LexDigital

Sektor MŚP przed wyzwaniem RODO

RODO zacznie obowiązywać już pod koniec maja. Zmiany w zakresie ochrony danych osobowych dotyczą wszystkich organizacji. Jednak małe i średnie przedsiębiorstwa mogą liczyć na ulgi w tym zakresie. Ustawodawca zwalnia firmy z sektora MŚP z części obowiązków informacyjnych.

Sektor MŚP przed wyzwaniem RODO

RODO zbliża się wielkimi krokami. Im bliżej do wejścia w życie rozporządzenia tym więcej pytań dotyczących jego wdrożenia. Wielu przedsiębiorców, przede wszystkim z sektora MŚP oraz tych, którzy zdecydowali się wprowadzić nowe przepisy dotyczące ochrony danych osobowych do swoich organizacji samodzielnie, stoi przed trudnym wyzwaniem. Choć temat jest niezwykle popularny i pojawia się wiele publikacji na temat wdrożenia RODO, to wielu małych i średnich przedsiębiorców wciąż nie zna swoim obowiązków związanych ze spełnieniem wymagań RODO. Mylące są informację dotyczące obowiązku reorganizacji działania firm, czy całkowitego zakazu przetwarzania danych.

Dlaczego RODO dotyczy także małych i średnich przedsiębiorstw?

W Polsce ponad 4 miliony osób ma zarejestrowaną działalność gospodarczą, a niemal 3 miliony z nich to jednoosobowe działalności gospodarcze. Należy zauważyć, że z zaawansowanym przetwarzaniem danych osobowych, w tym także wrażliwych danych osobowych, zajmują się zazwyczaj duże podmioty gospodarcze, jednak obowiązek dostosowania się do unijnych regulacji obejmuje wszystkie przedsiębiorstwa - bez względu na wielkość firmy czy ilość zatrudnionych osób. Wynika to z prostego założenia - każda firma, małe przedsiębiorstwo czy nawet jednoosobowa działalność gospodarcza, ma kontakt z danymi należącymi do kontrahentów oraz swoich klientów.

Za dane osobowe uznaje się wszystkie informacje dotyczące osoby fizycznej, oraz takie dane, dzięki którym można taką osobę zidentyfikować. Każdy przedsiębiorca w sytuacji, gdy ma do czynienia z takimi danymi - pozyskuje je, gromadzi np. w postaci baz danych klientów, czy przetwarza je w ramach realizowania akcji marketingowych, staje się Administratorem Danych Osobowych i musi je odpowiednio chronić. RODO precyzuje obowiązki ADO związane zarówno z zabezpieczeniem danych osobowych jak i z ich przetwarzaniem.

Obowiązki małych i średnich przedsiębiorców

Czy to oznacza, że każdy kto przetwarza dane osobowe ma takie same obowiązki założone w RODO? Nie. Każda firma, która nie zatrudnia więcej niż 250 pracowników oraz nie osiąga przychód ze sprzedaży większej niż 50 mln euro rocznie, traktowana jest przez Unię Europejską jako mniejszy podmiot gospodarczy. I dla małych i średnich przedsiębiorstw przewidziane są pewne ulgi, które pozwolą im dostosować się do nowych przepisów prawa.

Obowiązek informacyjny istnieje od 20 lat. W sytuacji, gdy gromadzone są dane osobowe, każdy Administrator Danych Osobowych ma obowiązek poinformowania o tym osoby, których dane dotyczą. RODO jednak rozszerza ten wymóg o dodatkowe elementy. Z chwilą wejścia w życie RODO, każdy przedsiębiorca będzie musiał poinformować daną osobę m.in. o tym kto jest Administratorem Danych Osobowych, w jaki celu dane są gromadzone, a jeśli został w firmie powołany Inspektor Ochrony Danych, będą zmuszone przekazać jego dane kontaktowe. Firmy z sektora MŚP zwolnione są jednak z informowania swoich klientów o prawie dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania.

Nie oznacza to, że firmy te zwolnione są z realizacji tych praw. Ulga dotyczy wyłącznie obowiązku informowania swoich klientów o tych prawa, które nadal im przysługują.

Małe i średnie przedsiębiorstwa zostały także zwolnione z obowiązku prowadzenie rejestru czynności przetwarzania danych osobowych. Jest to dokument, którego zadaniem jest pokazać w jakim procesom przetwarzania poddawane są dane osobowe w organizacji, w jakim celu dane osobowe są przetwarzane, oraz w jaki sposób są one zabezpieczone. Rejestr czynności przetwarzania danych osobowych służy przede wszystkim kontroli przez organ nadzorczy. W poprzednim systemie, taką funkcję spełniał Rejestr zbiorów danych osobowych.

Należy pamiętać, że ulga ta dotyczy wyłącznie przedsiębiorstw, które nie przetwarzają szczególnych kategorii danych osobowych. W przeciwnym razie, jeśli przetwarzane są dane wrażliwe - Rejestr czynności przetwarzania jest obowiązkowy.

Kolejną ulgą, z której mogą skorzystać mali i średni przedsiębiorcy to brak obowiązku powoływania Inspektora Ochrony Danych. Z tego obowiązku zwolnione zostają te firmy, które nie przetwarzają szczególnych kategorii danych osobowych oraz takie, których główna działalność nie jest ściśle związana z operacjami na danych osobowych. Pomimo spełnienia powyższych założeń, firmy które na swoim koncie będą miały naruszenia prawa dotyczącego ochrony danych osobowych, będą zmuszone powołać Inspektora Ochrony Danych. Nie oznacza to obowiązku tworzenia nowego stanowiska i zatrudniania na stałe nowej osoby zajmującej się ochroną danych w organizacji. Inspektor Ochrony Danych może być osobą zewnętrzną, spoza firmy i świadczyć usługi w ramach outsourcingu.

Nowe obowiązki przedsiębiorców

Nowe prawo o ochronie danych osobowych oznacza dla przedsiębiorców także dodatkowe zadania. RODO nie tylko modyfikuje dotychczasowe obowiązki przedsiębiorców, ale również wprowadza nowe zobowiązania. Tym, które będzie dotyczyło wszystkich przedsiębiorców, bez względu na wielkość firmy jest konieczność poinformowania organu nadzorczego o naruszeniach danych osobowych.

Obowiązek ten musi zostać spełniony, kiedy dojdzie do incydentu związanego z danymi osobowymi, który może naruszać prywatność osób, których dane dotyczą. Na złożenie zawiadomienia do organu nadzorczego każdy przedsiębiorca ma 72 godziny. RODO nie precyzuje, które naruszenia pociągają przedsiębiorcę do wypełnienia tego obowiązku. Taką ocenę należy dokonać samodzielnie. Należy jednak pamiętać, że w razie kontroli, każda decyzja zostanie poddana ocenie przez organ kontrolujący.

Zasady wprowadzania danych osobowych do organizacji

Zmian w prawie jest wiele. Szczególnie trudne jest odnalezienie się w nowej sytuacji firmom, które zdecydowały się przejść przez proces wdrożenia RODO bez zewnętrznej pomocy specjalistów z tego zakresu. Aby nie zgubić się w gąszczu nowych przepisów, pomocne mogą okazać się kodeksy branżowe. Wielu przedsiębiorców, zrzeszonych w izbach branżowych, pracuje nad opracowaniem praktycznych wytycznych dotyczących sposobu wprowadzenia RODO do organizacji z ich sektora. Każda branża ma możliwość stworzenia własnych, dostosowanych do swoich potrzeb sposobów zabezpieczania danych osobowych. Obecnie takie kodeksy przygotowywane są przez m.in. branżę medyczną, ubezpieczeniową czy hotelarską.

Podsumowanie

Choć RODO wprowadza wiele zmian w prawie, należy pamiętać, że znaczna część obowiązków przedsiębiorców w kontekście ochrony danych osobowych istnieje już od ponad 20 lat - ustanowione zostały przez Ustawę o Ochronie Danych Osobowych z 1997 roku. Brak stanowczego stosunku Państwa, w kwestii ochrony danych doprowadziła do sytuacji, w której wielu przedsiębiorców dowiaduje się o swoich obowiązkach związanych z ochroną prywatności swoich klientów dopiero w kontekście RODO. Należy zdawać sobie sprawę z wagi jaką w dzisiejszych czasach stanowią dane osobowe i podjąć odpowiednie działania, aby skutecznie je zabezpieczyć w każdej organizacji.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.