Jesteśmy już gotowi na RODO, a Ty? Powrót
Od 25 maja 2018 r. w całej Unii Europejskiej zaczęło obowiązywać nowe, ważne rozporządzenie związane z ochroną prywatności – Ogólne Rozporządzenie o Ochronie Danych Osobowych (w skrócie “RODO”). W uproszczeniu, RODO wymaga, aby wszystkie firmy działające na terenie Unii Europejskiej zwracały szczególną uwagę na dane osobowe otrzymywane od klientów.
Przeczytaj, na co zwrócić szczególną uwagę i zawczasu się przygotować, by nie narazić się na słone kary. Musisz bowiem wiedzieć, że w sytuacji, gdy naruszysz nowo obowiązujące przepisy związane z przetwarzaniem danych osobowych, możesz zostać ukarany karą w wysokości do 20 mln euro lub do 4% całkowitego globalnego rocznego obrotu z poprzedniego roku obrotowego. Żarty się więc skończyły i czas dobrze się do tego przygotować.
Co to są dane osobowe?
Dane osobowe to wszelkie informację, które pozwolą bezpośrednio lub pośrednio zidentyfikować daną osobę fizyczną, w szczególności będą to: imię i nazwisko, numer PESEL, adres e-mail, numer telefonu, numer konta bankowego czy dane o lokalizacji. I dotyczy to zarówno Twoich pracowników zatrudnionych na umowy o dzieło, czy zlecenia, jak i Twoich kontrahentów. Pamiętaj, że prowadząc rekrutację przyszłych pracowników i gromadząc ich CV, dane w nich zawarte również podlegają ochronie i musisz zapytać o zgodę na ich przetwarzanie, a po zakończeniu procesu rekrutacji musisz je usunąć.
Dane dotyczące spółek z.o.o., akcyjnych i inne tego typu nie stanowią danych osobowych, ale już informacja w Twoim systemie: Jan Nowak, pracownik firmy X sp. z o.o. to już dana osobowa. Jeżeli więc posiadasz lub masz dostęp do bazy kontrahentów obecnych lub przyszłych, gdzie oprócz imienia i nazwiska masz jeszcze ich numer telefonu lub adres email, to w stosunku do nich będziesz musiał zastosować procedury RODO.
Wiedz też, że dana osobowa to także ID komputera, czy też nr ewidencyjny w CEiDG Twojego kontrahenta.
Jeżeli więc przetwarzasz takie dane, czyli m.in. zbierasz, przechowujesz, modyfikujesz je w Twoim systemie CRM, wysyłasz do nich handlowe, czy marketingowe informacje mailowe, czy chociażby życzenia na święta wiedz, że będzie trzeba zastosować się do wytycznych RODO w zakresie ich ochrony.
Osobną kategorią są dane wrażliwe, tj. pochodzenie rasowe, poglądy polityczne lub religijne dane dotyczące zdrowia. One bezwzględnie podlegają ochronie i szczególnej procedurze. W pierwszej chwili pomyślisz pewnie, że Cię to mnie nie dotyczy, ale jeżeli zatrudniasz pracowników, musisz w swojej dokumentacji przechowywać zaświadczenia lekarskie dotyczące badań wstępnych lub okresowych, a to nic innego jak informacja o ich stanie zdrowia.
Pomyśl więc o procesach, jakie zachodzą w Twojej firmie oraz gdzie i jakie przetwarzasz dane osobowe.
Kim jest Administrator danych osobowych?
Jeżeli przetwarzasz dane o których mowa jest wyżej, stajesz się automatycznie Administratorem Danych Osobowych. Jest nim zawsze firma, a nie prezes firmy, czy pracownik.
Podmiot przetwarzający dane osobowe
Jako firma zapewne korzystasz z usług innych firm, które pośrednio lub bezpośrednio angażują się w przetwarzanie danych osobowych.
Czy więc:
– przekazałeś prowadzenie spraw księgowych lub płacowych do biura rachunkowego?
– wysyłasz zamówione przez osoby fizyczne towary za pośrednictwem firm kurierskich?
– Twoim kontem mailowym administruje zewnętrzna firma?
– oferujesz Swoim pracownikom korzystanie z kart medycznych lub sportowych?
Jeżeli choć na jedno z powyższych pytań odpowiesz TAK – powinieneś koniecznie podpisać z tymi firmami odpowiednią umowę, tzw. umowę powierzenia, w której określone zostaną zasady przetwarzania tych danych. Dobrze zastanów się nad takimi procesami zrealizowanymi w Twojej firmie. Taką umowę podpiszesz także z nami, gdy zajdzie potrzeba naprawy lub sprawdzenia Twoich danych pochodzących z naszego programu księgowego. O tym, jakie firmy biorą oprócz Ciebie udział w przetwarzaniu danych musisz poinformować daną osobę fizyczną, której dane będą przetwarzane.
Pamiętaj, że w danej organizacji, dane osobowe faktycznie przetwarzają konkretne osoby fizyczne: pracownicy lub osoby współpracujące. Zadbaj więc, by posiadać podpisane przez nich upoważnienie do przetwarzania danych osobowych.
I co istotne: jeżeli zajdzie potrzeba analizy lub naprawy danych księgowych Twojego programu przez nasz dział merytoryczny bądź techniczny, przed rozpoczęciem prac będziesz musiał z naszą firmą podpisać Umowę o przetwarzaniu danych.
Zgoda, ale i nie tylko
Aby móc przetwarzać dane, musisz mieć do tego podstawę. Rozporządzenie o RODO wymienia sześć przypadków zgodności przetwarzania zgodnie z prawem, m.in.:
– przetwarzanie niezbędne jest do wykonania umowy lub w celu podjęcia działań przed zawarciem umowy,
– wymagają tego przepisy prawa jak np. w przypadku dokumentacji pracowniczej lub księgowo- podatkowej,
– zgoda osoby, której dane dotyczą na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów.
RODO wprowadza nowe pojęcie zgody – zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Ważne!
Nie każda czynność na danych wymaga zgody. Nie musisz o nią pytać, jeżeli przetwarzanie danych jest niezbędne do wykonania umowy lub wynika z prawnie uzasadnionych interesów, bądź gdy jest ono niezbędne do wypełnienia obowiązku prawnego, np. do prowadzenia zapisów w dokumentacji księgowej.
Cel i czas przetwarzania danych
Nie mniej ważny jest czas przechowywania zgromadzonych danych. Zbierając, a tym samym przetwarzając dane, musisz przedstawić drugiej stronie informację o okresie korzystania z nich i określić cel ich przetwarzania. Musi być on konkretny i sprecyzowany. Jeżeli więc nie poinformowałeś osoby, która zostawiła Ci poprzez formularz kontaktowy swoje dane, o tym, że będziesz wykorzystywał je także do przesyłania jej informacji handlowo-marketingowych, możesz je przetwarzać tylko do czasu i do celu udzielenia jej odpowiedzi na zadanie pytanie.
Danych tych nie możesz przechowywać w nieskończoność, czas ten musi być również określony, np. do czasu wykonania umowy plus ewentualnie do czasu upłynięcia okresu przedawnienia. Pamiętaj też o usunięciu tych danych, gdy cel zostanie już zrealizowany. Musisz liczyć się z tym, że każdą zgodę ta druga strona ma prawo odwołać, osoba fizyczna ma bowiem prawo do bycia zapomnianym i o tym prawie musisz ją poinformować. Wiedz też że odwołanie zgody musi być równie łatwe jak jej złożenie.
Jak zabezpieczyć dane?
RODO nie wskazuje konkretnych środków, za pomocą których należy zabezpieczyć dane. Każda firma sama decyduje o wdrożonych środkach ochrony danych uwzględniając ich charakter i cele przetwarzania, ryzyko naruszenia , a także stanu wiedzy technicznej czy też kosztu wdrażania. Może to być np. szyfrowanie danych osobowych, np. poprzez nadanie haseł wstępu do programu księgowego indywidualnych dla każdego użytkownika lub nadanie mu uprawnień do wstępu do danego modułu, np. płacowego, czy Dziennika Zapisów, czy też VAT-u.
W programie SKP® możesz zarządzać uprawieniami i nadawać danemu użytkownikowi odpowiednio skomplikowane hasła wstępu. Dokonasz tego w punkcie System Hasła. Tylko administrator systemu ma pełne uprawnienia, pozostałym użytkownikom można nadać indywidualne ustawienia do korzystania danych zgodnie z posiadanymi zakresami obowiązków, by ograniczyć dostęp do danych osobowych nieupoważnionym do tego osobom.
Masz też zapewnioną możliwość do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie jakiegoś incydentu, np. awarii technicznej. Możesz bowiem ustawić automatyczną archiwizację danych przy każdorazowym zamknięciu lub uruchomieniu programu SKP®. Sam możesz zadecydować kiedy i podczas jakiej czynności wykona się ona, a ustawień takich dokonasz w punkcie: System > Kopie Rezerwowe > Archiwizacja danych.
Regularne wykonywanie kopi danych uchroni cię nie tylko przed ponownym wprowadzanie danych w razie awarii, ale stanowić też będzie jedną z form zabezpieczenia danych zalecanych przez RODO.
Jaką dokumentację w związku z RODO należy prowadzić ?
Poprzednie przepisy nakazywały powadzenie polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe. Obecnie nie ma już takiego obowiązku, aczkolwiek nadal zaleca się stosowanie dokumentacji ochrony danych osobowych, po odpowiednim dostosowaniu do przepisów RODO.
Nowością jest bowiem sporządzenie rejestru czynności przetwarzania danych. Rejestr taki nie muszą prowadzić przedsiębiorcy zatrudniający mniej niż 250 osób, chyba że przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą lub przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących, bądź przetwarzanie nie ma charakteru sporadycznego. I tu pod tą ostatnią kategorię podpadają niemal wszyscy przedsiębiorcy, bowiem, czy przetwarzanie danych kadrowych, czy obsługa posprzedażowa nie ma charakteru ciągłego, nie są bowiem czynnościami jednorazowymi.
Kim jest Inspektor Danych Osobowych?
Inspektora Danych Osobowych należy powołać, gdy główna Twoja działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą i to na dużą skalę lub gdy to przetwarzanie dotyczy szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących.
Obowiązek zgłaszania naruszeń ochrony danych
Wiedz, że każdy incydent naruszenia ochrony danych musisz zgłosić do organu nadzorczego (PUODO), np. w przypadku zgubienia nośnika z danymi osobowymi, czy włamania do systemu, w którym znajdują się dane osobowe. Masz na to to czas maksymalnie do 72 godzin od stwierdzenia danego naruszenia.
Sprawdź, czy przetwarzasz dane osobowe zgodnie z zaleceniami RODO i odpowiednio przygotuj własną dokumentację w tym zakresie. Zaktualizuj również „formułki” dotyczące pozyskiwania zgód, by nikt nie zrzucił Ci braku ich poprawności.
Pamiętaj też o kilku zasadach bezpiecznego korzystania z komputera, by jak najbardziej ochronić swoje dane. Zadbaj, by nie tylko program był chroniony hasłem, ale także i cały komputer i ustaw wygaszacz ekranu. Korzystaj z najnowszych systemów operacyjnych jak Windows 7 i wyższych i aktualizuj je, a także posiadaj aktualny program antywirusowy. Pamiętaj zawsze należy zachować – czujność i podejrzliwość to podstawowa zasada podejścia opartego na ryzyku, jakie propaguje RODO. Zadbajmy więc wspólnie o bezpieczeństwo swoich danych.
Autor: Ewelina Mandziuk
Specjalista ds. finansów