RODO obowiązuje każdego przedsiębiorcę, który przetwarza dane osobowe np. klientów, kontrahentów czy pracowników. Nawet jednoosobowa działalność gospodarcza sprzedająca produkty online i prowadząca newsletter ma obowiązek przestrzegać przepisów o ochronie danych osobowych.

Nie ma bezpośredniego wymogu prawnego, który nakazywałby posiadanie polityki prywatności na każdej stronie internetowej. Jednakże, jeśli strona internetowa pozyskuje dane osobowe użytkowników, np. poprzez formularze kontaktowe, zapisy do newslettera czy pliki cookies, administrator tych danych musi spełnić tzw. obowiązek informacyjny wobec użytkowników. W praktyce polityka prywatności jest najczęściej stosowanym sposobem na spełnienie tego obowiązku. 

Umowę powierzenia przetwarzania danych osobowych należy zawrzeć w sytuacji, gdy administrator danych (czyli podmiot, który decyduje o celach i sposobach przetwarzania danych) zleca innemu podmiotowi (procesorowi) przetwarzanie danych w swoim imieniu i na swoją rzecz, aby ten podmiot mógł zrealizować określone zadania. Innymi słowy, jeśli firma korzysta z usług zewnętrznej firmy, która w jej imieniu przetwarza dane osobowe, potrzebny będzie dokument regulujący te kwestie. 

Dane osoby można przetwarzać tak długo, jak długo istnieje cel przetwarzania tych danych lub do momentu, gdy osoba której dane dotyczą nie zażąda zaprzestania ich przetwarzania. Następnie powinny zostać usunięte lub zanonimizowane. Przykładowo dane klientów można przechowywać przez czas realizacji umowy, a następnie przez okres przedawnienia roszczeń.

Administrator danych ma obowiązek przeprowadzenia oceny ryzyka, aby ustalić, czy incydent należy zgłosić Prezesowi UODO oraz czy należy poinformować osoby, których dane zostały naruszone. Tylko w wyjątkowych przypadkach administrator może powoływać się na przesłanki wyłączające obowiązek zgłoszenia. Jeżeli naruszenie oraz związane z nim ryzyko są istotne, administrator powinien zgłosić incydent do organu nadzorczego bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin od jego stwierdzenia. W przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych administrator powinien również poinformować o incydencie osoby, których dane dotyczą.

W przypadku zaistnienia incydentu pierwszymi krokami, jakie administrator powinien podjąć jest jak najszybsze usunięcie skutków naruszenia, opisanie jego okoliczności i planowanej reakcji, a także jeśli występuje taki obowiązek zgłoszenie naruszenie wraz z wymaganą dokumentacją organowi nadzorczemu i osobom, których dotyczą dane objęte naruszeniem. 

Naruszenia nie trzeba zgłaszać organowi nadzorczemu, jeżeli jest mało prawdopodobne, aby mogło ono skutkować naruszeniem praw lub wolności osób fizycznych. Dodatkowo nie ma obowiązku informowania osób, których dane dotyczą, jeżeli administrator:

• jest w stanie wykazać, że nie występuje wysokie ryzyko naruszenia ich praw; 
• zabezpieczył odpowiednio dane objęte naruszeniem, np. uniemożliwiając dostęp osobom nieuprawnionym;  
• wyeliminował prawdopodobieństwo wysokiego ryzyka naruszenia praw osób, których dane są objęte incydentem. 

Jeśli zawiadomienie wszystkich osób wymagałoby niewspółmiernie dużego wysiłku, to jako alternatywę można zastosować publiczny komunikat lub równie skuteczny środek komunikacji. Jednakże niezależnie od tego, czy zgłasza się incydent, administrator powinien go odnotować.

Administrator i podmiot przetwarzający zobowiązani są wyznaczyć inspektora ochrony danych, zawsze gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

W innych przypadkach nie jest to obowiązkowe. 

W ciągu 14 dni od wyznaczenia inspektora ochrony danych należy zgłosić ten fakt do PUODO. Zgłoszenie powinno zawierać m.in.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora, a także:  

• imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna; 
• firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą; 
• numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.  

Podmiot, który wyznaczył IOD, powinien również umieścić jego imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu na swojej stronie internetowej, a jeżeli jej nie ma to w miejscu prowadzenia działalności.

Obowiązek dokonywania analizy ryzyka w praktyce występuje zawsze, ponieważ dane osobowe należy zabezpieczyć odpowiednio do ryzyka naruszeń. Brak zabezpieczeń technicznych (np. program antywirusowy) lub organizacyjnych (np. polityka czystego biurka i ekranu) może prowadzić do incydentu.

Jeżeli spółka ma siedzibę na terenie Unii i przetwarza dane osobowe osób fizycznych (niezależnie od ich obywatelstwa), to będzie traktowany jako administrator danych osobowych i będą miały do niej zastosowanie przepisy RODO.

Wysyłka informacji handlowych drogą elektroniczną wymaga uzyskania odrębnej, dobrowolnej i świadomej zgody zgodnie z przepisami RODO oraz przepisami dotyczącymi komunikacji elektronicznej. Tak więc, jeżeli przedsiębiorca powiada zgodę od klienta na wysyłanie newslettera, to tak (taka zgoda nie powinna być domyślna).

Administrator danych sam decyduje o celach i sposobach przetwarzania danych (np. właściciel firmy) natomiast podmiot przetwarzający działa w imieniu administratora i na rzecz (np. zewnętrzna księgowość, dostawca usługi chmurowej).

Zasadniczo nie ma formalnego wymogu przeprowadzenia szkolenia wewnętrznego z zakresu ochrony danych osobowych, jednakże administrator powinien zapewnić aby każda osoba upoważniona do przetwarzania danych osobowych została zaznajomiona zarówno z powszechnie obowiązującymi przepisami o ochronie danych osobowych, jak i z wewnętrznymi aktami prawnymi i środkami bezpieczeństwa, do których należy stosować się w miejscu przetwarzania danych osobowych.

Wdrożenie RODO wymaga kompleksowego podejścia, w zależności od branży, rodzaju przetwarzanych danych i skali – może ono polegać m.in. przeprowadzeniu audytu, wdrożeniu polityk i procedur ochrony danych, przeszkoleniu pracowników, a także zapewnieniu odpowiednich zabezpieczeń technicznych i organizacyjnych.

RODO nie zabrania stosowania monitoringu. Nakłada jednak pewne obowiązki na osoby, które utrwalają wizerunek innych osób na nagraniach. Urząd Ochrony Danych Osobowych (UODO) wskazuje iż, monitoring wizyjny jest jedną z najbardziej inwazyjnych form przetwarzania danych osobowych i powinien być stosowany jedynie w sytuacji, gdy nie istnieją inne, mniej ingerujące w prywatność środki umożliwiające zapewnienie bezpieczeństwa.

Umowa powierzenia przetwarzania danych powinna zawierać wszystkie elementy określone w art. 28 RODO, czyli m.in.: określenie przedmiotu i czasu trwania przetwarzania, określenie charakteru i celu przetwarzania, rodzaju danych osobowych oraz kategorii osób, których dane dotyczą oraz opis obowiązków i praw administratora.

W przypadku żądania usunięcia (tzw. „prawo do bycia zapomnianym”), należy to wykonać, chyba że istnieją ważne podstawy prawne do dalszego przetwarzania – np. obowiązki podatkowe, obrona roszczeń. Wówczas należy klienta o tym poinformować.

Tak, zgodnie z przepisami przedsiębiorca korzystający z plików cookies powinien informować użytkowników o ich stosowaniu w sposób jasny i zrozumiały – popularnym rozwiązaniem jest wykorzystanie wyskakującego okienka, informującego użytkownika o plikach cookies i zawierającego checkboxy do zaznaczania zgód.

Zasadniczo nie, tylko w przypadku niezbędnych cookies, które są konieczne do działania strony (np. utrzymanie sesji logowania, koszyk w sklepie). Wszystkie inne – np. marketingowe, analityczne, personalizacyjne – wymagają zgody.

Tak. Baner powinien umożliwiać zarówno akceptację, jak i odmowę cookies, bez ukrywania opcji odmowy.

Czas przechowywania powinien być proporcjonalny do celu. W przypadku cookies wymagających zgody, należy jasno poinformować o czasie ich działania.

Można ją zawrzeć w ramach polityki prywatności. Można również stworzyć osobną politykę cookies, w której szczegółowo opisuje się rodzaje cookies, ich cel, czas przechowywania i partnerów (np. Google, Meta).

Prezes UODO może nałożyć karę pieniężną do 20 mln euro lub 4% obrotu za najpoważniejsze naruszenia, m.in. zasad przetwarzania danych lub niestosowanie się do nakazów organu nadzorczego. Za pozostałe naruszenia kara może wynosić do 10 mln euro lub 2% obrotu, w zależności od tego, która kwota jest wyższa. 

Poza karami pieniężnymi Prezes UODO może wydawać nakazy związane z przywróceniem zgodności z RODO, a nawet nakazać ograniczenie przetwarzania wyłącznie do przechowywania.