Jak przetwarzać dane w małej firmie czyli RODO w praktyce

RODO w startupie – kompendium wiedzy o przetwarzaniu danych w firmie

Planujesz swój pierwszy startup? Oprócz szukania odpowiedniego źródła finansowania, musisz również pomyśleć o tym, jak w firmie będą chronione dane osobowe. Aby móc działać zgodnie z prawem, należy zapoznać się z rozporządzeniem UE o nazwie RODO. Brak wiedzy w tej kwestii może się okazać źródłem poważnych problemów finansowych, dlatego warto zapoznać się z jego warunkami.

RODO ustawa, czyli jak dbać o dane osobowe w startupie?

Rozporządzenie Ogólne o Ochronie Danych Osobowych weszło w życie 25 maja 2018 roku. RODO wymusza na przedsiębiorcach dbałość o dane osobowe przetwarzane w każdej firmie. Jest to prawo uchwalone przez parlament Unii Europejskiej, w związku z czym musi być przestrzegane nie tylko w Polsce, ale w każdym kraju członkowskim. Nad jego stosowaniem czuwa Inspektor Ochrony Danych. Jest on odpowiedzialny za bezpieczeństwo danych i wykrywanie naruszeń. Odstępstwa od RODO muszą zostać przez niego zgłoszone poprzez raport do urzędu kontroli.

Z punktu widzenia konsumenta przepisy RODO to krok naprzód w kwestii chronienia danych osobowych, w tym:

  • imienia i nazwiska,
  • numeru PESEL,<l/i>
  • adresu zamieszkania,
  • numeru telefonu,
  • danych wrażliwych.

Rozporządzenie określa szereg praw przysługujących konsumentom, a w tym:

  • prawo do bycia zapomnianym – wystarczy wysłać wniosek o usunięcie danych osobowych z bazy danego przedsiębiorcy,
  • uprawnienia do żądania przeniesienia danych z jednej bazy do drugiej na podstawie wcześniej podpisanej umowy,
  • rozszerzone prawo sprzeciwu w związku z przetwarzaniem danych, np. do zakazania marketingu bezpośredniego z wykorzystaniem tych danych,
  • wzmocnione prawo do kontrolowania własnych danych w różnych bazach danych.

Żadna firma nie może bez ważnego pozwolenia korzystać z danych osobowych konsumentów. Korzystanie z tych danych może zostać przez klienta danego sklepu lub firmy pożyczkowej wstrzymane w dowolnym momencie. Nie oznacza to oczywiście, że można usunąć swoje dane w czasie spłaty rat pożyczki. Ale przedsiębiorca nie może np. telefonicznie przetwarzając dane osobowe klienta korzystać z nich bez uprzedniej zgody klienta.

Co oznaczają przepisy RODO dla startupu? Kontrola przetwarzania danych

Czym jest przetwarzanie danych? Już samo ich zbieranie i przechowywanie w uporządkowany sposób np. w celu sprzedaży danych produktów podlega tej definicji. Dane przechowywane w ramach prowadzenia działalności gospodarczej muszą być kontrolowane i trzymane w zabezpieczonych warunkach. W związku z tym każde przedsiębiorstwo, które przetwarza dane, ma obowiązek tworzenia rejestrów, uwzględniających:

  • powody przetwarzania danych osobowych klientów,
  • kategorie danych osobowych należących do klientów i kontrahentów,
  • adresatów danych,
  • rejestry międzynarodowych transferów danych,
  • rejestry naruszeń i incydentów związanych z RODO,
  • określenie rozwoju i utrzymania zasad ochrony prywatności na liniach produktowych,
  • zgody potwierdzające prawo do przechowywania danych osobowych w firmie.

Zgodnie z przepisami narzuconymi przez RODO, firmy muszą też w ciągu 72 godzin raportować każdy wyciek, zniszczenie i nieautoryzowane naruszenie danych osobowych do organu sprawującego nadzór. Co więcej, taka informacja musi również zostać przekazana klientom.

Kto musi stosować się do RODO

Obowiązek przestrzegania przepisów rozporządzenia Unii Europejskiej posiada każdy przedsiębiorca realizujący swoje działania na terenie krajów należących do Unii. W związku z tym RODO powinny stosować nie tylko firmy posiadające w Unii swoją siedzibę. Do RODO muszą stosować się również firmy, które:

  • oferują swoje usługi klientom spoza Unii, ale mają głównę siedzibę na jej terenie,
  • przetwarzają dane za pomocą chmury obliczeniowej – bez znaczenia znaczenia, w jakim miejscu na świecie znajdują się serwery,
  • prowadzą biura rachunkowe rozliczające inne przedsiębiorstwa.

RODO nie dotyczy natomiast osób przetwarzających dane do użytku prywatnego. Prawo nie określa sposobu przechowywania np. listów prywatnych czy kartek świątecznych. Dlatego w przypadku prywatnej korespondencji, przedsiębiorca nie musi się stosować do tego rozporządzenia.

Jak wdrożyć RODO w startupie?

Wdrożenie przepisów RODO w początkującym startupie może być przyczyną błędów. Priorytetem powinno być nabycie wiedzy i umiejętności z zakresu ochrony danych osobowych. W programie RODO zostały przewidziane szkolenia dla przedsiębiorców. Sam dostęp do wiedzy może kosztować od 500 zł do nawet 1 tys. zł. Koszty zależą od długości nauki i wielkości przedsiębiorstwa. Wydatek jest jednak niski w stosunku do kar w przypadku niezastosowania się do RODO.

Aby zastosować się do RODO, na samym początku należy określić, jakie dane będą przetwarzane w startupie. Jeśli firma funkcjonuje już jakiś czas, powinniśmy przeprowadzić inwentaryzację danych. W tym celu musimy spojrzeć na:

  • wszystkie procesy zachodzące w firmie,
  • sposób pracy każdego działu – np. sposób ustawienia komputerów, szaf i innych miejsc, gdzie zbierane są dane osobowe,
  • pliki w systemach komputerowych – czy są uporządkowane i odpowiednio zabezpieczone przed wykradzeniem.

Taka inwentaryzacja pomoże miejsca, w których trzeba poprawić kwestię zabezpieczenia danych. Drugą korzyścią jest określenie celu przechowywania danych i odpowiednie ich uporządkowanie. Np. jeśli ustalimy że cel danych minął, to będzie można je wyrzucić bez negatywnych konsekwencji.

Kolejnym krokiem jest przeprowadzenie analizy ryzyka związanego z przechowywaniem informacji. Powinniśmy więc zwrócić uwagę na to, kto ma dostęp do danych, a kto powinien go mieć. W ten sposób łatwo zidentyfikować możliwe zagrożenia, np. sytuacje w których dane mogą ulec wykradzeniu. Na koniec wystarczy określić stopień i wagę dla każdego zidentyfikowanego ryzyka, szansę wystąpienia zagrożenia oraz jego znaczenie dla funkcjonowania firmy.

Analiza pozwoli na ustalenie rozwiązań, które mają na celu zminimalizowanie i zapobieganie wystąpieniu ryzyka. RODO nie wskazuje konkretnych środków ochrony, ponieważ jest to kwestia indywidualna każdej firmy. W startupie sprawdzą się inne rozwiązania, niż w dużym przedsiębiorstwie w szkole. Najważniejsza jest ich skuteczność.

Kara za udostępnienie danych osobowych. Konsekwencje są groźne

Przetwarzający dane przedsiębiorcy, którzy nie zastosują się do przepisów RODO ponoszą negatywne konsekwencje. “Kary za RODO” określa artykuł 58 rozporządzenia. Sankcje mogą się okazać bardzo dotkliwe, a wśród nich można wymienić:

  • ostrzeżenia, które wydawane są podmiotowi przetwarzającemu dane, np. administratorowi lub innej upoważnionej osobie. Stosowane są gdy zostanie stwierdzona możliwość naruszenia przepisów rozporządzenia,
  • upomnienia, które są udzielane podmiotom przetwarzającym dane w przypadku naruszenia przepisów w trakcie operacji przetwarzania danych,
  • nakazanie podmiotowi przetwarzającym dane spełnienie rządania klienta lub kontrahenta, wynikającego z przyznanych praw przysługujących na podstawie RODO,
  • nakazanie podmiotowi przetwarzającemu dane poinformowanie o naruszeniu ochrony danych osoby, której te dane dotyczą,
  • wprowadzenie czasowego lub całkowitego ograniczenia lub zakazu przetwarzania danych osobowych przez daną firmę,
  • cofnięcie certyfikacji przyznającej prawa do przetwarzania danych w przypadku niezastosowania się do wymogów RODO.

Za niestosowanie się do RODO grożą też wysokie, administracyjne kary pieniężne. Kara za udostępnienie danych osobowych może osiągnąć nawet 10 mln euro. W przypadku przedsiębiorstwa może to być również kara w wysokości 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Zastosowanie ma oczywiście kwota wyższa. Natomiast nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust.2. podlega jeszcze wyższej karze pieniężnej. Może ona osiągnąć wysokość do 20 mln euro. W przypadku przedsiębiorstwa może to być również 4 proc. całkowitego, rocznego światowego obrotu z poprzedniego roku obrotowego. Podobnie jak w przypadku pierwszej kary, stosuje się kwoty wyższe.

Przy udzielaniu kar stosuje się tzw. zasadę proporcjonalności, jednak wysokość kary najprawdopodobniej będzie dotkliwa. Istnieje możliwość, że kary zostaną połączone i oprócz wysokiego zobowiązania, przedsiębiorca będzie musiał również zamknąć lub całkowicie zawiesić swoją działalność.

Planując otworzenie firmy warto zwrócić uwagę na zapewnienie sobie odpowiedniego know how z różnych dziedzin. Oprócz stworzenia idealnego biznesplanu musimy również pamiętać o kwestii bezpieczeństwa danych naszych klientów i pracowników. To kwestia równie ważna jak finansowanie startupu. Nie powinniśmy więc skupiać się na negatywnych konsekwencjach nieprzestrzegania RODO. Rozporządzenie ma na celu zmuszenie przedsiębiorców do większej dbałości o dane. Jednocześnie ma to pozwolić na większą przejrzystość w działalności przedsiębiorstw w obrębie całej Unii Europejskiej.