Co z tym RODO w małych firmach?

RODO jasno stanowi, że przepisy dotyczące ochrony danych osobowych obowiązują wszystkich przedsiębiorców, którzy w ramach swojej działalności gospodarczej w jakikolwiek sposób przetwarzają dane osobowe bez względu na to, czy zatrudniają pracowników, czy nie, i nie ma tu żadnego znaczenia ani charakter, ani wielkość firmy. Prowadzisz szkolenia, uczysz języków obcych, masz salon kosmetyczny, wynajmujesz kwatery, prowadzisz marketing wysyłając klientom maile lub dzwonisz do nich z ofertami, zmianami godzin wizyt itp. – musisz przecież zbierać kontakty: nazwiska, adresy e-mailowe i numery telefonów. Gromadząc takie dane obowiązuje Cię RODO. Jeżeli nie prowadzisz działalności zawodowej lub handlowej, a dane zbierasz wyłącznie w celach prywatnych do tzw. „działalności czysto osobistej i domowej” – RODO Ciebie nie dotyczy.

Strachy na Lachy, ale…
Nie grożą Ci kary, jeśli nie zrobisz nic złego. Nie grożą Ci też, jeśli zachowasz minimum przyzwoitości i profesjonalizmu starając się poznać podstawowe zapisy prawa i będziesz je stosować.
Większym problemem niż kary może okazać się biurokracja, niewiedza, zamieszanie i nieuzasadnione działania. Pamiętaj, odrobinę wiedzy, dobre chęci i zdrowy rozsądek pomogą Ci omijać kary. Nie masz czasu na zapoznanie się z prawem? Zrozumiałe, ale zawsze możesz skorzystać z usług specjalistów. Udawanie, że coś Ciebie nie dotyczy tylko dlatego, że tak ktoś, coś, gdzieś Ci powiedział, a przez to narażanie również swoich klientów, to ślepy zaułek i proszenie się o karę.

Dane osobowe, to najkrócej mówiąc, informacje, dzięki którym potrafisz zidentyfikować osobę fizyczną, czyli potencjalnego Kowalskiego (lub Smitha), a nie jego psa. Oczywistymi danymi będzie imię i nazwisko, nr telefonu, adres, imienny adres e-mail. A inne dane? Inne też, jak np. PESEL, IP komputera, kolor skóry, a nawet zachowanie. Po numerze buta nie zdołasz nikogo w prosty i łatwy sposób zidentyfikować, ale po imiennym (i nie tylko) adresie e-mail już tak.

Zbierasz, gromadzisz, przechowujesz, kopiujesz (przepisujesz), udostępniasz innym itp. Takie działania opisuje się mianem „przetwarzania”. I nie ma znaczenia, czy robisz to w notatniku, zeszycie, kalendarzu, czy komputerze. Przetwarzasz dane – podlegasz RODO i musisz zadbać o to, by nikt nieupoważniony nie miał do nich dostępu. A co, jeśli Twoja działalność polega wyłącznie na niszczeniu dokumentów papierowych? To oczywiście też przetwarzanie. I ważne! Samo przeglądanie, to też przetwarzanie.

Jeżeli to Ty prowadzisz działalność, w której gromadzisz dane osobowe i Ty decydujesz w jaki sposób i po co będziesz to robić, to Ty jesteś administratorem danych osobowych (ADO). Natomiast, jeżeli ktoś przekaże Tobie bazę danych swoich klientów, abyś dla niego i w jego imieniu tę bazę przetwarzał, to stajesz się podmiotem przetwarzającym. Podmiot przetwarzający nie decyduje o sposobie i celach przetwarzania danych innego administratora – robi to sam administrator.
Masz gabinet kosmetyczny, w którym gromadzisz dane? Jesteś ADO. Masz biuro rachunkowe i przetwarzasz dane dostarczone przez gabinet kosmetyczny na fakturach? Jesteś podmiotem przetwarzającym.

Jeśli ktoś Ci powie, że od wszystkich klientów musisz zbierać zgody na przetwarzanie danych, to możesz mu pokazać gest kierowców. Większość sytuacji nie wymaga odbierania zgód. Ważne jest natomiast to, abyś zbierał od swoich klientów tylko niezbędne dane. Wyłącznie to, co potrzebne, by świadczyć usługę. Gdy ktoś do Ciebie dzwoni i umawia się na usługę, robi to świadomie i zwykle wie z kim rozmawia i po co dzwoni. Gdy organizujesz kurs, wynajmujesz pokoje noclegowe lub masz promocję na swoje usługi i zbierasz dane za pomocą strony internetowej lub formularzy papierowych, to każda osoba, która się do Ciebie zgłosi zrobi to świadomie i dobrowolnie. Nie musisz ją pytać o zgodę, bo zgłaszając się do Ciebie już Ci tej zgody udzieliła. Ważniejszą natomiast rzeczą będzie informacja, kto (czyli Ty – nazwa firmy i adres, lub nazwisko) i po co (konkurs, usługa itp.) gromadzisz przesłane dane. W takim przypadku warto zaopatrzyć się w pełną klauzulę informacyjną znaną już od dawna.
Inną sprawą będzie sytuacja, gdy postanowisz np. wysyłać komuś oferty, informacje o promocjach lub nowych usługach. Do tego potrzebna jest zgoda.
Dzwoni osoba, zapisujesz ją na strzyżenie, podaje Ci swoje imię i nazwisko – wyraziła zgodę. Nie dajesz jej kolejnej zgody do podpisania. Po wykonaniu usługi masz zamiar wysłać jej ofertę na zabieg spa drogą mailową lub sms-em, potrzebujesz zgody na takie działanie.

Jeżeli sądzisz, że znajdziesz w RODO opis, jakie dokumenty musisz posiadać w swojej działalności, to się zawiedziesz. No dobrze, jest jeden konkretny dokument, ale zapewne nie będzie on Ciebie dotyczył. Jest to rejestr czynności przetwarzania dla ADO lub rejestr kategorii czynności przetwarzania dla podmiotu przetwarzającego. Ale spokojnie, oba rejestry dotyczą pracodawców zatrudniających powyżej 250 pracowników. Jeżeli nie przetwarzasz danych wrażliwych (np. o stanie zdrowia) lub dotyczących wyroków skazujących lub przetwarzasz dane sporadycznie, bo Twoja działalność nie jest skoncentrowana wyłącznie na przetwarzaniu danych, to rejestru czynności przetwarzania nie musisz prowadzić.
Są jeszcze dokumenty, które nie wynikają wprost z RODO – to wszelkie klauzule informacyjne, zgody, czy upoważnienia. A dlaczego nie zostały one konkretnie opisane w RODO? Ano dlatego, że ustawodawca daje administratorom danych osobowych pełną swobodę w tej materii. Każdy przedsiębiorca powinien sam określić, jakie dokumenty przygotuje, jakie zabezpieczenia będą wystarczające, jakie ma podstawy prawne do przetwarzania danych. Prawo nakazuje dołożyć wszelkich starań, aby dane były zabezpieczone, a opis tych zabezpieczeń ich forma i sposoby łatwiej jest umieścić np. w polityce ochrony danych. Dokument ten w cale nie musi się nazywać „polityką”. Może to być np. „system zabezpieczeń RODO” (zwał jak zwał). Najważniejsze, żebyś potrafił udowodnić, że dokładasz wszelkich starań, aby dane klientów były przetwarzane bezpiecznie, w minimalnej niezbędnej do świadczonych usług ilości i by Twoi klienci znali swoje prawa. Kropka.
Nie sposób nie wspomnieć o bardzo ważnym dokumencie, o którym również RODO wprost nie mówi. Jeżeli masz pracowników, to obowiązany jesteś do nadania im upoważnień do przetwarzania danych. Bez nich ani rusz. Bez nich nie mają prawa do „grzebania” w danych Twoich klientów.

Najważniejsze, to pilnować danych swoich klientów i pracowników i dbać o to, by nie wyciekły (nie wpadły w niepowołane ręce). A co, jeśli już uleciały, niczym dym z komina? Wtedy mówimy o incydencie związanym z utratą danych osobowych. Ale i tu spokojnie – chłodne podejście mile widziane. W pierwszej kolejności musisz ocenić jakie dane wyciekły, jaka jest ich ilość, jak ważne to były dane. Jeżeli uznasz, że baza była dość pokaźna, a wyciek mógł spowodować np. przejęcie jej przez osoby trzecie, to należy domniemać, że ktoś te dane wykorzysta. Musisz niezwłocznie powiadomić o tym fakcie swoich klientów, a czasem nawet Urząd Ochrony Danych Osobowych w ciągu 72 godzin licząc od momentu stwierdzenia zdarzenia, chyba że jest mało prawdopodobne, że zdarzenie poskutkuje naruszeniem praw klientów. Kiedy np. będzie miała miejsce utrata danych, a nie poskutkuje to naruszeniem praw osób? Gdy np. Twój pracownik wrzuci do pieca notatnik z bazą klientów. Natomiast zgubienie laptopa lub choćby dysku pendrive, gdzie znajduje się duża baza z danymi, to niestety będzie to incydent, dlatego tak często na szkoleniach kładę nacisk na używanie (a właściwie na nieużywanie) dysków pendrive do przenoszenia ważnych danych (w tym osobowych).

Gdy zatrudniasz pracownika, powinieneś w swojej firmie dostosować zasady przetwarzania również jego danych. Pamiętaj, że pracownik „wnosi” do Twojej firmy dane wrażliwe. Gdy będzie niezdrów, lub gdy wyślesz go na badania, to przetwarzasz dane o jego stanie zdrowia. A jeśli przyjdzie Ci do głowy umieszczenie jego wizerunku (zdjęcia) na firmowej stronie internetowej, to musisz mieć na to jego zgodę. Ponadto powinieneś poinformować go o przetwarzaniu danych (przekazać klauzulę informacyjną).

Na koniec tego krótkiego poradnika pięć zasad bezpiecznego przetwarzania danych w małej firmie (i dużej też):

1. Wysyłasz mailem wiadomości, w których musisz przesłać dane osobowe (nawet swoje własne)? Zabezpiecz pliki hasłem (skorzystaj z możliwości Worda, Excela lub darmowego 7zipa). A jeśli dodatkowo wysyłasz informacje do więcej, jak jednego adresata, stosuj pole „Ukryte Do” (UDW, DUW lub CCD). Dzięki temu unikniesz rozgłaszania danych zawartych w adresie mailowym.
2. Używasz w działalności laptopa lub smartfona? Bezwzględnie zabezpiecz go hasłem lub PIN-em, a dysk laptopa dodatkowo zaszyfruj. System Windows posiada wbudowany mechanizm szyfrowania BitLocker, ale uwaga, nie wszystkie wersje. Jeśli nie posiadasz odpowiedniej wersji Windowsa, to skorzystaj choćby z darmowego programu VeraCrypt. No i nie zapomnij o dobrym antywirusie!
3. Wszelkie dokumenty papierowe przechowuj zamknięte w biurku, szafce i zamykaj podczas nieobecności na klucz. Nie pozwól, aby latały jak gołębice po twoim biurze niezabezpieczone. A jeśli jakieś dokumenty są już Ci zbędne, to nie wyrzucaj ich do kosza – najlepiej zniszcz je w niszczarce lub spal (tylko nie wszystkie na raz – no wiesz, biały dym..).
4. Nie wdrożyłeś podstawowej minimalnej dokumentacji w swojej firmie? Zrób to czym prędzej, ochronisz siebie przed ewentualnymi sankcjami i jednocześnie wykażesz się profesjonalizmem wobec swoich klientów.
5. Masz pracowników? Niezwłocznie nadaj im upoważnienia do przetwarzania danych.