O RODO słyszał chyba już każdy właściciel firmy. Jednak praktyka pokazuje, że nie w każdym przedsiębiorstwie wprowadzone zostały procedury związane z tym aktem prawnym. Sprawdźmy więc dziś, z czym związane są te przepisy i jak wdrożyć RODO w małej firmie.
RODO w skrócie
Co to takiego RODO? Za skrótem RODO kryje się Rozporządzenie o Ochronie Danych Osobowych. Jest to rozporządzenie, które obowiązuje aktualnie we wszystkich państwa Unii Europejskiej. Każdy z krajów członkowskich ustanowił swoje własne akty prawne, na których opiera się RODO. W Polsce odpowiednie przepisy wdrażano kolejno w okresie od 2016 do 2018.
RODO dotyczy przede wszystkim zasad wykorzystywania, przechowywania i przetwarzania danych osobowych. RODO dotyczy wszystkich firm, które w jakikolwiek sposób wykonują jedną z tych czynności. Wielkość firmy nie ma tu znaczenia. Odpowiednie procedury muszą więc wdrożyć zarówno duże korporacje, jak i osoby prowadzące jednoosobową działalność gospodarczą. Problem polega jednak na tym, że rozporządzenie to nie przedstawia instrukcji, jak wygląda wdrożenie RODO w małej firmie krok po kroku. Definiuje jedynie zakres obowiązków przedsiębiorcy dotyczących takich kwestii jak gromadzenie danych osobowych, archiwizacja dokumentów je zawierających oraz ich przetwarzanie.
Wdrożenie RODO w firmie
Jak już wspomnieliśmy, rozporządzenie unijne i sankcjonujące je ustawy, nie definiują jednej ogólnej instrukcji, na temat tego, jak wdrożyć RODO w małej firmie. Za to w przejrzysty sposób definiują obowiązki przedsiębiorcy w zakresie RODO. Wiemy więc, co musimy zrobić, a to, w jaki sposób to zrobimy, zależy już od konkretnego rodzaju działalności. Najważniejsze obowiązki przedsiębiorcy w ramach RODO to:
- Obowiązek informacyjny – przedsiębiorca musi w jasny i czytelny sposób komunikować, że przetwarza dane osobowe klienta czy kontrahenta, to, w jaki sposób je przetwarza i kto jest właścicielem tych danych.
- Obowiązek realizacji praw osoby – każda osoba, której dane przetwarzamy, może zwrócić się do nas o wydanie kopii posiadanych przez nas danych na jej temat, informacji, kto ma do nich dostęp oraz tego, w jaki sposób weszliśmy w posiadanie tych danych.
- Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych – ten wymóg dotyczy każdej firmy, która zatrudnia co najmniej jednego pracownika. Wdrożenie RODO w małej firmie będzie się więc wiązało również ze stworzeniem dokumentu, który definiuje odpowiedzi na szereg pytań. Taki rejestr powinien zawierać informacje na temat tego: jakie dane posiadamy, kto ma do nich dostęp, czy są to czy dane zwykłe, czy szczegółowe, czy dane są gdzieś wysłane i w jaki sposób dane są zabezpieczone?
- Obowiązek upoważnienia dla osób przetwarzających dane – każdy pracownik, który ma dostęp do danych osobowych, powinien posiadać stosowne upoważnienie nadane przez administratora danych osobowych. W przypadku wdrożenia procedury RODO w małej firmie administratorem jest najczęściej właściciel.
- Obowiązek odpowiedniego zabezpieczenia danych osobowych i aktualizowania oceny skuteczności tych zabezpieczeń – wdrożenie RODO w firmie wiąże się też z oceną bezpieczeństwa danych osobowych. Ocena taka powinna mieć formę pisemną. Może to być prosty dokument, które definiuje zagrożenia i sposoby przeciwdziałania.
- Obowiązek zawarcia umów powierzenia przetwarzania z podmiotami przetwarzającymi w naszym imieniu dane osobowe – jeśli jakiś podmiot zewnętrzny przetwarza dane osobowe w naszym imieniu, musimy mieć podpisaną z nim umowę na ten temat.
- Obowiązek zgłaszania naruszeń – dotyczy sytuacji, gdy w naszej firmie dojdzie do wycieku danych osobowych i dostęp do nich uzyskają osoby niepożądane. W takiej sytuacji administrator danych ma obowiązek zgłosić wyciek danych w ciągu 72 godzin od stwierdzenia jego powstania.
- Obowiązek przygotowania sformalizowanej oceny skutków przetwarzania dla ochrony danych osobowych – elementem tego, jak wprowadzić RODO w małej firmie, jest również przygotowanie specjalnego pisemnego dokumentu. Powinien on zawierać informacje na temat tego, co dzieje się z danymi osobowymi w firmie, kto ma do nich dostęp i jakie jest ryzyko ich wycieku.
- Obowiązek wyznaczenia inspektora danych osobowych – powinien to być pracownik kompetentny w temacie RODO, który w razie potrzeby będzie pośredniczył w kontaktach firmy z Urzędem Ochrony Danych Osobowych.
RODO w małej firmie krok po kroku
Na koniec rzućmy jeszcze okiem na to, jak w praktyce wygląda wdrożenie RODO w małej firmie. Pierwszym krokiem powinien być wewnętrzny audyt dotyczący tego, jakie dane w zasadzie gromadzi nasza firma, kto ma do nich dostęp i w jaki sposób są przechowywane. Pozwala to zdefiniować nasze potrzeby w ramach wdrożenie RODO w naszej małej firmie.
Kolejnym krokiem powinno być przygotowanie rejestru czynności przetwarzania danych. Dokument ten powinien zdefiniować rodzaj przetwarzanych przez nas danych oraz odpowiadać na pytania, kto ma do nich dostęp, co się z danymi dzieje i w jaki sposób są zabezpieczone.
Wdrażając RODO w małej firmie, musimy zadbać również o fizyczne zabezpieczenie dokumentów i porządek w archiwum. Może to być zarówno odpowiedni pojemnik na dokumenty, zamykana szafka, jak i zabezpieczenia cyfrowe dla dokumentów znajdujących się na dysku komputera. Wiele rozwiązań dotyczących archiwizacji i przechowywania dokumentów znaleźć można na stronie sklepu https://maxibiuro.pl/.
W każdej firmie powinien być wyznaczony również inspektor danych osobowych. Pamiętajmy, że pracownik ten pełni raczej rolę audytora i konsultanta. Za bezpieczeństwo danych osobowych i wdrożenie RODO odpowiada nadal administrator danych (właściciel firmy).
zdjęcie główne stock.adobe.com
autor: PX Media