przedsiebiorcy

Wprowadzenie RODO w firmie - krok po kroku

RODO w praktyce obowiązuje już ponad 4 lata, dlatego może się wydawać, że wdrożenie procedur nie stanowi dla firm problemu. Okazuje się jednak, że nie każdy przedsiębiorca wie co oznacza wdrożenie RODO i jakie czynności składają się na przetwarzanie danych osobowych. Temat RODO w firmie jest nadal aktualny. Dowiedz się, jak wprowadzić RODO niezależnie od wielkości przedsiębiorstwa.

Spis treści

  1. Wstęp
  2. Czym jest RODO?
  3. Zasady przetwarzania danych osobowych
  4. Jak wprowadzić RODO w firmie?
  5. Kto odpowiada w firmie za RODO?
  6. Kary finansowe za złe przetwarzanie danych osobowych
  7. Podsumowanie

Czym jest RODO?

RODO jest to Rozporządzenie o Ochronie Danych Osobowych, zwane również ogólnym rozporządzeniem o ochronie danych to skrócona nazwa dla Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 

RODO nie jest dokumentem wydanym przez polskiego ustawodawcę- jest to rozporządzenie unijne. Czy oznacza to, że nie obowiązuje na terenie Polski? Rozporządzenia unijne są bezpośrednio stosowane w każdym państwie członkowskim. W praktyce oznacza to, że Polska nie musi wydawać ustawy w celu wprowadzenia RODO do krajowego porządku prawnego.  

Zasady przetwarzania danych osobowych

W RODO zawarto kilka głównych zasad, które należy mieć na uwadze przy wdrażaniu procedur i przygotowywaniu dokumentów. są to: 

  • Zasada zgodności
  • Zasada ograniczenia
  • Zasada minimalizacji danych
  • Zasada prawidłowości danych
  • Zasada ograniczenia przechowania danych
  • Zasada integralności i poufności danych
  • Zasada rozliczalności

W dużym uproszczeniu można wskazać, że przedsiębiorca przetwarzający dane osobowe powinien mieć każdą z tych zasad na uwadze. Zasady przetwarzania danych osobowych powinny mieć odzwierciedlenie w szczególności w polityce bezpieczeństwa czy polityce prywatności. Każda z wyżej wymienionych zasad jest w pewnym zakresie niedookreślona. W celu pełnej realizacji tych zasad konieczna jest analiza przetwarzania danych w konkretnej firmie, nie da się bowiem abstrakcyjnie odpowiedzieć na pytanie “jak wdrożyć zasady przetwarzania danych osobowych w firmie” bez dokonania indywidualnej analizy specyfiki działalności konkretnego biznesu. 

Jak wprowadzić RODO w firmie?

Pełne wdrożenie RODO w firmie może być bardzo trudne i wymagać udziału nie tylko wszystkich działów danej firmy, ale często także zewnętrznych doradców. W praktyce wdrożenie RODO w przedsiębiorstwie zazwyczaj będzie zawierało szereg kilku czynności prawnych i czynności operacyjnych, które opisujemy poniżej. 

Audyt bezpieczeństwa

Często pierwszym elementem przy wdrażaniu RODO nie tylko w nowej firmie, ale także w już działającym biznesie jest dokonanie analizy i diagnozy potencjalnych słabych stron i potrzeb. Taką analizą najczęściej będzie audyt bezpieczeństwa. W praktyce audyt bardzo często porównuje się do diagnozy lekarskiej, która może być punktem wyjścia do dalszego leczenia - i porównanie to jest bardzo trafne. Audyt zazwyczaj będzie przeprowadzała osoba odpowiedzialna za RODO w firmie, posiadająca nie tylko ekspercką wiedzę w zakresie przepisów o ochronie danych osobowych, ale także bardzo dobrze znająca poszczególne procesy toczące się w przedsiębiorstwie, gdzie dochodzi do przetwarzania danych osobowych.

Od czego rozpocząć audyt RODO w firmie? Przede wszystkim od przygotowania planu i wytypowania konkretnych obszarów działalności przedsiębiorstwa, które będą badane. W praktyce audyt będzie polegał na przeanalizowaniu wszystkich procesów w wybranym zakresie w celu przeciwdziałania naruszaniu zasad danych osobowych, ryzyk prawnych, zagrożeń i innych szeroko pojętych słabych punktów. 

Analiza ryzyka

Modelowo efektem audytu RODO w firmie jest wskazanie słabych stron i potencjalnych naruszeń. Nie każde naruszenie ujawnione podczas audytu będzie jednak naruszeniem poważnym czy naruszeniem prawdopodobnym. W tym zakresie konieczna jest dalsza analiza i ocena potencjalnych ryzyk. Analiza może być skomplikowana i wymagać zasięgnięcia pomocy prawnika czy specjalisty w zakresie ochrony danych osobowych. 

Jak przeprowadzić analizę ryzyka w firmie? Przede wszystkim administrator powinien określić, czy dane ryzyko jest ryzykiem o wysokim stopniu prawdopodobieństwa naruszenia praw osób fizycznych wynikających z ochrony danych osobowych. Ponadto, niezależnie od stopnia prawdopodobieństwa należy także określić ewentualną istotność ryzyka (czy wystąpienie danego zdarzenia spowoduje np. tylko ewentualne straty wizerunkowe, czy wręcz odwrotnie, będzie przestępstwem). 

Żadne ryzyko nie powinno być bagatelizowane. Niemniej jednak nie każdy rodzaj zidentyfikowanego w drodze audytu RODO ryzyka będzie wymagał natychmiastowej i radykalnej akcji. Efektem analizy i oceny ryzyka powinno być wskazanie najpoważniejszych zagrożeń i propozycji środków zaradczych, do wdrożenia w ramach dokumentacji RODO w przedsiębiorstwie. 

Opracowanie dokumentacji

Wdrożenie RODO w firmie może polegać na stworzeniu określonych dokumentów:

  • politykę bezpieczeństwa
  • politykę prywatności
  • rejestr czynności przetwarzania
  • instrukcja zarządzania systemem informatycznym.
  • klauzulę o przetwarzaniu danych osobowych dołączane do umów
  • dokumentacja szkoleń RODO
  • dokumenty, w których osoby, których dane są przetwarzane wyrażają zgody na przetwarzanie danych. 

Warto wskazać, że powyższe wyliczenie ma wyłącznie charakter przykładowy. Oznacza, że wprowadzenie tych dokumentów w firmie nie będzie automatycznie oznaczało kompleksowego wdrożenia RODO. Może okazać się, że w toku audytu ujawniona zostanie konieczność wdrożenia jeszcze innego dokumentu (np. regulaminu korzystania z archiwum). 

Wyznaczenie inspektora danych osobowych

Kolejnym kluczowym elementem wdrożenia RODO dla niektórych firm jest wyznaczenie inspektora ochrony danych osobowych. Dotyczy to w szczególności firm, w których przetwarzanie danych osobowych będzie miało szczególną rolę (takie jak np. callcenter czy firma rekrutacyjna). Inspektorem może być osoba fizyczna, która ze względu na posiadane kompetencje, wiedzę czy doświadczenie może zapewnić przestrzeganie przepisów RODO. Może to być osoba “z zewnątrz”, ale także może być to jeden z pracowników przedsiębiorstwa, który spełnia powyższe wymagania. Do zadań inspektora danych należy w szczególności doradztwo w zakresie obowiązków wynikających z RODO i innych przepisów i monitorowanie ich przestrzegania w firmie.  

Dostosowanie umów

Tak jak wspominaliśmy na wstępie, RODO obowiązuje już ponad 4 lata. Niemniej jednak w obrocie prawnym nadal funkcjonują nieaktualne wzory umów, które by być użyteczne muszą być zgodne z RODO. Dostosowanie umów będzie zazwyczaj polegało na aktualizacji klauzuli o przetwarzaniu danych osobowych czy dodaniu postanowień umownych dotyczących współprzetwarzania danych. 

Opracowanie procedur bezpieczeństwa danych

Często zdarza się, że różne osoby w firmie uczestniczą w procesie przetwarzania danych osobowych. W takich sytuacjach warto spisać wszystkie podstawowe zasady i procesy związane z danymi w firmie w jednym dokumencie. Dzięki takiemu działaniu mamy pewność, że każda z osób będzie jednakowo stosowała zasady mające na celu ochronę danych osobowych. Taka procedura bezpieczeństwa danych może być bardzo pomocnym dokumentem, a dodatkowo umożliwia administratorowi realizację zasady rozliczalności. 

Kto odpowiada w firmie za RODO?

Co do zasady za RODO w firmie odpowiada administrator danych osobowych. Zgodnie z RODO administratorem jest osoba fizyczna, osoba prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie bądź wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Podstawowym zadaniem administratora jest odpowiedzialność za to, aby dane w działalności firmy były przetwarzane zgodnie z prawem, a wszystkie zasady określone w RODO były przestrzegane.

Jaką odpowiedzialność ponosi administrator danych osobowych wg. RODO? Administrator za naruszenia przepisów dot. ochrony danych osobowych może odpowiadać nie tylko administracyjnie (np. przez kary umowne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych, UODO), ale także cywilnoprawnie. Jeżeli osoba fizyczna poniosła szkodę w związku z nieuprawnionym przetwarzaniem jej danych osobowych, może wystąpić do administratora z roszczeniem o zapłatę odszkodowania. 

Kary finansowe za złe przetwarzanie danych osobowych

Nieprzestrzeganie przepisów RODO jest zagrożone nałożeniem przez Prezesa UODO administracyjnej kary pieniężnej. W rozporządzeniu przewidziano dwa rodzaje kar pieniężnych. Kary pieniężne mogą być bardzo dotkliwe, w szczególności jeżeli RODO w małej firmie nie jest należycie przestrzegane- nałożenie kar w pełnej wysokości może nawet zakończyć się bankructwem firmy. 

Za mniejsze naruszenia przepisów RODO, np. dotyczące braku wdrożenia odpowiednich środków organizacyjnych i technicznych grozi kara pieniężna w wysokości 10 000 000 EUR, lub 2% rocznego światowego obrotu przedsiębiorstwa. 

Za naruszenia kwalifikowane jako naruszenia większej wagi, np. polegające na nieprzestrzeganiu zasad przetwarzania danych osobowych, takich jak poufność danych, ustawodawca przewidział karę w wysokości do 20 000 000 EUR, lub w wysokości do 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa.

Czy można precyzyjnie określić, jaką karę przedsiębiorca może otrzymać za naruszenie RODO? Przy nakładaniu kary Prezes Urzędu musi wziąć pod uwagę wiele czynników. Nie można także pominąć faktu, że przepisy przewidują wyłącznie maksymalną wysokość kary. Mając na uwadze wiele zmiennych, nie jesteśmy w stanie określić jaką karę za konkretne przewinienie nałoży Prezes UODO. Ta kwestia jest bardzo indywidualna i zależy od wielu okoliczności sprawy. 

Podsumowanie

Kompleksowe wdrożenie RODO w firmie to proces skomplikowany, wymagający podjęcia wielu czynności w określonej kolejności. Co do zasady jednak może być przeprowadzone samodzielnie w przedsiębiorstwie, bez udziału prawnika (adwokata czy radcy prawnego). W praktyce, w wielu przypadkach udział zewnętrznego doradcy, specjalizującego się w danych osobowych, może okazać się nieodzowny. Jak samodzielnie wdrożyć RODO w firmie i czy jest to możliwe? W artykule przedstawiamy najważniejsze etapy wdrożenia RODO w firmie jednoosobowej (i nie tylko) krok po kroku, mamy nadzieję, że po jego lekturze będą Państwo mieli wstępny obraz czynności, które trzeba podjąć i konsekwencji zaniechań w tym zakresie. 

Potrzebujesz pomocy prawnej?

Skontaktuj się z nami!



klienci o nas

quote
Pochodzę z małego miasta na Podlasiu i trudno było mi znaleźć dobrego prawnika w okolicy. Dzięki portalowi ONLE błyskawicznie uzyskałam opinię prawną i to bez wychodzenia z domu. Byłam również bardzo zadowolona z ceny.

Beata, Grajewo

quote
Jestem osobą niepełnosprawną i szukałem sposobu, aby skontaktować się z prawnikiem, który zweryfikuje pisma, które otrzymuję z ZUSu. Znalazłem ONLE i jestem niezwykle zadowolony. Szybka i atrakcyjna wycena, prosta płatność i szybka wymiana dokumentów.

Patryk, Opole

quote
Początkowo nie byłem przekonany do ONLE ale z ciekawości opisałem swój problem i wysłałem zapytanie. Już drugiego dnia miałem trzy oferty, które opiewały na niższe kwoty niż myślałem. To działa i polecam każdemu!

Szymon, Wrocław