+48 22 123 45 67 kancelaria@radca-przykladowa.pl pon.–pt. 9:00–17:00
Przykładowa Kancelaria Radcy Prawnego

Obowiązki RODO w małej firmie — checklista przedsiębiorcy

Obowiązki RODO w małej firmie — checklista przedsiębiorcy

RODO bywa postrzegane jako problem korporacji, ale wynikające z niego obowiązki dotyczą każdej firmy — także jednoosobowej działalności, która zatrudnia pracownika, prowadzi newsletter albo po prostu obsługuje klientów. Skala obowiązków zależy od skali przetwarzania, lecz ich katalog jest wspólny. Poniżej praktyczna checklista dla małej firmy.

1. Zinwentaryzuj dane i cele przetwarzania

Zacznij od mapy: jakie dane osobowe przetwarzasz (pracownicy, kandydaci do pracy, klienci, kontrahenci, odbiorcy marketingu), skąd pochodzą, gdzie są przechowywane — systemy informatyczne, poczta, segregatory — i po co. Bez tej mapy żaden kolejny krok nie będzie rzetelny.

2. Przypisz podstawy prawne (art. 6 RODO)

Każdy cel przetwarzania musi mieć podstawę prawną: wykonanie umowy, obowiązek prawny (np. przepisy podatkowe i kadrowe), prawnie uzasadniony interes administratora (np. dochodzenie roszczeń, marketing bezpośredni własnych usług) albo zgodę. W praktyce zgoda powinna być ostatnim wyborem — stosuj ją tam, gdzie żadna inna podstawa nie pasuje, i pamiętaj, że można ją w każdej chwili cofnąć.

3. Spełnij obowiązki informacyjne (art. 13 i 14 RODO)

Osoby, których dane przetwarzasz, muszą wiedzieć: kto jest administratorem, w jakich celach i na jakiej podstawie dane są przetwarzane, komu są przekazywane, jak długo będą przechowywane i jakie prawa przysługują. Klauzule informacyjne powinny znaleźć się m.in. w dokumentach kadrowych i rekrutacyjnych, formularzach kontaktowych, umowach oraz w polityce prywatności strony internetowej. Gdy pozyskujesz dane z innych źródeł niż sama osoba, obowiązek informacyjny realizujesz na podstawie art. 14.

4. Zawrzyj umowy powierzenia (art. 28 RODO)

Biuro rachunkowe, dostawca hostingu, firma IT, zewnętrzna obsługa kadr — jeżeli podmiot zewnętrzny przetwarza dane w Twoim imieniu, konieczna jest umowa powierzenia określająca przedmiot, czas trwania, charakter i cel przetwarzania oraz obowiązki procesora. Zweryfikuj też, czy dostawca daje wystarczające gwarancje wdrożenia odpowiednich środków bezpieczeństwa.

5. Dobierz środki bezpieczeństwa (art. 32 RODO)

RODO nie narzuca konkretnych rozwiązań technicznych — wymaga środków adekwatnych do ryzyka, ustalonych po jego analizie. W małej firmie standardem powinny być: kontrola dostępu do systemów i pomieszczeń, indywidualne konta i silne hasła z uwierzytelnianiem dwuskładnikowym, szyfrowanie nośników, regularne kopie zapasowe, aktualizacje oprogramowania oraz zasady czystego biurka i ekranu.

6. Prowadź dokumentację: rejestr, retencja, upoważnienia

  • rejestr czynności przetwarzania (art. 30 RODO) — w praktyce obowiązkowy także w małych firmach, m.in. ze względu na kadry i płace;
  • retencja — ustal terminy przechowywania poszczególnych kategorii danych i faktycznie je usuwaj lub anonimizuj po ich upływie;
  • upoważnienia i szkolenia — każda osoba przetwarzająca dane w firmie powinna działać na polecenie administratora, mieć nadane upoważnienie i przejść podstawowe szkolenie z ochrony danych.

7. Przygotuj procedurę na wypadek naruszenia

Naruszenie ochrony danych — zgubiony laptop, błędnie zaadresowany e-mail, atak ransomware — trzeba ocenić pod kątem ryzyka dla osób, których dane dotyczą. Jeżeli ryzyko istnieje, naruszenie zgłasza się Prezesowi UODO bez zbędnej zwłoki, w miarę możliwości nie później niż w 72 godziny od stwierdzenia (art. 33 RODO). Przy wysokim ryzyku należy dodatkowo zawiadomić same osoby (art. 34 RODO). Każde naruszenie — także niezgłoszone — dokumentuj w wewnętrznej ewidencji.

Czy mała firma musi wyznaczyć IOD?

Inspektor ochrony danych jest obowiązkowy w trzech sytuacjach (art. 37 RODO): gdy przetwarzania dokonuje organ lub podmiot publiczny, gdy główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę albo gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych lub danych dotyczących wyroków skazujących. Typowa mała firma handlowa czy usługowa zwykle nie ma tego obowiązku — powinna jednak umieć uzasadnić, dlaczego IOD nie wyznaczyła.

Kiedy potrzebna jest DPIA (art. 35 RODO)?

Ocena skutków dla ochrony danych jest wymagana, gdy przetwarzanie — zwłaszcza z użyciem nowych technologii — może powodować wysokie ryzyko dla praw i wolności osób: np. systematyczne monitorowanie miejsc publicznie dostępnych na dużą skalę, profilowanie wywołujące istotne skutki dla osób czy przetwarzanie danych wrażliwych na dużą skalę. Pomocniczo warto sięgnąć do wykazu rodzajów operacji wymagających DPIA publikowanego przez Prezesa UODO.

Klamrą spinającą wszystkie punkty jest zasada rozliczalności: nie wystarczy przestrzegać RODO — trzeba umieć to wykazać. Dlatego każdy z powyższych kroków powinien zostawiać ślad w dokumentacji firmy.

Wpisy na blogu mają charakter informacyjny i nie stanowią porady prawnej. Stan prawny jest aktualny na dzień publikacji wpisu — późniejsze zmiany przepisów mogą wpływać na jego aktualność. W indywidualnych sprawach skontaktuj się z kancelarią.

Wróć do wszystkich wpisów