Zaktualizowano dnia 9 października 2023
Aby wdrożyć RODO w małej firmie, należy spełniać zasady przetwarzania danych określone w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Poniżej wskażemy elementy, które należy zrealizować w związku z RODO w małej firmie.
Kto musi wdrożyć RODO?
RODO powinno być stosowane wszędzie tam, gdzie mamy do czynienia z przetwarzaniem danych osobowych. Aby było ono zgodne z prawem, należy uzyskać zgodę osoby, której dane dotyczą, albo na innej uzasadnionej podstawie przewidzianej prawem. Przetwarzanie danych oznacza, że procedura ta została wykonana zgodnie z prawem i rzetelnie.
Dane osobowe muszą być przetwarzane w sposób legalny
Aby zbierać dane osobowe, należy zadbać o to, aby zebrać zgody od ich właścicieli na te czynności. Rozporządzenie określa, że:
“dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem”.
RODO w małej firmie zobowiązuje do wprowadzenia klauzuli informacyjnej, która będzie podawana za każdym razem, gdy pozyskuje się nowe dane osobowe.
Rejestrowanie czynności przetwarzania
Prowadzenie rejestru czynności przetwarzania polega na zbieraniu danych osobowych, m.in. takich jak:
- imię i nazwisko lub nazwę;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą;
- opis kategorii danych osobowych;
- opis kategorii odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
- planowane terminy usunięcia poszczególnych kategorii danych.
Przepis ten szczególnie dotyczy przedsiębiorców zatrudniających więcej niż 250 osób. Z tym że rozporządzenie określa, że obowiązek prowadzenia rejestru w małej firmie obowiązuje w sytuacji, gdy:
“przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.
Analiza ryzyka
Analiza ryzyka ma na celu ustalenie, które zasoby mają być chronione, a następnie określenia, jakie działania mogą im zagrażać (zagrożenia teleinformatyczne, niewłaściwe działania ludzi itd.). To pozwoli opracować czynności pozwalające zmniejszyć ryzyko oraz sposoby jego monitorowania.
W kwestii szacowania ryzyka rozporządzenie określa, że:
“prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Bezpieczeństwo przetwarzania
Przedsiębiorstwa mają obowiązek realizowania polityki bezpieczeństwa dostosowanej do specyfiki danej firmy. Oznacza to, że mają obowiązek stworzyć dokument opisujący zasady oraz środki przetwarzania danych osobowych.
W rozporządzeniu umieszczono informację, że:
“uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku”.
Inspektor Ochrony Danych
Inspektora Ochrony Danych wyznacza się w konkretnych przypadkach, które zostały określone w rozporządzeniu: “zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.
Dokumentacja RODO w małej firmie
Dokumentacja stanowi potwierdzenie przetwarzania danych w sposób prawidłowy i wszelkich zasad wynikających z przepisów RODO. W poradniku PRZYGOTUJ FIRMĘ NA RODO. Rozporządzenie Ogólne o Ochronie Danych Osobowych znajduje się lista potrzebnych dokumentów, a wśród nich:
- strategia bezpieczeństwa,
- polityka bezpieczeństwa dostosowanej do specyfiki danej firmy,
- rejestr operacji przetwarzania danych osobowych,
- polityka monitorowania i reagowania na naruszenia ochrony danych osobowych,
- rejestr incydentów i upoważnień,
- polityka zarządzania ryzykiem utraty prywatności,
- raport z analizy ryzyka,
- procedura zarządzania zmianą/zarządzania projektami,
- plan awaryjny/polityka zarządzania kopiami zapasowymi,
- procedura zarządzania użytkownikami i dostępem,
- standardy zabezpieczeń.
Jak samodzielnie wdrożyć RODO w firmie?
Odpowiednie przygotowanie i znajomość obowiązującego prawa to sposoby na to, aby w sposób prawidłowy samodzielnie wdrożyć RODO w małej firmie, ale nie tylko. Dlatego też warto wziąć udział w kursie “Wdrożenie RODO w małych, średnich i wielkich przedsiębiorstwach”, dzięki któremu właściciele firm lub każda osoba zainteresowana tym tematem pozna zasady realizowania RODO. Warto dodać, że absolwent otrzymuje zaświadczenie w języku polskim o ukończeniu kursu, co potwierdza nabytą przez niego wiedzę.