RODO: jaki wpływ ma rozporządzenie na małe firmy

Nie każdy jest świadomy tego, że ochrona danych osobowych w kraju działała już od 1997 roku i również nakładała na firmy określone wytyczne dotyczące zabezpieczeń danych osobowych. RODO, którego regulacje zaczną obowiązywać 25 maja 2018 r., w porównaniu do tych przepisów jest mniej konkretne, bowiem mówi o tym, co trzeba chronić, ale nie wskazuje wprost, jak to robić. Zatem koncepcja ochrony danych osobowych ma być przede wszystkim dostosowana do zakresu przetwarzanych danych w firmie, uwzględniając ryzyko utraty i skutków, jakie będzie to niosło dla osób, których dane dotyczą.

Jak się odnaleźć

Wdrażanie ochrony i dostosowywanie środków bezpieczeństwa zaczyna się od udzielenia odpowiedzi na dwa podstawowe pytania:

1. Jakie dane osobowe w firmie przetwarzam?

2. W jakich codziennych sytuacjach, czynnościach ich używam?

Odpowiedź na te pytania jest niczym innym jak tzw. identyfikacją zbiorów danych i procesów ich przetwarzania. Najczęstszą odpowiedzią małych firm będzie wskazanie obszarów danych takich jak:

- dane kontrahentów – w procesie zamówienia, fakturowania, prowadzenia ewidencji księgowych (czy to samodzielnej księgowości, czy też poprzez powierzanie danych fachowcom – biurom rachunkowym), czat, mail

- dane kontaktowe – wizytówki, kalendarze, zeszyty planowania spotkań, systemy CRM, formularz kontaktowy na stronie internetowej, czat, mail

- dane pracowników – w procesie zatrudnienia, rozliczania podczas przebiegu pracy z tytułu podatków i ZUS, ale także czasem i przy szkoleniach, udzielaniu benefitów jak prywatna opieka medyczna.

W przypadku firm na co dzień działających w internecie dochodzą czynności zapisów i wysyłki newsletterów czy wpinanie na własnej stronie internetowej narzędzi typu Pixel Facebooka, które powodują tzw. profilowanie dla celów wyświetlania odpowiednio dobranych komunikatów marketingowych w postaci reklam na Facebooku, na podstawie zaczytanych z poruszania się po stronach internetowych zachowań.

Dostosowanie środków ochrony i zabezpieczeń

Jeśli już wiemy, jakie dane przetwarzamy w firmie oraz w jakich codziennych czynnościach, kolejną rzeczą jest określenie zabezpieczeń i środków ochrony danych. Brzmi groźnie, natomiast jest to nic innego, jak podjęcie pewnych działań w celu zabezpieczenia przetwarzanych w firmie danych przed ich utratą, wykradnięciem czy przetwarzaniem niezgodnym z prawem.

Przykładowe formy zabezpieczeń danych w małej firmie to:

- sporządzenie spisu: jakie dane przetwarzamy, w których czynnościach, czy komuś je udostępniamy/powierzamy, a następnie uszeregowanie ich według kolejności – które dane są najbardziej cenne z punktu widzenia firmy oraz wyciek których danych osobowych mógłby spowodować największe niepożądane skutki (ingerencja w godność i prawa osoby fizycznej) – w ten sposób zostanie przeprowadzona uproszczona analiza ryzyka;

- korzystanie z usług firm, które dbają o bezpieczeństwo i dają narzędzia wspomagające przedsiębiorcę w wypełnianiu obowiązków RODO;

- podpisywanie umów powierzenia z podmiotami, którym przekazujemy dane dla celów korzystania z ich usług;

- zwiększanie świadomości i pilnowanie wydawania upoważnień do przetwarzania danych – przy zatrudnianiu pracowników, zanim zostanie im powierzona praca z danymi, należy ich przeszkolić, tłumacząc, że są to chronione informacje, których ujawnienie osobom nieuprawnionym (wyciek) może powodować nałożenie bardzo wysokich kar prowadzących do zamknięcia firmy, a co za tym idzie utraty przez nich miejsca pracy;

- określenie procedur – czyli wyznaczanie schematów działań, jakie pozwolą zabezpieczyć przetwarzane dane osobowe, np. zakaz wynoszenia dokumentów z firmy, obowiązek hasłowania komputerów i dostępów do programów komputerowych, zakaz wyrzucania do zwykłych śmieci czy pozostawiania na drukarce dokumentów, na których widnieją dane osobowe, przechowywanie ważnych danych w zamykanych na klucz szafach (polityka kluczy, gdzie je umieszczamy po zakończonej pracy czy wyjściu z pokoju), procedury archiwizacji – tworzenia kopii zapasowych w przypadku danych przetwarzanych w komputerze.

Te wszystkie czynności przyczyniają się do zabezpieczenia danych. Ważne, aby co jakiś czas zadawać sobie pytanie sprawdzające, czy wszystko to w praktyce działa, a jeśli tak, to czy coś jeszcze można zrobić, by lepiej chronić dane.

Skutki w niewielkich podmiotach

Wejście w życie nowych przepisów może przysporzyć małym firmom kłopotów, gdyż firmy te dotychczas na co dzień raczej nie zastanawiały się nad ochroną danych osobowych. Zwiększenie możliwości nakładania kar w tym zakresie i dochodzenia odszkodowań motywuje je, aby zacząć działać. Nie jest to proste, gdyż generuje koszty. Mała firma, która ma zabezpieczyć komputery, prowadzić politykę tworzenia, odtwarzania i przechowywania kopii zapasowych w odrębnej lokalizacji niż ta, w której na co dzień dane są przechowywane, to konieczność zakupu dysku/małego serwera, zatrudnienia fachowca i utrzymywania całego procesu. RODO bowiem zmienia dotychczasowe podejście do ochrony danych, mówiąc, że nie wystarczy raz coś zrobić – trzeba to nieustannie monitorować, z uwagi na to, że firma żyje, a procesy nieustannie się zmieniają, dostosowując do rynku.

Z pomocą małym firmom mogą przyjść pojawiające się na rynku rozwiązania online, które powodują, że przy świadczeniu usług dużą część obowiązków małej firmy, jak m.in. tworzenie i ochrona kopii zapasowych, darmowe i automatyczne aktualizacje dostosowujące systemy do nowych przepisów, dostawca oprogramowania w formie SaaS przejmuje na siebie. Ważne przy tym, aby wybierać sprawdzonych dostawców, których programy są zgodne z RODO i którzy podpisują umowy powierzenia przetwarzania danych osobowych.

Autorka jest ekspertem wFirma.pl oraz MojeBiuro24.pl