Artykuł ten jest częścią większego cyklu wyjaśniającego zagadnienia związane z ochroną danych osobowych. Zdecydowałam się je umieścić ze względu na dużą ilość pytań związanych z RODO.
RODO czyli problem dla małej firmy
Małe i średnie przedsiębiorstwa na równi z korporacyjnymi gigantami zobowiązane są do przestrzegania Rozporządzenia o Ochronie Danych Osobowych (RODO). Z jednej strony należy cieszyć się, że nasze dane będą lepiej zabezpieczone, z drugiej jest to kolejny obowiązek, któremu muszą podołać przedsiębiorstwa sektora MSP.
Kogo dotyczy RODO?
Rząd obiecywał ułatwienia dla małych i średnich firm, faktycznie jednak nie powinniśmy się takich spodziewać. Być może pojawią się symboliczne możliwości, które raczej zagmatwają całą sprawę niż w istotny sposób zmniejszą obowiązki pracodawcy. Polska jest w tej kwestii związana przepisami UE i nie może zaniżać standardów ochrony.
W aktualnej sytuacji prawnej zakładamy, że Rozporządzenie dotyczy wszystkich przedsiębiorstw, a także organów państwowych, samorządowych i organizacji pozarządowych. Każda firma musi uwzględnić RODO.
Jakie dane są chronione rozporządzeniem?
W praktyce ochronie podlegają każde dane umożliwiające identyfikację osoby fizycznej. Oznacza to każdy dokument na którym zawarte są:
Imię i nazwisko;
Numer PESEL;
Zdjęcie umożliwiające identyfikację;
Połączenie innych danych umożliwiające przypisanie ich do konkretnej osoby – choćby adres email, podpisane oświadczenie, konto na portalu społecznościowym, numer telefonu, rejestracja prywatnego samochodu.
Wyjątki mogą natomiast dotyczyć sytuacji gdy dane są powszechnie znane (przykładowo sam zainteresowany umieścił je na swojej stronie www) lub dotyczą nie tyle osób co grup lub organizacji (dane statystyczne, kapitał firmy itp.).
Czyje dane są chronione?
RODO nie dookreśla grupy osób, które korzystają z ochrony, należy więc uznać, że dotyczy ono wszystkich. W przypadku większości przedsiębiorstw będzie to oznaczać głównie:
Pracowników;
Osoby kandydujące do pracy;
Kontrahentów i dostawców;
Klientów.
Lista ta będzie rozszerzona w przypadku prowadzenia działalności związanej z tworzeniem, obróbką i przetwarzaniem danych.
Przykładowo fotograf weselny będzie mieć obowiązek chronienia danych gości weselnych, których fotografował, a przedsiębiorca prowadzący call center – osób ankietowanych.
Ochrona danych nie jest absolutna i pewne dane mogą być udostępniane np. w ramach wolności prasy, wolności słowa czy nawet zasadnego interesu firmy. Mówi się o „wyważeniu” pomiędzy ochroną danych osobowych, a innymi prawami.
Jak chronić dane by pozostać w zgodzie z prawem?
Co ciekawe, w stosunku do poprzednio obowiązujących przepisów, w RODO nie próbowano doprecyzować szczegółów technicznych ochrony danych osobowych. Administratorzy danych osobowych mają dużą dowolność, ale i równą jej odpowiedzialność.
Na pewno warto przygotować wewnątrz firmowy dokument dotyczący Polityki Bezpieczeństwa przedsiębiorstwa. Dokument taki powinien zostać przedstawiony wszystkim pracownikom. Po zapoznaniu się z nim, pracownicy powinni podpisać zobowiązanie się do przestrzegania zasad tam ustalonych. Reguły te w równym stopniu obowiązywać będą także właściciela firmy.
Dalsze istotne czynności formalne będą już dotyczyły konkretnych sytuacji i tak na przykład:
Powierzając dane podwykonawcy należy zawrzeć z nim umowę powierzenia / podpowierzenia danych osobowych.
Jeśli w firmie kontakt z chronionymi danymi ma część pracowników – należy pisemnie upoważnić ich do przetwarzania danych osobowych.
Prowadząc rekrutację wolno uwzględniać jedynie CV/listy motywacyjne z umieszczoną klauzulą zezwolenia na przechowywanie i obróbkę danych osobowych dla celów rekrutacji.
Należy informować (choćby w regulaminie portalu, komunikacji mailowej), że przechowuje się dane osobowe danej osoby i że ma ona prawo do wglądu w nie, poprawienia błędów lub usunięcia danych.
Na życzenie danej osoby należy ujawnić jej jakie dane o niej są przechowywane przez firmę – warto więc przygotować sobie odpowiednie szablony dokumentów elektronicznych.
Należy prowadzić listę lub ewidencję przekazywanych danych (np. do doradcy podatkowego, podwykonawcy, urzędu).
Artykuł stanowi część pierwszą cyklu, kolejne pojawią się wkrótce.
Polityka bezpieczeństwa (cz. 1)
Polityka bezpieczeństwa (cz.2)