Ogólne rozporządzenie o ochronie danych osobowych (RODO) ujednoliciło zasady związane z prawnym zabezpieczaniem informacji umożliwiających zidentyfikowanie osoby fizycznej. Takie dane to między innymi imię i nazwisko, PESEL, a w niektórych przypadkach również adres mejlowy.
- Procedury związane z ochroną danych osobowych osób fizycznych muszą wdrożyć wszystkie przedsiębiorstwa, które zajmują się przetwarzaniem tego typu informacji, a więc ich przechowywaniem, przesyłaniem i archiwizacją. Zatem obowiązek ten dotyczy większości firm w naszym kraju. Procedury muszą wdrożyć zarówno przedsiębiorcy przetwarzający dane osobowe wyłącznie swoich pracowników, jak i przechowujący takie informacje na temat osób trzecich. Wielkość firmy nie ma tu znaczenia, podobnie jak ilość posiadanych danych – mówi Jagoda Knopp, adwokat prowadząca własną kancelarię.
Ocena sytuacji wyjściowej
O czym pamiętać, wdrażając RODO w małej firmie? Przedsiębiorca powinien zdawać sobie sprawę z tego, że nie ma jednego wzorca procesu wprowadzania w życia przepisów rozporządzenia. To oznacza, że można robić to na wiele sposobów, dostosowując je do rodzaju prowadzonej działalności oraz typu i zakresu przetwarzanych danych. Jednak pierwszym krokiem każdego przedsiębiorcy powinien być audyt.
- Polega on na zeskanowaniu systemu przetwarzania danych osobowych, a następnie ustaleniu rodzaju posiadanych informacji oraz sposobu i zakresu ich przetwarzania. Audyt ma wskazać również to, czy przedsiębiorca stosuje jakieś procedury w tym zakresie. W skrócie - jego celem jest uzyskanie odpowiedzi na pytanie, co firma robi z danymi i jak je przetwarza. Takie działanie pozwoli ustalić, jakie środki ochrony są stosowane, w jakim miejscu pojawiają się braki i czy zachowane są obowiązki wskazane w unijnym rozporządzeniu – wyjaśnia adwokat.
Po ustaleniu, jakie dane osobowe przetwarzane są w firmie, przedsiębiorca powinien zamieścić informacje na ten temat w dokumencie, którym jest rejestr czynności przetwarzania danych osobowych.
- Warto zastanowić się, w jaki sposób firma chroni procesy przetwarzania danych – w tym celu przedsiębiorca powinien wykonać analizę ryzyka i wprowadzić konieczne środki ochrony. Jakie? Na przykład szafy zamykane na klucz, politykę czystego biurka oraz środki ochrony informatycznej – wymienia Jagoda Knopp.
Kolejnym etapem wdrażania RODO w małej firmie powinno być szkolenie kadry. W interesie przedsiębiorcy leży zapoznanie pracowników z obowiązującymi regulacjami dotyczącymi ochrony danych osobowych. Powinni być oni świadomi celowości wdrożenia procedur w firmie, jak i konsekwencji naruszeń przepisów.
Wizerunek to też dane
Jaki jest następny krok implementacji RODO?
- W przypadku zatrudniania pracowników kolejnym etapem najczęściej jest opracowanie dokumentacji podstawowej, czyli pracowniczej. Jeżeli przedsiębiorca współpracuje z kontrahentami w ramach B2B, może się okazać, że konieczne jest przygotowanie dodatkowych umów regulujących przetwarzanie danych osobowych między stronami. Na tym nie koniec. W firmach może dochodzić również do powierzenia przetwarzania danych osobowych innym podmiotom, np. księgowości zewnętrznej. Wówczas przedsiębiorca musi pamiętać o zawarciu dodatkowej umowy regulującej udostępnienie informacji – informuje dr Magdalena Celeban, właścicielka firmy ODO Szkolenia.
Dodaje, że przedsiębiorcy nie powinni zapominać o monitoringu w zakładzie pracy. Jeśli takowy znajduje się w firmie, jej właściciel musi przygotować regulamin oraz poinformować nie tylko podwładnych, ale również klientów i kontrahentów o rejestracji obrazu z kamer.
- Proces wdrażania RODO obejmuje również stronę internetową oraz profile społecznościowe, które ostatnio nabierają znaczenia w dobie tak wielu regulacji prawnych, zarówno unijnych, jak i krajowych – zwraca uwagę dr Magdalena Celeban.
Po wdrożeniu wszystkich procedur i podstawowej dokumentacji przedsiębiorca może przystąpić do ostatniego etapu, jakim jest opracowanie polityki prywatności oraz zarządzania systemem informatycznym. Jak podkreśla Jagoda Knopp, w dokumentach tych powinny zostać zamieszczone procedury dotyczące przetwarzania danych osobowych. Są one ważne, ponieważ zawierają wyjaśnienie, co jest naruszeniem i jakie kroki należy podjąć w przypadku jego wystąpienia.
Właściciele firm powinni zdawać sobie sprawę, że RODO narzuca na niektóre z nich obowiązek zatrudnienia inspektora ochrony danych (IOD). Obejmuje on przedsiębiorstwa, których główna działalność, prowadzona na dużą skalę, polega na operacjach przetwarzania wymagających - ze względu na swój charakter, zakres lub cele - regularnego i systematycznego monitorowania osób, których dotyczą dane. Na kim jeszcze ciąży obowiązek posiadania IOD? Spoczywa on również na firmach, których podstawowa działalność opiera się na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o jakich mowa w art. 9 ust. 1 RODO oraz informacji dotyczących wyroków skazujących i czynów zabronionych (wskazuje je art. 10 rozporządzenia).