Nowe przepisy RODO. Czy trzeba powołać specjalistę do ochrony danych w małej firmie

Emilia Bartkowiak

Autor: Emilia Bartkowiak

Dodano: 13 marca 2018
Pytanie:  Prosiłabym o kilka wskazówek odnośnie wdrożenia systemu RODO w małej firmie. Zajmujemy się obróbką skrawania elementów metalowych. Zatrudniamy 12 pracowników oraz 8 uczniów. Procesy w których przetwarzane są dane osobowe to: zatrudnienie, rozliczenia z odbiorcami i dostawcami, Wojewódzka Komenda OHP Centrum Edukacji i Pracy Młodzieży w związku z refundacją wynagrodzeń pracowników młodocianych. W firmie korzystamy z programu Płatnik, do fakturowania oraz PKPiR. Nie posiadam żadnej wiedzy w tym temacie. Czy trzeba będzie skorzystać z pomocy zewnętrznej? Sama zajmuję się całą dokumentacją firmy, nie korzystamy z pomocy żadnego biura rachunkowego.
Odpowiedź: 

Mała firma, tak jak opisana przez Panią wprowadzająca w swojej działalności zasady RODO, nie ponosi przy tym zbyt dużych kosztów. W wielu przypadkach wystarczy powołanie jednego Inspektora Ochrony Danych dla danej grupy, a nie musi on być zatrudniony w firmie na pełny etat. Może to być konsultant wykonujący pracę na podstawie umowy cywilnoprawnej.

Przypomnijmy, że od dnia 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej (zatem także w Polsce) zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych (także małe przedsiębiorstwa).

Dane osobowe, w rozumieniu powyższego rozporządzenia, to takie dane, które pozwalają zidentyfikować osobę fizyczną. Mogą to być informacje takie jak: imię, nazwisko, numer PESEL, płeć, adres e-mail, ale również mniej oczywiste jak numer IP, dane o lokalizacji, kod genetyczny, poglądy polityczne czy historia zakupów. Wszelkie informacje zbierane na temat osoby, które pozwalają na ustalenie jej tożsamości, są danymi osobowymi, niezależnie od tego, czy są przetwarzane w formie papierowej czy cyfrowej.

Przeczytaj także:

Obowiązki:

  1. Prowadzenie tzw.  rejestru czynności – ma on zastąpić obowiązek zgłaszania zbiorów danych do organu nadzorczego (obecnie GIODO). Rejestr będzie sporządzany wewnątrz przedsiębiorstwa albo innej instytucji prywatnej bądź publicznej, a dokumentacja z rejestru pozwoli rozliczać się przed organem nadzoru w przypadku  kontroli.
W rejestrze powinny być zapisane wszystkie czynności związane z przetwarzaniem danych osobowych.

„Czynności związane z przetwarzaniem danych” nie są tym samym co „operacje przetwarzania” (operacje przetwarzania czyli m.in. zbieranie, porządkowanie, usuwanie danych osobowych).

Kształtując rejestr na podstawie kategorii podmiotów danych, można wyróżnić np. pracowników i klientów.

Następnym krokiem jest określenie czynności przetwarzania danych w danej kategorii.

W kategorii pracowników mogą to być czynności przetwarzania dotyczące np.: zatrudniania, wypłaty wynagrodzenia, organizacji wyjazdów służbowych, ubezpieczenia społecznego, ubezpieczenia chorobowego.

Każdej kategorii czynności, powinny być przypisane operacje przetwarzania. Ponadto, w rejestrze powinien zostać zamieszczony szereg innych informacji – te, które muszą zostać zamieszczone w rejestrze prowadzonym  odpowiednio przez administratora danych i przetwarzającego, określone zostały w przepisie (art. 30 RODO).

To, w jakiej formie rejestr będzie prowadzony, jest sprawą indywidualną organizacji –  może to być dowolny typ pliku w wybranym programie komputerowym.

W tym względzie RODO nie narzuca konkretnych rozwiązań, tylko wskazuje kryteria, jakie każdy rejestr musi wypełniać. Istotne jest to, aby rejestr czynności był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.

Rejestr czynności, nie musi być prowadzony w przedsiębiorstwach zatrudniających mniej niż 250 osób, chyba że:
  • przetwarzanie może naruszać prawa lub wolności osób, których dane przetwarzamy np. może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości,
  • przetwarzanie obejmuje szczególne kategorie danych (np. dane biometryczne) lub dane dotyczące wyroków skazujących i naruszeń prawa,
  • przetwarzanie nie ma charakteru sporadycznego, np. przetwarzanie danych związanych z zarządzaniem Klientami, zarządzaniem Personelem.

 

2. Uzyskanie zgody na przetwarzanie danych osobowych na gruncie RODO - RODO w zakresie zgody jest jasne – ma być uprzednia, wyraźna, dobrowolna, a jej fakt wyrażenia musi zostać udokumentowany przez administratora. W trakcie wyrażania zgody użytkownik musi otrzymać informację, że będzie mógł taką zgodę odwołać w każdym czasie.

Aby wysyłać emaile/sms – y, firmie pogrzebne są zgody na przesyłanie informacji handlowych oraz na używanietelekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

3. RODO wprowadza szczególną sytuację dotyczącą zgody wyrażanej przez dziecko – jeśli użytkownik ma poniżej 16 lat (wg RODO, bo przepisy krajowe mogą wprowadzić niższą barierę, nie niższą niż 13 lat – polski ustawodawca planuje skorzystać właśnie z 13 lat), to musisz mieć zgodę jego przedstawiciela ustawowego na przetwarzanie jego danych osobowych;

4. Prowadzenie wewnętrznej dokumentacji RODO - w takich dokumentach powinny zostać zawarte informacje o tym, jak postępuje się z danymi osobowymi w firmie (tj. gdzie dane są przetwarzane, w jaki sposób, jakie zabezpieczenia zostały wdrożone etc.).

  • preambuła: motywy 13, 82 i 89, art. 4 pkt 1 i 2, art. 30 ogólnego rozporządzenie o ochronie danych osobowych 2016/679 (RODO).
Emilia Bartkowiak

Autor: Emilia Bartkowiak

Radca prawny, wieloletni współpracownik Kancelarii Radcowskiej, specjalista z zakresu prawa podatkowego i gospodarczego, autorka licznych artykułów, porad, opinii i komentarzy o tematyce podatkowo-gospodarczej
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz