Jak przygotować firmę do RODO - najważniejsze informacje

Z dniem 25 maja w życie wchodzi w życie tzw. RODO spotykane też pod nazwą GDPR czyli Rozporządzenie Unijne w zakresie ochrony danych osobowych obowiązkowe dla wszystkich przedsiębiorców. Celem RODO jest ochrona danych osobowych osób fizycznych.

Czym są dane osobowe i jakie mamy ich przykłady w firmie?

Danymi osobowymi są wszelkie dane, które wskazują na konkretną osobę czyli dające możliwość zidentyfikowania osobę fizyczną. W praktyce będzie to np. imię i nazwisko, PESEL, numer IP, adres e-mail jeżeli wskazuje nazwisko i imię wraz z domeną firmy, w której osoba jest zatrudniona.

Zidentyfikować zbiory danych i czynności przetwarzania

Zbiory danych osobowych

Identyfikacja zbiorów danych to nic innego jak zastanowienie się nad tym gdzie w naszej firmie mamy dane osobowe. Zwykle jest to: katalog kontrahentów (system księgowy, CRM), dokumenty księgowe i umowy (system księgowy, segregatory), osoby kontaktowe (telefon, komputer, CRM), pracownicy lub osoby współpracujące na umowy cywilnoprawne (system kadrowy, teczki osobowe), lista mailingowa osób zapisanych do newslettera (platforma sklepu internetowego).

Mimo że RODO nie mówi wprost o wyznaczeniu rejestru zbiorów danych ich zidentyfikowanie pozwoli na określenie na jakiej podstawie dane przetwarzamy (tzw. przesłanka legalności), kto powinien mieć do niego dostęp a kto nie, tego jak naprawdę przetwarzamy dane czyli co z nimi robimy, do jakich czynności je wykorzystujemy, a następnie jakie wiąże się z tym ryzyko wycieku danych, utraty, ich błędnego wykorzystania.

rodo

Ocena legalności danych osobowych

Dane osobowe osób fizycznych można przetwarzać jedynie pod warunkiem, że ten kto dane przetwarza (administrator lub podmiot przetwarzający) ma do tego podstawę, a najczęstszą podstawą są:

  • przepisy prawa np. dane kontrahenta - prawo podatkowe (przepisy ustawy o VAT, rozporządzenie w sprawie kpir) np. wystawienie faktury z użyciem danych; dane pracownika - kodeks pracy, ustawy ubezpieczeniowe np. prowadzenie akt osobowych, ustawa o ZFŚS np. dane o zarobkach małżonka dla celów przyznania dofinansowania z funduszu - w tym przypadku zgoda osoby nie jest potrzebna;

  • umowa z osobą, której dane dotyczą - np. firma świadcząca usługi remontowe posiada imię i nazwisko oraz adres zamieszkania osoby zlecające z uwagi, że jest to miejsce wykonania umowy (malowanie ścian mieszkania) - w tym przypadku zgoda osoby nie jest potrzebna;

  • zgoda osoby, której dane dotyczą - np. wykorzystanie adresu e-mail do celów przesyłania newslettera na podstawie zgody osoby, której adres dotyczy na przesyłanie informacji marketingowych - dotyczy sytuacji w których nie ma podstaw prawnych ani umowy, która dla celów realizacji wymagałaby posiadania określonych danych osobowych.

Jeżeli przedsiębiorca działa z przepisu prawa czyli dla celów wypełnienia obowiązków np. związanych z fakturowaniem, prowadzeniem ewidencji księgowych, nie musi mieć odrębnej zgody osoby, której dane dotyczą!

Upoważnienie do przetwarzania danych w wfirma.pl

Osoby działające w firmie wykonują różne czynności. Nie wszystkie wymagają dostępu do danych osobowych. Stąd mimo iż RODO nie nakazuje wprost należy kontrolować kto w firmie ma jakie prawa dostępu do danych poprzez wydawanie upoważnień.

Zobacz jak sporządzić upoważnienie do przetwarzania danych osobowych w systemie.

Rejestr czynności przetwarzania w wfirma.pl

Obowiązek dotyczy firm zatrudniających powyżej 250 osób oraz tych zatrudniających mniej osób ale przetwarzających dane na dużą skalę. Żeby zapanować i być świadomym wszystkich procesów (czynności) w firmie, które związane są z przetwarzaniem danych osobowych konieczne jest prowadzenie przez firmę rejestru czynności przetwarzania.

Kalendarz szkoleń pracowników w wfirma.pl

RODO nakazuje prowadzić szkolenia dla pracowników. Mogą być to szkolenia wewnętrzne np. e-lerningowe. Nie mówi o tym jak często, jednak przyjęło się, że minimum to szkolenie prowadzone przy zatrudnianiu pracownika i odnawiane co 2 lata.

Zobacz jak zaplanować kalendarz szkoleń pracowników w wfirma.pl w zakładce KADRY  » KALENDARZ.

Wypełnienie obowiązków wobec osób, których dane w firmie są przetwarzane

Przepisy dotyczące ochrony danych osobowych dają osobom fizycznym pewne prawa:

  • prawo do bycia poinformowanym o operacjach przetwarzania

  • prawo dostępu

  • prawo do sprostowania/uzupełnienia danych

  • prawo do usunięcia danych (prawo do bycia zapomnianym)

  • prawo do ograniczenia przetwarzania

  • prawo do przenoszenia danych

  • prawo do sprzeciwu

  • prawo do tego, by nie podlegać profilowaniu.

Nie wszystkie jednak prawa zawsze danej osobie przysługują.

Zobacz jak w wfirma.pl realizować prawa osób fizycznych, których dane dotyczą!.

Zapewnienie bezpieczeństwa wg RODO

Nowe przepisy wymieniają katalog przykładowych 4 czynności jakie mogą prowadzić do zachowania bezpieczeństwa danych osobowych:

a) pseudonimizacja i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c)  zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d)  regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Nie wszystkie czynności trzeba stosować. RODO podaje przykłady ale ostateczne środki ochrony bezpieczeństwa określa administrator. Zobacz: Środki ochrony danych w małej firmie oraz zapewnienie bezpieczeństwa ochrony danych osobowych.

Procedura naruszenia

Jeżeli w firmie nastąpi naruszenie czyli inaczej mówiąc incydent przedsiębiorca ma 72 godziny na zgłoszenie naruszenia do Urzędu Ochrony Danych Osobowych - UODO (dawniej GIODO). Przy kwalifikacji naruszenia ocenia się skutki jakie dane naruszenie może nieść dla osoby/osób fizycznych godząc w jej/ich wolność osobistą.

Powołanie Inspektora Ochrony Danych Osobowych tzw. IODO

Obowiązek powołania IODO nie jest obligatoryjny czyli ostatecznie każda firma sama decyduje czy powołuje Inspektora czy nie. W praktyce IODO powinien być powołany na pewno w firmie, której działalność wiąże się z bardzo dużą ilością przetwarzanych danych osobowych (tzw. duża skala, której definicji i zakresu jednak wprost nie określono), a już w szczególności gdy dotyczy to danych wrażliwych np. szpitale.

Kary za naruszenia w ochronie danych osobowych

Maksymalne kary za naruszenia są wysokie bowiem wynoszą do 20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa w zależności co jest wyższe.