RODO w firmie jednoosobowej

W działalności jednoosobowej przetwarzane są dane personelu oraz klientów. Jak odnosić się do przepisów RODO w tej kwestii? O jakich zasadach trzeba pamiętać?

Cel RODO

Głównym celem RODO jest zagwarantowanie spójnego stopnia ochrony osób fizycznych w Unii Europejskiej i ograniczenie swobodnego przepływu danych osobowych na rynku wewnętrznym. To także pewność prawa i przejrzystość. Z kolei dla osób fizycznych zagwarantowany zostaje jednakowy poziom prawnie egzekwowalnych praw i obowiązków, a także zadań administratorów i podmiotów przetwarzających, co umożliwia spójne monitorowanie przetwarzania danych osobowych i nałożenie takich samych kar dla wszystkich państw należących do UE. Dodatkową korzyścią jest skuteczna współpraca organów nadzorczych z różnych państw członkowskich. 

Obowiązujące rozporządzenie ma bezpośredni wpływ na mikro, małych i średnich przedsiębiorców, gdzie występuje wyjątek związany z rejestrowaniem czynności przetwarzania dla podmiotów, pod warunkiem iż zatrudnionych zostało mniej niż 250 pracowników. 

Parlament Europejski w dniu 27 kwietnia 2016 roku wydał Rozporządzenie o Ochronie Danych Osobowych, które wraz z dniem 25 maja 2018 roku stało się obowiązkowe dla wszystkich krajów należących do Unii Europejskiej. Przepisy są dedykowane także dla działalności nierejestrowanej. Przepisy powstały z myślą o każdym przedsiębiorstwie, a branża, skala, forma prawna nie mają żadnego znaczenia. 

Ustawa o RODO dotyczy wszelkich danych, jednakowo tych zebranych drogą całkowitą albo częściowo zautomatyzowaną. Przepisy dotyczą także dokumentów tradycyjnych, które przechowują przedsiębiorcy.

Jak przetwarzane są dane w mikroprzedsiębiorstwie?

Zgodnie z przepisami, dane osobowe muszą być:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
• gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych bądź do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami, 
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane, 
• prawidłowe i w razie potrzeby uaktualniane — konieczne jest podjęcie działań, żeby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały bez żadnej zwłoki usunięte lub sprostowane, 
• dane mają być przechowywane w formie, która pozwala na identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; jedynym przypadkiem, kiedy dane osobowe można gromadzić przez dłuższy okres, jest związany z celami archiwalnymi w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych, pod warunkiem iż wykorzystywane będą właściwe środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”), 
• dane są przetwarzane w sposób, który gwarantuje wymagane bezpieczeństwo danych osobowych, wliczając do tego ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Za przestrzeganie zasad odpowiada administrator. 

Jakie obowiązki są nałożone na mikroprzedsiębiorcę, który jest administratorem danych?

Zadaniem administratora jest zastosowanie właściwych środków technicznych i organizacyjnych w taki sposób, żeby przetwarzanie odbywało się na zasadach zgodnych z rozporządzeniem i konieczne jest wykazanie tego.
Administrator musi uwzględnić:

• charakter, 
• zakres, 
• kontekst, 
• cele przetworzenia, 
• ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.

Używane środki mogą być poddawane przeglądom, a do tego uaktualniane. 

Administrator stosuje właściwą politykę ochrony danych, gdy jest to proporcjonalne względem czynności przetwarzania. 

Administrator danych bierze pod uwagę:

• stan wiedzy technicznej, 
• koszt wdrożenia,
• charakter, 
• zakres, 
• kontekst, 
• cele przetwarzania, 
• ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikającej z przetwarzania

na podstawie wymienionych wskaźników wyznaczane są wykorzystywane sposoby przetwarzania oraz czas przetwarzania.
Używane są właściwe środki techniczne i organizacyjne, a wśród nich:

• pseudonimizacja,
• minimalizacja danych,
• nadanie przetwarzaniu niezbędnych zabezpieczeń.

W praktyce administrator danych w celu ich przetwarzania może korzystać z podmiotów przetwarzających, jednak z zastrzeżeniem, iż muszą dawać gwarancję zastosowania właściwych środków technicznych i organizacyjnych, żeby przetwarzanie było zgodne z wymogami rozporządzenia i zabezpieczało prawa osób, których dane dotyczą. 

Gdy za przetwarzanie odpowiada podmiot przetwarzający, konieczne jest podpisanie umowy albo wybór innego instrumentu prawnego, którego dotyczy prawo Unii lub prawo państwa członkowskiego i wiążą podmiot przetwarzający oraz administratora, wyznaczają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora.

W jaki sposób odbywa się rejestrowanie czynności przetwarzania w mikroprzedsiębiorstwie?

Jednym z obowiązków administratora jest prowadzenie rejestru czynności przetwarzania danych osobowych, które są z nimi związane. 

Rejestr musi zawierać wymagane informacje, a wśród nich:

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora, oraz wszelkich współadministratorów, oraz gdy dotyczy – przedstawiciela administratora oraz inspektora ochrony danych, 
• cele przetwarzania, 
• opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych, 
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych, 
• jeżeli dotyczy przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań (art. 49 ust. 1 akapit drugi), dokumentacja odpowiednich zabezpieczeń, 
• gdy jest taka opcja, planowane terminy usunięcia poszczególnych kategorii danych, 
• gdy jest taka opcja, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr odbywa się w formie pisemnej (elektronicznej). 

Organ nadzorczy ma prawo zobligować administratora bądź przedmiot przetwarzający do udostępnienia rejestru. 

Jak bezpiecznie przetwarzać dane osobowe?

 Na stopień bezpieczeństwa przetwarzania danych osobowych mają wpływ następujące czynniki:

• pseudonimizacja i szyfrowanie danych osobowych, 
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, 
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, 
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W celu określenia bezpieczeństwa należy wziąć pod uwagę ryzyko związane z przetwarzaniem, przede wszystkim związanym z przypadkowym lub niezgodnym prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jeżeli przedsiębiorca nie przestrzega zasad związanych z RODO, może spodziewać się nałożenia kary grzywny, a w najgorszym wypadku nawet pozbawienia wolności. Aby tego uniknąć, konieczne jest wyrażenie zgody na przetwarzanie danych - dotyczy to zarówno pracowników, jak i kontrahentów.

Zastosowanie przepisów RODO w praktyce

Pierwszy krok polega na wyznaczeniu zakresu zbierania danych i celu ich przetwarzania. W dalszej kolejności należy wyznaczyć podstawę prawną, która pozwala przetwarzać dane osobowe (chociażby wymóg ich wprowadzenia do umów, wypłaty wynagrodzeń i innych). 

Wyznaczenie roli przedsiębiorcy zgodnie z profilem działalności w przetwarzaniu danych, co w praktyce zazwyczaj oznacza administratora danych. Nie może zabraknąć wykonania audytu albo analizy DPIA (Data Protection Impact Assessment), którego celem jest wyznaczenie potencjalnego ryzyka dotyczącego przetwarzania danych przez firmę. Uzyskane informacje powinny stanowić podstawę do zapobiegania naruszeniom. Wymagane jest zastosowanie właściwej dokumentacji. We wszystkich dokumentach, zarówno elektronicznych, jak i papierowych nie może zabraknąć klauzuli informacyjnej. Z kolei podmiot uzupełniający jest zobligowany do wyrażenia zgody na ich przetwarzanie.  

Już w trakcie przetwarzania danych także trzeba weryfikować, czy stosowane procedury odbywają się zgodnie z prawem. 

Dla jednoosobowej działalności wdrożenie RODO nie wymaga tak dużych nakładów pracy, jak chociażby w spółkach. Jednakże również w tym przypadku nie ma przeciwwskazań do skorzystania z pomocy Inspektora Ochrony Danych albo kancelarii prawnej, zadaniem, której jest opracowanie i dostarczenie odpowiednich dokumentów. Skorzystanie ze wsparcia doświadczonych osób pozwala uniknąć ogromnych kar, które są liczone nawet w milionach euro. 

Podstawowe procedury związane z RODO

Posiłkując się rozporządzeniem Parlamentu Europejskiego, nie znajdziemy informacji o dokumentach, ewidencji, wzorach klauzuli o przetwarzaniu danych. Co to oznacza? To zadanie spoczywa na przedsiębiorcy, stąd wybór usług profesjonalistów może okazać się korzystniejszy. 

Analiza bezpieczeństwa to podstawa do wyboru właściwych dokumentów używanych podczas prowadzenia działalności o konkretnym profilu. Dokumenty związane z RODO muszą być przygotowane prostym i zrozumiałym językiem, dzięki czemu odbiorca nie będzie miał problemu z ich zrozumieniem. O jakich dokumentach mowa? Chodzi przede wszystkim o politykę prywatności oraz klauzulę RODO, które zostają dostarczone do klientów. Nie ma przeciwwskazań, aby użytkownicy pytali o zawartość danych, które zostały zebrane. 

Dokumenty wymagane dla firmy:

• polityka bezpieczeństwa danych osobowych;
• polityka kluczy;
• aktualna inwentaryzacja zasobów informacyjnych;
• ewidencja umów dotyczących przetwarzania danych osobowych i określenie obszaru ich przetwarzania;
• rejestr czynności przetwarzania w przypadku administratorów danych lub rejestr kategorii czynności przetwarzania przy statusie podmiotu przetwarzającego
• poświadczenie przeprowadzenia testu LIA (Legitimate Interests Assessment), który określa zasadność interesów przetwarzania danych;
• protokół szacowania ryzyka dla dokumentów tradycyjnych i elektronicznych;
• spis i wzory klauzul informacyjnych;
• regulamin złożony z podstawowych zasad zabezpieczania danych i zgłaszania nieprawidłowości;
• procedury mające zastosowanie w przypadku naruszenia przetwarzanych danych osobowych;
• rejestr naruszeń, w którym zostaną umieszczone wszystkie naruszenia z analizą ich rozwiązań.

Dokumenty to równocześnie instrukcja działania dla zatrudnionych osób i samego przedsiębiorcy. To podwyższenie poziomu bezpieczeństwa dla wykonywania wszelkich czynności niezbędnych do sfinalizowania zamówień albo świadczenia usług. Należy mieć świadomość, że organy nadzorujące w razie ewentualnej kontroli wymagają dostarczenia pełnej dokumentacji, stąd bardzo istotne jest ich bieżące uzupełniania i aktualizacja. 

Należy mieć świadomość, że zgodność z wymogami RODO jest obowiązkowa dla każdej firmy, która jest zarejestrowana na obszarze Unii Europejskiej.

Data publikacji: 2024-08-08, autor: FakturaXL