Minęło już ponad 2 miesiące od wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – w skrócie RODO.
W tym krótkim czasie pojawiło się wiele nieporozumień i nadinterpretacji obowiązujących przepisów, które spowodowały wysyp pytań na forach internetowych i w komentarzach artykułów branżowych.
Nasi partnerzy, zalewani potokiem niespójnych informacji przez pewien czas bombardowali nas pytaniami czy systemy ERP, które wspólnie z nami wdrożyli zabezpieczą ich przed konsekwencjami błędów i nieznajomości rozporządzenia oraz w jaki sposób jako opiekun odpowiadamy za zgromadzone dane osobowe. Poniżej przytoczymy kilka popularnych błędnych interpretacji powszechnych wśród naszych klientów.
„Firma informatyczna prowadząc operacje na bazie danych osobowych zgromadzonych przez moją firmę danych staje się administratorem danych osobowych w niej zgromadzonych – nie musze się o to już martwić.”
Powyższe twierdzenie jest całkowicie błędne, firma która opiekuje się naszą infrastrukturą serwerową i oprogramowaniem nie staje się z automatu administratorem danych osobowych zgromadzonych w cyfrowych bazach.
Relacja do danych o której możemy mówić w takim wypadku to powierzenie procesowania danych w ramach czynności serwisowych. Wymaga to oczywiście zawarcia między firmami stosownej umowy (przekazanie dostępu do danych osobowych bez takiej umowy, lub chociażby umowy o całkowitej poufności przekazanych danych, może zostać uznane przez organy kontroli za naruszenie rozporządzenia). Właściciel bazy jako administrator danych osobowych w niej zawartych odpowiada za naruszenia wspólnie z procesorem.
„W systemie mamy imienne identyfikatory operatorów, proszę je natychmiast zanonimizować! Tak jak teraz z jest, jest niezgodnie z RODO!”
Nadinterpretacja w tym wypadku jest co najmniej spora. Faktem jest, że jesteśmy jako pracodawca administratorem danych osobowych naszych pracowników, ale nie zmusza nas to do całkowitej zmiany w relacjach międzyludzkich. Normalnym jest, że ludzie identyfikują się za pomocą imion i nazwisk, takie dane zapisane w systemie jako nazwy operatorów nie naruszają rozporządzenia. Podobnie jak imienny podpis złożony na pracach plastycznych przedszkolaków, które zostały rozwieszone na korytarzu, czy imię i nazwisko wpisane w rubrykę dziennika szkolnego lub listy obecności w zakładzie pracy. Przecież nie rozmawiamy z pracownikiem QX2Z3 tylko z Panią Anną Iksińską
„Zrobiłem aktualizację systemu ERP, producent napisał że jest zgodne z RODO, więc to on odpowiada za moją bazę danych osobowych.”
Posiadane systemu ERP zgodnego z zapisami rozporządzenia w żadnym stopniu nie ogranicza odpowiedzialności administratora bazy danych osobowych. System ERP jest wyłącznie narzędziem, które możemy wykorzystać do zarządzania zgromadzonymi danymi, pomoże nam w dystrybucji i ewidencji zgód, anonimizacji danych na żądanie osób oraz ewentualnej kontroli i ewidencji naruszeń. Jednak w żadnym wypadku nie zwalnia on od odpowiedzialności za bezpieczeństwo posiadanych danych osobowych oraz nie ceduje tej odpowiedzialności choćby w ułamku na producenta oprogramowania i jego partnerów.
Staramy się prostować wszelkie nieścisłości związane z interpretacjami przepisów, jesteśmy do Państwa dyspozycji w kwestii wszelkich pytań dotyczących współpracy z Polkas w świetle RODO.