RODO w małej firmie – informacje ogólne

25 maja 2018 r. to ważna data dla każdego przedsiębiorcy. Tego dnia rozpocznie się stosowanie RODO, czyli unijnego rozporządzenia w zakresie ochrony danych osobowych. Co to w praktyce oznacza dla małych firm? Sprawdźcie.

RODO (inaczej GDPR, czyli General Data Protection Regulation) to rozporządzenie o ochronie danych osobowych przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Rozporządzenie ujednolica i nakłada nowe obowiązki na firmy i instytucje przetwarzające dane osobowe we wszystkich krajach Unii Europejskiej.

Nowe przepisy zastąpią w Polsce dotychczasową ustawę o ochronie danych osobowych (GIODO).

Rozporządzenie obejmuje każdego przedsiębiorcę – spółkę i jednoosobową działalność gospodarczą – który oferuje produkty lub usługi obywatelom UE. RODO dotyczy praktycznie wszystkich przedsiębiorców, zarówno dużych korporacji jak i niewielkich firm typu sklep internetowy czy gabinet kosmetyczny. Nie ma natomiast zastosowania do działalności o charakterze osobistym lub domowym (mówi o tym art. 2 ust. 2 RODO).

RODO w MŚP

Nowe przepisy dotyczą wszystkich czynności, które są podejmowane na danych osobowych: m.in. ich zbierania, przechowywania, przetwarzania, udostępniania i usuwania.

Dane osobowe to informacje pozwalające na bezpośrednie lub pośrednie zidentyfikowanie osoby fizycznej, np. imię i nazwisko, numer PESEL, dane o lokalizacji, adres IP czy adres e-mail.

Przetwarzanie danych osobowych w małych firmach ma miejsce np. w przypadku sprzedaży produktów, wystawiania faktur, prowadzenia korespondencji, zawierania umów czy prowadzenia newslettera.

Unijne rozporządzenie nie zawiera konkretnych wytycznych, w jaki sposób należy zabezpieczać dane osobowe klientów. Każdy przedsiębiorca będzie musiał samodzielnie wyodrębnić ryzyko i dostosować procedury indywidualnie do charakteru swojej branży i działalności, pamiętając jednak o idei i ogólnych przesłankach RODO.

Art. 1 ust. 83 RODO:

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko.

Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.

Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Środkami ochrony bezpieczeństwa danych osobowych są, np.:

  • wdrożenie odpowiednich zabezpieczeń informatycznych,
  • przechowywanie dokumentów papierowych w sposób zabezpieczający je przed dostępem osób nieupoważnionych,
  • przeszkolenie pracowników w zakresie ochrony danych osobowych,
  • prowadzenie ewidencji osób (pracowników) upoważnionych do dostępu do danych osobowych,
  • podpisanie umowy z firmami, którym powierza się przetwarzanie danych osobowych klientów (np. dostawcą hostingu, biurem rachunkowym, firmą kurierską).

Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać w oparciu o jedną z przesłanek przetwarzania wskazanych w RODO, np. na podstawie zgody osoby, której dane dotyczą. Zbierając dane osobowe, przedsiębiorca będzie musiał wskazać m.in. cel przetwarzania danych i okres ich przechowywania. Zgoda może polegać np. na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej.

Co ważne, RODO uwzględnia prawo do „bycia zapomnianym”, na podstawie którego osoba, której dane są przetwarzane może żądać usunięcia wszystkich informacji o sobie z bazy danych przedsiębiorcy. Dodatkowo osoba, której dane są przetwarzane będzie miał także prawo do wglądu we własne dane, a także żądania ograniczenia ich przetwarzania, przeniesienia lub ich sprostowania.

Rejestr czynności przetwarzania

Zgodnie z rozporządzeniem, część administratorów lub podmiotów przetwarzających dane osobowe powinna prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni, i na żądanie organów nadzorczych udostępniać im te rejestry. Obowiązek prowadzenia rejestru czynności przetwarzania nie dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Biorąc pod uwagę treść przepisów oraz fakt, że obecnie trudno wyobrazić sobie prowadzenie działalności gospodarczej bez przetwarzania danych osobowych (pracowników, kontrahentów, klientów itd.) do prowadzenia rejestru będzie de facto zobowiązany każdy przedsiębiorca i podmiot przetwarzający dane.

W rejestrze, jak wskazuje art. 30 rozporządzenia, powinny znaleźć się następujące informacje:

  1. imię i nazwisko lub nazwa oraz dane kontaktowe administratora danych osobowych;
  2. cele przetwarzania danych (np. sprzedaż produktów, wystawianie faktur);
  3. kategoria osób, których dane dotyczą, oraz kategorie danych osobowych (np. kategoria klienci – ich imię i nazwisko, adres zamieszkania, adres e-mail);
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
  5. gdy ma to zastosowanie: informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej (np. w przypadku korzystania usług zewnętrznych firm spoza UE typu CRM lub system mailingowy od amerykańskiej firmy);
  6. planowany termin usunięcia danych osobowych;
  7. jeżeli jest to możliwe: ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Co ważne, w przypadku naruszenia ochrony danych osobowych (np. wycieku danych) administrator powinien zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin po stwierdzeniu naruszenia, a także – jeśli istnieje taka potrzeba – poinformować o tym osobę, której dane dotyczą.

To już ostatni dzwonek na to, aby przygotować się do nowych przepisów. Do wejścia w życie RODO zostało zaledwie kilka dni.

Tymczasem za naruszenie zasad dotyczących przetwarzania danych osobowych firmom grozić będą bowiem kary – odpowiednio 20 mln euro lub, w przypadku MŚP, do 4 proc. wartości rocznego obrotu przedsiębiorstwa.

Zostaw
komentarz

Nasi eksperci również chętnie
uczestniczą w dyskusji i odpowiadają
na Wasze komentarze.