Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

Dokumentacja RODO w firmie - co należy przygotować?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Wdrożenie obowiązków wynikających z RODO jest powinnością każdej osoby prowadzącej zarejestrowaną działalność gospodarczą. W praktyce wiąże się to z koniecznością przygotowania i aktualizacji różnych dokumentów. Co dokładnie musi zrobić przedsiębiorca, aby wypełnić zadania nakładane na niego przez RODO? Jak wygląda dokumentacja RODO w firmie? Odpowiadamy poniżej.

Czym jest RODO?

RODO to nic innego, jak Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ten unijny akt prawny powstał głównie w celu ochrony danych osobowych obywateli UE.

RODO wprowadza obowiązek informacyjny i ochronny w zakresie zbierania, przetwarzania oraz usuwania danych osobowych m.in. w związku z prowadzeniem działalności handlowej. W praktyce wymaga od przedsiębiorców wdrożenia dokładnych zasad regulujących powyższą materię oraz realizacji obowiązku informacyjnego względem swoich klientów.

Tak naprawdę z RODO wiąże się wiele różnych historii, dosyć często nieprawdziwych. Przykładem niech będą chociażby rzekomo obowiązkowe specjalne meble i sprzęty (np. szafki spełniającego wymogi RODO) mające za zadanie wypełnić rygorystyczne przepisy unijnego rozporządzenia. Należy zdementować tego rodzaju informacje – RODO nie wymaga od przedsiębiorców zakupu jakiegokolwiek sprzętu lub umeblowania, które pochodziłyby od konkretnych firm lub producentów. Najważniejsze jest, aby osoby prowadzące jakąkolwiek działalność gospodarczą zadbały o prawidłowy obieg dokumentacji zawierającej dane wrażliwe swoich klientów lub pracowników. To, w jaki sposób tego dokonają, ustawodawca pozostawia im do wyboru – oczywiście forma stosowanych zabezpieczeń musi być w pełni legalna.

Dokumentacja RODO

Sporządzenie prawidłowej dokumentacji RODO powinno interesować każdego przedsiębiorcę. Rozporządzenie wprowadza bowiem w tym zakresie wysokie kary finansowe, jeśli obowiązek ten nie zostanie zrealizowany lub sporządzone dokumenty będą niekompletne bądź niepoprawne. Kary pieniężne są ustalane na poziomie nawet kilkunastu albo kilkudziesięciu tysięcy euro za jedno przewinienie. Nic więc dziwnego, że każdy przedsiębiorca obawia się RODO.

Dokumentacja RODO powinna być sporządzona już na pierwszy dzień prowadzenia danej działalności gospodarczej. Przedsiębiorca musi zatem o tym pomyśleć jeszcze przed wpisaniem swojej działalności do CEIDG albo KRS. Pamiętajmy, że niezatrudnianie pracowników nie oznacza wyłączenia obowiązku sporządzenia stosownej dokumentacji RODO – każdy przedsiębiorca jest do tego zobligowany.

Do podstawowych dokumentów związanych z ochroną danych osobowych należą:

  • rejestr czynności przetwarzania,
  • rejestr kategorii czynności przetwarzania,
  • procedura zgłaszania naruszeń zgromadzonych danych osobowych do organu nadzorczego,
  • rejestr naruszeń ochrony danych osobowych,
  • raporty z ocen skutków dla ochrony danych osobowych,
  • informacja o stosowanych środkach technicznych i organizacyjnych dotyczących ochrony danych osobowych w firmie,
  • polityka ochrony danych osobowych będąca zbiorem wszystkich procedur RODO,
  • ewidencja upoważnień służąca do kontroli liczby osób upoważnionych do przetwarzania danych osobowych,
  • procedura szkoleń wskazująca na sposób szkolenia pracowników odpowiedzialnych za przestrzeganie zasad RODO w firmie,
  • procedura audytu wewnętrznego wskazująca na to, kto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w przedsiębiorstwie,
  • kontrola podmiotów przetwarzających dane osobowe w firmie,
  • procedury IT związane z ochroną danych osobowych,
  • materiały informacyjne dla pracowników z zakresu RODO,
  • plan ciągłości działania uchwalany na wypadek awarii lub innego czynnika zewnętrznego powodującego brak dostępności do danych osobowych w firmie.

Jak widać, ilość wymaganych przez RODO dokumentów jest całkiem spora, przy czym ich dokładny zakres zależy tak naprawdę od wymiaru i rodzaju prowadzonej działalności gospodarczej. Im większa działalność, tym większe pod względem objętości będą dokumenty RODO.

Kto powinien przygotować dokumenty RODO?

Dokumentacja RODO może być przygotowana przez przedsiębiorcę samodzielnie. Pracodawca może zlecić wykonanie tego zadania także swoim pracownikom, warto jednak pamiętać, że to on odpowiada za ewentualne błędy lub braki w tym zakresie. W dużej części przypadków przedsiębiorstwa zlecają wykonanie tego zadania firmom zewnętrznym lub kancelariom prawnym specjalizującym się w materii ochrony danych osobowych.

Koszt sporządzenia podstawowej dokumentacji RODO poprzez tzw. wypełnianie pól przez przedsiębiorcę w przesłanym zestawieniu wynosi około 700–1000 zł. Jeśli chodzi o sporządzenie kompletnej dokumentacji, z którą przedsiębiorca nie będzie musiał już nic robić, to ceny oscylują pomiędzy 2500–6500 zł. Oczywiście wysokość wynagrodzenia jest ustalana w oparciu o rodzaj i zakres wykonywanej działalności gospodarczej. Przed wyborem firmy, która pomoże przy sporządzeniu niezbędnej dokumentacji RODO, warto sprawdzić oferty z kilku miejsc.

Obowiązujące przepisy nie wymagają, aby dokumenty RODO przyjmowały jedną konkretną formę, stąd przedsiębiorca ma w tym zakresie dowolność. Dokumentacja musi zawierać odpowiednie rejestry i raporty oraz pozostawać w zgodzie z wymogami unijnego rozporządzenia, a także krajowymi przepisami dotyczącymi ochrony danych osobowych.

Przechowywanie dokumentacji RODO

Co ciekawe, rozporządzenie RODO nie wskazuje w ogóle sposobu, w jaki powinna być przechowywana dokumentacja zawierająca dane osobowe. Jedynym wymogiem jest tutaj zabezpieczenie adekwatne do wartości zgromadzonych danych oraz ewentualnych zagrożeń związanych z ich bezprawnym upublicznieniem lub kradzieżą.

Przedsiębiorca może przechowywać swoją dokumentację RODO na dwa różne sposoby:

  • fizycznie pod postacią papierowych dokumentów przechowywanych w wyznaczonych do tego pomieszczeniach,
  • elektronicznie na wszelkich nośnikach danych komputerowych (bazy dane, chmura, dyski pamięci, płyty).

Firma może stosować obie formy przechowywania dokumentów RODO jednocześnie, tzn. możliwe jest posiadanie dokumentacji w formie zarówno tradycyjnej, jak i elektronicznej. Można oczywiście wybrać także jedną z ww. postaci.

Przykład 1.

Firma X posiada bardzo dużą dokumentację z danymi swoich klientów i kontrahentów. Do tej pory, realizując obowiązki wynikające z RODO, właściciel przedsiębiorstwa przechowywał wszystkie dokumenty w specjalnie wydzielonym i zabezpieczonym pomieszczeniu. Ze względu na rozwój firmy obecnie nie jest to możliwe – dokumentów jest zbyt wiele. Przedsiębiorca postanowił więc skorzystać z pomocy innej firmy, która specjalizuje się w przechowywaniu dokumentów firmowych zgodnie z RODO. W tym przypadku konieczne będzie jednak zawarcie stosownej umowy pomiędzy firmami, na podstawie której przedsiębiorstwo, które będzie przechowywać u siebie dokumentację firmy X, uzyska do tego upoważnienie.

Niezależnie od tego, w jakiej formie dokumenty RODO będą sporządzane i przechowywane, muszą zostać odpowiednio zabezpieczone przed dostępem ze strony nieupoważnionych osób. W przypadku dokumentacji papierowej pojawia się tutaj możliwość stosowania wszelkiego rodzaju sejfów, pomieszczeń, do których klucze lub kody wejściowe będą miały upoważnione osoby, przechowywanie dokumentów w zewnętrznych firmach (np. księgowych). Jeśli zaś chodzi o dokumentację elektroniczną, to podstawowymi zabezpieczeniami będą hasła, klucze dostępu, dane do logowania oraz silne programy antywirusowe.

Podsumowanie

Każdy przedsiębiorca wykonujący rejestrowaną działalność gospodarczą ma obowiązek stworzyć i wdrożyć odpowiednią dokumentację RODO do swojej firmy. W praktyce ilość i zakres potrzebnych dokumentów uzależnione są od wielkości danej działalności. Przepisy nie wskazują, w jakiej formie powinny być sporządzone właściwe dokumenty, ale może to nastąpić zarówno pod postacią pisemną, jak i elektroniczną. Za brak kompletu dokumentów RODO lub ich wadliwość przedsiębiorca może ponieść wysoką odpowiedzialność finansową.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów