RODO w programach KPiR, KsH i RP

334  19 kwietnia 2018 Jan Tozrobi 3

RODO W PROGRAMACH VARICO

W związku z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 wprowadziliśmy w naszych programach zmiany, dzięki którym nasi klienci będą gotowi na wejście RODO.

W programach przetwarzamy dane osobowe dotyczące pracowników, właścicieli, pełnomocników i ich członków rodzin. Przetwarzamy też dane osobowe kontrahentów, którzy są osobami fizycznymi – traktujemy jednak te dane jako mało wrażliwe.

W zakresie przetwarzanych informacji wchodzą: personalia, dane adresowe, dane o członkach rodzin, o niezdolności do pracy i niepełnosprawności, informacje o przebiegu zatrudnienia, o wynagrodzeniach, dane ubezpieczeniowe i podatkowe.

Główne ryzyka przetwarzania danych osobowych w naszych programach to:

    • archiwizacja danych,
    • dostęp do programu

Znacznie bezpieczniejszą metodą archiwizacji danych jest dostępna w programach usługa Gwarancji Odtworzenia Danych. Tworzone przez nią archiwa są zaszyfrowane kluczem dostępnym tylko użytkownikowi programu i zabezpieczone warunkiem autoryzacji. Archiwa te dostępne są wyłącznie poprzez program i technicznie nie jest możliwe ich pobranie inną metodą.

Dostęp do programu ograniczyliśmy w związku z czym użytkownik – administrator ma teraz możliwość ustalenia wymagań, które dotyczą haseł dla dostępu innych użytkowników.

Do menu Funkcje, dodaliśmy nową pozycję – RODO. Jest to program, który udostępnia administratorowi szereg funkcji dotyczących praw osób, których dane są przetwarzane. Program wspomaga prowadzenie ewidencji wniosków osób, które dotyczą przetwarzania ich danych. W programie można znaleźć małe centrum wiedzy – “Nawigator RODO”, z odnośnikami do ustaw, najważniejszymi informacjami, czy zastosowaniami w naszych produktach.

rodo

W zakładce „Administracja” trzeba wypełnić informacje na temat administratora, podmiotu przetwarzającego oraz inspektora ochrony danych osobowych.

rodo

Zakładka „Osoby” zawiera wszystkich pracowników oraz właścicieli znajdujących się w programie. Z tego poziomu możemy dodać różnego rodzaju wnioski dotyczące danych osobowych. Mamy również możliwość wygenerowania dokumentu jakim jest Rejestr Przetwarzania Danych dla konkretnej osoby.

rodo

 

WAŻNE INFORMACJE DOTYCZĄCE RODO

Co to jest RODO?

Mówiąc RODO mamy na myśli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jest to akt prawny przyjęty przez Unię Europejską regulujący zasady ochrony danych osobowych – zastępuje dyrektywę 95/46/WE z 1995 r. RODO będzie bezpośrednio obowiązywać, będzie bezpośrednio stosowane i bezpośrednio skuteczne. To oznacza, że – z bardzo niewielkimi wyjątkami – całe prawo ochrony danych osobowych znajdziemy bezpośrednio w tekście RODO.

RODO zastąpi obowiązującą obecnie ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych.

 

Odpowiednik GIODO

Prawdopodobnie zostanie powołany nowy organ nadzorczy, Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Organ ten przejmie zadania i kompetencje GIODO, a także będzie wykonywał nowe, przyznane mu przez RODO.

 

Jakie czynności podlegają RODO?

RODO stosuje się do przetwarzania danych osobowych, czyli do wszelkich operacji wykonywanych na danych osobowych, takich jak:

      • zbieranie danych,
      • przechowywanie danych,
      • usuwanie danych,
      • opracowywanie danych,
      • udostępnianie danych

 

RODO dotyczy czynności mających za swój przedmiot dane osobowe – czyli dotyczy wszelkich usług, w których dochodzi do zbierania danych osobowych:

      • przedsiębiorcy zajmujący się przetwarzaniem danych – archiwizowanie danych, niszczenie dokumentów, usługi kurierskie itp.,
      • przedsiębiorcy, którzy przetwarzają dane osobowe przy okazji świadczenia innych usług, np. pośrednicy ubezpieczeniowi, agenci biur podróży,księgowi, sklepy internetowe, zarządcy nieruchomości itp.

 

Kiedy można przetwarzać dane osobowe?

Dane osobowe można przetwarzać tylko wtedy gdy istnieje tzw. podstawa prawna o przekazywaniu danych.W przypadku przedsiębiorstw przykładami przetwarzania danych zazwyczaj są:

      • zgoda osoby, której dane dotyczą;
      • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dane     dotyczą lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby;
      • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
      • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

 

W przypadku szczególnych kategorii danych, typowe podstawy przetwarzania danych to:

      • wyraźna zgoda osoby, której dane dotyczą;
      • przetwarzanie danych jest niezbędne do wykonania zadań związanych z     zatrudnieniem, ubezpieczeniem społecznym pracowników;
      • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy;
      • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

To administrator powinien móc wykazać, że dysponuje wystarczającą podstawą do przetwarzania danych.

 

Jak zbierać zgodę na przetwarzanie takich danych?

Każda zgoda powinna charakteryzować się poszczególnymi cechami:

      1. Dobrowolność – zgoda może być ważna tylko jeżeli osoba, której dane     dotyczą, ma możliwość dokonania rzeczywistego wyboru, przy czym nie zachodzi ryzyko wprowadzenia w błąd, zastraszenia, przymusu lub znaczących negatywnych konsekwencji, jeśli nie wyrazi zgody. Jeżeli konsekwencje wyrażenia zgody nie dają się pogodzić ze swobodą wyboru, zgoda nie jest dobrowolna (Opinia WP 187 w sprawie     definicji zgody).
      2. Konkretność     – aby zgoda była ważna, musi być konkretna. Innymi słowy,     niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu     przetwarzania (Opinia WP 187 w sprawie definicji zgody).
      3. Świadomość     – zgoda na przetwarzanie danych osobowych na podstawie art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych     osobowych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując     tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (zob. wyrok NSA z 11.04.2003 r., II SA 3942/02).
      4. Jednoznaczność – zgoda musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (zob. wyrok NSA z 4.4.2003 r., II SA 2135/02).

Zgoda może zostać wyrażona w dowolnej formie – ale zawsze w razie wątpliwości to administrator danych powinien wykazać, że zgoda została udzielona. Decyzja o tym, jaki konkretnie sposób zbierania – i archiwizowania – zgód zastosować powinna być podjęta świadomie przez administratora danych.

 

Kiedy nie trzeba zbierać zgody na przetwarzanie danych osobowych?

Zgoda na przetwarzanie danych jest jedną z podstaw prawnych przetwarzania danych – nie jedyną. Zgody na przetwarzanie danych nie trzeba zbierać w szczególności wtedy, gdy:

      1. Przetwarzanie danych jest niezbędne do wykonania umowy – np. sklep internetowy sprzedaje wysyłkowo książki; nie musi w takim wypadku prosić o zgodę na przetwarzanie danych, przetwarzanie danych będzie zgodne z RODO jako niezbędne do wykonania umowy (sprzedaży).
      2. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – np. przetwarzanie danych w celach związanych z prowadzeniem ksiąg rachunkowych nie wymaga zgody osób, których dane dotyczą, a jego podstawą są przepisy o rachunkowości.
      3. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – np. skierowanie do sądu pozwu o zapłatę przeciwko nieuczciwemu klientowi nie wymaga jego zgody na przetwarzanie danych, a podstawą przetwarzania danych w takim wypadku jest właśnie realizacja prawnie uzasadnionego interesu administratora danych.

Prawnie uzasadnionym interesem realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w takim celu – marketingowym w stosunku do produktów i usług administratora danych – nie wymaga zgody na przetwarzanie danych osobowych. Ale uwaga – pewne formy kontaktu z osobami, których dane dotyczą, wymagają zgody. Zgody wymaga:

      • przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej, np. reklam za pomocą poczty elektronicznej;
      • wykorzystanie telekomunikacyjnych urządzeń końcowych w celu marketingu bezpośredniego, np. wysyłanie wiadomości SMS o treści reklamowej.

 

Jak długo można przechowywać dane osobowe?

Dane osobowe nie powinny być przechowywane w nieskończoność, bez ograniczenia czasowego. Jeżeli podstawą przetwarzania danych osobowych jest zgoda, wówczas dane osobowe mogą być przetwarzane tak długo, aż zgoda nie zostanie odwołana.

Jeżeli podstawą przetwarzania danych jest wykonywanie umowy, wówczas dane mogą być przetwarzane tak długo, jak jest to niezbędne do wykonania umowy, a po tym czasie przez okres czasu odpowiadający okresowi przedawnienia roszczeń, jakie może podnosić administrator danych i jakie mogą być podnoszone wobec administratora danych. W przypadku przedsiębiorców ten okres czasu co do zasady wynosi nie dłużej, niż 3 lata i różni się w zależności od tego, jakiej umowy dotyczyło przetwarzanie danych.

Jeżeli istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać (lub w konkretnym przypadku skracać) czas przetwarzania danych osobowych.

Przykład – przepisy o rachunkowości nakazują przechowywać dowody księgowe umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.

 

Co jeśli do zgłoszenia serwisowego trzeba dołączyć archiwum, które zawiera dane wrażliwe?

Ryzyko dotyczące archiwizacji udało się zmniejszyć poprzez utworzenie nowej funkcji “Wyślij dane serwisowe do varico” (Plik -> Wyślij dane serwisowe do Varico). Funkcja ta generuje zestaw danych wystarczający do udzielenia użytkownikowi pomocy przez serwis Varico. Zestaw ten jest jednak pozbawiony danych osobowych, zamiast nich zestaw zawiera identyfikatory serwisowe np. Antoni Testowy będzie rozpoznawany jako Pracownik_6000002. Dostarczając do serwisu potrzebę przeanalizowania rozliczeń Antoniego Testowego wystarczy wskazać na pracownika nr 6000002. Identyfikator serwisowy można odczytać np. tutaj

AntoniTestowy

 

 

 

 

 

Jan Tozrobi

Witaj, przygotowuję odpowiedzi na Twoje pytania w Centrum Pomocy Varico. Jeżeli nie rozwiałem wszystkich Twoich wątpliwości, napisz do mnie, a postaram się wyjaśnić każdą sprawę.

Czy temat jest pomocny?