RODO a codzienne funkcjonowanie małej firmy

Począwszy od dnia 25 maja 2018 roku każda firma działająca na terenie UE (w tym również osoby prowadzące działalność gospodarczą) musi stosować zasady unijnego rozporządzenia RODO/GDPR. To, gdzie te podmioty przetwarzają dane jest bez znaczenia.

Unijne przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych od tej daty dotyczą wszystkich firm, nieistotne, czy mówimy o jednoosobowej działalności gospodarczej, spółce cywilnej czy spółce z o.o.

Ochrona danych osobowych działa w Polsce już od 1997 roku. RODO jest w porównaniu do tych przepisów mniej konkretne. Stanowi o tym, o tym, co trzeba chronić, ale nie wskazuje wprost, jak to zrobić. Koncepcję ochrony danych musimy zatem dostosować do zakresu danych przetwarzanych w konkretnej firmie. Warto przy tym uwzględnić ryzyko zachodzące w w przypadku dla osób, których dane dotyczą.

Co w związku z tym powinniśmy wiedzieć? Najważniejsze pytania to: jakie są prawa klientów (czyli również nasze)? Jakie obowiązki mają firmy? Oraz: jak dostosować się do rozporządzenia tak, by na tym nie stracić? Jeśli prowadzimy jakiekolwiek szkolenia bądź kursy, udostępniamy produkty czy usługi – zbieramy przy okazji kontakty. W procesie zamówienia pozyskujemy dane kontrahentów. Trzecia kategoria to dane pracowników, w których posiadanie weszliśmy na skutek zatrudnienia. W przypadku firm na co dzień działających w sieci pod uwagę należy wziąć także czynności zapisów i wysyłki newsletterów. Sporządźmy spis. Jakie dane przetwarzamy? Czy komuś je udostępniamy bądź powierzamy? Następnie zaszeregujmy posiadane dane wedle stopnia ich ważności, najpilniejszą pieczą otaczając te, które są dla nas najcenniejsze oraz których wyciek mógłby spowodować największe szkody. Warto postarać się o zwiększenie świadomości wśród naszych pracowników. Przeszkolmy ich należycie. Określmy procedury, np. zakaz wynoszenia dokumentów z siedziby firmy, obowiązek hasłowania komputerów i dostępów do programów komputerowych, zakaz wyrzucania do biurowego kosza na papiery czy też pozostawiania na ogólnodostępnej drukarce dokumentów, na których widnieją wrażliwe dane. Pomoże też zwyczaj zamykania ważnych dokumentów na klucz oraz nawyk tworzenia kopii zapasowych.

W kontekście RODO dużo się mówi o grożących karach. Nie wpadajmy w panikę, pamiętając, że o ile zachowamy minimum przezorności, nic nam nie grozi.

Może się zdarzyć i tak, że usłyszymy nieuzasadnione żądania. Warto wiedzieć, które oczekiwania klientów musimy spełnić, a których już nie. Czego RODO nie dotyczy? Danych przetwarzanych w celach ściśle prywatnych, danych kontaktowych firm i organizacji.

Pamiętajmy, że nie wystarczy już raz coś zrobić. Należy monitorować powzięte działania, ponieważ firma żyje i rozwija się nieustannie, a procesy ochrony danych razem z nią.

Nie ma konieczności zbierania zgód na przetwarzanie danych osobowych. Zbieranie ich jest problematyczne, bowiem raz wyrażoną zgodę każdy ma prawo wycofać z natychmiastowym skutkiem. Przysporzy nam to dodatkowej pracy. Jeśli zbieramy w sieci jakieś informacje, zamieśćmy na naszej stronie prosty komunikat: „Zgodnie z RODO zbieramy Państwa dane dla potrzeb realizacji usługi”. Powinny też być tam łatwo dostępne podstawowe dane naszej firmy.

Jeżeli obracamy danymi w sposób bardziej skomplikowany – poradźmy się prawnika. Koszt jego pomocy zwróci nam się po wielekroć. Pamiętajmy, że w ostatecznym rozrachunku wszystko robimy na naszą własną odpowiedzialność.