Spora część przedsiębiorców nie zdążyła z wdrożeniem nowych zasad ochrony danych osobowych w swoich firmach. Częstym powodem tego było przekonanie, że RODO nie dotyczy małych firm, zatrudniających kilku pracowników, mających stałych klientów, nieprowadzących przetwarzania danych osobowych na szeroką skalę. Nic bardziej mylnego. RODO obowiązuje każdy podmiot niezależnie od jego charakteru, wielkości zatrudnienia czy ilości klientów. Konieczność stosowania się do przepisów unijnego rozporządzenia i polskiej ustawy o ochronie danych osobowych uzależniona jest od faktu przetwarzania danych osobowych.
Kto powinien wdrożyć RODO?
Często właściciele małych firm twierdzą, że nie przetwarzają danych osobowych, bo nie zatrudniają pracowników, mają tylko dane swoich klientów i dostawców (przedsiębiorców wpisanych do CEDG). Takie posiadanie danych, samo ich przechowywanie jest właśnie przetwarzaniem danych osobowych. Przetwarzaniem są bowiem operacje wykonywane na danych, takie jak np. ich zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie.
Do stosowania przepisów RODO i nowej polskiej ustawy o ochronie danych osobowych zobowiązane są również biura rachunkowe. Przepisy nakładają na nie szczególne obowiązki, z racji tego, że biura rachunkowe mogą występować w podwójnej roli, tj. być administratorem danych, np. w stosunku do danych osobowych swoich pracowników, klientów czy kontrahentów będących osobami fizycznymi, jak również przysługuje im status podmiotów przetwarzających. Takim podmiotem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Z taką sytuacją mamy właśnie do czynienia w przypadku biur rachunkowych, które świadczą swoje usługi na rzecz pracodawców czy przedsiębiorców. Przekazują oni zewnętrznemu biuru rachunkowemu dokumentację zawierającą dane osobowe pracowników czy klientów (np. zamieszczone na fakturach).
W każdym biurze rachunkowym (i w każdej innej jednostce, która choćby w najmniejszym stopniu przetwarza dane osobowe) należy w większym lub mniejszym stopniu wdrożyć zasady ochrony danych osobowych. Zakres dokumentacji, stopień jej skomplikowania, rodzaj wprowadzanych zabezpieczeń zależy od charakteru przetwarzanych danych osobowych (czy są dane osobowe zwykłe, czy szczególnej kategorii). Ponadto zależy od tego, w jaki sposób dane są gromadzone, tj. w zbiorach papierowych czy systemach komputerowych i jakie te systemy i programy mają zabezpieczenia.
Co należy analizować i jakie tworzyć dokumenty?
Wdrażając podstawowe zasady ochrony danych osobowych należy w pierwszej kolejności określić, jakie dane osobowe podmiot przetwarza, na jakiej podstawie prawnej np. w celu realizacji umowy (zawartej z klientem biura), w celu wypełnienia obowiązku prawnego (np. w stosunku do pracowników), w jakich zbiorach i czy są przekazywane innym podmiotom (np. na podstawie umowy powierzenia lub w celu realizacji obowiązku prawnego). W związku z tym warto sporządzić Wykaz zbiorów przetwarzanych danych osobowych.
Następnie warto, w podstawowym zakresie, przeprowadzić analizę ryzyka, tzn. zdefiniować zagrożenia w stosunku dla każdego z takich zbiorów w zakresie ochrony danych osobowych oraz określić, czy ryzyko np. utraty, wycieku danych osobowych jest małe, czy wysokie. Trzeba też określić i opisać rodzaj zabezpieczeń stosowanych w celu ochrony danych osobowych. RODO nie narzuca w tym zakresie gotowych rozwiązań, wybór środków należy więc zawsze do administratora danych (trzeba wprowadzić zarówno zabezpieczenia osobowe, jak i fizyczne, w tym właściwe zabezpieczenia systemów i programów komputerowych). Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. W celu realizacji tego obowiązku można sporządzić Wykaz zabezpieczeń stosowanych przez administratora danych.
RODO nakłada na administratorów danych szereg obowiązków informacyjnych, które należy spełniać względem osób, których dane administrator przetwarza. Określa je art. 13 i 14 RODO. Sposób realizacji tych obowiązków (przekazania klauzul informacyjnych) np. pracownikom czy klientom również należy do administratora danych. W związku z tym należy sporządzić Klauzule informacyjne.
Jeżeli administrator danych zatrudnia pracowników lub inne osoby np. na podstawie umów cywilnoprawnych, które pracują z danymi osobowymi, należy je upoważnić do przetwarzania danych osobowych. Oprócz upoważnień warto sporządzić Oświadczenia o poufności oraz prowadzić Rejestr upoważnień, a pracownikom przedstawić do zapoznania się i podpisania Regulamin ochrony danych.
Rejestry przetwarzania i umowa powierzenia
RODO na niektórych administratorów danych i podmioty przetwarzające nakłada odpowiednio obowiązek prowadzenia rejestru czynności przetwarzania lub rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Obowiązki te dotyczą podmiotów, które zatrudniają co najmniej 250 osób, ale też podmiotów, u których przetwarzanie może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych. Biura rachunkowe spełniające te przesłanki mogą być zobowiązane do prowadzenia obu rejestrów, tj. Rejestru czynności przetwarzania lub Rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
RODO nałożyło na administratorów danych nowy obowiązek zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych, jeżeli istnieje prawdopodobieństwo, że naruszenie to może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Z kolei w przypadku wystąpienia takiej sytuacji u podmiotu przetwarzającego, musi on poinformować o tym fakcie administratora danych, w imieniu którego dane przetwarza. W związku z tym należy opracować Procedurę zgłaszania naruszeń ochrony danych.
Biura rachunkowe są zobowiązane przygotować i przedstawić swoim obecnym i przyszłym klientom, od których otrzymują np. dokumentację zawierającą dane osobowe, Umowę powierzenia. Taka umowa zawierana pomiędzy biurem a klientem powinna określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Podmioty przetwarzające muszą odpowiednio wdrożyć ochronę danych osobowych ponieważ RODO nałożyło na administratorów danych obowiązek korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.
—
Gazeta Podatkowa nr 49 (1506) z dnia 18.06.2018, strona 18
Wskazówki dla przedsiębiorcy
Marta Stefanowicz — Wasilewska