Jak wdrożyć RODO w małej firmie? | PODCAST 23

Jak wdrożyć RODO w małej firmie? | PODCAST 23

Choć temat RODO uderzył z całą mocą na początku 2018 roku i dziś kurz oraz panika nieco opadły, to patrząc na aktywność związaną z wyszukiwanymi tematami w Google, RODO dalej budzi wiele pytań i wątpliwości. Choć temat nie jest już tak bardzo popularny jak kiedyś, RODO jest wiecznie żywe i dalej powinno być przestrzegane we wszystkich firmach – dużych i małych. Jednakże, jak to zrobić? O tym postaramy się opowiedzieć w dzisiejszym podcaście. Odpowiemy na najważniejsze pytania związane z ochroną danych osobowych i rozwiejemy najpopularniejsze wątpliwości. A wszystko to w kontekście wdrożenia RODO w mikro, małych i średnich firmach.

RODO w małej firmie – przesłuchaj podcast:

Kim jest mój czcigodny rozmówca?

Jerzy Stanisław Josse, to mój przyjaciel, z którym znamy się przeszło 18 lat. Graliśmy razem w kapeli, jeździliśmy na koncerty, spędzaliśmy radośnie czas w sposób w jaki się to robiło w czasach ogólniakowo – studenckich.

Obecnie Jerzy jest radcą prawnym w kancelarii radców prawnych Temida w Tychach, którą współprowadzi wraz z ojcem Jerzym Seniorem. Jerzy obsługuje firmy i klientów indywidualnych. Specjalizuje się w we wdrażaniu RODO w firmach – co jest olbrzymią zaletą jeżeli chodzi o ten konkretny podcast.

Olbrzymim zaszczytem jest dla mnie fakt, że oprócz Michała Staniecko (przesłuchaj podcast z Michałem – jak to jest założyć firmę po 8 latach pracy na etacie) jest autorem poradników na naszym blogu (znajdziesz je w zakładce Prawo). Tworzy kompleksowe porady krok po kroku wraz z gotowymi wzorami dokumentów do pobrania.

Geneza RODO podcastu – dlaczego go nagraliśmy? 

Przystępując do rozmowy o RODO mieliśmy dwa cele.

Po pierwsze podcast nagraliśmy, by odpowiedzieć na najczęściej pojawiające się pytania dotyczące RODO. Powstały one w oparciu o hasła najchętniej wpisywane w wyszukiwarkę Google. Dzięki temu wiem, że temat jest dalej żywy i chętnie sprawdzany. I dalej pojawiają się doń pytania i wątpliwości.

Po drugie kiedy RODO było wprowadzane, było jedną wielką niewiadomą. Media dość skutecznie podsycały nerwową atmosferę, przedsiębiorcy jak szaleni kupowali kursy, pancerne sejfy, specjalne teczki na dokumenty. Wszyscy drżeli przed niepewną perspektywą kar jakie miały się pojawić. Internet przelewał się od najróżniejszych, często sprzecznych ze sobą informacji i poradników.

Dwa tygodnie przed ostateczną datą wdrożenia wszyscy zaczęli wysyłać e-mailowo informacje o aktualizacji polityki prywatności, które także były zredagowane w najróżniejszy sposób. Trudno się było w tym wszystkim odnaleźć. Panował duży chaos informacyjny.

W końcu temat RODO ucichł. Część firm wdrożyła odpowiednie zasady. Część wdrożenie RODO zakończyła tylko częściowo. Reszta, nauczona doświadczeniem prowadzenia biznesu w Polsce i tysiącami przepisów oraz obostrzeń, których nikt nie jest w stanie przestrzegać, temat odłożyła do magicznej szuflady „na później”.

I tak naprawdę nigdy do niego nie wróci, chyba, że pojawi się jakaś głośna, medialna sprawa wycieku danych i potężna kara finansowa.

Zdecydowaliśmy się „ugryźć” temat RODO z perspektywy prawie dwóch lat od wprowadzenia ustawy. Z takiego dystansu łatwiej ocenić co i jak działa, pojawia się też więcej praktycznych przykładów, orzecznictwa i (niestety) wycieków danych oraz kar.

W dalszej części artykułu znajdziesz spisane streszczenie odcinka (najczęściej zadawane pytania w kontekście RODO zredagowane w o hasła z wyszukiwarki Google), klikalny spis treści, nagranie w formie mp3 do pobrania na dysk, linki do stron z podcastami, na których publikuję wszystkie odcinki i nagranie wraz z prezentacją na YouTube.  Jeżeli masz jakiekolwiek pytania dotyczące RODO, a nie zostały poruszone w tym podcaście – pisz w komentarzu, Jerzy na pewno odpowie!

Spis Treści
Zwiń
Rozwiń

Jakie tematy poruszyliśmy w podcaście?

Planując rozmowę chciałem, by Jurek streścił krótko wszystkie najważniejsze aspekty procedury wdrożenia i przestrzegania zasad RODO w małym biznesie. Mam nadzieję, że udało nam się poruszyć wszystkie najważniejsze problemy i udzielić odpowiedzi na najbardziej palące pytania, a w szczególności:

  • Co to jest RODO?
  • Gdzie (w jakich aktach prawnych, ustawach) szukać informacji o RODO?
  • Czy istnieje sztywna lista wytycznych – instrukcja krok po kroku jak wdrożyć RODO w firmie? 
  • Od czego zacząć wdrożenie RODO w małej, lokalnej firmie? 
  • Od czego zacząć wdrożenie RODO w biznesie prowadzonym przez internet (przez freelancera)? 
  • Jak długo przechowywać i jak zabezpieczyć dane? 
  • Kiedy niszczyć dokumenty? 
  • Czym grozi niewprowadzenie RODO? 
  • Kto i kiedy przeprowadza kontrolę? 
  • Jak wyglądają kary za RODO? 
  • Jaka jest różnica między inspektorem, a administratorem danych? 

Co to jest RODO?

RODO to nowoczesny akt prawny. Przez zwrot RODO należy rozumieć Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Rozporządzenie zostało uchwalone w dniu 27 kwietnia 2016 r., jednakże zaczęło formalnie obowiązywać w dniu 25 maja 2018 r.

Najważniejsze akty prawne, na jakich opiera się RODO

  1. Polski ustawodawca uchwalił w dniu 10 maja 2018 r. nową ustawę o ochronie danych osobowych (Dz.U.2018.1000) która jest uzupełnieniem i doprecyzowaniem przepisów RODO. Ustawa zawiera przepisy dotyczące m.in.: kompetencji Prezesa Urzędu Ochrony Danych Osobowych, który wejdzie w miejsce obecnego Generalnego Inspektora Danych Osobowych; sposób i zasady prowadzenia postępowania kontrolnego; warunki certyfikacji i zatwierdzania kodeksów postępowania.
  2. Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.2019.730) – tzw. ustawa branżowa
  3. Poprzednio obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wraz ze swoim rozporządzeniem wykonawczym Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Czy istnieje jedna ustawa i instrukcja krok po kroku, jak wdrożyć RODO w małej firmie?

Nie ma takiej instrukcji. Nie ma również ustawy która mówi krok po kroku jak wprowadzić RODO w firmie. Należy pamiętać o tym, że RODO znajduje się „wszędzie”, w każdym akcie prawnym.

Nie ma sztywnej listy wytycznych bo to otwarty akt. Samemu trzeba ustalić zasady zabezpieczania danych.

To, które zasady będą miały zastosowanie, zależy od rodzaju i specyfiki prowadzonego biznesu.

Co więcej nie istnieje jeden, konkretny wzór jak zrealizować poszczególne etapy i zasady związane z RODO. Głównymi wyznacznikami są tutaj: bezpieczeństwo danych i zdrowy rozsądek właściciela firmy.

Są natomiast ogólne zasady których należy przestrzegać. Możemy wskazać na kilkanaście wymogów, które należy spełnić i je opiszemy niżej.

Najważniejsze zasady i obowiązki związane z wprowadzeniem RODO:

Mimo braków jasnych i precyzyjnych zasad działania, ustawodawca pozostawił szereg wytycznych, o których trzeba pamiętać, wdrażając RODO w firmie.

Obowiązki formalne związane z RODO:

Najważniejsze punkty ustawy RODO związane z obowiązkami formalnymi, o jakich musi pamiętać właściciel firmy:

1. Obowiązek informacyjny – art. 13 i 14 RODO

Informujemy osoby o tym że przetwarzamy dane i jak to robimy i kto jest ich właścicielem

2. Obowiązki związane z realizacją praw osoby – art. 15 do 22 RODO

Musimy potrafić zrealizować żądania danej osoby np.: wydanie kopii danych które przetwarzamy, prawo do bycia zapomnianym, informacje w jaki sposób weszliśmy w posiadanie danych, do czego te dane są nam potrzebne, kto ma do nich dostęp.

3. Obowiązek wdrożenia i prowadzenia rejestru czynności przetwarzania danych osobowych – art. 30 RODO.

To obowiązek dla firmy, zatrudniających minimum jednego pracownika.  Jest to mapa, która pokazuje co się dzieje z danymi które do nas trafiają.

  • Czyje dane posiadamy?
  • Czy są to dane zwykłe czy szczegółowe?
  • Kto ma do nich dostęp?
  • Czy je gdzieś wysyłamy?
  • Jak je zabezpieczamy?

4. Upoważnienia dla osób przetwarzających dane – art. 29 RODO

Upoważnienia dla pracowników, którzy mają dostęp do danych. Upoważnienie takie nie musi być wydrukowane i podpisane, natomiast musi być zaznaczone kiedy nadaliśmy i cofnęliśmy dane upoważnienie. Na przykład: sekretarka musi być upoważniona do przetwarzania dokumentów.

5. Wdrożenie odpowiednich środków bezpieczeństwa, aktualizowanie oceny ich skuteczności – art. 23 RODO/art. 32 RODO

Należy dokonać prostego testu skuteczności środków bezpieczeństwa w firmie. Powinna mieć postać spisaną, można ją stworzyć w formie przeprowadzenia rozmowy samemu ze sobą.

1 sposób:

Ocena może mieć postać matematyczną: Prawdopodobieństwo zdarzenia / skutki tego zdarzenia = wynik, który daje nam ocenę ryzyka przetwarzania danych osobowych.

2 sposób

Może mieć charakter procesu myślowego:

Np. Tychy : data

Ocena przetwarzania ryzyka dania danych:

  1. Jak wysokie jest ryzyko pożaru?
    Odp: Niskie.
  2. Co by się stało gdyby w firmie wybuchł pożar?
    Odp: Utraciłbym dane pracowników oraz umowy o pracę.
  3. Czy coś się już takiego stało?
    Odp: Nigdy.

Należy dokonać prostego testu skuteczności wdrożenia środków bezpieczeństwa.

6. Zawarcie umów powierzenia przetwarzania z podmiotami przetwarzającymi w naszymi imieniu dane osobowe – art. 28 RODO

Jeżeli jakiś podmiot w naszym imieniu przetwarza dane osobowe – należy z nim mieć przygotowaną i podpisaną umowę.

7. Obowiązek zgłaszania naruszeń i prowadzenia rejestru – art. 33 RODO

Obowiązek zgłoszenia dużych wycieków danych (wysokiego ryzyka). Więcej o tym niżej.

8. Sformalizowana ocena skutków przetwarzania dla ochrony danych osobowych – art. 35 RODO

Opracowanie co się dzieje z danymi w firmie – kto ma do nich dostęp, gdzie są wysyłane, czy grozi im ryzyko wycieku, jak je zniwelować.

9. Wyznaczenie inspektora danych osobowych, jeśli jest taki obowiązek – art. 37 RODO.

To osoba kompetentna w zakresie RODO, która powinna wiedzieć co robić z danymi w firmie. Inspektor jest odpowiedzialny za pomoc we wdrożeniu RODO w firmie i ich nadzorowanie. To również ciało opiniotwórcze. Inspektor odpowiada za pośrednictwo między firmą, a Urzędem Ochrony Danych Osobowych. Inspektor jest powoływany przez administratora danych osobowych (administrator to np. właściciel firmy).

Uwaga! Pamiętaj, że część obowiązków dotyczy tylko firm, które zatrudniają minimum jednego pracownika na umowie o pracę!

RODO - wdrożenie w firmie - podstawowe obowiązki.
Wdrożenie Rodo w małej firmie – obowiązki formalne

Inne obowiązki formalne:

Mogą to być obowiązki wynikające z innych ustaw i aktów prawnych, na przykład obowiązek zawiadamiania pracowników o monitoringu – Kodeks pracy – art. 221, 222, 94 pkt 9a,b k.p.

Zasady ochrony danych związane z RODO

Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:

1. W oparciu o podstawę prawną i zgodnie z prawem (legalizm);

Przetwarzanie musi być legalne. Przetwarzamy dane w oparciu o przepisy obowiązującego prawa. Oprócz ustawy o RODO, powinniśmy sprawdzić odpowiednie akty prawne związane z zakresem działań:

  • Jeśli przetwarzamy dane pracownika – podstawy prawne w kodeks pracy
  • Jeśli przetwarzamy dane kontrahenta – podstawy prawne w kodeks cywilny

2. Rzetelnie i uczciwie (rzetelność);

Dane muszą być przetwarzane według jasnych i zrozumiałych zasad, związanych z prowadzeniem biznesu.

3. W sposób przejrzysty dla osoby, której dane dotyczą (transparentność);

Osoba, której dane przetwarzamy musi mieć w każdym momencie do nich pełen wgląd i być informowana o pełnym zakresie ich wykorzystania.

4. W konkretnych celach i nie „na zapas” (minimalizacja);

Dane muszą być przetwarzane tylko w precyzyjnych, konkretnie wskazanych celach. Jeżeli pobieramy dane klienta w celu wysłania newslettera i informowania go o tym co się dzieje w firmie, to nie możemy tych danych wykorzystać, by utworzyć mu konto w sklepie internetowym (jeżeli nie został o tym poinformowany).

5. Nie więcej niż potrzeba (adekwatność);

Zbieramy tylko takie dane które są nam konkretnie potrzebne. Przykładowo: gdy chcemy nawiązać kontakt z klientem to poza imieniem i adresem e-mail nie potrzebujemy danych typu: płeć, preferencja seksualna, preferencja polityczna, imiona rodziców

6. Z dbałością o prawidłowość danych (prawidłowość);

Wszystkie dane muszą być poprawne i zgodne z rzeczywistością. Nie wolno wpisywać fałszywych danych. Przykładowo: jeżeli zatrudnimy pracownika i wprowadzimy zły PESEL, to taka osoba może w przyszłości nie otrzymać emerytury, bo ZUS to podważy. Dotyczy to również tego, czy dane na fakturach są poprawnie wpisane.

7. Nie dłużej niż potrzeba (czasowość);

Dane przetwarzamy tak długo, jak są niezbędne do realizacji usługi lub jakie obowiązki nakłada na nas prawo (na przykład konieczność przechowywania faktur do 6 lat). Gdy przestaniemy z nich korzystać lub cel zostanie spełniony – powinniśmy je usunąć z naszej bazy danych.

8. Zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

Musimy zrobić wszystko, by dane dane były zabezpieczone przed wyciekiem lub kradzieżą, tak by nie miały do nich dostępu osoby trzecie.

Kiedy dane przetwarzane w związku z RODO są zgodne z prawem?

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  1. Osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów
  2. Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  3. Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  4. Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  6. Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Jak wprowadzić RODO w małej, lokalnej firmie?

Kiedy mówimy o małych, lokalnych firmach (zatrudniających kilku pracowników) w kontekście RODO, to przede wszystkim należy przestrzegać przywołanych wyżej obowiązków formalnych, zasad ochrony związanych z RODO i pamiętać, kiedy dane przetwarzane w związku z RODO są zgodne z prawem.

Ponadto, właściciel firmy powinien szczególną uwagę zwrócić na:

1. Rozpocząć całość od audytu

Zanim zaczniemy działać z RODO w firmie, należy przeprowadzić audyt: sprawdzić umowy, dostępy pracowników, kto, do czego ma wgląd, jakie dane przetwarzamy, w jakim celu, czy należycie poinformowaliśmy klientów o naszych działaniach. Należy też przejrzeć fizyczne zabezpieczenia dokumentów (szafki, kluczyki).

2. Rejestry czynności przetwarzania danych

Musimy spisać wszystkie formy danych jakie posiadamy i przetwarzamy; tak klientów, jak i pracowników i kontrahentów. Następnie należy odpowiedzieć na pytania:

  • Czyje dane posiadamy?
  • Czy są to dane zwykłe czy szczegółowe?
  • Kto ma do nich dostęp?
  • Czy je gdzieś wysyłamy?
  • Jak je zabezpieczamy?

3. Wdrożenie odpowiednich środków bezpieczeństwa

Chodzi o odpowiednie zabezpieczenie dokumentów przed dostępem osób trzecich, kradzieżą i zniszczeniem.

Samo przeprowadzenie audytu nie wystarczy. Należy fizycznie zabezpieczyć dane przed zniszczeniem, wyciekiem, dostępem osób trzecich. Może to być zarówno zabezpieczenie w pomieszczeniu dokumentów (zamykana szafka, dodatkowy zamek, wymiana drzwi) jak i tych przechowywanych w pamięci komputera.

4. Wyznaczenie inspektora danych osobowych.

W małych firmach, w których nie przetwarza się danych na masową skalę nie ma potrzeby ustanawiania inspektora. Może się jednak zdarzyć sytuacja, w której pomimo tego, że prowadzimy niewielką firmę będziemy zmuszeni inspektora powołać np. gdy nasza firma, w której zatrudniamy 5 pracowników zajmuje się wdrażaniem, administrowaniem oraz serwisem systemu informatycznego dużej placówki medycznej. Na ogół jednak obowiązek powołania inspektora nie będzie nas dotyczył, nawet jeśli zgromadziliśmy kilka tysięcy adresów mailowych na potrzeby newslettera. Zaznaczam, że każdy z nas powinien samodzielnie ocenić, czy taki inspektor będzie mu potrzebny. Czym się kierować? przede wszystkim oceną czy przetwarzamy dane szczególne oraz czy przetwarzamy dane osobowe na dużą skalę.

Pamiętajcie, że inspektor nie załatwi za nas problemów ochrony danych – inspektor to konsultant i audytor, a nie superbohater. Ochrona danych to zobowiązanie administratora, które inspektor jedynie pomaga wypełniać.

5. Upoważnienia dla pracowników mających dostęp do danych.

Jeżeli pracownicy otrzymują dostęp do danych związanych z RODO, powinniśmy zadbać i wynotować odpowiednie upoważnienia.

6. Porządek w archiwum

Kluczowe w RODO jest zadbanie o odpowiedni porządek w archiwum. Tak, by dokumenty były właściwie opisane i posegregowane. Sprawdź podcast – jak przechowywać i opisywać dokumenty. 

7. Obowiązki informacyjne.

Wszystkie osoby, których dane przetwarzamy powinny być poinformowane o tym fakcie: jakie dane, po co, w jakim sposób zostały pozyskane oraz jaka jest droga wglądu do nich / usunięcia / zmiany.

Uwaga! Powyższa lista jest jedynie ogólnym przykładem. Szczegółowe zalecenia dotyczące RODO będą zależeć od wielu czynników: rodzaju biznesu, rodzaju u ilości umów, pracowników i zakresu ich obowiązków

Jak wprowadzić RODO u freelancera?

Podobnie jak w przypadku małej, lokalnej firmy, należy przede wszystkim zwrócić uwagę na przywołane wyżej obowiązków formalnych, zasad ochrony związanych z RODO i pamiętać, kiedy dane przetwarzane w związku z RODO są zgodne z prawem.

Ponadto freelancer zwrócić szczególną uwagę na:

1. Umowy przetwarzania danych

Zwłaszcza jeżeli korzysta z zewnętrznych systemów do wysyłki maili, reklam lub przesyła dane klientów do biura rachunkowego.

2. Rejestr czynności przetwarzania danych

Musimy spisać wszystkie formy danych jakie posiadamy i przetwarzamy; tak klientów, jak i pracowników i kontrahentów. Następnie należy odpowiedzieć na pytania:

  • Czyje dane posiadamy?
  • Czy są to dane zwykłe czy szczegółowe?
  • Kto ma do nich dostęp?
  • Czy je gdzieś wysyłamy?
  • Jak je zabezpieczamy?

3. Oryginalność oprogramowania i zabezpieczenie sprzętu

Czy korzystamy z najnowszych wersji programów? Czy pochodzą ze sprawdzonego źródła? Czy posiadamy antywirus i zabezpieczenia komputera, które chronią dane przed wyciekiem?

4. Uważać na kradzież / zgubienie sprzętu

Jeżeli dużo pracujemy zdalnie i podróżujemy ze sprzętem – należy pamiętać o tym, że przypadek kradzieży / zgubienia też jest naruszeniem danych.

Uwaga! Powyższa lista jest jedynie ogólnym przykładem. Szczegółowe zalecenia dotyczące RODO będą zależeć od wielu czynników: rodzaju biznesu, rodzaju u ilości umów, pracowników i zakresu ich obowiązków.

Inspektor a administrator danych osobowych

Administratorem danych osobowych będzie najczęściej właściciel firmy, który odpowiada za zbieranie i przechowywanie danych oraz wdrożenie RODO.

Inspektor danych osobowych to osoba kompetentna w zakresie RODO, która powinna wiedzieć co robić z danymi w firmie. Inspektor jest odpowiedzialny za pomoc we wdrożeniu RODO w firmie i ich nadzorowanie. To również ciało opiniotwórcze. Inspektor odpowiada za pośrednictwo między firmą, a Urzędem Ochrony Danych Osobowych. Inspektor jest powoływany przez administratora danych osobowych (administrator to np. właściciel firmy).

Jak długo przechowywać dane, jak je zabezpieczać, kiedy je niszczyć?

Długość przechowywania danych może zależeć od aktów prawnych (na przykład faktury 6 lat) oraz od rzeczywistego czasu, kiedy musimy z nich skorzystać. Innymi słowy – dane przechowujemy tak długo, jak długo są niezbędne do realiacji usługi. Gdy przestaną nam być potrzebne – powinniśmy je zniszczyć lub zanonimizować.

Co to jest anonimizacja danych?

Anonimizacja danych to usunięcie danych, które przetwarzaliśmy, przy jednoczesnym pozostawieniu informacji ważnych dla prowadzenia biznesu (np. usunięcie wszystkich danych nieaktywnego kontrahenta w systemie sprzedażowym z jednoczesnym pozostawieniem liczby i ilości transakcji, które są potrzebne do statystyk lub ustalania celów w firmie).

Czym grozi niewprowadzenie RODO?

Niewprowadzenie RODO może grozić poważnymi konsekwencjami finansowymi:

  1. Odpowiedzialność cywilnoprawna oparta na zasadzie ryzyka – art. 82 RODO
  2.  Kary administracyjne – art. 83 RODO – dwa rodzaje do 10.000.000 EUR lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku / do 20.000.000 EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku

Gdzie i kiedy zgłaszać naruszenia związane z RODO?

Jako właściciele firmy, mamy obowiązek zgłaszania naruszeń danych. Mamy na to 72 godziny. Obowiązek zgłaszania dotyczy tylko naruszenia wysokiego ryzyka.

Sami musimy ocenić to ryzyko, przykładowo: wyciek jednego e-maila nie jest problemem, ale wyciek całej bazy e-mail już tak.

Podobnie: zalanie piwnicy z dokumentami pracowników sprzed 40 lat też należy zgłosić, a wydrukowanie danych osoby przez przypadek na innej drukarce firmowej, niż na własnej, nie musi być zgłaszane, ale powinno być odnotowane w rejestrze.

Poważne naruszenia związane z RODO zgłaszamy do Prezesa Urzędu Ochrony Danych Osobowych. Możemy to zrobić przez interaktywny formularz online.

Ważne! Warto prowadzić rejestr czynności, bo w przypadku kontroli, inspektorzy zobaczą, że ktoś w firmie zna temat RODO i dba o ten element.

Kiedy w małej firmie może się przydarzyć kontrola związana z naruszeniami RODO?

W małych firmach kontrola na 99% pojawi się na skutek donosu. Częściej jednak można się spodziewać wizyty Państwowej Inspekcji Pracy (która też może sprawdzić elementy związane z RODO).

Kontrola inspektorów Urzędu Ochrony Danych Osobowych może się również pojawić jeżeli sami zgłosiliśmy w swojej firmie poważne naruszenie.

Kto kontroluje kwestie naruszeń RODO?

Kwestie naruszeń RODO kontrolują inspektorzy Urzędu Ochrony Danych osobowych.

Czy w przypadku naruszeń przepisów związanych z RODO od razu dostanę wysoką karę?

Kara to zwykle ostateczność. Inspektorzy raczej będą się starali wskazać na naruszenia i przed nałożeniem kar, wezwać do ich usunięcia. Kary, które miały miejsce do tej pory nie wynikały z faktu samego wycieku danych, ale późniejszego postępowania – firmy, nie dochowały należytej staranności w kwestiach związanych ze zgłoszeniem i niwelowaniem wycieków.

Pobierz podcast w mp3:

Pobierz odcinek 23 Podcastu

Gdzie słuchać moich podcastów?

Gdzie znajdziesz więcej materiałów z Sardynek?

Masz pytania dotyczące wdrożenia RODO w małej firmie?

Jak widzicie temat paradoksalnie jest prosty i skomplikowany. Jeżeli masz pytania dotyczące RODO i małej firmy – pisz w komentarzu! Postaramy się odpowiedzieć!

Podobał Ci się ten artykuł?

Zapisz się do newslettera, otrzymuj informacje o nowych artykułach, odbierz dostęp do ponad 60 wzorów dokumentów, szablonów, grafik i Exceli.

Dodaj komentarz

avatar
  Subscribe  
Powiadom o