RODO porządkuje sposób, w jaki firmy i spółki zbierają, przechowują oraz wykorzystują dane osób fizycznych. W praktyce decyduje o tym, kiedy wolno pytać klienta o dane, jak traktować CV, jak zabezpieczyć bazę kontaktów i co zrobić, gdy dojdzie do naruszenia bezpieczeństwa. Jeżeli chcesz szybko zrozumieć, co to jest RODO, najkrócej mówiąc chodzi o unijne zasady, które mają chronić dane osobowe i wymuszają porządek w całym obiegu informacji.
Najważniejsze rzeczy, które trzeba wiedzieć o RODO w biznesie
- RODO dotyczy każdego podmiotu, który decyduje o celach i sposobach przetwarzania danych osobowych, także JDG i spółek.
- Dane klientów, pracowników, kandydatów, kontrahentów i subskrybentów newslettera zwykle podlegają tym samym zasadom ochrony.
- Nie każda zgoda jest potrzebna. W wielu procesach podstawą będzie umowa, obowiązek prawny albo uzasadniony interes.
- W firmie liczą się też organizacja, bezpieczeństwo systemów, umowy z dostawcami i realne procedury na wypadek incydentu.
- W razie naruszenia ochrony danych przedsiębiorca często ma tylko 72 godziny na zgłoszenie sprawy do organu nadzorczego.
Czym właściwie jest RODO i kogo obejmuje
RODO to potoczna nazwa rozporządzenia UE 2016/679, które obowiązuje bezpośrednio we wszystkich państwach członkowskich od 25 maja 2018 r. Jego punkt wyjścia jest prosty: jeśli przetwarzasz dane osobowe, musisz robić to legalnie, uczciwie, przejrzyście i w sposób bezpieczny. W prawie chodzi więc nie o samą „ochronę prywatności” w abstrakcie, tylko o bardzo konkretne zasady działania organizacji.
W biznesie najważniejsze są dwie role. Administrator danych to podmiot, który decyduje, po co i jak dane są używane. Podmiot przetwarzający działa na jego zlecenie, na przykład biuro księgowe, firma IT, operator hostingu albo dostawca systemu mailingowego. W spółce administratorem zwykle jest sama spółka, a w jednoosobowej działalności gospodarczej najczęściej przedsiębiorca jako osoba fizyczna.
RODO nie dotyczy wyłącznie dużych korporacji. Obejmuje także małe firmy, sklepy internetowe, gabinety, kancelarie, wspólnoty, fundacje i praktycznie każdą działalność, która przetwarza dane ludzi poza czysto prywatnym, domowym kontekstem. Jeżeli telefon służbowy, CRM albo skrzynka e-mail służą do kontaktu z klientami, to zwykle jesteś już w obszarze RODO. Gdy już wiemy, kogo przepisy obejmują, trzeba zobaczyć, jakie konkretnie informacje wchodzą w grę.
Jakie dane w firmie podlegają ochronie
W praktyce wiele sporów bierze się z błędnego założenia, że „dane osobowe” to tylko PESEL albo numer dowodu. Tymczasem chodzi o każdą informację, która pozwala zidentyfikować osobę fizyczną bezpośrednio lub pośrednio. W firmie oznacza to znacznie więcej niż klasyczną kartotekę klienta.
| Rodzaj danych | Przykład w firmie | Co to oznacza w praktyce |
|---|---|---|
| Dane identyfikacyjne | Imię, nazwisko, e-mail, numer telefonu | To podstawowy zakres danych w sprzedaży, obsłudze klienta i rekrutacji. |
| Dane rozliczeniowe | Adres, NIP, rachunek bankowy, faktura | Wymagają jasnej podstawy i sensownego okresu przechowywania. |
| Dane kadrowe | CV, świadectwa pracy, urlopy, badania lekarskie | W HR pojawiają się często dane wrażliwe i wyższy poziom ryzyka. |
| Dane techniczne i online | Adres IP, identyfikator konta, logi systemowe | Nie są „anonimowe” tylko dlatego, że pochodzą z systemu. |
| Dane szczególne | Stan zdrowia, biometria, poglądy, przynależność związkowa | Tu potrzeba zwykle mocniejszej podstawy i większej ostrożności. |
Warto też pamiętać o danych, które są publicznie dostępne. UODO zwraca uwagę, że w CEIDG znajdują się m.in. imię i nazwisko oraz adres do doręczeń przedsiębiorcy, ale sama jawność rejestru nie oznacza jeszcze dowolności w dalszym użyciu tych informacji. Inaczej mówiąc: publiczne nie znaczy bezwarunkowo wolne do kopiowania, profilowania i wykorzystywania w marketingu. Kiedy dane są już nazwane i uporządkowane, dopiero wtedy można sensownie przejść do obowiązków organizacyjnych.
Co musi zrobić przedsiębiorca lub spółka, żeby działać zgodnie z RODO
Gdy porządkuję temat w firmie, zaczynam od kilku pytań: po co zbieramy dane, na jakiej podstawie, kto ma do nich dostęp, komu je przekazujemy i jak długo je trzymamy. To brzmi prosto, ale właśnie na tym etapie najczęściej wychodzą największe braki. RODO nie polega na jednym dokumencie do szuflady, tylko na połączeniu prawa, procedur i codziennej dyscypliny.
| Obszar | Co trzeba zrobić | Dlaczego to ważne |
|---|---|---|
| Podstawa prawna | Przypisać każdemu procesowi właściwą podstawę, np. umowę, obowiązek prawny, zgodę albo uzasadniony interes. | Bez podstawy przetwarzanie jest nielegalne, nawet jeśli dane są „zwykłe”. |
| Obowiązek informacyjny | Poinformować osobę o administratorze, celu, podstawie, odbiorcach i prawach. | Transparentność to jeden z filarów całego systemu. |
| Bezpieczeństwo | Ograniczyć dostępy, wdrożyć hasła, MFA, kopie zapasowe, szyfrowanie i procedury awaryjne. | RODO ocenia też organizację, nie tylko sam dokument polityki. |
| Umowy z dostawcami | Podpisać umowę powierzenia z podmiotami, które działają na Twoje zlecenie. | To porządkuje odpowiedzialność i zakres instrukcji. |
| Rejestry i dokumentacja | Prowadzić wymagane rejestry czynności i decyzji, a przy mniejszych firmach sprawdzić, czy działa wyjątek z art. 30. | Bez dokumentacji trudno wykazać zgodność przy kontroli. |
| Naruszenia | Przygotować procedurę reakcji, bo zgłoszenie do organu może być potrzebne w 72 godziny. | W wycieku liczy się czas, a nie późniejsze wyjaśnienia. |
Warto wiedzieć, że firmy i organizacje zatrudniające mniej niż 250 osób nie zawsze muszą prowadzić pełny rejestr czynności przetwarzania. Ten wyjątek działa tylko wtedy, gdy przetwarzanie nie jest okazjonalne, nie powoduje ryzyka dla praw i wolności osób oraz nie obejmuje szczególnych kategorii danych albo danych o wyrokach i naruszeniach prawa. Z kolei inspektor ochrony danych jest obowiązkowy m.in. w organach publicznych, przy regularnym i systematycznym monitorowaniu na dużą skalę oraz przy szerokim przetwarzaniu danych szczególnych lub karnych. To właśnie tu najłatwiej pomylić „dobre praktyki” z obowiązkami wynikającymi wprost z przepisów.
Jakie prawa mają klienci, pracownicy i kontrahenci
RODO nie kończy się na obowiązkach przedsiębiorcy. Po drugiej stronie są prawa osób, których dane dotyczą, a w praktyce to one najczęściej uruchamiają kontakt z firmą, reklamację albo spór. Jeśli ktoś pyta o swoje dane, nie chodzi mu zwykle o teorię, tylko o bardzo konkretną sytuację: chce kopii, sprostowania, usunięcia albo wstrzymania części przetwarzania.
| Prawo | Co oznacza w praktyce | Typowy przykład w firmie |
|---|---|---|
| Dostęp do danych | Osoba może zapytać, jakie dane posiadasz i w jakim celu je trzymasz. | Klient prosi o informację, jakie dane są w CRM i skąd pochodzą. |
| Sprostowanie | Można żądać poprawienia błędnych danych. | Pracownik zgłasza nieaktualny adres lub błędny numer konta. |
| Usunięcie | W określonych sytuacjach dane trzeba skasować. | Były klient wycofuje zgodę na newsletter i nie ma podstaw do dalszego kontaktu. |
| Ograniczenie | Dane mogą zostać „zamrożone” na czas sporu lub weryfikacji. | Firma nie usuwa jeszcze danych z reklamacją, bo musi je zachować do obrony roszczeń. |
| Przenoszenie | W pewnych sytuacjach osoba może otrzymać dane w formacie nadającym się do przekazania. | Klient chce przenieść historię kontaktu do innego usługodawcy. |
| Sprzeciw | Można sprzeciwić się przetwarzaniu opartego na uzasadnionym interesie. | Osoba nie chce już marketingu opartego na analizie jej zachowań. |
| Wycofanie zgody | Zgoda może zostać cofnięta w dowolnym momencie. | Subskrybent rezygnuje z newslettera i przestajesz go wysyłać. |
W relacji z pracownikiem prawa są takie same, ale ich zakres bywa ograniczony przez obowiązek prawny, rozliczenia kadrowe albo konieczność obrony roszczeń. Nie wszystko da się skasować „od ręki”, bo część dokumentów trzeba zachować przez ustawowy czas. Po stronie firmy ważne jest więc nie tylko to, jakie prawa istnieją, ale też jak odpowiadać na nie bez chaosu i opóźnień. To właśnie na tym etapie najłatwiej popełnić błąd, więc warto nazwać go wprost.
Najczęstsze błędy, które widzę w małych firmach i spółkach
W praktyce najwięcej problemów nie wynika z braku złej woli, tylko z przyzwyczajeń. Firmy kopiują wzory z internetu, traktują zgodę jak uniwersalne rozwiązanie i nie zauważają, że rzeczywiste ryzyko kryje się w dostępie do danych, nie w samym brzmieniu klauzuli.
- Zgoda jako automatyczna podstawa - przedsiębiorcy proszą o zgodę nawet wtedy, gdy właściwsza jest umowa, obowiązek prawny albo uzasadniony interes.
- Zbieranie nadmiarowych danych - formularze pytają o więcej, niż naprawdę potrzeba, a to osłabia zasadę minimalizacji.
- Brak umów powierzenia - dane trafiają do biura księgowego, hostingu, systemu mailingowego czy call center bez uporządkowania relacji.
- Wspólne loginy i zbyt szerokie uprawnienia - kilka osób korzysta z jednego konta, więc później nie wiadomo, kto widział lub zmieniał dane.
- Brak retencji - dane są trzymane „na wszelki wypadek”, bez terminów usuwania albo archiwizacji.
- Brak planu na incydent - firma dowiaduje się o wycieku z opóźnieniem i traci czas na ustalanie podstawowych faktów.
- Kopiowanie polityk bez wdrożenia - dokument wygląda poprawnie, ale w praktyce nikt go nie stosuje, a to właśnie obnaża kontrola.
Najbardziej kosztowny nie jest sam błąd formalny, tylko sytuacja, w której firma nie umie pokazać, że działała rozsądnie i konsekwentnie. Przy poważniejszych naruszeniach stawka rośnie szybko: RODO przewiduje kary do 10 mln euro albo do 2 proc. rocznego światowego obrotu za część naruszeń oraz do 20 mln euro albo 4 proc. obrotu za najpoważniejsze. Po tych korektach zostaje już tylko praktyczny plan działania.
Co warto zrobić od razu, jeśli porządkujesz RODO w firmie
Jeżeli miałbym zacząć audyt od zera, zrobiłbym to w tej kolejności. To nie jest najbardziej efektowna lista na pokaz, ale działa i porządkuje firmę szybciej niż rozbudowane, ciężkie wdrożenie bez priorytetów.
- Spisz wszystkie procesy, w których pojawiają się dane osobowe: sprzedaż, marketing, kadry, fakturowanie, monitoring, serwisy IT, rekrutacja.
- Do każdego procesu przypisz podstawę prawną i sprawdź, czy zgoda nie została użyta tam, gdzie nie była potrzebna.
- Ogranicz dostęp do danych tylko do osób, które naprawdę muszą je widzieć do pracy.
- Zweryfikuj umowy z dostawcami usług: księgowość, hosting, CRM, mailing, chmura, serwis sprzętu.
- Ustal, jak długo przechowujesz konkretne kategorie danych i kiedy je usuwasz albo archiwizujesz.
- Przygotuj prostą procedurę naruszeń, tak aby każdy wiedział, kto reaguje, kto ocenia ryzyko i kto kontaktuje się z organem.
- Sprawdź, czy w Twojej organizacji potrzebny jest inspektor ochrony danych albo ocena skutków dla ochrony danych.
RODO w biznesie nie polega na tym, by mieć najdłuższą politykę prywatności, tylko by realnie wiedzieć, jakie dane masz, po co je masz i kto ma do nich dostęp. Jeżeli te trzy elementy są uporządkowane, większość problemów robi się dużo prostsza, a firma zyskuje nie tylko zgodność z przepisami, ale też lepszą organizację pracy.