Jak wdrożyć RODO w małej firmie? Ile kosztuje wdrożenie RODO?

Upewnij się, że nowe rozporządzenie dotyczy także Twojej firmy i przygotuj ją do nowego, unijnego prawa. Dowiedz się ile kosztuje wdrożenie RODO.

Czy nowe rozporządzenie RODO dotyczy także mniejszych firm?

Zdecydowanie tak! Upewnij się, że Twoja firma jest na nie gotowa.

Zgodnie z przygotowanym przez „Federation of Small Business” raportem ponad połowa małych firm w Europie nie jest gotowa na wprowadzenie nowych rozporządzeń dotyczących ochrony danych osobowych. Niektóre podmioty z sektora MŚP nawet nie zaczęły się przygotowywać, inne błędnie wnioskują, że RODO ich nie dotyczy.

RODO zgodnie z zapowiedzą wejdzie w życie 25 maja br. Czasu na przygotowanie pozostało niewiele. Upewnij się, że twoja firma jest gotowa. W przeciwnym razie grożą Ci wysokie grzywny stanowiące poważne zagrożenie dla funkcjonowania twojej firmy.

Jak RODO wpływa na sektor MŚP (małych i średnich przedsiębiorstw)?

Jak RODO wpływa na sektor MŚP (małych i średnich przedsiębiorstw)?

Ogólne rozporządzenie o ochronie danych osobowych RODO wprowadza nowy zestaw przepisów dotyczących sposobu gromadzenia, przetwarzania i wykorzystywania danych osobowych. Dotyczy to każdej firmy, która swoją działalność prowadzi na terytorium Unii Europejskiej. Małej i dużej. Siedziby głównej i oddziałów. Polskiej i zagranicznej. Każdej, która przechowuje i przetwarza dane osobowe.

RODO rozszerza definicję danych osobowych, rozumie ją jako zbiór wszelkich danych, które pozwalają zidentyfikować konkretną osobę lub też bezpośrednio lub pośrednio są związane z daną osobą.

W szczególności:

  • Imię i nazwisko,
  • adres,
  • lokalizacja,
  • numer rejestracyjny pojazdu,
  • zdrowie i dane genetyczne,
  • orientacja seksualna,
  • dowód,
  • adres IP,
  • informacje o koncie bankowym,
  • wiara i religia.

Celem nadrzędnym wprowadzenia nowego prawa jest zwiększenie ochrony i kontroli nad danymi osobowymi.

Raport Komisji Europejskiej: tylko 15 proc. obywateli zjednoczonej Europy uważa, że ma kontrolę nad swoimi danymi w Internecie.

Raport Komisji Europejskiej: tylko 15 proc. obywateli zjednoczonej Europy uważa, że ma kontrolę nad swoimi danymi w Internecie.

Mowa tutaj w pierwszej kolejności o wyrażanych zgodach na przetwarzanie danych osobowych. Nieco ponad 55 proc. jest poważnie zaniepokojonych tym, że ich aktywność finansowa, w tym przede wszystkim płatności są śledzone przez podmioty trzecie.

Nowe rozporządzenie daje osobom fizycznym prawo do natychmiastowego wycofania zgody o przetwarzania danych osobowych i żądania usunięcia danych z bazy danej firmy. Inne aspekty związane z przetwarzaniem, profilowaniem, bezpieczeństwem i co ważne naruszeniem danych, również ulegną zasadniczym zmianom wraz z wejściem w życie rozporządzeń RODO.

Wbrew temu, co najmniejsi przedsiębiorcy mogą sądzić, obowiązek przestrzegania rozporządzeń RODO obowiązuje wszystkie firmy niezależnie od wielkości przychodów czy zatrudnienia. Także te najmniejsze podmioty. Ujmując to jednym zdaniem, jeżeli przetwarzasz dane osobowe obywateli krajów Unii Europejskiej musisz przestrzegać przepisów RODO.

Uwaga! Trzy główne kierunki, które musi wdrożyć każda firma.

Uwaga! Trzy główne kierunki, które musi wdrożyć każda firma.

  1. Firmy zatrudniające powyżej 250 pracowników, będą musiały zgodnie z nowymi przepisami wyznaczyć Inspektora Danych Osobowych.
  2. Organizacje, za każdym razem będą musiały uzyskać zgodę, kiedy będą żądać danych klienta, lub będą wykorzystywać już posiadane dane do innego celu. Doprecyzowując. Ma to zastosowanie, w przypadku kiedy zgoda jest używana jako podstawa prawna. W innych przypadkach organizację będą zmuszone poinformować osoby zainteresowane o nowych zasadach i celu przetwarzania danych. Dodatkowo organizacje muszą umożliwić osobom, których dane przetwarzają na szybką rezygnację z wyrażenia zgody.
  3. Informacja o złamaniu zasad bezpieczeństwa danych osobowych musi być zgłoszona w ciągu 72 godzin.

 

Jako mała firma nie masz obowiązku zatrudniania i wskazywania Inspektora Danych Osobowych, masz jednak obowiązek stosowania unijnych przepisów RODO.

Skąd zatem przekonanie, że przepisy RODO odnoszą się tylko do tych największych firm, zatrudniających powyżej 250 pracowników? Wynika to z błędnej interpretacji art.30 pkt. 5 nowego rozporządzenia gdzie możemy przeczytać:

„ Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”

Jak przygotować małą firmą do nowych przepisów RODO?

Jak przygotować małą firmą do nowych przepisów RODO?

Nowa ustawa RODO może wydawać się skomplikowana, w szczególności dla małych firm z ograniczoną liczbą pracowników i zasobów własnych. Ważne jest, aby na podstawowym poziomie chronić dane osób, które wyrażają zgodę na ich przetwarzanie właśnie Twojej firmie.

Aby zachować zgodność z rozporządzeniem RODO, należy w pierwszym kroku upewnić się, że dane klientów są przetwarzane zgodnie z prawem i gromadzone w określonych, wyraźnych i zgodnych z prawem celach. Przedsiębiorca prowadzący małą firmę, zobligowany jest do upewnienia się, że dane są bezpieczne i chronione i będą usunięte, kiedy przestaną być już potrzebne.

Pomimo tego, że nie ma jednego uniwersalnego podejścia, istnieje kilka kroków, które nie tyle można co należy podjąć w celu przygotowania małej firmy do RODO.

Edukuj swój personel

Po pierwsze upewnij się, że twoi pracownicy rozumieją czym jest RODO i jakie mają obowiązki. Stwórz listę nakazów i zakazów, która będzie obowiązywać jak wzór działania dla każdego z pracowników. Podkreśl kluczowe aspekty i wyszkol swoich pracowników. Porozmawiaj także z dostawcami i partnerami handlowymi na temat ich zgodności z przepisami RODO.

Przeprowadź audyt danych

Zidentyfikuj i przeanalizuj wszystkie przechowywane dane klientów. Upewnij się, że wiesz skąd pochodzą i komu je udostępniasz. Koniecznie zadaj sobie następujące pytania:

  • Jakie mam dane i czy one są przechowywane zgodnie z przepisami RODO?
  • Czy naprawdę potrzebuje tych danych o kliencie?
  • Czy informacje są aktualne?
  • Ile kopii dokumentów istnieje?
  • Czy moi klienci wiedzą, w jaki sposób wykorzystywane są ich dane?
  • Czy jestem bezpieczny od strony informatycznej?
  • Czy w firmie jest prowadzona polityka bezpieczeństwa danych osobowych?

Należy pamiętać, także o tym, że jeśli w firmie prowadzony jest monitoring pracowników to pracodawca zmuszony jest do poinformowania personelu o tym. Przepisy RODO nie dotyczą tylko klientów firmy, a wszystkich obywateli Unii Europejskiej, w tym także pracowników firmy.

Po udzieleniu odpowiedzi na powyższe pytania stwórz politykę ochrony danych osobowych w twojej firmie, która wyjaśni w jaki sposób twoja firma będzie zbierać, przetwarzać i przechowywać dane osobowe zgodnie z RODO.

Rozważ wynajęcie Inspektora Danych Osobowych

W zależności od ilości i rodzaju danych, które posiada twoja firma, może być konieczne wyznaczenie inspektora ochrony danych. Jego główną rolą jest monitorowanie zgodności z RODO. Będzie szkolił Twoich pracowników, przeprowadzał regularne audyty, prowadził rejestry wszystkich operacji przetwarzania danych oraz udzielał porad, jak można ulepszyć twoje wysiłki w zakresie ochrony danych.

Jednak w większości przypadków, w odniesieniu do małych firm wynajęcie Inspektora do ochrony danych osobowych nie będzie konieczne. Wystarczy wyznaczenie konkretnej osoby odpowiedzialnej za prywatność lub osobę zatrudnioną w niepełnym wymiarze godzinowym.

Podmioty publiczne, bądź też firmy przetwarzające duże ilości danych osobowych są zobligowane przepisami ustawy do wynajęcia Inspektora Danych Osobowych. Podobnie jak organizacje działające sektorze danych wrażliwych, w tym w szczególności posiadające dane dotyczące przekonań politycznych, religijnych, pochodzenia etnicznego, i innych podobnych aspektów.

W przypadku małych firm konieczne jest określenie postępowania w przypadku naruszenia przepisów

Pamiętaj: Informacja o złamaniu zasad bezpieczeństwa danych osobowych musi być zgłoszona w ciągu 72 godzin. Upewnij się, że masz wcześniej przygotowany plan działania na wypadek złamania przepisów RODO.

Wdrożenie nowego prawa dla małych i średnich firm

W pierwszym kroku poinformuj osoby, których dane przetwarzasz o tym, że jesteś w posiadaniu ich danych, jak długo będą przechowywane, w jakim celu je przetwarzasz, kto będzie miał do nich dostęp i w jakim celu. Informację wysłaną klientowi sformułuj prostym i zrozumiałym językiem.

Niezależnie od tego, czy zbierasz dane do celów badawczych, marketingowych czy w jakimkolwiek innym celu uzyskaj wyraźną zgodę. Zaktualizuj już istniejące zgody pod kątem RODO.

Jeśli Twoja firma świadczy usługi dla dzieci, musisz sprawdzić ich wiek i uzyskać zgodę ich rodziców. Nowe prawo wprowadza specjalną ochronę danych osób nieletnich.

Zwróć szczególną uwagę na sposób, w jaki przetwarzasz dane osobowe dotyczące zdrowia, rasy, religii, przekonań politycznych i orientacji seksualnej. Jeśli prowadzisz interesy z krajami spoza Unii Europejskiej, poczyń także prawne przygotowania do transferu danych.

Ile kosztuje wdrożenie RODO?

20, 50 a może 100 tys. ? ile kosztuje wdrożenie RODO w firmie? Na to pytanie nie ma jednoznacznej odpowiedzi.

Zależy to od bardzo wielu czynników. Dlatego też coraz większą popularnością wśród przedsiębiorców przy wycenie i wdrożeniu RODO w firmach cieszy się outsourcing oraz consulting w zakresie ochrony danych osobowych.

Każda wycena jest indywidualna

Każda wycena jest indywidualna

Nie można z góry podać kosztów wdrożenia RODO w firmie.

Każda wycena musi być traktowana indywidualnie. Zależy m.in. od liczby osób w firmie przetwarzających dane osobowe. Liczby oddziałów firmy, włączając w to także hale fabryczne, zakłady produkcyjne, magazyny. Tutaj także zachodzi proces przetwarzania danych osobowych.

Niebagatelny wpływ na wycenę kosztów ma także analiza realizowanych i obowiązujących umów, dokumentów i procedur współpracy z klientami i kontrahentami. Po to oby w pełni rozpoznać ryzyko naruszenia procesu przetwarzania danych osobowych. Przy wycenie kosztów nie można zapomnieć o dogłębnym przejrzeniu systemów informatycznych jak i samych produktów, narzędzi i funkcjonującego oprogramowania informatycznego.

Wyceniając koszty nie można zapomnieć o weryfikacji umów z podmiotami współpracującymi. Firm informatycznych świadczących usługi dla naszej firmy, biur rachunkowych, kadrowych, HR, szkoleniowych, kancelarii prawnych, agencji reklamowych, marketingowych, PR. Podmiotów świadczących usługi zdrowotne czy ubezpieczenia dla naszych pracowników.

Dlatego też bardzo trudno jest na początkowym etapie wyceny podać choćby przybliżoną wartość kosztu wdrożenia RODO w firmie. Choćby z tego powodu warto podjąć temat zawczasu. Przypomnijmy nowe rozporządzenie będzie obowiązywać już od 25 maja br. 

Produkty i rozwiązania

Poznaj Bisnode Consumer Intelligence

Zapewnij aktualizacje danych konsumenckich w czasie rzeczywistym we wszystkich swoich systemach biznesowych na podstawie najpełniejszej bazy danych osób prywatnych w Polsce i w Europie.

Dowiedz się więcej