RODO в малому бізнесі - це те, що вам потрібно знати!

З 2018 року в Польщі офіційно діє положення про захист обробки персональних даних, відоме як RODO. Положення, що регулюються ним, однаково стосуються великих, середніх та малих підприємств. Про що слід знати тим, хто керує мікропідприємством?

Абревіатура RODO розшифровується як Регламент Європейського парламенту та Ради ЄС про захист фізичних осіб у зв'язку з обробкою персональних даних. Офіційно він набув чинності 25 травня 2018 року.

Положення RODO Всі компанії повинні дотримуватися цього закону, незалежно від кількості працюючих у них співробітників або кількості клієнтів, які користуються їхніми послугами. Як тільки компанія має будь-яку особисту інформацію, вона обов'язково повинна вжити заходів для того, щоб захист персональних даних .

Які дані захищені в рамках RODO?

Будь-яка інформація, яка може будь-яким чином сприяти ідентифікації особи, підлягає захисту RODO. Типові дані включають

• ім'я особи,
• Адреса,
• номер ПЕСЕЛ,
• номер посвідчення особи,
• адресу електронної пошти.

У випадку компанії до персональних даних відносяться: ім'я конкретної особи, список співробітників компанії, а також адреси електронної пошти, що містять персональні дані в назві. Неперсональні дані, з іншого боку, включають контактну інформацію компанії або її фінансові дані.

Впровадження RODO - ключові принципи

Наразі не існує конкретних інструкцій щодо впровадження RODO в діяльність компанії. Як правило, підприємець зобов'язаний самостійно забезпечити захист персональних даних, що проходять через його бізнес. Вжиті заходи значною мірою визначаються типом і специфікою здійснюваної діяльності.

Впроваджуючи РОДО, варто пам'ятати про низку зобов'язань, які має виконувати бізнес:

1. Зобов'язання інформувати осіб про обробку даних та власника даних (статті 13 та 14 RODO),
2. Зобов'язання, що стосуються реалізації прав особи, наприклад, надання їй інформації про те, як і з якою метою були отримані дані (статті 15-22 RODO),
3. Зобов'язання уповноважити осіб, які мають доступ до даних та їх обробки (стаття 29 RODO),
4. Зобов'язання реєструвати діяльність, пов'язану з обробкою персональних даних. Реєстр повинен містити інформацію про те, чиїми даними володіє компанія, чи є вони деталізованими, хто має до них доступ, куди вони були передані та як вони захищені (стаття 30 RODO),
5. Зобов'язання застосовувати відповідні заходи безпеки, які повинні підлягати оцінці ефективності (стаття 32 RODO),
6. Зобов'язання повідомляти про всі порушення та невідповідності, пов'язані з витоком персональних даних (стаття 33 RODO),
7. Обов'язок призначити інспектора з питань захисту даних, який допомагатиме впроваджувати RODO, здійснюватиме нагляд за діяльністю компанії та діятиме як посередник між компанією та органом захисту даних. Інспектор призначається власником бізнесу, тобто контролером персональних даних (стаття 37 RODO).

RODO в невеликій компанії - впровадження

Впровадження RODO в компаніях які мають кілька працівників, варто почати з аудиту. Аудит надасть власнику компанії інформацію про те, які дані компанія обробляє, з якою метою і чи були належним чином проінформовані клієнти, чиї дані знаходяться в базі даних компанії. Крім того, аудит покаже, до яких даних мають доступ працівники компанії.

Кожен малий бізнес повинен вести облік усіх даних, які він зберігає та обробляє, як даних працівників, так і даних клієнтів. Документи, що містять такі дані, повинні бути належним чином захищені від третіх осіб, а також від можливої крадіжки або знищення. Доступ до даних повинні мати лише особи, які мають спеціальний письмовий дозвіл.

Контролем персональних даних зазвичай займається інспектор, призначений власником. Однак слід пам'ятати, що за захист даних відповідає контролер даних, тобто власник бізнесу. Завданням інспектора є виключно допомога у виконанні RODO.

Сприяння малому бізнесу

Необхідність застосування РОДВ до компанії тягне за собою низку нових зобов'язань. Найбільший тягар це лягає на плечі власників малого бізнесу. Тому Закон передбачає певні спрощення, якими можуть скористатися мікропідприємці. Вони стосуються способу інформування про захист персональних даних.

Для того, щоб виконати інформаційне зобов'язання, достатньо, щоб у приміщенні або на веб-сайті компанії було розміщено повідомлення з посиланням на політику конфіденційності. Це полегшення стосується підприємців, які відповідають ряду умов, зокрема, мають менше 10 працівників та чистий дохід, що не перевищує 2 мільйони євро (в еквіваленті злотих).

Спрощення не поширюються на ситуацію, коли отримувач послуги не має можливості дізнатися інформацію про адміністратора. Це означає неможливість укласти договір особисто або через Інтернет. Спрощення також не поширюються на контролерів, які обробляють конфіденційні дані та надають їх іншим суб'єктам.