Wiele małych firm traktuje RODO jak formalność, którą kiedyś załatwili jednym regulaminem ze wzoru z internetu. Inne popadają w drugą skrajność i boją się każdego maila. Prawda leży pośrodku. RODO to zdrowy rozsądek w obchodzeniu się z danymi ludzi, ubrany w kilka konkretnych obowiązków. Pokazuję, od czego zacząć, żeby zrobić to porządnie i bez przesady.
Zacznij od tego, jakie dane masz
Nie da się chronić czegoś, o czym się zapomniało. Pierwszy krok to prosta inwentaryzacja.
- Wypisz, czyje dane przetwarzasz: klientów, pracowników, kontrahentów, kandydatów do pracy.
- Zanotuj, gdzie te dane leżą: w systemie księgowym, w poczcie, w CRM, w plikach na dysku.
- Sprawdź, kto ma do nich dostęp i czy naprawdę musi.
Już samo to ćwiczenie zwykle pokazuje kilka miejsc, które warto uporządkować.
Rejestr czynności przetwarzania
To dokument, który brzmi groźnie, a jest po prostu spisem: jakie dane, po co, na jakiej podstawie i jak długo je trzymasz.
- Dla małej firmy zwykle wystarczy prosta tabela.
- Aktualizuj ją, gdy dochodzi nowy system albo nowy cel przetwarzania.
- To pierwszy dokument, o który zapyta urząd przy kontroli.
Podstawy prawne i zgody
Każde przetwarzanie danych musi mieć podstawę. Nie zawsze jest nią zgoda.
- Realizacja umowy z klientem to najczęstsza i naturalna podstawa.
- Obowiązek prawny, na przykład przy dokumentacji kadrowej i księgowej.
- Zgoda tam, gdzie nie ma innej podstawy, na przykład przy newsletterze marketingowym.
Najczęstszy błąd w małych firmach to zbieranie zgody na wszystko, nawet tam, gdzie podstawą jest umowa. To tworzy sztuczny problem i papierologię, która niczego nie chroni.
Bezpieczeństwo danych, czyli techniczna strona RODO
O tym zapomina się najczęściej, a to właśnie tu dochodzi do wycieków, które kończą się karą i zgłoszeniem do urzędu.
- Włącz MFA i sensowne hasła na kontach z dostępem do danych.
- Zadbaj o kopie zapasowe, bo utrata danych też jest naruszeniem.
- Szyfruj dyski w laptopach, żeby zguba sprzętu nie była wyciekiem.
- Odbieraj dostęp osobom, które odeszły z firmy.
RODO wprost wymaga adekwatnych środków technicznych. Dobre podstawy bezpieczeństwa IT to jednocześnie spełnienie tego obowiązku.
Obsługa praw i naruszeń
Ludzie mają prawo pytać o swoje dane, a firma ma obowiązek reagować.
- Przygotuj się na wnioski o dostęp, sprostowanie lub usunięcie danych.
- Ustal, kto w firmie odpowiada na takie zgłoszenia.
- Zapamiętaj zasadę: poważne naruszenie zgłasza się do urzędu w ciągu 72 godzin.
Czy potrzebujesz Inspektora Ochrony Danych
Nie każda mała firma musi powoływać IOD. Obowiązek dotyczy głównie podmiotów, których główna działalność polega na przetwarzaniu danych na dużą skalę lub danych szczególnych kategorii. Jeśli masz wątpliwości, warto to zweryfikować, bo błąd w obie strony kosztuje.
Podsumowanie
RODO w małej firmie to kilka rozsądnych kroków: wiedz, jakie masz dane, spisz rejestr, ustal podstawy, zadbaj o bezpieczeństwo i przygotuj się na pytania. Nie potrzebujesz segregatora dokumentów, potrzebujesz porządku.
Jeśli chcesz sprawdzić, na czym naprawdę stoisz, dobrym startem jest audyt RODO, a gdy okaże się, że potrzebujesz wsparcia na co dzień, sprawdź outsourcing IOD. Lepiej uporządkować to spokojnie teraz niż tłumaczyć się po naruszeniu.