Rozporządzenie o ochronie danych osobowych obowiązuje od maja 2018 roku, a mimo to wiele małych i średnich firm nadal traktuje je jak zagadkę. Tymczasem RODO w firmie dla właścicieli działalności gospodarczej nie musi oznaczać stosów dokumentów i paraliżu decyzyjnego. Wystarczy zrozumieć kilka mechanizmów i wdrożyć je w logicznej kolejności.
—
Podstawy ochrony danych, które musi znać każdy przedsiębiorca
Zanim przejdziemy do konkretnych działań, warto ustalić, czym w praktyce jest przetwarzanie danych osobowych. Dane osobowe to każda informacja, która pozwala zidentyfikować konkretną osobę fizyczną — imię i nazwisko, adres e-mail, numer telefonu, adres IP, a nawet pseudonim, jeśli można go powiązać z konkretnym człowiekiem. Firma przetwarza dane już w momencie, gdy zbiera CV od kandydatów, wysyła fakturę do klienta lub prowadzi listę adresów do mailingu.
RODO wprowadza siedem zasad, które powinny wyznaczać sposób postępowania z danymi w każdej organizacji. Trzy z nich mają największe znaczenie praktyczne dla małych firm:
- Zasada minimalizacji — zbieramy tylko takie dane, które naprawdę są potrzebne do konkretnego celu. Jeśli sklep internetowy potrzebuje adresu dostawy, nie ma powodu pytać o datę urodzenia.
- Zasada ograniczenia celu — dane zebrane do realizacji zamówienia nie mogą być automatycznie wykorzystane do celów marketingowych bez osobnej podstawy prawnej.
- Zasada rozliczalności — firma musi być w stanie wykazać, że przestrzega przepisów. Sam fakt przestrzegania nie wystarczy; potrzebna jest dokumentacja potwierdzająca ten stan.
Rozliczalność to element, który odróżnia RODO od wcześniejszych przepisów. Urząd Ochrony Danych Osobowych (UODO) może w każdej chwili poprosić o dowód zgodności — dlatego prowadzenie rejestru czynności przetwarzania jest tak istotne nawet dla jednoosobowej działalności zatrudniającej pracowników lub obsługującej klientów na większą skalę.
—
Procedura ochrony danych krok po kroku — od audytu do wdrożenia
Wdrożenie RODO w firmie najlepiej zacząć od inwentaryzacji, czyli ustalenia, jakie dane przetwarzamy, w jakim celu i gdzie są przechowywane. Brzmi banalnie, ale w praktyce wiele firm odkrywa podczas audytu, że dane klientów leżą jednocześnie w arkuszu kalkulacyjnym na dysku lokalnym, skrzynce e-mail, systemie CRM i zeszycie przy kasie. Każde z tych miejsc wymaga odrębnej oceny.
Procedura wdrożenia w uproszczeniu obejmuje cztery etapy:
Etap 1 to wspomniany audyt danych — mapowanie przepływu informacji w firmie. Etap 2 to przygotowanie dokumentacji, czyli rejestru czynności przetwarzania, polityki prywatności i ewentualnie oceny skutków dla ochrony danych (DPIA) dla operacji wysokiego ryzyka. Etap 3 to szkolenie pracowników — i tu popełniany jest najczęstszy błąd, bo wiele firm traktuje to jako jednorazowy formularz do podpisania, a nie realny proces edukacyjny. Etap 4 to bieżące utrzymanie zgodności, w tym reagowanie na żądania osób, których dane dotyczą.
Rejestr czynności przetwarzania — co musi zawierać
Rejestr to wewnętrzny dokument, w którym opisujemy każdą operację na danych osobowych. Zgodnie z art. 30 RODO, dla każdej czynności przetwarzania należy wskazać cel, kategorię danych, kategorię osób, których dane dotyczą, odbiorców danych oraz planowany termin usunięcia.
Mała firma obsługująca klientów indywidualnych może mieć w rejestrze kilkanaście pozycji: obsługa zapytań handlowych, realizacja zamówień, prowadzenie rozliczeń, rekrutacja pracowników, marketing e-mailowy. Każda z tych czynności ma inną podstawę prawną i inny okres retencji danych. Rachunki i faktury przechowujemy przez 5 lat ze względów podatkowych, CV kandydatów, którzy nie zostali zatrudnieni, najczęściej przez 3 miesiące lub do odwołania zgody.
Kiedy firma musi wyznać inspektora ochrony danych
Inspektor Ochrony Danych (IOD) jest obowiązkowy w trzech przypadkach: gdy firma jest organem lub podmiotem publicznym, gdy jej podstawowa działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę, oraz gdy przetwarza na dużą skalę dane szczególnych kategorii (m.in. dane zdrowotne, biometryczne, o przekonaniach religijnych).
Sklep internetowy z tysiącem klientów nie musi wyznaczać IOD. Prywatna klinika medyczna — tak. Firma prowadząca profilowanie użytkowników na potrzeby reklamy behawioralnej — prawdopodobnie też. Wyznaczenie IOD dobrowolnie jest jednak zawsze możliwe i często sensowne, gdy firma nie ma wewnętrznych kompetencji do samodzielnego prowadzenia compliance.
—
Umowa powierzenia przetwarzania danych — kiedy jest niezbędna
Umowa powierzenia to dokument, który wiele firm pomija lub traktuje jako formalność. Tymczasem jej brak może stanowić podstawę do nałożenia kary administracyjnej. Kiedy jest wymagana? Zawsze, gdy przekazujemy dane osobowe podmiotowi zewnętrznemu, który przetwarza je w naszym imieniu i na nasze polecenie.
Klasyczne przykłady to biuro rachunkowe obsługujące naszą firmę, firma hostingowa przechowująca dane klientów, system CRM w chmurze, agencja marketingowa wysyłająca kampanie e-mailowe w naszym imieniu czy firma kurierska odbierająca dane adresowe do dostawy. W każdym z tych przypadków my pozostajemy administratorem danych, a zewnętrzny podmiot staje się procesorem — i właśnie tę relację reguluje umowa powierzenia.
Co musi zawierać taka umowa? Przepisy RODO wskazują konkretne elementy: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Procesor nie może przetwarzać danych w celach własnych ani zlecać ich przetwarzania kolejnym podmiotom bez naszej zgody.
Warto zwrócić uwagę na popularną pułapkę: jeśli wysyłamy kampanię przez zewnętrzną platformę mailingową, a ta platforma analizuje dane w celach własnych (np. udoskonalania swoich algorytmów), przestaje być wyłącznie procesorem i staje się współadministratorem. To zmienia zakres naszej odpowiedzialności i wymagania dokumentacyjne. Dlatego przed podpisaniem umowy z dostawcą usług cyfrowych warto dokładnie przeczytać jego regulamin i politykę prywatności.
—
Prawa osób, których dane dotyczą — jak firma powinna na nie odpowiadać
RODO przyznaje osobom fizycznym szeroki katalog uprawnień wobec administratora danych. Znajomość tych praw jest niezbędna nie tylko ze względów formalnych — brak procedury obsługi żądań może oznaczać konkretne naruszenie przepisów.
Osoba, której dane przetwarza firma, może żądać dostępu do swoich danych i uzyskania ich kopii, sprostowania nieprawidłowych danych, usunięcia danych (tzw. prawo do bycia zapomnianym), ograniczenia przetwarzania, przeniesienia danych do innego administratora, a także wniesienia sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu administratora.
Na odpowiedź mamy co do zasady 30 dni. Termin można przedłużyć o kolejne dwa miesiące, gdy żądanie jest skomplikowane lub dotyczymy do dużej liczby żądań jednocześnie — ale o przedłużeniu musimy poinformować wnioskodawcę w ciągu pierwszych 30 dni.
Jak obsłużyć żądanie usunięcia danych
Prawo do bycia zapomnianym brzmi absolutnie, ale w praktyce ma wyjątki. Nie możemy usunąć danych, jeśli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego (np. przechowywania dokumentów księgowych), ustalenia, dochodzenia lub obrony roszczeń, albo do realizacji zadań w interesie publicznym.
Jeśli klient prosi nas o usunięcie jego danych z bazy marketingowej, powinniśmy to zrobić niezwłocznie — o ile nie istnieje inna podstawa prawna przetwarzania. Jeśli ten sam klient ma u nas niezamkniętą umowę lub nieuregulowaną fakturę, możemy zachować dane niezbędne do jej rozliczenia, ale już nie do celów marketingowych.
Procedura obsługi żądania powinna być opisana wewnętrznie. Pracownicy muszą wiedzieć, do kogo kierować takie żądania, jak weryfikować tożsamość wnioskodawcy i jak dokumentować wykonanie żądania lub odmowę wraz z uzasadnieniem. Brak tej procedury to jeden z najczęstszych powodów wszczęcia postępowania przez UODO.
—
Naruszenie ochrony danych — co robić, gdy coś pójdzie nie tak
Naruszenie ochrony danych osobowych to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych. Przykłady z życia codziennego: wysłanie e-maila z danymi klientów do przypadkowego odbiorcy, kradzież laptopa z niezaszyfrowanym dyskiem, włamanie do systemu CRM, a nawet zgubienie teczki z dokumentami.
Nie każde naruszenie wymaga zgłoszenia do UODO. Obowiązek zgłoszenia pojawia się wówczas, gdy naruszenie może powodować ryzyko dla praw i wolności osób fizycznych. Jeśli skradziony laptop był zaszyfrowany i dostęp do danych jest niemożliwy, ryzyko jest zerowe — zgłoszenie nie jest konieczne. Jeśli jednak na dysku znajdowały się niezaszyfrowane dane klientów, ryzyko istnieje i mamy 72 godziny na zgłoszenie incydentu do UODO.
W szczególnych przypadkach, gdy naruszenie może powodować wysokie ryzyko dla konkretnych osób (np. wyciek danych logowania lub informacji finansowych), musimy również bezpośrednio poinformować te osoby bez zbędnej zwłoki.
Dlatego każda firma powinna mieć przygotowaną procedurę reagowania na incydenty. Jej minimalny zakres obejmuje sposób identyfikacji i rejestrowania naruszeń, ścieżkę eskalacji wewnętrznej, wzór zgłoszenia do UODO i zasady informowania osób poszkodowanych. Brak takiej procedury nie tylko naraża na karę, ale przede wszystkim wydłuża czas reakcji i pogłębia potencjalne straty.
Praktyczną wskazówką jest prowadzenie wewnętrznego rejestru naruszeń nawet wtedy, gdy dane naruszenie nie wymaga zgłoszenia do organu. Rejestr ten stanowi dowód rozliczalności i może być bardzo pomocny w przypadku ewentualnej kontroli UODO lub sporu z osobą, której dane dotyczą. Wdrożenie RODO w firmie to nie jednorazowy projekt, lecz ciągły proces — a dobrze prowadzona dokumentacja jest jego najtrwalszym fundamentem.
Zespół redakcyjny serwisu Forumbalkany.pl, tworzący treści z zakresu finansów, prawa oraz zarządzania budżetem domowym. Autor zbiorowy skupiający twórców i współpracowników portalu, którzy opracowują artykuły poradnikowe i analizy pomagające lepiej zrozumieć codzienne decyzje finansowe.