Rozporządzenie o ochronie danych osobowych jest skierowane do wszystkich podmiotów, które gromadzą lub wykorzystują dane osób fizycznych. O konieczności stosowania Rozporządzenia o ochronie danych osobowych (RODO)u przedsiębiorcy decyduje zatem wyłącznie fakt przetwarzania przez niego danych osobowych.

Zbieranie i gromadzenie danych klientów w  postaci  imienia, nazwiska,  adresu poczty elektronicznej, numeru telefonu, adresu czyli  budowanie i posiadanie bazy klientów jest istotnym elementem pracy każdego przedsiębiorstwa. Z bazy danych może  korzystać gabinet kosmetyczny, szkoła tańca lub nauki języków obcych oraz sklep internetowy  w celu komunikacji z klientami, sprzedaży, reklamowania własnych produktów  i usług lub wysyłki newsletteru.

Nie ma znaczenia miejsca przechowywania tych danych:  na dysku w komputerze, w pamięci USB, w segregatorze  czy w prywatnym notatniku. Skoro te informacje są przechowywane w uporządkowany sposób, to w rozumieniu prawa są przetwarzane. W skutek tego powstaje  obowiązek zastosować się do nowych przepisów o ochronie danych osobowych, czyli przestrzegać postanowień RODO.

Unijne przepisy zatem   mają zastosowanie nie tylko dla dużych przedsiębiorstw  ale również w takim samym zakresie  dla przedsiębiorców prowadzących jednoosobową działalność gospodarczą  bez względu na to, ilu pracowników zatrudnia dana firma czy z iloma klientami współpracuje, gdzie odbywa się to przetwarzanie ani gdzie znajdują się serwery. Nie ma znaczenia również narodowość osób, których dane osobowe są przetwarzane.

Jakie dane osobowe są  przetwarzane w małej firmie?

Dane osobowe definiuje się jako informacje, dzięki którym możliwe jest zidentyfikowanie osoby fizycznej. Pojęcie danych osobowych ma charakter otwarty, mogą to być informacje, które identyfikują  osobę (imię, nazwisko, data urodzenia, wizerunek), które odnoszą się do jej cech lub statusu osobistego (wykształcenie, status cywilny, obywatelstwo) oraz informacje o charakterze życiowym (wysokość  wynagrodzenia). Typowymi danymi osobowymi są: imię, nazwisko, adres, PESEL, adres poczty elektronicznej.

Wskazane wyżej dane są bardzo ogólne i jako pojedyncze informacje nie będą stanowiły danych osobowych i dopiero zestawienie ich z dodatkowymi danymi pozwoli na identyfikację konkretnej osoby np. nazwisko zestawione z  datą urodzenia będzie już danymi osobowymi. Danymi osobowymi  również będą adres e-mail  zawierający w swojej treści imię i nazwisko lub umożliwiający identyfikację użytkownika,  dane biometryczne, wizerunek, jeżeli w łatwy sposób można połączyć go z innymi danymi, które indywidualizują osobę, co powoduje że podlegają one ochronie.  

Kto może przetwarzać dane osobowe?

Dane osobowe może przetwarzać przedsiębiorca jako administrator danych lub jako podmiot przetwarzający.

Status administratora może mieć  osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, natomiast podmiotem przetwarzającym według rozporządzenia jest podmiot, który  przetwarza dane osobowe w imieniu administratora

Na przykład, pracodawca w stosunku pracowników jest administratorem danych, natomiast podmiot przeprowadzający rekrutację na zlecenie pracodawcy wobec kandydatów do pracy jest podmiotem przetwarzającym. (Zobacz artykuł  Kto jest  administratorem a kto procesorem kim w procesie przetwarzania danych).

Kiedy można przetwarzać dane osobowe?

Dane osobowe można przetwarzać wyłącznie wtedy, gdy istnieje tzw. podstawa prawna przetwarzania danych. W przypadku przedsiębiorców typowymi podstawami przetwarzania danych zwykłych są:

- zgoda osoby, której dane dotyczą (np. na założenie konta lub otrzymanie newsletter),

- przetwarzanie danych niezbędne do wykonania umowy z osobą, której dane dotyczą (np. realizacja przez sklep internetowy zamówienia klienta),

- przetwarzanie niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np.  wystawienie faktur),

- przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (np. marketing bezpośredni własnych usług).

Czym jest ochrona danych osobowych?

RODO wymagają od podmiotów  przetwarzających dane podjęcie pewnych działań w celu zabezpieczenia przetwarzanych danych przed ich utratą, nieuprawnionym  udostępnieniem, przetwarzaniem niezgodnym z prawem,  zagrożeniem środowiskowym jak pożar czy zalanie. Przepisy o ochronie danych osobowych nie wskazują konkretnych rodzajów zabezpieczeń, ich dobór zależy od konkretnej firmy.

Pierwszym działaniem, które należy podjąć, wdrażając RODO  jest analiza wszystkich obszarów działania przedsiębiorstwa  związanych z przetwarzaniem danych osobowych, ustalenie kategorii danych, którymi podmiot dysponuje, w jaki sposób je  przetwarza, w jakiej formie przechowuje, czy uzyskał od klientów lub pracowników zgodę na przetwarzanie tych danych osobowych, tak że trzeba przeanalizować umowy i zakres niezbędnego przetwarzania.

Rezultatem tej analizy będzie wybór rozwiązania, które zapewni optymalną ochronę danych, przygotowanie odpowiedniej dokumentacji oraz  przeszkolenie personelu z nowych procedur postępowania z danymi osobowymi.  Przedsiębiorca może zlecić również przeprowadzenie audytu  zgodności stanu faktycznego z RODO  firmom outsourcingowym.

 Przykładowe formy zabezpieczeń danych w małej firmie to:

- sporządzenie  jakie dane są przetwarzane, w których czynnościach, czy  nie są zbierane niepotrzebnie,  komu są udostępniane;

- ocena które dane są najbardziej cenne z punktu widzenia firmy,   wyciek których danych osobowych mógłby spowodować największe niepożądane działania (w ten sposób zostanie przeprowadzona uproszczona analiza ryzyka);

- podpisywanie umów powierzenia z podmiotami, którym dane są przekazywane;

-  wydawania upoważnień do przetwarzania danych;

- określenie procedur jakie pozwolą zabezpieczyć przetwarzane dane osobowe, np. obowiązek hasłowania komputerów, przechowywanie ważnych danych w szafach zamykanych na klucz,  tworzenie kopii zapasowych;

-  stworzenie procedury postepowania w przypadku „wycieku danych";

- instruktarz lub szkolenie personelu w celu podniesienia poziomu świadomości  co do obowiązujących sposobów postępowania z danymi osobowymi.      

Te wszystkie czynności przyczyniają się do zabezpieczenia danych.

Warto pamiętać, że istotny jest skutek a nie metoda jaką organizacja wybierze w zakresie ochrony danych osobowych. Z uwagi na ciągły rozwój technologii, strategii marketingowych, modelów zarządzania i kanałów dystrybucji, bezpieczeństwo i prywatność muszą być wkomponowane w procesy biznesowe danego przedsiębiorcy. RODO zmienia dotychczasowe podejście do ochrony danych, mówiąc, że trzeba  nieustannie monitorować efektywności wdrożonych środków organizacyjnych i technicznych, które mogą demonstrować zgodność przestrzegania przepisów rozporządzenia. Niestety większość przedsiębiorców  błędnie  podchodzi do wdrożenia RODO jak do jednorazowego działania.

Olga Sklyarova, audytor JDS Consulting