Jedną ze spraw, o którą każdy przedsiębiorca otwierający biznes musi zadbać, jest wdrożenie przepisów o ochronie danych osobowych w firmie. W praktyce oznacza to konieczność realizacji wymagań opisanych w RODO - ogólnym rozporządzeniu o ochronie danych (pełen tekst: https://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=CELEX:32016R0679&from=PL)
Istotnym elementem wdrożenia RODO jest opracowanie i przyjęcie w firmie dokumentacji w zakresie ochrony danych. Należy tu jednak podkreślić, że RODO nie sprowadza się jedynie do przygotowania dokumentów. Przepisy poruszają także między innymi takie tematy jak zabezpieczenia danych, komunikacja, zarządzanie incydentami, archiwizacja i przechowywanie danych, powołanie Inspektora Ochrony Danych czy projektowanie nowych usług.
Dokumentacja pozostaje istotnym elementem wdrożenia, a braki w tym zakresie były już kilkakrotnie podstawą do nałożenia kar administracyjnych przez organ nadzoru, którym jest w Polsce Prezes Urzędu Ochrony Danych Osobowych. Wdrożenie dokumentów RODO w małej firmie, która nie zajmuje się przetwarzaniem ogromnej ilości danych i nie ma dostępu do tzw. danych o szczególnym charakterze, nie musi być bardzo skomplikowane. Przy odrobinie uwagi, biorąc pod uwagę ogromne ilości wzorów i poradników dostępnych w sieci, wdrożenie takie można przeprowadzić we własnym zakresie.
Generalnie można wskazać kilkanaście różnego rodzaju dokumentów, które mogą stanowić element wdrożenia RODO. W przypadku mniejszych podmiotów, a w szczególności jednoosobowych działalności gospodarczych, nie każdy z nich będzie wymagany.
Te, które występują w zasadzie w każdym wdrożeniu to:
Dodatkowo bardzo często, także w małych firmach, konieczne jest również przygotowanie:
Dodatkowo w większych firmach polecałbym opracowanie polityk (bezpieczeństwa, bezpieczeństwa IT) oraz szeregu wzorów formularzy, użytecznych przy realizacji niektórych z obowiązków wynikających z RODO. Dokumenty te nie będą jednak konieczne w większości mniejszych podmiotów.
Jednym z podstawowych dokumentów, który powinien zostać przygotowany w zasadzie w każdej firmie jest obowiązek informacyjny. Jego zakres został określony w art. 13 (jeżeli administrator sam pozyskał dane) lub w art. 14 (jeżeli dane zostały pozyskane z zewnętrznego źródła) RODO.
W ramach niniejszej publikacji, zostaną opisane podstawowe zasady przygotowywania tego dokumentu.
Obowiązek ten dotyczy wyłącznie administratorów, ale jest niemal pewne, że w takiej roli wystąpi zdecydowana większość uczestników obrotu gospodarczego. Nawet, jeżeli firma wykonuje wyłącznie zlecenia innych podmiotów i pracuje na danych tych podmiotów (czyli w roli procesora), to posiada dane pełnomocników swoich klientów, podwykonawców, dostawców, pracowników czy zleceniobiorców. I już ten fakt powoduje, że koniecznym jest przekazanie informacji wskazanych w RODO, zaś firma jest w stosunku do takich osób administratorem danych.
Nie ma jednego, „złotego” standardu obowiązku informacyjnego, choć istnieje wiele jego wzorów. RODO nie wymaga tu bowiem określonej formy. Można więc przygotować tabelę, dokument z paragrafami lub kilka linijek ciągłego tekstu - w zależności od potrzeb i preferencji.
Aby właściwie przygotować obowiązek informacyjny, każdy administrator powinien odpowiedzieć na kilka pytań:
Mając przygotowane odpowiedzi na powyższe pytania, w oparciu o treść art. 13 albo 14 RODO, który można potraktować jako swoistą „chceck-listę” i wzór, uzyskany z wiarygodnego źródła, można opracować prawidłowy obowiązek informacyjny. Należy przy tym pamiętać o części dotyczącej praw podmiotu danych - która zasadniczo powinna być podobna w przypadku małych firm. Niemniej należy tu wziąć pod uwagę, że pewne różnice w zakresie tej części mogą wynikać ze sposobu pozyskania danych (np. występowanie lub nie prawa do usunięcia danych, kwestie związane z podejmowaniem zautomatyzowanych decyzji lub marketingu usług własnych).
Obowiązek informacyjny powinien być, zgodnie z RODO, zrealizowany „podczas pozyskiwania danych osobowych”. W praktyce oznacza to, że należy go zrealizować albo w trakcie pozyskiwania danych, albo bezpośrednio po ich uzyskaniu. RODO nie wskazuje preferowanej formy realizacji obowiązku informacyjnego - może być on zrealizowany w formie pisemnej (np. w pakiecie dokumentów dla nowego pracownika), mailowej lub nawet odczytany lub wysłany przez SMS.
W praktyce może się zdarzyć, iż w przypadku bardzo prostej z poziomu ochrony danych działalności, całkowicie zgodny z RODO obowiązek informacyjny zamknie się w 3 linijkach tekstu. Warto więc zadbać o jego opracowanie, bowiem jest to zarówno obowiązek prawny jak i element uwiarygadniający firmę - szczególnie działającą w obszarze nowych technologii i IT.
