- przygotować politykę bezpieczeństwa – podstawowy dokument opisującym zasady i środki przetwarzania danych osobowych w firmie,
- przeszkolić pracowników w zakresie stosowania przepisów RODO,
- wdrożyć i prowadzić rejestr naruszeń danych osobowych, w którym uzupełniane będą zdarzenia, gdy do nich dojdzie,
- każdorazowo zgłaszać naruszenia – gdy dojdzie do wycieku danych w ciągu 72 godzin od wykrycia naruszenia należy zgłosić ten fakt Głównemu Inspektorowi Ochrony Danych Osobowych oraz poinformować osoby, których dane wyciekły.
RODO dla małych firm
Do RODO muszą stosować się jednakowo przedsiębiorcy działający w formie jednoosobowej działalności gospodarczej, właściciele małych i średnich przedsiębiorstw, jak i dużych firm. Bez względu na to w jakiej formie prowadzone jest przedsiębiorstwo oraz jak duże jest, musi zapewnić ochronę przetwarzanych danych osobowych. Jak wprowadzić RODO w małej firmie? Czy każda firma musi być utrzymywać zgodność z RODO?
Sprawdź naszą ofertę
Wdrożenie RODO w firmie
Realizując obowiązek informacyjny należy Większe przedsiębiorstwa w celu wdrożenia obowiązków wynikających z RODO zatrudniają specjalistę od ochrony danych osobowych. Z kolei wiele małych firm nie stać na utworzenie nowego etatu dla specjalisty od ochrony danych osobowych. Wtedy to na właścicielu ciąży obowiązek wdrożenie i przestrzeganie prawa samodzielnie.
RODO w firmie krok po kroku – przedsiębiorca w celu wdrożenia RODO w małej firmie powinien:
- przeanalizować przetwarzane dane osobowe – jakie dane osobowe są przetwarzane, kto ma do nich dostęp i w jaki sposób są przechowywane,
- nadać odpowiednie upoważnienia osobom zajmującym się przetwarzaniem danych,
- poinformować o sposobie przetwarzania danych i uzyskać stosowne oświadczenia,
- wdrożyć i prowadzić rejestr czynności związanych z przetwarzaniem danych,
- zabezpieczyć dane – ochrona danych osobowych zależy od formy ich przetwarzania. Dane w postaci dokumentów papierowych można zamknąć w szafie zamykanej na klucz tak, by tylko upoważnione osoby miały do nich dostęp. W przypadku danych elektronicznych należy zadbać o odpowiednie zabezpieczenie systemu. Dobry program antywirusowy oraz szyfrowanie plików to podstawowe metody, które zabezpieczą dane przed udostępnienie danych osobom nieupoważnionym,
- podpisać stosowne umowy powierzenia z podmiotami, które przetwarzają dane w imieniu przedsiębiorcy,
każdemu klientowi wyjaśnić:
- kto jest administratorem danych osobowych,
- w jaki sposób należy się kontaktować w sprawie przetwarzania danych osobowych,
- w jakim celu są one przetwarzane,
- komu i na jakich zasadach dane mogą być udostępniane,
- czy dane są przekazywane poza Europejski Obszar Gospodarczy,
- jaki jest okres przechowywania danych,
- jakie klient ma prawa: dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, wniesienia skargi do Głównego Inspektora Ochrony Danych Osobowych,
- czy będzie występowało profilowanie, a jeśli tak to w jakim zakresie oraz w jakim celu.
Jeżeli wdrożenie RODO samodzielnie okaże się zbyt trudne i skomplikowane warto skorzystać z pomocy kancelarii specjalizującej się we wdrażaniu RODO oraz przygotowującej wymaganą dokumentację indywidualnie dostosowaną do przedsiębiorcy. Dostępne w Internecie darmowe wzory dokumentów RODO często są zbyt ogólne i nie spełniają wszystkich wymogów nałożonych na przedsiębiorcę.
Czy dane przedsiębiorcy podlegają ochronie RODO?
Na powyższe pytanie należy odpowiedzieć – to zależy. Przepisy RODO mają zastosowanie wyłącznie do danych osobowych – informacji dotyczących osób fizycznych. Nie regulują przetwarzania danych dotyczących spółek ani żadnych innych osób prawnych. Jednakże informacje dotyczące jednoosobowej działalności gospodarczej mogą zawierać dane osobowe pozwalające na ustalenie tożsamości osoby fizycznej. Przepisy RODO mają też zastosowanie do wszystkich danych osobowych dotyczących osób fizycznych w związku z ich działalnością zawodową, między innymi do danych pracowników zatrudnionych w przedsiębiorstwie, służbowych adresów e-mail lub numerów telefonów służbowych. Pamiętajmy także że często w takim wypadku samo imię i nazwisko pracownika można połączyć łatwo z dodatkowymi danymi (miejsce zatrudnienia, często stanowisko, profil działalności zawodowej).