Unijne Rozporządzenie o Ochronie Danych Osobowych zaczęło obowiązywać 25 maja 2018 roku, choć firmy już dwa lata wcześniej wiedziały o konieczności zmiany wewnętrznej polityki odnośnie bezpieczeństwa danych i konieczności wprowadzenia skuteczniejszych zabezpieczeń zgodnych z wytycznymi RODO. Obecnie, ponad dwa lata od momentu wejścia rozporządzenia w życie, wiele firm w dalszym ciągu zastanawia się jak skutecznie wdrożyć RODO i zadbać o utrzymanie ochrony danych osobowych na odpowiednim poziomie, szczególnie w małych firmach, gdzie ilość przechowywanych i przetwarzanych danych wydaje się znacznie mniej znacząca i wymagająca mniejszego nakładu zabezpieczeń. Jak wdrożyć RODO w małej firmie?
Podstawowe założenia RODO
Ustawa o ochronie danych osobowych sporządzona na podstawie wytycznych wprowadzonych przez RODO jest ogólna i znajduje odniesienie do wszystkich podmiotów, które zajmują się przetwarzaniem danych osobowych, a więc zarówno organizacji pozarządowych, małych firm, dużych korporacji i instytucji, freelancerów, a nawet prywatnych stron internetowych, które mogą zbierać dane o użytkownikach na potrzeby publikowania komentarzy. W związku z powyższym nie istnieją określone odgórnie wytyczne dotyczące wdrażania RODO w firmach – rozporządzenie określiło precyzyjnie definicję danych osobowych zwykłych i szczególnej kategorii, zaznaczyło w jakich sytuacjach i na jakich zasadach można je pozyskiwać, przechowywać i przetwarzać, jaki wpływ na przetwarzanie mają osoby będące właścicielami danych osobowych, a także w jakich sytuacjach należy dane osobowe usunąć ze swoich rejestrów.
Za niestosowanie się do wytycznych RODO grożą surowe kary, ale nie ma jasno określonych zasad według których przestrzeganie RODO ma odbywać się w poszczególnych firmach. Administratorzy danych mają zapewnić takie zabezpieczenia, aby ich działania były zgodne z ogólnymi zasadami RODO i nie stwarzały ryzyka dla bezpieczeństwa i integralności danych osobowych. W szczególności należy zadbać o dotrzymanie obowiązku informacyjnego (informując o tym, że dane są przetwarzane, w jaki sposób i przez kogo) oraz obowiązku realizacji praw właściciela danych osobowych, w tym prawa do wydania ich kopii, usunięcia, informacji o tym w jaki sposób dane są przetwarzane i kto ma do nich dostęp. Administratorzy mają także obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, wydawania upoważnienia dla osób przetwarzających dane z ich pisemnym podpisem, zawierania umów powierzenia przetwarzania, jeśli obowiązek ten przekazywany jest do innych podmiotów, a także obowiązek zgłaszania naruszeń i prowadzenia ich rejestru, w tym w szczególności informowania właścicieli danych w razie wystąpienia dużych wycieków danych.
Jak wdrożyć RODO w małej firmie?
Małe firmy zatrudniające do kilku pracowników powinny zadbać przede wszystkim o dopełnienie obowiązków formalnych związanych z RODO, a więc prowadzić rejestry czynności przetwarzania danych, zabezpieczać dane zgodnie z obowiązującymi standardami i odpowiednio do pojawiających się zagrożeń, a także dbać o obowiązek informacyjny i realizację praw właściciela danych zgodnie z wytycznymi normy.
Wprowadzenie RODO w małej firmie warto rozpocząć od audytu, sprawdzając w ten sposób wszystkie umowy, dostępy pracowników, przechowywane i przetwarzane dane, ich zabezpieczenia (fizyczne i informatyczne) oraz realizację obowiązku informacyjnego. Audyt będzie stanowił podstawę do dalszych działań, wskazując na działania które należy udoskonalić i poprawić by uzyskać zgodność z wymogami RODO.
Mała firma powinna zająć się w pierwszej kolejności sporządzeniem rejestru czynności przetwarzania danych – spisać wszystkie formy danych, jakie posiada i przetwarza, w tym zarówno danych klientów, jak i kontrahentów oraz pracowników. Na podstawie sporządzonego rejestru oraz wyników audytu należy wdrożyć środki bezpieczeństwa, dbając o dane przechowywane na komputerach i w systemach informatycznych, jak i w formie dokumentów fizycznych, które mogą zostać skradzione, zniszczone lub udostępnione osobom trzecim. Małe firmy nie mają obowiązku wyznaczania inspektora danych osobowych, ale jeśli przetwarza dane szczególne, wrażliwe oraz działa na dużą skalę, rola inspektora może okazać się bardzo pomocna – powołana osoba będzie odgrywała rolę konsultanta i audytora, ułatwiając utrzymanie zgodności z RODO na każdym etapie działania firmy.
Dlaczego warto korzystać ze szkoleń w zakresie RODO?
Jednym z punktów istotnych przy wdrażaniu RODO w małej firmie jest upoważnienie pracowników mających dostęp do danych, a także przygotowanie wszystkich pracowników w zakresie obowiązujących zabezpieczeń i nowych wytycznych odnośnie gwarantowania bezpieczeństwa i ochrony informacji. Wykorzystanie zorganizowanego zewnętrznego szkolenia RODO może okazać się praktycznym narzędziem przedstawiającym wszystkie najważniejsze zagadnienia rozporządzenia i pokazującym które aspekty ochrony danych osobowych będą z perspektywy małej firmy najważniejszej. Uczestnictwo w takim szkoleniu warto zaplanować nawet przed faktycznym wdrożeniem wymogów rozporządzenia w firmie – zawartość szkolenia pozwoli lepiej przygotować się na sprawny i skuteczny proces wdrażania RODO.
Wszystkim chętnym polecamy kursy z wdrożenia RODO przeprowadzane przez firmę Bureau Vertias. Na szkolenie można się zapisać telefonicznie:
+48 22 549 04 33 lub mejlowo: patrycja.zbikowska@bureauveritas.com
