z RODO?”. Aby odpowiedzieć na to pytanie należy sięgnąć do fundamentów systemu ochrony danych osobowych, czyli siedmiu kluczowych zasad przetwarzania danych, które zostały sformułowane w artykule 5 RODO. Stanowią one zespół reguł postępowania dla każdego administratora, na których powinno bazować przetwarzanie danych. Należy postrzegać je również jako punkt odniesienia dla wykładni poszczególnych obowiązków wynikających z RODO. Trzeba jednak pamiętać, że zasady te nie zawierają jedynie wskazówek dotyczących prawidłowego przetwarzania, lecz konkretne wymogi, których naruszenie jest zagrożone karą pieniężną. 

Legalnie, rzetelnie i przejrzyście

Katalog kluczowych zasad przetwarzania danych otwiera zasada, która bez wątpienia ma charakter nadrzędny nad pozostałymi, stanowiąc, że przetwarzanie danych musi odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. W konsekwencji, aby przetwarzanie było prawnie dopuszczalne, administrator musi dysponować co najmniej jedną podstawą prawną przetwarzania, spośród tych wymienionych w artykule 6 i 9 RODO. Przykładowo, aby pracodawca mógł wykorzystać dane kandydata do pracy dla celów przyszłych rekrutacji prowadzonych przez tego pracodawcę, niezbędne jest wyrażenie zgody przez kandydata (art. 6 ust. 1 lit. a). Natomiast w przypadku pozyskiwania danych kontrahenta w celu zawarcia i realizacji z nim kontraktu, przesłanką legalizującą zbieranie danych będzie „niezbędność przetwarzania do wykonania umowy” (art. 6 ust. 1 lit. b), a w przypadku osób wskazanych do kontaktu w związku z realizacją umowy – podstawą taką jest „prawnie uzasadniony interes administratora” (art. 6 ust. 1 lit. f). Należy pamiętać, że zasada ta wiąże się również z obowiązkiem zapewnienia zgodności przetwarzania z pozostałymi przepisami dotyczącymi ochrony danych osobowych. Ponadto, zasada zobowiązuje administratora do przetwarzania danych zgodnie z regułami uczciwości, tj. z poszanowaniem interesów osób, których dane dotyczą, ich podstawowych praw i wolności, w sposób najmniej ingerujący w ich prywatność. Zasada konstruuje także wymóg transparentności przetwarzania, a zatem obliguje administratora do przekazywania podmiotom danych pełnych informacji na temat celów i sposobów wykorzystywania ich danych. Co więcej, musi to nastąpić w odpowiednim czasie i formie. Zatem konieczne jest, aby wszelkie komunikaty były formułowane jasnym i prostym językiem oraz w zwięzły i zrozumiały sposób. Powinny być również łatwo dostępne, co oznacza, że sposób ich przedstawiania nie może wymagać od zainteresowanej osoby podejmowania nadmiernej ilości czynności w celu ich uzyskania. 

Konkretny, wyraźny i prawnie uzasadniony cel

Zasada „ograniczenia celu” wymaga od administratora oznaczenia celu w jakim dane osobowe mają być zbierane. Powinno to nastąpić w sposób jednoznaczny i możliwie jak najdokładniej. Przykładowo, wskazanie jako celu „realizacji istotnych interesów administratora” należy uznać jako nazbyt ogólne i niezgodne z omawianą zasadą. Co istotne, cel należy określić jeszcze przed rozpoczęciem przetwarzania danych, a osoba, której dane dotyczą musi zostać o nim prawidłowo poinformowana, nie później niż w momencie ich zbierania. Oznacza to bezwzględny zakaz zbierania danych „na zapas” z przekonaniem, że mogą się przydać w przyszłości oraz w celach ukrytych, z którymi podmiot danych nie został zaznajomiony na etapie gromadzenia danych. Ponadto, niezbędne jest, aby cel przetwarzania znajdował odzwierciedlenie w prowadzonej przez przedsiębiorcę działalności. Jednocześnie, zasada wyraża zakaz dalszego przetwarzania danych, tj. po ich zebraniu, w celu niezgodnym z celem określonym przy ich pozyskiwaniu. Nie oznacza to jednak zakazu późniejszego wykorzystania danych dla „innych celów” niż pierwotny, o ile nie występuje niezgodność między tymi celami. Dopuszczalność zmiany celu może wynikać ze zgody podmiotu danych albo przepisu prawa. W innych przypadkach, wymagane jest przeprowadzenie „oceny zgodności z pierwotnym celem”, która powinna uwzględniać m.in. związki między celami, kontekst zebrania danych oraz konsekwencje dalszego przetwarzania dla podmiotu danych. Konieczne jest również  poinformowanie podmiotu danych o zmianie celu przetwarzania, przed takim dalszym przetwarzaniem.  

Nie zbieraj danych nadmiarowych

Zasada minimalizacji danych wprowadza kryteria stanowiące o dopuszczalnej ilości i zakresie przetwarzanych danych osobowych. Zasada wskazuje, iż pozyskiwane dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Należy zatem korzystać wyłącznie z takiego zakresu danych, bez którego nie da się osiągnąć zamierzonego celu ich zebrania. Tym samym, gromadzenie danych „na wszelki wypadek” stanowi naruszenie RODO. Przykładowo, nieadekwatne jest pozyskiwanie numeru PESEL w formularzu kontaktowym na stronie internetowej firmy, gdyż do obsługi wiadomości wystarczające jest posiadanie imienia i nazwiska oraz adresu e-mail lub numeru telefonu nadawcy. Identyfikator ten należy z kolei uznać za niezbędny w formularzach on-line służących do odbioru wyników badań lub zapisu na badanie, albowiem pozwala on jednoznacznie ustalić tożsamości podmiotu, który ma uzyskać dostęp do danych dotyczących zdrowia, podlegających szczególnej ochronie. O zasadzie tej należy pamiętać szczególnie na etapie projektowania aplikacji mobilnych, które podczas procesu instalacji mogą pozyskiwać dostęp do szerokiego zakresu danych użytkownika, np. danych lokalizacyjnych, czy kontaktów. Konieczna jest wówczas ocena, jakie dane są administratorowi faktycznie niezbędne do poprawnego działania aplikacji oraz wdrożenia mechanizmów zapewniających, że domyślnie przetwarzane będą wyłącznie te dane, które są rzeczywiście konieczne do osiągnięcia zamierzonego celu. Co istotne, w niektórych przypadkach przepisy prawa wprost przesądzają o zakresie danych, jaki powinien być zbierany w danym celu, np. kodeks pracy, który wskazuje jakich danych pracodawca może żądać od pracownika. 

Dbaj o poprawność danych

Zasada prawidłowości, inaczej merytorycznej poprawności kładzie nacisk na jakość danych posiadanych przez administratora. Wynika z niej obowiązek do podejmowania wszelkich rozsądnych działań, aby przetwarzane dane były prawidłowe, tj. kompletne i zgodne ze stanem rzeczywistym oraz w razie potrzeby uaktualniane, a dane nieprawidłowe – niezwłocznie usuwane lub sprostowane. Co ważne, wymóg zapewnienia poprawności danych wiąże się z uprawnieniem podmiotów danych do żądania sprostowania nieprawidłowych danych i uzupełnienia danych niekompletnych.

Ramy czasowe przetwarzania danych

Zasada ograniczenia przechowywania wyklucza możliwość przetwarzania danych przez okres dłuższy niż jest to niezbędne do celów, w których dane te zostały pozyskane. Oznacza to, że administrator nie może przechowywać danych w nieskończoność, w szczególności „na zapas” lub „na wszelki wypadek”. Punktem granicznym jest zrealizowanie przez administratora celu, w którym dane zebrał i przetwarzał. Po osiągnieciu celu dane powinny zostać trwale i nieodwracalnie usunięte np. poprzez ich anonimizację. W związku z tym, administrator powinien określić planowe okresy przechowywania danych np. w polityce retencyjnej firmy. Niekiedy ramy czasowe przetwarzania wyznaczają wprost przepisy prawa. Wśród regulacji, które określają okresy retencji należy wymienić m.in. przepisy prawa pracy, rachunkowe oraz podatkowe. Przykładowo, dokumentację pracowniczą należy przechowywać przez okres zatrudnienia, a także przez okres 10 lat od rozwiązania lub wygaśnięcia stosunku pracy.

Bezpieczeństwo przetwarzanych danych

Zasada integralności i poufności wymaga od administratora wdrożenia w firmie odpowiednich rozwiązań technicznych (np. hasła dostępu, szyfrowanie danych) oraz organizacyjnych (np. polityka bezpieczeństwa, matryce dostępu do danych) w celu zapewnienia odpowiedniej ochrony przetwarzanych danych m.in. przed ich przypadkową utratą, zniszczeniem i nieautoryzowanym dostępem. Co istotne, RODO nie zawiera katalogu środków bezpieczeństwa danych, pozostawiając administratorowi decyzję co do wyboru konkretnych rozwiązań zgodnie z przyjętą w firmie analizą ryzyka przetwarzania dla praw i wolności podmiotów danych.

Musisz wykazać, że jesteś zgodny z RODO

Zasada rozliczalności wskazuje, że każdy administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych osobowych i musi być w stanie wykazać, że ich przestrzega oraz że wykonuje pozostałe obowiązki wynikające z RODO, które na nim spoczywają. W praktyce oznacza to, że jeśli w firmie przeprowadzona zostanie kontrola pod kątem zgodności z prawem przetwarzania danych, wówczas przedsiębiorca będzie musiał wykazać, że dysponuje odpowiednią dokumentacją z podjętych działań oraz decyzji, która potwierdza prawidłowość procesów przetwarzania z wymogami RODO, np. realizację obowiązków informacyjnych, pozyskiwanie zgód na przetwarzanie danych, czy wdrożenie odpowiednich środków technicznych lub organizacyjnych ochrony danych.

Tworząc startup nie zapomnij o RODO!

W początkowej fazie rozwoju startupów ich twórcy koncentrują się często na kwestiach typowo biznesowych, takich jak praca nad rozwojem produktu, wybór odpowiedniego modelu działania, czy pozyskiwanie dofinansowania. Należy mieć jednak na uwadze, iż prawidłowe ukształtowanie, już na początku, procesów przetwarzania danych w ramach firmy lub projektowanego produktu, usługi lub technologii, wspiera poprawny rozwój przedsięwzięcia i korzystnie wpływa na jego wizerunek wśród potencjalnych inwestorów i klientów. Ponadto, istotnie ogranicza ryzyko nałożenia kar pieniężnych za naruszenie wymogów RODO. Jest to szczególnie istotne w przypadku aplikacji mobilnych, które aby mogły zostać udostępnione użytkownikom, powinny już na etapie ich tworzenia uwzględniać standardy ochrony danych wynikające z RODO.

 

 

ZOBACZ RÓWNIEŻ