25 maja to dzień wejścia w życie rozporządzenia w sprawie ochrony danych osobowych – RODO. Unijne przepisy dotyczące zapewnienia bezpieczeństwa danych osobowych od tej daty dotyczą wszystkich firm. Nie ma zatem znaczenia, czy jest to jednoosobowa działalność gospodarcza, spółka cywilna czy spółka z o.o. – każde z tych podmiotów obowiązuje ochrona danych osobowych. Bez znaczenia jest również liczba  zatrudnianych pracowników. Na pytanie jak RODO może wpłynąć na małe firmy odpowiada Ewa Szpytko-Waszczyszyn – ekspert wFirma.pl i MojeBiuro24.pl.

RODO w małej firmie – jak się odnaleźć?

Nie każdy jest świadomy tego, że ochrona danych osobowych na gruncie krajowym działała już od 1997 roku i również nakładała na firmy określone wytyczne dotyczące zabezpieczeń danych osobowych. RODO w porównaniu do tych przepisów jest mniej konkretne, bowiem mówi o tym, co trzeba chronić, ale nie wskazuje wprost, jak to robić. Zatem koncepcja ochrony danych osobowych ma być przede wszystkim dostosowana do zakresu przetwarzanych danych w firmie, uwzględniając ryzyko utraty i skutków, jakie będzie to niosło dla osób, których dane dotyczą.

Dane osobowe w małej firmie

Zawsze wdrażanie ochrony i dostosowywanie środków bezpieczeństwa zaczyna się od udzielenia odpowiedzi na dwa podstawowe pytania:

1. Jakie dane osobowe w firmie przetwarzam?
2. W jakich codziennych sytuacjach, czynnościach ich używam?

Odpowiedź na te pytania jest niczym innym jak tzw. identyfikacją zbiorów danych i procesów ich przetwarzania. Najczęstszą odpowiedzią małych firm będzie wskazanie obszarów takich jak:

• dane kontrahentów – w procesie zamówienia, fakturowania, prowadzenia ewidencji księgowych (czy to samodzielnej księgowości, czy też poprzez powierzanie danych fachowcom – biurom rachunkowym), czat, mail
• dane kontaktowe – wizytówki, kalendarze, zeszyty planowania spotkań, systemy CRM, formularz kontaktowy na stronie internetowej, czat, mail
• dane pracowników – w procesie zatrudnienia, rozliczania podczas przebiegu pracy z tytułu podatków i ZUS, ale także czasem i przy szkoleniach, udzielaniu benefitów jak prywatna opieka medyczna.

W przypadku firm na co dzień działających w internecie dochodzą czynności zapisów i wysyłki newsletterów czy wpinanie na własnej stronie internetowej narzędzi typu Pixel Facebooka, które powodują tzw. profilowanie dla celów wyświetlania odpowiednio dobranych komunikatów marketingowych w postaci reklam na Facebooku, na podstawie zaczytanych z poruszania się po stronach internetowych zachowań.

Dostosowanie zabezpieczeń i środków ochrony danych w małej firmie

Jeśli już wiemy, jakie dane przetwarzamy w firmie oraz w jakich codziennych czynnościach, kolejną rzeczą jest określenie zabezpieczeń i środków ochrony danych. Brzmi groźnie, natomiast jest to nic innego, jak podjęcie pewnych działań w celu zabezpieczenia przetwarzanych w firmie danych przed ich utratą, wykradnięciem czy przetwarzaniem niezgodnym z prawem.

Przykładowe formy zabezpieczeń danych w małej firmie to:

• sporządzenie spisu: jakie dane przetwarzamy, w których czynnościach, czy komuś je udostępniamy/powierzamy, a następnie uszeregowanie ich według kolejności – które dane są najbardziej cenne z punktu widzenia firmy oraz wyciek których danych osobowych mógłby spowodować największe niechciane skutki (ingerencja w godność i prawa osoby fizycznej) – w ten sposób przeprowadzisz uproszczoną analizę ryzyka
• korzystanie z usług firm, które dbają o bezpieczeństwo i dają narzędzia wspomagające przedsiębiorcę w wypełnianiu obowiązków RODO
• podpisywanie umów powierzenia z podmiotami, którym przekazujemy dane dla celów korzystania z ich usług
• zwiększanie świadomości i pilnowanie wydawania upoważnień do przetwarzania danych – przy zatrudnianiu pracowników zanim powierzysz pracę z danymi, przeszkol ich, tłumacząc, że są to chronione informacje, których ujawnienie osobom nieuprawnionym (wyciek) może powodować nałożenie bardzo wysokich kar prowadzących do zamknięcia firmy, a co za tym idzie utraty przez nich miejsca pracy
• określenie procedur – czyli wyznaczanie schematów działań, jakie pozwolą zabezpieczyć przetwarzane dane osobowe, np. zakaz wynoszenia dokumentów z firmy, obowiązek zahasłowania komputerów i dostępów do programów komputerowych, zakaz wyrzucania do zwykłych śmieci czy pozostawiania na drukarce dokumentów, na których widnieją dane osobowe, przechowywanie ważnych danych w zamykanych na klucz szafach (polityka kluczy, gdzie je umieszczamy po zakończonej pracy czy przy wyjściu z pokoju), procedury archiwizacji – tworzenia kopii zapasowych w przypadku danych przetwarzanych w komputerze.

Te wszystkie czynności przyczyniają się do zabezpieczenia danych. Ważne, by co jakiś czas zadawać sobie pytanie sprawdzające, czy wszystko to w praktyce działa, a jeśli tak, to czy coś jeszcze można zrobić, by lepiej chronić dane?

Wpływ RODO na małe firmy

Wejście w życie na gruncie krajowym nowych przepisów małym firmom może przysporzyć kłopotów, gdyż firmy te na co dzień dotąd raczej nie zastanawiały się nad ochroną danych osobowych. Zwiększenie możliwości nakładania kar w tym zakresie i dochodzenia odszkodowań motywuje je, by zacząć działać. Nie jest to proste, gdyż generuje to koszty. Mała firma, która ma zabezpieczyć komputery, prowadzić politykę tworzenia, odtwarzania i przechowywania kopii zapasowych w odrębnej lokalizacji niż ta, w której na co dzień dane są przechowywane, to konieczność zakupu dysku/małego serwera, zatrudnienia fachowca i utrzymywania całego procesu. RODO bowiem zmienia dotychczasowe podejście do ochrony danych, mówiąc, że nie wystarczy raz coś zrobić – trzeba to nieustannie monitorować, z uwagi na to, że firma żyje, a procesy nieustannie się zmieniają, dostosowując do rynku.

Z pomocą małym firmom mogą przyjść pojawiające się na rynku rozwiązania online, które powodują, że przy świadczeniu usług dużą część obowiązków małej firmy, jak m.in. tworzenie i ochrona kopii zapasowych, darmowe i automatyczne aktualizacje dostosowujące systemy do nowych przepisów, dostawca oprogramowania w formie SaaS przejmuje na siebie. Ważne przy tym, by wybierać sprawdzonych dostawców, których programy są zgodne z RODO i którzy podpisują umowy powierzenia przetwarzania danych osobowych.