RODO – najważniejsze rzeczy, na jakie trzeba zwrócić uwagę w małej firmie

author: Jerzy Stanisław Jossé

Za  około dwa miesiące będziemy oblewać drugą rocznicę wejścia w życie przepisów ogólnego rozporządzenia o ochronie danych (zwanego w skrócie RODO – w zasadzie nie wiadomo dlaczego, bo skrót powinien brzmieć OROOD). Przez te dwa lata wokół tego aktu prawnego urosło więcej mitów niż zna mitologia grecka i nic dziwnego, bo czas, który mieliśmy na poznanie tych przepisów został zmarnowany przez naszego krajowego ustawodawcę.
No nic, czas leci, a prawo trzeba stosować. Nowy rok jest dobrą okazją do tego, aby przyjrzeć się ochronie danych osobowych w naszej firmie, po raz pierwszy (oby nie!) lub po raz kolejny. 

Nowy rok, stare RODO – czego dowiesz się z artykułu:

Spis Treści
Zwiń
Rozwiń

Audyt ochrony danych – jak to w ogóle zrobić?

Jeśli temat ochrony danych osobowych nie jest dla Ciebie nowością to proponuję Ci wykorzystać początek roku na przeprowadzenie wewnętrznego audytu zgodności.  Zbierz stworzone i wdrożone dokumenty i sprawdź, czy wszystkie zawarte w nich informacje są aktualne.

Ja zacząłbym od rejestru czynności przetwarzania danych. Rejestr powinien być tak napisany, aby był dla każdego mapą ochrony danych w organizacji. Sprawdzamy rejestr punkt po punkcie badając, czy doszły nam jakieś procesy przetwarzania, czy w konkretnych procesach zgadzają się cele i podstawy prawne przetwarzania, czy zmieniły się osoby upoważnione do przetwarzania lub podmioty przetwarzające, wdrożone środki bezpieczeństwa itd.

Przy okazji sprawdzania rejestru możemy przy każdym procesie przetwarzania badać dokumenty, które akurat z tym procesem są związane. Chodzi mi przede wszystkim o stosowane przez nas informacje o przetwarzaniu (zwane w praktyce „klauzulami informacyjnymi”), wystawione upoważnienia lub zawarte umowy o powierzeniu przetwarzania.

Przykład: badamy proces przetwarzania danych kadrowych, więc sprawdzamy przy okazji upoważnienia dla pracowników (dobrze jak mamy rejestr pracowników upoważnionych), umowy powierzenia przetwarzania (też dobrze jak mamy rejestr podmiotów przetwarzających) oraz klauzule informacyjne dla pracowników.

Proponuje Wam, abyście wszystko skrupulatnie notowali i dzięki temu napiszecie jednocześnie raport z audytu, który stanowić będzie kolejny dokument świadczący o tym, że prawidłowo chronicie dane osobowe.

Raport nie musi być dokumentem sformalizowanym, może zostać przez Was napisany jak zwykłe sprawozdanie (co zrobiłem? co zmieniłem? co było dobrze i zmiany nie wymagało?). Pamiętajcie, żeby określić datę sporządzenia audytu. Możecie również taki audyt wydrukować i podpisać, chociaż nie ma takiej potrzeby.

Przy okazji audytu dobrze jest przeprowadzić analizy ryzyka przetwarzania danych osobowych.

Pamiętajcie, że ochrona danych osobowych jest procesem trwałym, nie mającym końca. Dobrze jest mieć dokumenty, które w razie takiej potrzeby, pokażą historię waszych działań w zakresie ochrony danych.

Dopiero zaczynasz przygodę z ochroną danych – od czego zacząć?

Przede wszystkim powinieneś zacząć od nauki – chcąc, nie chcąc musisz znać podstawowe zasady ochrony danych osobowych.

Każdy administrator powinien przetwarzać dane osobowe z poszanowaniem poniższych zasad: 

  • W oparciu o podstawę prawną i zgodnie z prawem (legalizm);
  • Rzetelnie i uczciwie (rzetelność); 
  • W sposób przejrzysty dla osoby, której dane dotyczą (transparentność);
  • W konkretnych celach i nie „na zapas” (minimalizacja);
  • Nie więcej niż potrzeba (adekwatność);
  • Z dbałością o prawidłowość danych (prawidłowość);
  • Nie dłużej niż potrzeba (czasowość);
  • Zapewniając odpowiednie bezpieczeństwo danych (bezpieczeństwo).

Niestety, ale temat ochrony danych ze względu na specyfikę języka prawniczego (i w ogóle akurat tej dziedziny prawa) może Was odstraszyć. Nikt nie robi tak złego pierwszego wrażenia jak RODO. Niemniej jednak musicie wiedzieć kiedy pobiera się zgodę na przetwarzanie, a kiedy taka zgoda nie jest potrzebna. Musicie poznać prawa osób, których dane przetwarzacie oraz umieć rozpoznać i zgłosić naruszenie danych osobowych.

Absolutnie najważniejsze jest, żebyście wiedzieli czym są w ogóle dane osobowe oraz kto to administrator danych (!!!), kim jest podmiot przetwarzający, czym jest powierzenie przetwarzania oraz jakie dane zaliczyć do danych zwykłych, a jakie do danych szczególnej kategorii. 

Jak już wyposażycie się w podstawową wiedzę to możecie przystąpić do faktycznej pracy. To co musicie zrobić to przyjrzeć się prowadzonej przez Was firmie z perspektywy danych osobowych. Najprościej będzie Wam działać w schemacie pytanie – odpowiedź.

Przykładowo możecie sobie zadać następujące pytania: 

1. Czyje dane osobowe przetwarzam?

Przykładowa odpowiedź: pracowników i kontrahentów.

2. Kim są moi kontrahenci i jakie dane od nich zbieram?

Przykładowa odpowiedź: moimi kontrahentami są osoby fizyczne na rzecz których wykonuję usługi; zbieram ich imiona, nazwiska, adresy zamieszkania, adresy e-mail i numery telefonów (dane zwykłe).

3. Jakie dane zbieram od pracowników?

Przykładowa odpowiedź: od pracowników zbieram m.in. dane zwykłe (imię, nazwisko, adres zamieszkania, nr pesel, dane członków rodziny), dane szczególnej kategorii (zaświadczenie o zdolności do pracy, wyniki badań okresowych) oraz inne dane wymagane przepisami prawa.

4. W jakim celu i na jakiej podstawie przetwarzam dane osobowe?

Przykładowa odpowiedź: dane pracowników przetwarzam, bo mam z nimi zawarte umowy o pracę, a poza tym przepisy prawa zmuszają mnie do tego, abym zbierał określone dane i robił to w określony sposób (prowadził akta osobowe pracownika).

Dane pracowników zbieram w formie papierowej. Podstawą przetwarzania danych pracowników będzie więc dobrowolnie wyrażona przez nich zgoda (wyrażona w formie złożenia podpisu pod umową o pracę) – art. 6 ust. 1 lit. a RODO – oraz ciążące na nas jako pracodawcy obowiązki prawne – art. 6 ust. 1 lit. c RODO.

5. Kogo powinienem informować o przetwarzaniu?

Przykładowa odpowiedź: skoro zbieram dane pracowników i kontrahentów to ich powinienem o tym poinformować.

6. W jaki sposób chronię dane?

Przykładowa odpowiedź: mam zamykane biuro, zamykane szafki; budynek jest zabezpieczony instalacją alarmową oraz monitoringiem wizyjnym; na komputerze mam na bieżąco uaktualniane oprogramowanie systemowe oraz antywirusowe; każdy z moich pracowników ma swój własny komputer z indywidualnym loginem oraz hasłem; dane przetrzymywane na serwerze są zabezpieczone, używam haseł dostępu itd.

Poza tym wszyscy moi pracownicy posiadają stosowne upoważnienia; mam wdrożoną politykę bezpieczeństwa danych; zawarte umowy powierzenia przetwarzania; stosuję prawidłowe klauzule informacyjne.

7. Jakie dokumenty powinienem u siebie wdrożyć?

Przykładowa odpowiedź: skoro mam pracownika (i dane szczególne) to potrzebuję rejestru czynności przetwarzania danych; skoro zbieram dane pracowników i kontrahentów to muszę mieć klauzule informacyjne; skoro korzystam z zewn. biura rachunkowego to powinien mieć zawartą umowę powierzenia przetwarzania; skoro mój pracownik ma dostęp do danych moich klientów to powinien mieć do tego upoważnienie itd.

Na podstawie zadanych sobie pytań i udzielonych na te pytania odpowiedzi wykonacie audyt Waszej firmy w zakresie ochrony danych osobowych. Oczywiście powinniście spisać zarówno pytania, jak i odpowiedzi, określić datę i  kolejny dokument ochrony danych osobowych macie gotowy!

Z biegiem czasu na sardynkach będziemy prezentować coraz więcej samouczków i przykładowych dokumentów z zakresu ochrony danych osobowych. Zapraszam więc do śledzenia naszej strony!

Chcesz dowiedzieć się więcej o RODO w małej firmie? Przesłuchaj podcast:

Posłuchaj jak rozmawialiśmy o RODO w 23 odcinku podcastu: Podcast nr 23 – Jak wdrożyć RODO w małej firmie

Pobierz wzór polityki prywatności!

Tematyka RODO jest nierozerwalnie związana z dokumentami i wzorami niezbędnymi na Twojej stronie internetowej lub blogu.

Pobierz darmowy wzór – polityka prywatności dla bloga / firmy, a tutaj sprawdź jak napisać politykę prywatności.

Masz pytania dotyczące RODO? Pisz śmiało w komentarzu

Gdybyście mieli pytania dotyczące wdrożenia RODO w małej firmie, zapraszam do kontaktu w komentarzach. Postaram się odpowiedzieć jak najszybciej

Powodzenia Sardynki!

Sardynka Juri ?

$s
Autor
Jerzy Stanisław Jossé
Jerzy Stanisław Jossé – jestem radcą prawnym i wspólnikiem w rodzinnej kancelarii. Zawodowo zajmuję się stałą obsługą mniejszych i większych przedsiębiorców z wielu różnych branż. Prócz tego zarządzam kancelarią, więc z wieloma problemami moich klientów spotykam się również w swojej działalności.

Podobał Ci się ten artykuł?

Zapisz się do newslettera, otrzymuj informacje o nowych artykułach, odbierz dostęp do ponad 60 wzorów dokumentów, szablonów, grafik i Exceli.

Zostaw komentarz
Subscribe
Powiadom o
guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Pobierz darmowy, gotowy wzór polityki prywatności i wykorzystywania plików cookies na stronę internetową małej firmy, strony autorskiej lub bloga.

Uzupełnienie wzoru zajmie Ci kilka minut. Wystarczy wpisać w nim Twoje podstawowe dane.
Nasz wzór polityki prywatności jest prosty, czytelny, ZAWSZE aktualny, 100% zgodny z prawem.

Cześć jestem Radek i witam Cię na blogu SardynkiBiznesu.pl! Znajdziesz tu artykuły poświęcone najważniejszym zagadnieniom związanym z prowadzeniem małej firmy: marketing, prawo, księgowość, public relations, zarządzanie i IT. Mamy nadzieję, że dzięki nam oszczędzisz dużo nerwów, czasu i pieniędzy, a prowadzenie biznesu stanie się prostsze. Więcej

Pobierz BEZPŁATNY 

wzór polityki prywatności + 

materiały marketingowe 
dla małej firmy

 

POBIERZ!

Wypełnij formularz. Materiały otrzymasz OD RAZU.