RODO w małych firmach stało się obowiązkiem, z którym muszą się zmierzyć także mniejsi przedsiębiorcy.
Kluczowe wnioski:
- RODO nakłada szereg wymogów związanych z ochroną danych osobowych, które dotyczą także małych firm.
- Należy zadbać o odpowiednie zabezpieczenie i przetwarzanie pozyskanych danych klientów i pracowników.
- Konieczne jest uzyskanie zgody na przetwarzanie danych osobowych od osób, których one dotyczą.
- Przedsiębiorstwa muszą wyznaczyć administratora danych odpowiedzialnego za spełnienie wymogów RODO.
- Za naruszenie przepisów grożą dotkliwe kary finansowe, warto więc traktować RODO poważnie.
RODO w małych firmach
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, to przepisy, które weszły w życie 25 maja 2018 roku. Dotyczą one ochrony i przetwarzania danych osobowych obywateli UE i choć kojarzone są głównie z dużymi korporacjami, to w równym stopniu odnoszą się do małych firm.
RODO nakłada na przedsiębiorców szereg obowiązków, związanych przede wszystkim z cyberbezpieczeństwem. Przepisy mają na celu uszczelnienie systemu przechowywania i przetwarzania danych osobowych, aby zapobiegać wyciekom i niewłaściwemu wykorzystaniu poufnych informacji.
Czy RODO dotyczy małych firm?
Tak, RODO bez wyjątku dotyczy wszystkich przedsiębiorstw, niezależnie od ich wielkości. Przepisy odnoszą się zatem również do małych firm – nawet jeśli zatrudniają one tylko kilka osób. Ochrona danych osobowych to obowiązek każdego podmiotu, który takowe dane przetwarza.
Warto zdawać sobie sprawę, że małe firmy również przetwarzają dane osobowe – czy to klientów, kontrahentów, czy własnych pracowników. A skoro tak, to muszą spełniać wymagania RODO dotyczące ich właściwego zabezpieczania i administrowania.
Przetwarzanie danych a RODO
Przetwarzanie danych osobowych musi odbywać się zgodnie z prawem, rzetelnie i przejrzyście. Należy poinformować osobę, której dane dotyczą, w jakim celu i na jakiej podstawie prawnej są one zbierane. RODO nakłada też szereg obowiązków na administratora danych.
Przedsiębiorstwa muszą przeanalizować, jakie dane osobowe przetwarzają i w jakich celach. Potrzebna jest pełna transparentność oraz zgodność z prawem. Ważne jest również wdrożenie odpowiednich zabezpieczeń oraz procedur na wypadek naruszenia ochrony danych.
Podstawy przetwarzania danych
Aby legalnie przetwarzać dane osobowe, małe firmy muszą spełnić co najmniej jedną z poniższych przesłanek:
- Osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie
- Przetwarzanie jest niezbędne do realizacji umowy
- Przetwarzanie jest konieczne ze względu na obowiązek prawny ciążący na administratorze
Warto pamiętać, że zgoda na przetwarzanie danych osobowych musi być dobrowolna, świadoma, konkretna i jednoznaczna. Nie wolno jej domniemywać ani dorozumiewać.
Czytaj więcej: Najlepiej płatne zawody w Polsce: Najbardziej opłacalne prace i 4-dniowy tydzień pracy
Obowiązki administratora danych
RODO nakłada szereg obowiązków na podmiot będący administratorem danych osobowych. W przypadku małych firm tym podmiotem jest zazwyczaj właściciel lub zarząd.
Administrator musi przede wszystkim mapować wszelkie operacje przetwarzania danych osobowych w firmie – od ich pozyskania, poprzez przechowywanie, udostępnianie, aż po usuwanie. Ma też obowiązek wdrożyć odpowiednie rozwiązania techniczne i organizacyjne w celu zapewnienia bezpieczeństwa informacji.
Liczba pracowników | Kara za naruszenie (w mln euro) |
poniżej 10 | do 0,5 |
10-100 | do 2 |
100-500 | do 10 |
500-1000 | do 20 |
Zabezpieczenie danych osobowych
Małe firmy są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby chronić przetwarzane dane osobowe. Obejmuje to m.in. regularne tworzenie kopii zapasowych, szyfrowanie danych, kontrolę dostępu czy zabezpieczenie systemów informatycznych przez złośliwym oprogramowaniem.
Poziom bezpieczeństwa powinien być adekwatny do charakteru przetwarzanych informacji. Im większa szkodliwość potencjalnego naruszenia, tym lepsza ochrona wymagana jest przez RODO.
Rejestr czynności przetwarzania
Ważnym dokumentem jest rejestr czynności przetwarzania danych osobowych. Powinien on zawierać m.in. cele i podstawy prawne przetwarzania, kategorie osób oraz informacji, czy okresy ich przechowywania.
Rejestr ułatwia małym firmom realizację obowiązków związanych z RODO, w tym wykazanie zgodności z przepisami. Dokument ten należy też aktualizować wraz ze zmianami w procesach przetwarzania danych w przedsiębiorstwie.
Zgoda na przetwarzanie danych
Zgoda osoby, której dane dotyczą, jest jedną z podstaw legalnego ich przetwarzania. Musi być ona dobrowolna, konkretna, świadoma i jednoznaczna. Na małych firmach spoczywa obowiązek zadbania o odpowiednią formę takiej deklaracji.
Zgody nie można domniemywać ani dorozumiewać. Brak spełnienia tych warunków skutkuje naruszeniem RODO. Dodatkowo osoba, która wyraziła zgodę, ma prawo do jej wycofania w każdej chwili, co również należy uwzględnić w regulacjach firmy.
Zgoda na przetwarzanie danych osobowych powinna być świadomym i dobrowolnym wyborem osoby, której dane dotyczą. Tylko taka deklaracja ma moc prawną i stanowi podstawę legalnego przetwarzania informacji.
Kary za naruszenie RODO
Małe firmy muszą liczyć się z konsekwencjami finansowymi, jeśli nie dostosują się do rygorów RODO. Kary sięgają setek tysięcy złotych, a w skrajnych przypadkach – nawet 20 milionów euro, lub 4% całkowitego rocznego światowego obrotu.
Na wysokość kary wpływ ma stopień naruszenia oraz liczba poszkodowanych osób. Innymi czynnikami są również wielkość firmy, zasięg działania czy osiągany zysk. Im poważniejsze uchybienia w spełnianiu RODO, tym surowsza kara.
Podsumowanie
RODO to zbiór przepisów mających na celu ochronę danych osobowych obywateli UE. Choć kojarzone są one głównie z regulacjami dla dużych korporacji, to w równej mierze odnoszą się do tzw. małych firm.
Wszyscy przedsiębiorcy bez względu na wielkość mają prawny obowiązek zadbania o bezpieczeństwo przetwarzanych danych osobowych – czy to klientów, pracowników czy kontrahentów. Dotyczy to również pozornej „papierowej roboty” – jak np. zgody czy rejestrów. To kwestie bezwzględnie wymagane przez RODO.
Niedostosowanie się do rygorów RODO i lekceważenie ochrony danych osobowych może skończyć się bolesnymi konsekwencjami finansowymi dla małych firm. Kary za uchybienia idą w setki tysięcy złotych, a w skrajnych przypadkach – nawet w miliony euro.
Przestrzeganie RODO może wydawać się kłopotliwe, jednak przynosi też pewne korzyści. Buduje zaufanie klientów i kontrahentów, którzy mają pewność, że ich dane są bezpieczne. To z kolei przekłada się pozytywnie na wizerunek i renoma małej firmy.