W przypadku, gdy przedsiębiorca wprowadza w ramach swojej działalności nowy produkt lub usługę, z którymi wiąże się przetwarzanie danych osobowych, musi pamiętać o obowiązkach związanych z ochroną danych osobowych. Może to dotyczyć sytuacji, gdy przedsiębiorca zamierza wprowadzić w ramach swojej działalności nowy system kadrowo – płacowy, system do obsługi klientów, czy też wewnętrzny system komunikacji i zarządzania dokumentacją. Kwestie te mogą też dotyczyć podmioty, które zamierzają świadczyć usługi, z którymi wiąże się przetwarzanie danych osobowych, takich jak utworzenie sklepu internetowego, rozszerzenie swojej oferty o nowe usługi, czy też rozpoczęcie prowadzenia procesu marketingowego, w tym związanego z rozsyłaniem newsletterów lub treści marketingowych.

Budowa domu wymaga projektu. Nie zaczyna się nigdy budowy od wylania fundamentów i postawienia ścian, z pominięciem etapu projektowania. Tak samo w przypadku wprowadzania nowego produktu lub usługi, z którymi wiąże się przetwarzanie danych osobowych. Przedsiębiorca powinien najpierw odpowiednio zaplanować, jak produkt lub usługa ma być „zbudowana” i jakie funkcjonalności ma posiadać.   

W przypadku danych osobowych mamy w tym zakresie do czynienia z dwiema podstawowymi zasadami: ochrony danych w fazie projektowania oraz domyślnej ochrony danych. 

• Zasada ochrony danych osobowych w fazie projektowania 

Zasada ochrony danych w fazie projektowania oznacza, że przedsiębiorca musi wziąć pod uwagę stan wiedzy technicznej, koszt wdrożenia, rodzaj danych, które będzie przetwarzać (czy będą to dane zwykłe, czy też może dane szczególnej kategorii, np. dane o stanie zdrowia), w jakich celach, w jakim zakresie, na jakiej podstawie prawnej, a także jakie jest ryzyko naruszenia przy przetwarzaniu praw i wolności osób, których dane mają być wykorzystywane. Na tej podstawie powinien wdrożyć odpowiednie środki techniczne i organizacyjne, żeby zapewnić odpowiednie przestrzeganie zasad dotyczących ochrony danych osobowych. W szczególności dotyczyć to będzie kwestii związanych z zapewnieniem odpowiednich zabezpieczeń, np. systemu informatycznego, pseudonimizacji tych danych, zapewnieniem realizacji praw osób, których dane będą przetwarzane (czy będzie możliwe wykonanie kopii danych osobowych danej osoby, trwałe usunięcie tych danych, jeżeli nie będą już one potrzebne, możliwości ograniczenia pracy na danych jedynie do przechowywania danych, czy też identyfikacji w systemie wszystkich zmian danych osobowych). Produkt lub usługa, z którymi wiąże się przetwarzanie danych osobowych, musi być od początku zaprojektowana w ten sposób, aby spełniać wymogi RODO. 

• Zasada domyślnej ochrony danych osobowych 

Zasada domyślnej ochrony danych polega natomiast na tym, że domyślnie mogą być przetwarzane jedynie te dane, które są niezbędne do osiągnięcia danego celu przetwarzania. Dotyczy to zarówno ilości zbieranych danych osobowych, zakresu ich przetwarzania, czy też okresu przechowywania. W praktyce oznacza to, że np. zbierana w formularzu internetowym zgoda marketingowa nie może być domyślnie zaznaczona, ale to użytkownik musi aktywnie kliknąć okienko, że wyraża taką zgodę. Zasada ta bowiem zakłada, że przedsiębiorca musi chronić prawa i wolności osób, których dane zamierza wykorzystywać i domyślnie mogą być zbierane tylko takie dane, tylko w takich celach, czy przez jedynie taki okres, który jest niezbędny. 

Konieczne jest również uwzględnienie wykorzystywania nowego produktu lub usługi na etapie ich wdrożenia przy realizacji ogólnych obowiązków wynikających z przepisów RODO, które już przedsiębiorca stosuje, przetwarzając w swojej działalności dane osobowe. W szczególności konieczne jest dostosowanie posiadanej dokumentacji ochrony danych osobowych i procedur obowiązujących u przedsiębiorcy. 

• Realizacja obowiązków wynikających z przepisów o ochronie danych osobowych na etapie wdrożenia 

Przedsiębiorca musi przede wszystkim zwrócić uwagę na następujące elementy:

1. W przypadku korzystania z usług podmiotów zewnętrznych w ramach realizacji nowego procesu przetwarzania/nowego produktu lub usługi (np. zewnętrznego hostingodawcy) należy odpowiednio uregulować zasady dotyczące dostępu i przetwarzania danych osobowych przez te podmioty, w tym w stosownych przypadkach zawrzeć umowy powierzenia przetwarzania danych osobowych (jeżeli podmiot zewnętrzny będzie przetwarzać dane osobowe w imieniu i na rzecz przedsiębiorcy). Ponadto należy pamiętać, że można korzystać z usług tylko takich podmiotów przetwarzających, które spełniają gwarancje bezpieczeństwa przetwarzania. Dlatego też na etapie wyboru kontrahenta należy zweryfikować, czy określony podmiot te gwarancje będzie spełniał.2. Dane osobowe przetwarzane w ramach nowego produktu lub usługi powinny być odpowiednio zabezpieczone, w tym dostęp do danych powinny mieć jedynie osoby upoważnione; może zaistnieć konieczność nadania lub zmiany dotychczas nadanych upoważnień do przetwarzania danych osobowych;
2. Konieczne jest dokonanie analizy ryzyka dla tego procesu przed jego wprowadzeniem, a następnie cykliczne monitorowanie ryzyk związanych z tym procesem w trakcie jego realizacji; jeżeli przetwarzanie danych osobowych w ramach tego procesu będzie wiązać się z wysokim ryzykiem naruszenia praw i wolności osób, których dane będą przetwarzane, należy przeprowadzić również ocenę skutków dla ochrony danych.
3. Należy wprowadzić odpowiednie zabezpieczenia, które zostały zaplanowane w ramach przeprowadzonej analizy ryzyka a także na etapie projektowania i realizacji zasady ochrony danych w fazie projektowania;.
4. Dane powinny być przechowywane jedynie przez okres niezbędny do realizacji celów przetwarzania w ramach tego procesu; konieczne jest określenie tego okresu, a następnie po jego upływie należy dane osobowe trwale usunąć, jeżeli dane nie są wykorzystywane w innym celu, który jeszcze nie został osiągnięty.
5. Należy poinformować osoby, których dane są przetwarzane w ramach nowego procesu, o tym fakcie (zgodnie z treścią art. 13 albo 14 RODO) – w terminie wynikającym z przepisów RODO; przedsiębiorca powinien także ustalić sposób spełniania tego obowiązku (np. poprzez przesłanie mailowej informacji, zamieszczenie pod formularzem elektronicznym, za pomocą którego pozyskiwane są dane osobowe od danej osoby).
6. Należy proces ten uwzględnić w rejestrze przetwarzania danych osobowych. 

Radca prawny dr Katarzyna Siemion