Jak wdrożyć RODO w małej firmie krok po kroku.

wdrożenie rodo w małej firmie

Jak wdrożyć RODO w małej firmie krok po kroku.

Jak wdrożyć RODO w małej firmie krok po kroku. 1280 853 Elżbieta Szymanek

Mam nadzieję, że nie trafiasz tu z myślą „OMG to rodo mnie przerasta, nie wiem czy dam radę, prawo jest do kitu”. A nawet jeśli tak, to jesteś w dobrych rękach, bo ja wszystkimi siłami staram się odczarowywać prawo i pokazywać Ci, że ono jest po to, żeby Ci służyć i zabezpieczać Twoje interesy. A już na pewno nie mam zamiaru Cię straszyć. Jeśli tu jesteś, to wierzę, że wiesz już, że każda działalność gospodarcza (czy nawet nierejestrowana) potrzebuje wdrożenia RODO. Jeśli co do tego masz wątpliwości, to odsyłam do tego wpisu. Jeśli nie masz, to zapraszam do samodzielnego wdrożenia RODO w małej firmie pod okiem prawniczki.

RODO w małej firmie – od czego zacząć?

O tym czym jest RODO nie będę pisać w tym wpisie bo stałby się on nieznośnie długi. Możesz natomiast bardzo łatwo odnaleźć te informacje tutaj, w moim artykule „RODO – najważniejsze informacje„. Zanim przejdziemy do omawiania poszczególnych kroków, chciałabym Ci na początek wyjaśnić, że nie istnieje nic takiego jak jeden oficjalny wzór wdrożenia rodo w małej firmie, czy firmie w ogóle. Rozporządzenie RODO wymaga od Ciebie wdrożenia takich środków, które będę zapewniać bezpieczeństwo przetwarzanych przez Ciebie danych, jednocześnie nie wskazuje sposobu, w jaki masz to osiągnąć. Stąd na rynku dostępnych jest wiele pakietów RODO, które te rozwiązania oferują inaczej. Oczywiście rozporządzenie wskazuje obowiązkowe dokumenty jakie muszą się znaleźć w Twojej dokumentacji RODO, ale na tym kończą się zalecenia. Ten wpis przeprowadzi Cię krok po kroku do samodzielnego stworzenia dokumentacji RODO w małej firmie zgodnie z zaleceniami RODO, a wzorować się będę dokumentacją, którą oferuję w swoim sklepie. No to do dzieła!;)

Każdy dokument pakietu zawiera wstęp wyjaśniający oraz dodatkowe komentarze, dzięki którym samodzielne wdrożenie RODO staje się osiągalne dla każdego!

Pakiet przygotowany przez prawniczkę, jeśli masz dodatkowe pytania? Napisz do mnie tutaj!

Jak wdrożyć RODO w małej firmie – KROK 1

Przeanalizuj dane osobowe jakie przetwarzasz. To jest punkt wyjścia, który pozwoli Ci zabrać się do reszty pracy. Wypisz to choćby w roboczym dokumencie. Jakie to na przykład dane?

  • dane osobowe od osób, które się z Tobą kontaktują poprzez formularz na stronie, lub wysłanie do Ciebie maila
  • dane osobowe osób składających zamówienie,
  • dane osobowe osób z zapisu na newsletter,
  • dane osobowe osób z obsługi social media etc.

Jak wdrożyć RODO w małej firmie – KROK 2

Wprowadź te dane do rejestru czynności przetwarzania. Tak nazywa się dokument, w którym porządkujesz powyższe dane. Niestety samo wypisanie danych nie wystarcza, tam jest sporo rubryk do uzupełnienia. Takich jak cel przetwarzania, kategorie osób, kategorie danych, podstawa prawna. Ale spokojnie! O ile te rubryki na początku odstraszają, o tyle jest sposób, żeby je zrozumieć. A właściwie dwa sposoby:

  1. Urząd Ochrony Danych Osobowych na swojej stronie www zamieszcza wiele informacji na temat wdrażania RODO. Udostępnia także bezpłatnie rejestr czynności przetwarzania, który przykładowo jest uzupełniony dla szkoły. Znajdziesz go tutaj.
  2. Jest też drugie rozwiązanie, mojego autorstwa czyli skorzystanie z mojego pakietu kompleksowej dokumentacji RODO, gdzie rejestr czynności przetwarzania jest przykładowo uzupełniony pod sklep.

Jak wdrożyć RODO w małej firmie – KROK 3

Analiza ryzyka. Ten dokument tworzy się po to, by z wyprzedzeniem wprowadzać takie środki bezpieczeństwa, które mają szansę obniżyć lub ograniczyć ryzyko wystąpienia konkretnego zdarzenia, zagrażającego bezpieczeństwu przetwarzania danych osobowych w Twojej działalności. Mówiąc prościej, analizujesz na jakie ryzyko narażone są dane osobowe, które przetwarzasz. Jeśli masz całą dokumentacją w wersji papierowej, to z pewnością ogromnym ryzykiem będzie pożar. Jeśli wszystkie dane trzymasz w chmurze, to ryzykiem będzie atak hakerski lub utrata tych danych z powodu niewystarczających zabezpieczeń. Do innych zagrożeń może też należeć:

  • nieuprawniony dostęp do pomieszczenia, w którym przetwarzane są dane osobowe;
  • ujawnienie haseł dostępu do stanowiska komputerowego, na którym przetwarzane są dane osobowe;
  • nieuprawnione przeniesienie informacji zawierających dane osobowe na inny nośnik;

Jak wdrożyć RODO w małej firmie – KROK 4

Środki bezpieczeństwa. Jest to logiczna kontynuacja poprzedniego kroku. Bo skoro masz już wypisane zagrożenia, to znacznie łatwiej będzie Ci stworzyć odpowiednie środki bezpieczeństwa. Prawda, że jak się rozpisuje wdrożenie krok po kroku, to od razu wydaje się to prostsze?;) Celem stworzenia tego dokumentu jest upewnienie się, że zastosowane adekwatne środki bezpieczeństwa dla ochrony danych osobowych a w szczególności zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Tak wygląda teoria, jak to się ma w praktyce?

Poniżej daję Ci kilka przykładów z mojego pakietu RODO, które wypisałam w dokumencie środki bezpieczeństwa. Da Ci to mniej więcej pogląd o co chodzi;)

  • dokumenty w wersji papierowej są trzymane w szafie z podwyższoną ochroną przeciwpożarową, w pomieszczeniach są gaśnice i koce przeciwpożarowe,
  • budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych osobowych zabezpieczone są przed dostępem osób nieuprawnionych;
  • zamontowany jest system alarmowy, drzwi wejściowe są na kod.

Jak wdrożyć RODO w małej firmie – KROK 5

Polityka bezpieczeństwa. Ten dokument jest podstawowym dokumentem opisującym zasady i środki przetwarzania danych osobowych w Twojej firmie. Wskazujesz w nim Twoje, jako Administratora Danych Osobowych, obowiązki a także obowiązki podmiotów upoważnionych przez Ciebie do przetwarzania danych osobowych. W Polityce Bezpieczeństwa musisz ująć np. poniższe informacje:

  • Wskazanie osób odpowiedzialnych za przetwarzanie danych osobowych,
  • Powierzanie przetwarzania danych osobowych,
  • Ogólne zasady bezpieczeństwa,
  • Zasady postępowania przy wystąpieniu naruszeń danych osobowych,
  • Kontrolę przetwarzania i stanu zabezpieczeń,
  • Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe.

Jak wdrożyć RODO w małej firmie – KROK 6

Instrukcja zarządzania systemem informatycznym. Dokument ten zawiera ogólne wytyczne związane z bezpiecznym przetwarzaniem danych osobowych w wersji cyfrowej, w systemach informatycznych, oraz niezbędne wymogi zapewnienia sprzyjającego środowiska do przetwarzania danych osobowych w systemach informatycznych. Brzmi skomplikowanie? Mam nadzieję, że poniższe przykłady bardziej rozjaśnią ideę stojącą za tym dokumentem.

  • Dostęp do komputera (zarówno stacjonarnego, jak i laptopa) zabezpieczony jest hasłem.
  • Zabronione jest zapisywanie hasła oraz udostępnianie go osobom nie mającym upoważnienia do przetwarzania danych osobowych.
  • Ekrany monitorów komputerów, na których wykonywane są operacje związane z przetwarzaniem danych osobowych powinny być tak ustawione, aby uniemożliwić osobom postronnym wgląd do danych osobowych. 

Jak wdrożyć RODO w małej firmie – KROK 7

Przeanalizuj podmioty, z którymi współpracujesz. Można powiedzieć, że swoje wewnętrzne podwórko masz już ogarnięte. Ale przetwarzanie danych osobowych prawie nigdy nie odbywa się tylko w pojedynkę. A żeby „dzielić się” danymi osobowymi z innymi, potrzebne są do tego upoważnienia. Dlatego zastanów się i wypisz jakie inne podmioty biorą udział w przetwarzaniu danych. Może to być np. księgowość, program do wystawiania faktur, hosting, dostawca mailingu, wirtualna asystentka.

Jak wdrożyć RODO w małej firmie – KROK 8

Wykaz powierzeń danych osobowych. Mając informacje z kroku 7 stwórz wykaz powierzeń danych osobowych. Czyli listę podmiotów, którym powierzasz dane osobowe z informacją jak doszło do powierzenia danych (online, np. poprzez akceptację regulaminu, w wersji papierowej itp.)

Jak wdrożyć RODO w małej firmie – KROK 9

Umowa powierzenia przetwarzania danych osobowych. Mając listę podmiotów, czas podpisać z nimi odpowiednie umowy. Odpowiednia umowa, czyli umowa powierzenia przetwarzania danych osobowych. Co ważne, podpisanie nie musi odbyć się w tradycyjnym rozumieniu, często odbywa się poprzez akceptację regulaminu dostawcy usług, może się odbyć przez maila. Nie jest tu zastrzeżona forma pisemna.

Jak wdrożyć RODO w małej firmie – KROK 10

Rejestr kategorii czynności przetwarzania. Nie jest powiedziane, że ten krok jest dla Ciebie obowiązkowy, ale z pewnością, musisz go przeanalizować. Dlaczego? Bo rejestr kategorii czynności przetwarzania dotyczy tylko tych osób, które nie tylko są administratorem danych osobowych, ale także ich procesorem. Pewnie neiwiele więcej Ci to mówi, dlatego podam przykład z mojego podwórka.

Mam klientów, którzy się do mnie sami zgłaszają – przetwarzam wtedy ich dane osobowe. Ale czasem przychodzą do mnie klienci z danymi osobowymi ich klientów (np. na potrzeby umów czy pojawiających się sporów). Wtedy ja przyjmuję rolę podmiotu przetwarzającego i to jest sytuacja, która wymaga od mnie prowadzenia takiego rejestru. Nie masz takich Umów? Nie przetwarzasz danych osobowych na zlecenie podmiotów zewnętrznych? W takim razie nie musisz prowadzić rejestru kategorii przetwarzania

UWAGA! Wpis dotyczy wdrażania RODO w małej firmie. Takie firmy rzadko kiedy zatrudniają pracowników, czy mają podpisane stałe umowy zlecenia/ dzieło, raczej współpracują z podwykonawcami w oparciu o fakturę. Dlatego nie wypisuję tu kolejnych kroków i dokumentów, jakie musisz wdrożyć, kiedy masz pracowników i „pracowników”. Jeśli natomiast potrzebujesz takiej wiedzy, to znajdziesz ją w darmowej checkliście RODO, którą możesz pobrać poniżej. To co jest ważne do zapamiętania – jeśli powierzasz dane i nie masz nad tym nadzoru (najczęstsza sytuacja w B2B), umowy powierzenia przetwarzania danych osobowych wystarczą. Jeśli udostępniasz dane innym i masz nad tym nadzór (najczęściej pracowniczy), wtedy potrzebujesz dodatkowych dokumentów – sprawdź w checkliście.

Jak wdrożyć RODO w małej firmie – KROK 11

No dobrze, mamy już ogarnięte obowiązki wewnętrze i współprace z innymi. To już bardzo dużo, ale musimy być przygotowani na korzystanie z RODO, kiedy już zostanie wdrożone. Do tego potrzebujemy stworzyć procesy do obsługi osób, których dane są przetwarzane. Dlatego stwórz procedurę obsługi osób, których dane przetwarzasz. Miej przygotowane przykładowe maile, jakie będziesz wysyłać do osób, które będą do Ciebie wysyłać zapytania np. o informacje na temat danych, jakie przetwarzasz lub żądanie usunięcia danych. Przygotuj procedurę weryfikacji tych osób, pamiętaj też, że nie każde żądanie będzie mogło zostać zaspokojone (to że ktoś żąda usunięcia danych jeszcze nie oznacza, że musisz to zrobić, jeśli np. podstawą ich przetwarzania jest umowa np. zakup w sklepie). Pamiętaj, ze na odpowiedź masz 30 dni. W oferowanym przeze mnie pakiecie kompleksowej dokumentacji RODO znajdziesz nie tylko przykładowe odpowiedzi na zapytania klienta, ale także wzór protokołu usunięcia danych. Pakiet zawiera przykładowo uzupełnioną całą dokumentację, o której mówię w tym poście).

Nie chcesz kupować kota w worku? Pobierz darmowy dokument z mojej dokumentacji RODO i sprawdź jak proste jest samodzielne wdrażanie! Zapisz się na newsletter i sprawdź jak wygląda procedura obsługi osób, których dane przetwarzasz w moim pakiecie!

Jak wdrożyć RODO w małej firmie – KROK 12

Rejestr naruszeń danych osobowych. Bardzo możliwe, że nie raz dojdzie do naruszania danych osobowych w Twojej działalności. Choćby dlatego, że mail z danymi osobowymi zostanie wysłany do niewłaściwej osoby, zgubisz pendrive z danymi osobowymi. Przygotuj ten dokument, żeby rejestrować takie zdarzenia, gdy do nich dojdzie.

Jak wdrożyć RODO w małej firmie – KROK 13

Wzór zawiadomienia o naruszeniu i podjęte w związku z tym czynności. Gdy dojdzie do naruszenia, Twoim zadaniem jest poinformować osobę, której dane dotyczą o okolicznościach zdarzenia oraz o czynnościach podjętych w związku z incydentem, a także prowadzić rejestr takich naruszeń. Dlatego dobrze jest mieć przygotowany wzór zawiadomienia o naruszenia i podjęte w związku z tym czynności.

Niektóre przypadki naruszeń mogą wymagać zgłoszenia do Prezesa UODO. Jest to bardzo obszerny temat, dlatego zachęcam do zapoznania się ze szczegółami w poradnikach przygotowanych przez Urząd Ochrony Danych Osobowych. Na przykład tutaj.

Jak wdrożyć RODO w małej firmie – KROK 14

Raport z aktualizacji dokumentacji. Niestety to nie jest tak, że raz wdrożysz RODO i masz spokój na kilka lat. RODO to żywy organizm i zmienia się tak samo, jak zmienia się Twoja firma. Załóżmy, że Twoje środki bezpieczeństwa się zmienią (np. dodasz drzwi antywłamaniowe, monitoring) i będzie to wymagać aktualizacji dokumentów. Przygotuj sobie taki dokument, żeby aktualizować go za każdym razem, gdy zajdą „rodo zmiany” w Twojej działalności.

Jak wdrożyć RODO w małej firmie – KROK 15

Strona internetowa. Pamiętaj, że RODO na stronie internetowej to nie tylko polityka prywatności i plików cookies, ale także klauzule RODO. Zasada jest prosta, gdziekolwiek pobierasz dane osobowe musisz informować o sposobie przetwarzania danych osobowych. W niektórych przypadkach, potrzebujesz na to przetwarzania dodatkowej zgody, jak na przykład przy newsletterze. Pamiętaj, że zarówno polityka prywatności jak i klauzule RODO na stronę www/do sklepu są elementem mojego pakietu kompleksowej dokumentacji RODO.

RODO w małej firmie koszt.

Wdrożenie RODO jest tak samo obowiązkowe jak płacenie podatków. Ile pieniędzy na to przygotować? Widzę tutaj trzy opcje.

  1. Zwracasz się kancelarii po indywidualną usługę. Niestety nie jest to tania impreza, bo ilość dokumentów do wdrożenia jest spora, plus same konsultacje zajmują bardzo dużo czasu. Dlatego na indywidualną usługę musisz liczyć około kilka tysięcy złotych netto.
  2. Samodzielne wdrożenie dokumentacji na podstawie informacji wyczytanych na stronie Urzędu Ochrony Danych Osobowych i udostępnianych tam wzorów. Polak potrafi, ale z pewnością jest to karkołomne przedsięwzięcie ze względu na czas, który będzie musiał zostać na to poświęcony. Wzory, które są udostępniane na tej stronie są z pewnością legalne, ale nie mają komentarzy, które przeprowadzałyby Cię krok po kroku. Koszt 0 zł. Ale jeśli pomyśl o swojej stawce godzinowej i poświęconym czasie, żeby odpowiedzieć sobie, czy na pewno będzie to 0 zł.
  3. Jest jeszcze jedna możliwość chyba najbardziej sprawiedliwa cenowo dla małych biznesów, czyli skorzystanie z gotowych wzorów dokumentów przygotowanych przez prawników. O ile za jakość prawną dostępnych wzorów na rynku nie mogę ręczyć bo ich nie znam, o tyle z całym sercem mogę polecić dokumentację RODO opracowaną przeze mnie. A jeśli chodzi o cenę – za 21 dokumentów niezbędnych do prawidłowego wdrożenia RODO zapłacisz tylko 599 zł i to brutto!

Każdy dokument pakietu zawiera wstęp wyjaśniający oraz dodatkowe komentarze, dzięki którym samodzielne wdrożenie RODO staje się osiągalne dla każdego!

Pakiet przygotowany przez prawniczkę, jeśli masz dodatkowe pytania? Napisz do mnie tutaj!

RODO potrzebne dokumenty.

Mam nadzieję, że dzięki temu wpisowi RODO wydaje się być bardziej przystępne. Jestem pewna, że z pomocą mojej checklisty wdrożenie będzie jeszcze prostsze. Tymczasem na sam koniec podsumujemy, jakie konkretnie dokumenty potrzebujesz przy wdrożeniu rodo w małej firmie.

  1. Analiza zagrożeń i ryzyka,
  2. Środki bezpieczeństwa,
  3. Dekalog ochrony danych osobowych,
  4. Polityka bezpieczeństwa,
  5. Instrukcja zarządzania systemem informatycznym,
  6. Procedura szkoleń,
  7. Dokumenty z corocznej aktualizacji RODO,
  8. Polityka prywatności i plików cookies,
  9. Klauzule informacyjne do maili, umów, kontaktów telefonicznych, uczestników konkursu,  uczestników procesu rekrutacyjnego,
  10. Ewidencja osób upoważnionych do przetwarzania,
  11. Umowa powierzenia przetwarzania danych osobowych,
  12. Upoważnienia do przetwarzania danych osobowych,
  13. Wykaz powierzeń,
  14. Ogólne informacje w sprawie realizacji uprawnień osób przetwarzanych,
  15. Protokół usunięcia danych,
  16. Rejestr czynności przetwarzania,
  17. Rejestr kategorii przetwarzania,
  18. Rejestr naruszeń danych osobowych,
  19. Wzór zawiadomienia o naruszeniu,
  20. Zawiadomienie o czynnościach podjętych w związku z naruszeniem (wzór),
  21. Klauzule informacyjne RODO dla sklepu lub strony www.

Wszystkie te dokumenty są elementem mojego pakietu dostępnego tutaj. Nie pozostaje mi nic innego jak życzyć Ci powodzenia!

Nazywam się Ela Szymanek, jestem prawniczką i założycielką kancelarii Peace & Law. Mój konik to umowy. Specjalizuję się w prawach autorskich, e-commerce, znakach towarowych i szeroko rozumianym biznesie online. Z wielką pasją edukuję z prawa na blogu, webinarach, festiwalach, prelekcjach a także na uczelni WSB na kierunku „E-marketing i e-commerce. Biznes w Internecie.” Potrzebujesz konsultacji? Napisz tutaj!