Prowadzisz niewielki biznes – może to salon kosmetyczny, butik internetowy, a może jednoosobowa agencja marketingowa. Na głowie masz pozyskiwanie klientów, księgowość i tysiąc innych spraw. I nagle przypominasz sobie o tych czterech magicznych literach: RODO.
Wielu moich Klientów przychodzi do Kancelarii z przerażeniem w oczach. Myślą, że RODO to potężna biurokracja, która dotyczy tylko wielkich korporacji i banków. Prawda jest jednak inna. Prawo nie rozróżnia firm na małe i duże – jeśli zbierasz imiona, nazwiska czy numery telefonów swoich klientów, przepisy Cię dotyczą.
Wiem, że ten temat potrafi spędzać sen z powiek. Dlatego w dzisiejszym artykule wyjaśnię Ci ludzkim językiem, jak wdrożyć RODO w małej firmie, na co zwrócić uwagę i jakich dokumentów absolutnie potrzebujesz, by spać spokojnie i nie bać się kontroli.
Czy mała firma naprawdę musi mieć RODO?
Krótka odpowiedź brzmi: tak. Długa odpowiedź kryje się w art. 2 ust. 1 Rozporządzenia (UE) 2016/679 (czyli RODO). Przepisy te stosuje się do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany (np. w komputerze, na smartfonie), a także do danych tworzących zbiory papierowe (np. tradycyjne wizytowniki, teczki klientów).
Nie ma znaczenia, czy zatrudniasz 100 osób, czy pracujesz sam. Znaczenie ma to, co robisz z danymi klientów i pracowników.
Jak wdrożyć RODO w małej firmie w 5 krokach?
Wdrażanie RODO nie musi oznaczać paraliżu Twojej firmy. To raczej uporządkowanie tego, co i tak już robisz. Oto proces, przez który przeprowadzam przedsiębiorców:
Krok 1: Zrób wielkie sprzątanie (Audyt danych)
Zanim zaczniesz tworzyć dokumenty, musisz wiedzieć, na czym stoisz. Zastanów się, jakie dane zbierasz, skąd je masz i po co Ci one. Musisz przypisać każdemu zbiorowi danych tzw. podstawę prawną przetwarzania (zgodnie z art. 6 RODO). Najpopularniejsze z nich to:
-
Zgoda klienta (np. na zapis do newslettera).
-
Niezbędność do wykonania umowy (np. gdy bierzesz adres, by wysłać paczkę z e-sklepu).
-
Prawny obowiązek (np. dane na fakturze, które musisz trzymać dla Urzędu Skarbowego).
Krok 2: Opracuj Rejestr Czynności Przetwarzania (RCP)
Zgodnie z art. 30 RODO, to najważniejszy dokument w Twojej firmie. To po prostu tabela (może być w Excelu), w której zapisujesz: kto, po co, na jakiej podstawie i jak długo przetwarza dane w Twojej firmie.
Ważna uwaga prawnika: Art. 30 ust. 5 RODO zwalnia firmy poniżej 250 pracowników z obowiązku prowadzenia RCP, ale tylko wtedy, gdy przetwarzanie danych ma charakter sporadyczny i nie rodzi ryzyka. W praktyce, jeśli masz e-sklep lub regularnych pacjentów, ten wyjątek Cię nie dotyczy. Zawsze rekomenduję stworzenie tego rejestru – to Twoja tarcza w razie kontroli Urzędu Ochrony Danych Osobowych (UODO).
Krok 3: Spełnij obowiązek informacyjny (Klauzule)
Klient musi wiedzieć, co robisz z jego danymi. Zgodnie z art. 13 RODO, podczas zbierania danych musisz poinformować klienta m.in. o tym: kto jest administratorem danych, w jakim celu je przetwarzasz, jak długo będziesz je trzymać i o prawach, jakie mu przysługują (np. prawo do bycia zapomnianym). W e-sklepie robisz to za pomocą Polityki Prywatności, a w salonie stacjonarnym – np. wywieszając klauzulę na tablicy w poczekalni.
Krok 4: Zadbaj o bezpieczeństwo (Fizyczne i IT)
Zgodnie z art. 32 RODO, musisz wdrożyć odpowiednie środki techniczne i organizacyjne. Brzmi groźnie? W małej firmie oznacza to zazwyczaj:
-
Zamykanie szafek z dokumentami na klucz (polityka czystego biurka).
-
Silne, regularnie zmieniane hasła do komputerów i programów.
-
Zabezpieczenie telefonu firmowego PIN-em i biometrią.
-
Stosowanie certyfikatów SSL na stronie internetowej.
Krok 5: Podpisz Umowy Powierzenia Przetwarzania Danych
To punkt, o którym zapomina 90% małych firm! Jeśli korzystasz z usług zewnętrznej księgowej, biura rachunkowego, firmy hostingowej (gdzie trzymasz pocztę) czy zewnętrznego systemu do mailingu – musisz podpisać z nimi Umowę Powierzenia Przetwarzania Danych (art. 28 RODO). Bez tego przekazujesz im dane klientów nielegalnie!
Co, jeśli dojdzie do wycieku?
Zgubiłeś służbowy pendrive z listą klientów? Ktoś włamał się na Twoją pocztę? To tzw. naruszenie ochrony danych. Prawo jest tu bardzo surowe. Zgodnie z art. 33 RODO, jako administrator masz zaledwie 72 godziny na zgłoszenie takiego faktu do Prezesa Urzędu Ochrony Danych Osobowych (chyba że naruszenie raczej nie skutkuje ryzykiem naruszenia praw osób fizycznych). Zamiatanie sprawy pod dywan to najgorsze, co możesz zrobić.
Podsumowanie – koszty i kary
Kary za łamanie RODO mogą być gigantyczne – zgodnie z art. 83 RODO sięgają nawet 20 milionów euro lub 4% całkowitego rocznego światowego obrotu. Oczywiście w przypadku małych firm UODO nie nakłada takich kwot, ale nawet kara rzędu kilkunastu tysięcy złotych może zachwiać płynnością mikroprzedsiębiorstwa.
To, jak wdrożyć RODO w małej firmie, zależy od specyfiki Twojej branży. Gotowe szablony z internetu za 50 zł rzadko kiedy stanowią realne zabezpieczenie, bo nie uwzględniają Twoich unikalnych procesów.
Nie ryzykuj bezpieczeństwa swojego biznesu i zaufania klientów. Zadbaj o RODO raz, a dobrze.
FAQ – Najczęściej zadawane pytania
Q: Kto w małej firmie jest Administratorem Danych Osobowych (ADO)? A: Administratorem jest zawsze podmiot, który decyduje o celach i sposobach przetwarzania danych. W przypadku jednoosobowej działalności gospodarczej (JDG) Administratorem jesteś Ty (przedsiębiorca).
Q: Co to jest „Prawo do bycia zapomnianym”? A: Zgodnie z art. 17 RODO, każdy człowiek ma prawo zażądać, abyś trwale usunął jego dane z Twoich baz. Musisz to zrobić bez zbędnej zwłoki, chyba że przepisy nadrzędne (np. prawo podatkowe nakazujące trzymanie faktur przez 5 lat) mówią inaczej.
Q: Czy do wdrożenia RODO muszę zatrudniać Inspektora Ochrony Danych (IOD)? A: Zazwyczaj nie. Małe firmy nie mają takiego obowiązku (zgodnie z art. 37 RODO), chyba że główna działalność polega na regularnym i systematycznym monitorowaniu ludzi na dużą skalę lub przetwarzaniu tzw. danych wrażliwych (np. przychodnie lekarskie).
Q: Ile kosztuje poprawne wdrożenie RODO w małej firmie? A: Koszty różnią się w zależności od tego, jak dużo danych przetwarzasz. Spersonalizowany audyt prawny i przygotowanie dokumentacji przez Kancelarię to zazwyczaj wydatek od około 1000 do kilku tysięcy złotych, co stanowi świetną inwestycję w bezpieczeństwo.
Q: Czy RODO chroni dane moich konkurentów (innych firm)? A: RODO dotyczy wyłącznie danych osób fizycznych. Jeśli jednak komunikujesz się z osobami fizycznymi prowadzącymi jednoosobową działalność gospodarczą (JDG), ich dane (np. imię, nazwisko w nazwie firmy, e-mail osobisty) podlegają pod RODO.