Każdego dnia tysiące rolników w Polsce zadają sobie pytanie, czy obowiązują ich przepisy regulujące zasady przetwarzania danych osobowych RODO? Pytania zadają też izbom rolniczym. Wprawdzie w wielu przypadkach nie ma jeszcze szczegółowej wykładni prawnej i wszyscy czekają na przykłady praktycznych zastosowań tych przepisów, to już dzisiaj warto przyjrzeć się konieczności stosowania RODO przez rolników i firmy działające w branży rolniczej. Obszerne wyjaśnienie znalazło się na portalu TOP AGRAR, a my przybliżamy jego najważniejsze ustalenia.
Przetwarzanie danych osobowych
Przez przetwarzanie danych należy rozumieć każdy podmiot będący przedsiębiorcą w definicji rozporządzenia (osobę fizyczną, przedsiębiorcę, osobę prawną itp.), który zbiera i przetwarza dane osobowe. O tym, czy RODO obowiązuje daną osobę fizyczną lub firmę decyduje wyłącznie ocena własna okoliczności zbierania i przetwarzania danych osobowych – Rozporządzenie RODO ma charakter otwarty i nie ma tam sztywnych reguł, jednoznacznie określających, w jakim zakresie podlega się lub nie nowym obowiązkom.
Oczywiście, można taką ocenę zlecić (na własną odpowiedzialność) podmiotowi zewnętrznemu. Jest to zupełna nowość w stosunku do dotychczas obowiązującej ustawy o ochronie danych osobowych, które obowiązki przedsiębiorcy w tym zakresie definiowała jednoznacznie. Nowe przepisy nie dotyczą przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.
Co to są dane osobowe?
Zgodnie z art. 4 rozporządzenia RODO, danymi osobowymi są: „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny PESEL, adres, identyfikator internetowy IP lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.
W praktyce danymi osobowymi będą np. lista odbiorców i dostawców w programie do wystawiania faktur lub w programie FK, jeśli są osobami fizycznymi, lista z danymi udziałowców lub członków, książka telefoniczna w telefonach lub w komputerze, dokumenty pracownicze, dokumenty kandydatów do pracy itp.
Z posiadaniem danych osobowych wiąże się nieodmiennie ich przetwarzanie. Zgodnie z definicją RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Można założyć, że każdy, kto do celów działalności gospodarczej szeroko rozumianej, w tym także działalności rolniczej, posiada dane osobowe, to z pewnością je też przetwarza, a więc podlega przepisom RODO od 25.05.2018 r., które mają chronić interes prawny osób fizycznych znajdujących się w posiadanym zbiorze danych osobowych.
To, w jakim zakresie posiadacz danych osobowych ma obowiązek stosowania przepisów RODO, zależy od własnej oceny ryzyka naruszenia zasad ochrony danych u danego podmiotu.
RODO nie daje konkretnych wytycznych co do rozwiązań, jakie należy zastosować w celu zabezpieczenia posiadanych danych osobowych. Oczywiście, najbardziej skrajnie przepisy RODO będą dotyczyły firm profesjonalnie zajmujących się gromadzeniem danych osobowych, np. w Internecie, portali komunikacyjnych, podmiotów prowadzących sklepy internetowe, rekrutujących pracowników, w bankach itp., bo taki w istocie był cel przyjęcia rozporządzenia.
W tej perspektywie należy przyjąć, że branża rolnicza i jej otoczenie nie będzie musiała bezwzględnie stosować wszystkich dostępnych zasad i technik bezpieczeństwa danych osobowych, pamiętając przy tym, że przyjęte w danym podmiocie sposoby ochrony danych osobowych muszą być dostosowane do realiów, a także możliwie ograniczone.
Najważniejsza dokumentacja RODO
Nowe zasady ochrony danych osobowych, z punktu widzenia przedsiębiorstwa, muszą być spisane w formie dokumentu(ów), którym firma wykaże się w przypadku kontroli przez państwowy organ nadzorczy. Obecnie jest to Urząd Ochrony Danych Osobowych – UODO. Dokument ten ma potwierdzić poprawność przetwarzania danych i ich prawidłowe zabezpieczenie.
Oczywiście, pozostaje jeszcze problem wykazania w czasie kontroli, że wymagana ochrona danych osobowych jest przestrzegana. Najtrudniej to przestrzeganie będzie wykazać po skardze osoby fizycznej do UODO, że doznała szkody w związku z przetwarzaniem przez nas jej danych osobowych – zatem dobrze sporządzona dokumentacja to podstawa.
Formalnie osobą odpowiedzialną za ustalanie zasad przetwarzania i zabezpieczania danych osobowych w przedsiębiorstwie jest administrator. W gospodarstwie rolnym lub w firmie jednoosobowej będzie nim właściciel albo inna wyznaczona osoba, u osób prawnych osoba wskazana przez zarząd. Zadanie administratora danych, a nawet całe przetwarzanie danych może też być zlecone firmie zewnętrznej.
Formalnie najważniejszym i obowiązkowym dokumentem potwierdzającym prawidłowość przetwarzania danych osobowych jest obecnie rejestr czynności przetwarzania (RCP).
Rozporządzenie RODO nie wymaga jego prowadzenia w firmach zatrudniających poniżej 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Biorąc pod uwagę realia naszego rolnictwa i jego otoczenia, ten obowiązek formalnie dotyczyłby znikomego odsetka gospodarstw rolnych i firm z otoczenia rolnictwa. Jednak na ten problem należy spojrzeć z punktu widzenia choćby tylko pojęcia „sporadyczności przetwarzania danych” jako kryterium obowiązku prowadzenia RCP. Nie ma jeszcze ani wykładni, ani orzeczeń sądowych, zatem należy do problemu podejść ostrożnie.
Jeśli ktoś ma w bazie danych kilkudziesięciu odbiorców i dostawców (osób fizycznych) i wystawia rocznie np. 100 faktur VAT, na dodatek ciągle zmieniają się klienci i dostawcy – jednych dopisujemy do bazy, a innych wykreślamy – to raczej trudno uznać takie czynności za sporadyczne. Być może w przyszłości ustali się jakaś linia orzecznicza w tej sprawie.
Inspektor ochrony danych
W przypadku przetwarzania danych na dużą skalę, rozporządzenie RODO nakłada obowiązek powołania w firmie inspektora ochrony danych, który musi spełniać określone wymagania formalne w zakresie kwalifikacji zawodowych. IOD ma określone w art. 39 RODO obowiązki w zakresie polityki informacyjnej oraz monitorowania przestrzegania przepisów RODO w firmie lub u osoby fizycznej. W Polsce w rolnictwie raczej będzie to sporadyczne.
Zgoda na przetwarzanie danych
Osoba, której dane dotyczą, np. pracownik, klient, musi być poinformowana o prowadzeniu operacji przetwarzania danych i o jego celach. Równocześnie należy uzyskać zgodę na przetwarzanie danych. Jeśli taka zgoda była już w przeszłości nam udzielona (i mamy stosowne oświadczenie osoby), jest ona nadal ważna. Natomiast „nowe” osoby muszą taką zgodę wyrazić. Jeśli tego nie zrobią, nie mamy prawa przetwarzać jej danych, a w praktyce nawet pozyskać.
RODO nie precyzuje sposobu spełnienia obowiązków informacyjnych. Zatem mamy tu dużą dowolność. Użytkownicy portali internetowych od 25 maja br. stykają się z wyskakującymi okienkami, wymagających kliknięcia „potwierdzenia”, że zapoznali się z okolicznościami przetwarzania danych osobowych i wyrażają na to zgodę. To samo robią też poszczególne firmy na swoich stronach internetowych. Można też wysłać do danej osoby e-mail ze stosowną informacją umieszczoną np. w stopce.
Dobrą (i zawsze skuteczną prawnie) formą realizacji obowiązku informacyjnego jest wysłanie osobnego listu poleconego z informacją o przetwarzaniu danych. Najważniejsze jest tutaj posiadanie potwierdzenia przekazanie takiej informacji i potwierdzenie zgody na przetwarzanie danych. Można też ten obowiązek spełnić poprzez przekazanie informacji ustnie, np. na zebraniu pracowników i uzyskanie od nich potwierdzenia poprzez podpisanie listy z odpowiednimi klauzulami zgody. Należy założyć, że okoliczności i potwierdzenia spełnieniu obowiązku informacyjnego i zgody na przetwarzanie danych będą zawsze pierwszorzędowym przedmiotem ewentualnej kontroli UODO.
Zabezpieczanie danych
RODO wymaga (art. 32), aby w ramach tzw. neutralności technologicznej zadbać o właściwe zabezpieczenie danych osobowych przechowywanych przez dany podmiot, w dostosowaniu do wagi tych danych i ryzyka prawnego związanego z ich wyciekiem Najbardziej chronione muszą być dane wrażliwe, np. dotyczące zdrowia osoby lub jej orientacji politycznej i seksualnej. Trudno sobie wyobrazić, żeby takie dane znajdowały się w posiadaniu gospodarstwa rolnego, grupy producentów lub firmy z otoczenia rolnictwa. Zatem należy ocenić indywidualnie ryzyko związane z dostępem do posiadanych danych przez osoby postronne, ich zniszczenia lub utraty.
U podmiotów jednoosobowych nie będzie potrzeby wyznaczania osoby odpowiedzialnej za dostęp do nich, np. w komputerze lub w szafie. Jednak u większych podmiotów zatrudniających pracowników i mających rozległe bazy danych (nie tylko na nośnikach elektronicznych, ale też w formie papierowej) trzeba będzie taką osobę formalnie wyznaczyć, np. księgową.
Drugim elementem obowiązkowym będzie odpowiednie zabezpieczenie pomieszczenia z danymi (w tym z komputerami), np. poprzez założenie atestowanych zamków, krat, drzwi metalowych, a także kupno odpowiednich sejfów, kaset metalowych, szaf wzmocnionych itp. Należy pamiętać, że ochrona danych osobowych dotyczy także zabezpieczenia dostępu do książki telefonicznej w telefonie lub smartfonie, a także dostępu do komputera poprzez ustawienie dobrego hasła lub nawet zakup programu szyfrującego.
na podstawie: Top Agrar
