Poradnik Przedsiębiorcy

Po co jest ochrona danych osobowych w małej firmie?

Przepisy ochrony danych osobowych mają zastosowanie nie tylko dla dużych przedsiębiorstw, ale również w takim samym zakresie względem małych i średnich przedsiębiorców. Bez względu na to, ilu pracowników zatrudnia dana firma czy z iloma klientami współpracuje, jeżeli w zasobach zarządzania danej firmy znajdą się informacje pozwalające zidentyfikować tożsamość osoby fizycznej, to firma ta ma już do czynienia między innymi ze zbieraniem, przetwarzaniem, przechowywaniem czy utrwalaniem danych osobowych. Jak ochrona danych osobowych w małej firmie powinna być zatem prowadzona?

Dane osobowe w małej firmie

Typowymi danymi osobowymi są: imię, nazwisko, adres, PESEL czy adres poczty elektronicznej umożliwiający identyfikację użytkownika. Szczególną uwagę należy zwrócić na typ danych, do których zalicza się wrażliwe dane osobowe np. dotyczące zdrowia - takie dane muszą być szczególniej chronione. 

Obowiązki małego przedsiębiorcy w zakresie ochrony danych

Obowiązkiem przedsiębiorcy przetwarzającego dane osobowe jest przede wszystkim nadanie upoważnień osobom, które zajmują się przetwarzaniem danych, zebranie oświadczeń, czyli zezwoleń osób, których dane są przetwarzane, prowadzenie polityki ochrony danych w firmie czy zabezpieczanie danych. Te i inne czynności często spadają na barki samego przedsiębiorcy, który sam musi uporać się z gąszczem przepisów.

Specjalista ds danych osobowych

O ile duże przedsiębiorstwa mogą sobie pozwolić na specjalistę w zakresie ochrony danych osobowych, to dla małych firm często jest to dużym utrudnieniem, co w konsekwencji doprowadza do sytuacji, kiedy osoba prowadząca działalność gospodarczą sama boryka się z tym problemem. 

Należy rozróżnić specjalistę ds. ochrony danych osobowych od Inspektora Danych Osobowych. Jeśli chodzi o specjalistę ds. danych osobowych, to jest to osoba zatrudniona np. bezpośrednio w firmie na takie stanowisko. Tutaj przedsiębiorca decyduje, czy w firmie jest potrzebne takie stanowisko. Natomiast jeśli chodzi o Inspektora Danych Osobowych (IOD) - to obowiązek wyznaczenia takiej osoby na niektóre podmioty nakłada RODO. Tutaj nie wszyscy przedsiębiorcy mogą dobrowolnie zdecydować, czy zatrudniać IOD, czy nie, ponieważ niektóre firmy są do tego zobowiązane na mocy RODO.

Ochrona danych osobowych w małej firmie - czy nakładanie na przedsiębiorcę dodatkowych obowiązków jest konieczne?

Oczywiście odpowiedź nie jest jednoznaczna. Z jednej strony żaden przedsiębiorca nie chce wykonywać szeregu biurokratycznych obowiązków, które w gruncie rzeczy doprowadzają do ograniczenia jego możliwości w koncentrowaniu się na rozwoju biznesu. Z drugiej zaś każdy powierzając swoje dane innej osobie - bez względu na to czy jest dużym czy małym przedsiębiorcom - chciałby by były one bezpieczne.

Od dłuższego czasu można zaobserwować poszerzanie się zakresu zbierania przez rozmaitych przedsiębiorców informacji na temat obywateli i innych podmiotów życia społecznego. Ułatwieniu temu sprzyja coraz łatwiejszy i szybszy dostęp do internetu, przy czym jednostka może nie mieć możliwości sprawowania kontroli nad obiegiem oraz samą treścią informacji na jej temat, a to z kolei godzi w jej osobiste prawo. W konsekwencji powoduje to, że ktoś inny kształtuje wizerunek jej osoby, manipuluje informacją, zafałszowuje prawdziwe informacje. Przy obecnie zorganizowanych i funkcjonujących bazach danych osobowych wzrasta ryzyko naruszenia interesów osób, na których temat gromadzone są te informacje.

Tak przedstawiony problem z punktu widzenia jednostki stał się podstawą do kształtowania prawa z zakresu ochrony danych osobowych bez względu na to, czy firma jest duża, czy mała.

Nowe przepisy unijne wywołują obowiązek przeprowadzenia kosztownych zmian w małych i średnich przedsiębiorstwach na terenie całej Unii Europejskiej. Przepisy narzucają konieczność zatrudnienia Inspektora Ochrony Danych Osobowych w firmach, gdzie dane osobowe przetwarzane są na dużą skalę, lub przetwarzanie danych osobowych stanowi główną działalność firmy. 

Niekiedy zatem przedsiębiorstwa będą musiały zwiększyć zatrudnienie w toku wykonywania działalności gospodarczej o specjalistę zajmującego się ochroną danych osobowych.

Niewątpliwie rozporządzenie w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu takich danych przygotowywane przez Parlament Europejski uderza w sektor MSP w wielu krajach unijnych, zatrudnienie pożądanego specjalisty generuje bowiem dodatkowy wydatek - jak podają specjaliści - rzędu co najmniej 1000 euro na rok.

Małe i średnie firmy, które uporają się z gąszczem przepisów z zakresu ochrony danych osobowych i wdrożą realna politykę w tym zakresie, na pewno podniosą poziom zaufania wśród klientów, a co za tym idzie, zwiększą potencjalną możliwość rozwoju biznesowego.