O unijnym rozporządzeniu RODO słyszał już chyba każdy przedsiębiorca. Wdrożenie obowiązujących przepisów w życie nie zawsze jest jednak prostym zadaniem, szczególnie gdy mamy do czynienia z całkowicie nowym przedsiębiorcą. O czym należy więc pamiętać, aby prawidłowo spełnić wymagania stawiane przez RODO w firmie?
Czym jest RODO?
RODO to skrót nazwy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jest to akt prawny, który wprowadził do polskiego systemu prawnego liczne obostrzenia związane ze zbieraniem oraz przetwarzaniem danych osobowych.
RODO powstało po to, by chronić dane osobowe ludzi, które mieszczą się w kategorii dóbr osobistych każdego człowieka. Dla wielu firm wdrożenie nowych unijnych regulacji oznaczało konieczność wprowadzenia zmian w przedsiębiorstwach i to nie tylko natury formalnej, ale i praktycznej.
Pomimo iż RODO obowiązuje w Polsce już od kilku lat, to wciąż na gruncie tego rozporządzenia pojawiają się problemy praktyczne. Z obawy przed ogromnymi karami finansowymi przedsiębiorcy chcą jak najlepiej wykonać ciążące na nich obowiązki.
Obowiązki RODO
RODO na pierwszym miejscu zawsze stawia konsumenta, co oznacza, że w przypadku podejrzenia ewentualnych nieprawidłowości w relacji pomiędzy klientem a przedsiębiorcą to ten pierwszy ma lepszy status na starcie. Konsumenci mają prawo wiedzieć kto, w jakim celu i przez jaki okres zbiera i przetwarza ich dane osobowe. Podstawowy obowiązek RODO ma więc charakter informacyjny.
Przedsiębiorca, który chce prowadzić swoją działalność zgodnie z wytycznymi RODO, musi w pierwszej kolejności sporządzić odpowiednią ilość dokumentacji, w której zawarte zostaną zasady zbierania, przetwarzania oraz przechowywania danych osobowych klientów. Następnie konieczne jest powołanie do życia administratora takich danych oraz inspektora ochrony danych osobowych, którzy będą czuwali nad prawidłowością obiegu informacji wrażliwych w firmie.
Odnośnie aspektów praktycznych RODO wymaga stosowania odpowiedniego rodzaju zabezpieczeń, które będą chroniły informacje o klientach przed nieupoważnionym dostępem osób trzecich. Rozwiązaniami w tym zakresie mogą być odpowiednie oprogramowanie komputerowe, specjalne pomieszczenia lub meble do przechowywania zgromadzonych danych (w tym wszelkiego rodzaju dokumentacji zawierającej dane osobowe klientów i kontrahentów) lub inny sposób zabezpieczania dokumentów firmowych.
Obowiązki RODO to nie tylko zapewnienie prawidłowej liczby i jakości regulaminów dotyczących ochrony danych osobowych w firmie, ale przede wszystkim bezpieczeństwa uzyskanych informacji, transparentności i jawności całego procesu wykorzystywania danych osobowych. Do jednych z kluczowych obowiązków RODO w firmie należą:
- informowanie o wycieku danych osoby, której wyciek dotyczy, w ciągu 72 godzin o odkrytym naruszeniu, jeżeli zdarzenie to mogło skutkować trafieniem prywatnych informacji w niepowołane ręce,
- należyte dokumentowanie przetwarzania danych osobowych – obowiązek odnosi się do prowadzenia rejestru obejmującego rodzaj przetwarzanych danych, cel i sposób ich przetwarzania oraz informację o osobie odpowiedzialnej za to działanie.
Wdrożenie RODO w firmie
Wypełnienie obowiązków RODO nie jest prostym zadaniem, szczególnie jeśli dotyczy całkowicie nowej działalności gospodarczej. Przedsiębiorca może oczywiście samodzielnie skompletować całą potrzebną dokumentację i wdrożyć praktyczne środki ochrony danych osobowych, jednak jeśli nie ma w tym zakresie odpowiedniego doświadczenia, lepiej aby skorzystał z pomocy fachowców. Na szczęście na rynku działają liczne przedsiębiorstwa, które oferują gotowe rozwiązania RODO dla firm, na czele z odpowiednią dokumentacją, taką jak choćby regulaminy RODO. Przedsiębiorcy często mogą w tym zakresie wskazać potrzeby swoich firm, aby niezbędne dokumenty RODO były przygotowane dokładnie pod kątem danego przedsiębiorstwa.
Wdrożenie RODO do firmy nie musi być kosztowne, aczkolwiek wiele w tym zakresie zależy od tego, jak duży zakres działania ma dane przedsiębiorstwo. W przypadku firmy, która zatrudnia sporą liczbę pracowników i posiada wielu klientów, dokumenty RODO będą dosyć obszerne. To z kolei spowoduje wzrost kosztów pomocy firmy zewnętrznej zajmującej się tego rodzaju sprawami. Analogicznie, przy niewielkich działalnościach gospodarczych koszty wdrożenia RODO nie powinny być duże – mówimy tutaj o opłatach rzędu kilkuset złotych.
Jeśli przedsiębiorca zdecyduje się na wdrożenie RODO przy pomocy firmy zewnętrznej, najczęściej będzie się to wiązało z koniecznością podpisania odpowiedniej umowy – zazwyczaj umowy o dzieło lub umowy zlecenie. Taki kontrakt trwa co do zasady do chwili całkowitego wdrożenia do przedsiębiorstwa wszystkich wymogów stawianych przez RODO.
Kto musi wdrożyć RODO w firmie?
Tak naprawdę każda osoba, która prowadzi rejestrowaną działalność gospodarczą, musi zadbać o prawidłowe wdrożenie RODO do swojej firmy. Bez znaczenia pozostaje tutaj fakt zatrudniania jakichkolwiek pracowników lub forma prawna prowadzonej działalności (np. działalność jednoosobowa wpisywana do CEIDG albo działalność w formie spółki wpisywanej do KRS). Liczba klientów i kontrahentów firmy również nie ma znaczenia dla obowiązku wprowadzenia RODO; bez wpływu pozostaje też rodzaj wykonywanej działalności.
Oczywiście warto podkreślić, że w przypadku mniejszych przedsiębiorstw lub jednoosobowych działalności gospodarczych, w których nie mamy do czynienia z pracownikami, wdrożenie RODO będzie mniej zawikłane, tańsze i szybsze. Proces ten będzie się bardziej komplikował w dużych firmach.
Co jednak dzieje się, jeśli obowiązki wynikające z RODO nie zostaną wprowadzone do przedsiębiorstwa? W takim przypadku może się to wiązać z wysoką odpowiedzialnością firmy. RODO od samego początku wzbudzało spore kontrowersje, ponieważ w treści rozporządzenia znalazły się zapisy regulujące naprawdę wysokie kary pieniężne za naruszanie nowego prawa. Kwoty kar opiewają w dalszym ciągu na dziesiątki tysięcy euro, co dla wielu przedsiębiorców oznacza po prostu konieczność zamknięcia działalności i popadnięcie w ogromne zadłużenie.
Zasady RODO muszą zostać wdrożone od samego początku prowadzenia działalności. Tym samym przedsiębiorca powinien zająć się tą kwestią jeszcze przed formalnym rozpoczęciem swojego biznesu. Stworzenie dokumentacji RODO powinniśmy więc traktować na równi z wnioskami o rozpoczęcie działalności i wpis do CEIDG albo KRS.
Kary RODO
Obawa przed RODO wynika przede wszystkim z ogromnych kar finansowych, do których odnosi się omawiane rozporządzenie. Tak naprawdę mamy tutaj aż dwa rodzaje stosowanych kar:
- do 10 lub 20 mln euro
- albo do 2 lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku.
Wymierzanie kar na podstawie RODO należy do kompetencji Prezesa UOKiK. Co ważne, kary mogą zostać nałożone na przedsiębiorcę także w przypadku zupełnego ignorowania przepisów RODO lub ich nieprawidłowego wykonywania. Oczywiście w sytuacji niewielkich uchybień lub jednorazowych niedociągnięć przedsiębiorcy co do zasady nie powinni ponieść żadnej odpowiedzialności – w takich przypadkach otrzymują zalecenia pokontrolne, które muszą wykonać w zakreślonym przez danego urzędnika terminie. Dopiero brak wykonania takich zaleceń lub kolejne pojawiające się niedociągnięcia mogą oznaczać nałożenie kary finansowej na przedsiębiorcę.
Pamiętajmy, że rodzaj i zakres wykonywanej działalności gospodarczej nie mają wpływu na możliwość ukarania danego przedsiębiorcy. Innymi słowy, kara wynikająca z RODO może zostać nałożona zarówno na osobę wykonującą jednoosobową działalność gospodarczą, jak i dużą spółkę prawa handlowego.
RODO - podsumowanie
Wdrożenie RODO to obowiązek każdego przedsiębiorcy prowadzącego rejestrowaną działalność gospodarczą. W praktyce sprowadza się to do stworzenia odpowiedniej dokumentacji z zakresu zbierania, przetwarzania i ochrony danych osobowych pracowników, klientów i kontrahentów firmy. RODO powinno zostać wdrożone do firmy tak, by obowiązywało już od pierwszego dnia działalności gospodarczej. Jeśli przedsiębiorca nie wprowadzi na czas zasad RODO lub zrobi to nieprawidłowo, naraża się na dużą odpowiedzialność finansową. Przedsiębiorca może wypełnić obowiązki RODO samodzielnie lub korzystając z odpłatnego wsparcia firm zewnętrznych.