Firmy, które nie zaczęły jeszcze przygotowywać się do RODO, nie znajdą już eksperta, który przed 25 maja dokona audytu i wdrożeń. Czasu mało, kolejka oczekujących duża. Na szczęście mali przedsiębiorcy sami poradzą sobie z nowymi obowiązkami.
Do wejścia w życie zupełnie nowych przepisów regulujących ochronę danych osobowych został niewiele ponad miesiąc. To nie nowelizacja: przepisy zostały napisane zupełnie od początku i w bardzo wielu miejscach mamy do czynienia z całkowicie nową "filozofią" ochrony danych osobowych.
Nie bez przyczyny w artykułach zapowiadających RODO (ogólne rozporządzenie o ochronie danych osobowych) przewija się słowo "rewolucja". 25 maja 2018 r. zacznie nie tylko obowiązywać nowa ustawa, ale drobne zmiany obejmą też blisko 200 innych aktów prawnych.
Czasu było dużo, ale wiele firm zwlekało
Zakres zmian jest ogromny, stąd firmy miały bardzo dużo czasu na przygotowanie się do nich. Choć w kwietniu 2016 r. uchwalono RODO, które zastąpi przepisy dotychczasowej polskiej ustawy o ochronie danych osobowych i już od tego momentu było wiadomo, co konkretnie się zmieni, wiele firm ignorowało konieczność dostosowania się do zmian.
Zobacz też: * *Tajemniczy czteroliterowy skrót. Co RODO oznacza dla mikroprzedsiębiorców
Właściwie każda firma przetwarza dane osobowe swoich klientów, kontrahentów albo potencjalnych klientów, czyli na przykład odbiorców newslettera. Nie przetwarza danych osobowych szewc czy krawiec, który przyjmuje buty do naprawy w warsztacie czy pracowni, nie podpisuje umów, nie prowadzi programów lojalnościowych, ale to raczej wyjątki.
Czytaj też: Po co RODO? Debata money.pl
Znakomita część przedsiębiorców jednak dane takie jak: imię i nazwisko, adres mailowy, numer telefonu, przetwarza, więc można uznać, że nowe przepisy powinny zainteresować każdego, kto prowadzi działalność.
Przetwarzanie to pojęcie bardzo szerokie. Rejestracja, porządkowanie, przechowywanie, gromadzenie, ale też blokowanie i ich niszczenie mieszczą się w tej kategorii.
Audyt ochrony danych osobowych: przydatny, ale dobrowolny
Zanim przedsiębiorca zacznie dostosowywać się do nowych regulacji, musi zorientować się, jak działa ochrona danych osobowych w jego firmie, czego brakuje, jak osiągnąć cel możliwie najmniejszym nakładem sił i środków. Odpowiedzi na to i wiele innych pytań udzieli audyt dokonany przez specjalistę.
Audytor zbada, jakie konkretnie dane są przetwarzane, w jakim celu i zakresie się to odbywa – i czy rzeczywiście jest to niezbędne dla osiągnięcia celu. Skoro dane podlegają jak najdalej idącej ochronie, to powinny być przetwarzane tylko w niezbędnym zakresie. Przykładowo, po co przy zapisaniu się do newslettera klient ma podawać adres domowy? To nieuzasadnione i powinno zostać zmienione.
Należy zbadać, jakie konkretnie dane przetwarzamy, w jakim celu to robimy i czy zakres, w którym je zbieramy, jest faktycznie niezbędny dla deklarowanego celu. Tam, gdzie audyt wykaże naruszenia, należy oczywiście jak najszybciej wdrożyć działania korygujące.
Rzetelnie przeprowadzona analiza to pierwszy krok do utworzenia rejestru czynności przetwarzania, który będzie obowiązkowy dla przedsiębiorców zatrudniających więcej niż 250 pracowników oraz tych, którzy przetwarzają dane wrażliwe – a to tylko przykłady.
Audyt pomoże też w aktualizacji wszystkich przetwarzanych danych i uporządkowaniu dokumentacji oraz procedur.
Duże kolejki po poradę
Duże firmy – które też ryzykują najwyższe kary za brak dostosowania się do wymogów – zapewne takim profesjonalnym badaniem będą zainteresowane. Właściciele małych pewnie będą mieć dylemat, czy się na taką usługę zdecydować. Audyt nie jest bowiem obowiązkowy: firma ma stosować się do zasad, a jakimi sposobami ustali, czy jej procedury spełniają wymogi prawne, to już sprawa drugorzędna.
Nie ma jakiegoś uniwersalnego cennika. Firmy audytorskie różnie wyceniają swoje usługi w zależności od tego, jak złożony jest ich zakres. Audyt przeprowadzony w małej firmie będzie oczywiście tańszy niż gdy zleci go przedsiębiorstwo zatrudniające stu pracowników, ale bez względu na wielkość firmy właściciel musi mieć na względzie, że zlecenie audytu „na zaraz” raczej się nie uda.
Specjalistów od ochrony danych osobowych, którzy potrafią kompleksowo zbadać ich przetwarzanie w różnych obszarach działalności firmy, jest niewielu i od wielu miesięcy mają długie listy oczekujących. Sytuacji nie poprawia wspomniany już fakt, że gros przedsiębiorców zaczął myśleć o dostosowaniu się do nowych przepisów zaledwie na kilkanaście miesięcy przed ostatecznym terminem, a więc naprawdę w ostatniej chwili.
Małe firmy nie potrzebują wielotysięcznych nakładów
Co robić, gdy firma „przespała” moment, w którym należy zlecić audyt i przygotować się do nowego prawa? Nie panikować. Nie jest tak, że każda firma potrzebuje jakichś bardzo daleko idących zmian, przebudowy systemu, zakupu drogiego oprogramowania. Małe, które nie przetwarzają wielu danych (bo zatrudniają niewielu pracowników i świadczą usługi na rzecz niewielkiej i stałej grupy kontrahentów), prawdopodobnie poradzą sobie z tym zadaniem same.
Weźmy jako przykład właściciela niewielkiej szkoły językowej. Nie zatrudnia nauczycieli, lekcji indywidualnych udziela tylko jej właściciel. Szkoła działa na rynku od roku, więc w bazie klientów ma zaledwie około 30 kursantów. Szkoła nie wysyła newslettera.
Właściciel powinien przeanalizować, jakie dane osobowe przetwarza, w jakim celu i na jakiej podstawie prawnej (zgoda osoby, umowa). Następnie musi zastanowić się, jak przechowuje dane i kto ma do nich dostęp. Czy dane są odpowiednio zabezpieczone?
Zgoda na przetwarzanie danych ma być sformułowana w sposób przejrzysty – żadnego prawniczego żargonu, żadnych niezrozumiałych sformułowań.
Ustawa więcej wymaga od dużych przedsiębiorców, a mali mogą korzystać z pewnych ułatwień. Dodajmy przy tym, że w myśl omawianych przepisów za małą firmę uważa się taką, która zatrudnia do 250 osób!
Dla przykładu, nie muszą one informować klientów o okresie, przez który dane będą przechowywane, prawie do cofnięcia zgody, prawie do wniesienia skargi i prawie do żądania od administratora dostępu do swoich danych, możliwości ich sprostowania i usunięcia.
Każdy przedsiębiorca, bez względu na wielkość, będzie natomiast zobowiązany do poinformowania osób, których danebędą przetwarzane, o celu i podstawie prawnej przetwarzania danych.
Ponadto małe i średnie firmy będą też zobowiązane do poinformowania prezesa Urzędu Ochrony Danych Osobowych o ewentualnych naruszeniach RODO.