Mikroprzedsiębiorca powinien przetwarzać dane osobowe zgodnie z prawem, rzetelnie i w taki sposób, który będzie przejrzysty dla osoby, której dane są przetwarzane (zgodność z prawem, rzetelność i przejrzystość).

Oznacza to konieczność istnienia podstawy prawnej dla przetwarzania danych, np. zgody osoby; umowy, w związku z którą dane są przetwarzane; przepisu zobowiązującego do przetwarzania danych czy uzasadnionego prawnie interesu, wywodzonego ze zgodnych z prawem celów prowadzonej działalności.

Przetwarzanie danych – jak tego dokonać poprawnie?

Przejrzyste przetwarzanie danych związane jest m.in. z koniecznością przekazania osobie, której dane dotyczą wielu informacji związanych z przetwarzaniem. Chodzi m.in. o wskazanie administratora, inspektora ochrony danych, celów przetwarzania, odbiorców danych, ale też podanie informacji o okresie przechowywania danych, prawach osób, wykonywaniu automatycznych procesów przetwarzania takich, jak np. profilowanie osób. Przy informowaniu, komunikacji z osobami, których dane są przetwarzane i przy realizacji ich praw – ważne jest nie tylko dochowanie terminów przewidzianych przepisami, ale także sposób, w jaki informacje te są przekazywane.

Ostatnie zmiany w ustawie o prawach konsumentów wprowadziły dla mikroprzedsiębiorców udogodnienia. Tego rodzaju administrator – w zakresie umów zawieranych poza lokalem przedsiębiorstwa lub na odległość, w tym on-line czy przez telefon – wykonuje obowiązek informacyjny z art. 13 RODO przez wywieszenie komunikatu na ten temat w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie go na swoje stronie internetowej. Jednak taki sposób informowania nie może mieć miejsca gdy:

  • osoba, której dane dotyczą, nie ma możliwości zapoznania się z tymi informacjami,
  • administrator przetwarza szczególne kategorie danych osobowych,
  • administrator udostępnia takie dane innym administratorom (chyba że ma to zgodę osoby, której dane dotyczą albo udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze).

Tak wynika z art. 4a ustawy o prawach konsumentów.

Na co mikroprzedsiębiorca musi zwracać uwagę?

Mikroprzedsiębiorca musi przetwarzać tylko takie dane, które są adekwatne, stosowne i niezbędne, aby osiągnąć cele w jego działalności (minimalizacja danych). Ponadto powinien przetwarzać wyłącznie dane prawidłowe (zgodne z prawdą) i uaktualniać je (prawidłowość), a także przechowuje te dane przez okres nie dłuższy niż jest to niezbędne, aby zrealizować cele, dla których je pozyskał (ograniczenie przechowywania). Musi też zapewnić danym odpowiednie bezpieczeństwo (integralność i poufność). Mikroprzedsiębiorca jako administrator odpowiedzialny za przestrzeganie przepisów z zakresu ochrony danych osobowych, musi wykazać ich przestrzeganie (rozliczalność).

Środki, jakie powinien podjąć mikroprzedsiębiorca, aby zapewnić stopień bezpieczeństwa przetwarzania odpowiadający ryzyku są wskazane w przepisach jedynie przykładowo. To od mikroprzedsiębiorcy zależy, jakie – zgodne z prawem – rozwiązania zastosuje w prowadzonych przez niego procesach przetwarzania danych, ale powinny one uwzględniać m.in. wspomniane aspekty przetwarzania danych.

Kierunkowo ustawodawca wskazuje, że przyjmowane rozwiązania mają zapewniać zdolność:

  • ciągłego zapewnienia poufności, integralności, dostępności i odporności stosowanych systemów i usług przetwarzania,
  • szybkiego przywrócenia dostępności danych osobowych i dostępu do danych w razie incydentu związanego z ich bezpieczeństwem.