25 maja 2018 r. to ważna data dla każdego przedsiębiorcy. Tego dnia rozpocznie się stosowanie RODO, czyli unijnego rozporządzenia w zakresie ochrony danych osobowych. Co to w praktyce oznacza dla małych firm? Sprawdźcie.
RODO (inaczej GDPR, czyli General Data Protection Regulation) to rozporządzenie o ochronie danych osobowych przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Rozporządzenie ujednolica i nakłada nowe obowiązki na firmy i instytucje przetwarzające dane osobowe we wszystkich krajach Unii Europejskiej.
Nowe przepisy zastąpią w Polsce dotychczasową ustawę o ochronie danych osobowych (GIODO).
Rozporządzenie obejmuje każdego przedsiębiorcę – spółkę i jednoosobową działalność gospodarczą – który oferuje produkty lub usługi obywatelom UE. RODO dotyczy praktycznie wszystkich przedsiębiorców, zarówno dużych korporacji jak i niewielkich firm typu sklep internetowy czy gabinet kosmetyczny. Nie ma natomiast zastosowania do działalności o charakterze osobistym lub domowym (mówi o tym art. 2 ust. 2 RODO).
Nowe przepisy dotyczą wszystkich czynności, które są podejmowane na danych osobowych: m.in. ich zbierania, przechowywania, przetwarzania, udostępniania i usuwania.
Przetwarzanie danych osobowych w małych firmach ma miejsce np. w przypadku sprzedaży produktów, wystawiania faktur, prowadzenia korespondencji, zawierania umów czy prowadzenia newslettera.
Unijne rozporządzenie nie zawiera konkretnych wytycznych, w jaki sposób należy zabezpieczać dane osobowe klientów. Każdy przedsiębiorca będzie musiał samodzielnie wyodrębnić ryzyko i dostosować procedury indywidualnie do charakteru swojej branży i działalności, pamiętając jednak o idei i ogólnych przesłankach RODO.
W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko.
Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie.
Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
Środkami ochrony bezpieczeństwa danych osobowych są, np.:
Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać w oparciu o jedną z przesłanek przetwarzania wskazanych w RODO, np. na podstawie zgody osoby, której dane dotyczą. Zbierając dane osobowe, przedsiębiorca będzie musiał wskazać m.in. cel przetwarzania danych i okres ich przechowywania. Zgoda może polegać np. na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej.
Co ważne, RODO uwzględnia prawo do „bycia zapomnianym”, na podstawie którego osoba, której dane są przetwarzane może żądać usunięcia wszystkich informacji o sobie z bazy danych przedsiębiorcy. Dodatkowo osoba, której dane są przetwarzane będzie miał także prawo do wglądu we własne dane, a także żądania ograniczenia ich przetwarzania, przeniesienia lub ich sprostowania.
Zgodnie z rozporządzeniem, część administratorów lub podmiotów przetwarzających dane osobowe powinna prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni, i na żądanie organów nadzorczych udostępniać im te rejestry. Obowiązek prowadzenia rejestru czynności przetwarzania nie dotyczy przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Biorąc pod uwagę treść przepisów oraz fakt, że obecnie trudno wyobrazić sobie prowadzenie działalności gospodarczej bez przetwarzania danych osobowych (pracowników, kontrahentów, klientów itd.) do prowadzenia rejestru będzie de facto zobowiązany każdy przedsiębiorca i podmiot przetwarzający dane.
W rejestrze, jak wskazuje art. 30 rozporządzenia, powinny znaleźć się następujące informacje:
Co ważne, w przypadku naruszenia ochrony danych osobowych (np. wycieku danych) administrator powinien zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych w ciągu 72 godzin po stwierdzeniu naruszenia, a także – jeśli istnieje taka potrzeba – poinformować o tym osobę, której dane dotyczą.
To już ostatni dzwonek na to, aby przygotować się do nowych przepisów. Do wejścia w życie RODO zostało zaledwie kilka dni.
Tymczasem za naruszenie zasad dotyczących przetwarzania danych osobowych firmom grozić będą bowiem kary – odpowiednio 20 mln euro lub, w przypadku MŚP, do 4 proc. wartości rocznego obrotu przedsiębiorstwa.
Program do faktur IFIRMA w prosty sposób zintegrujesz z Allegro i popularnymi platformami e‑commerce jak Shoper, WooCommerce czy PrestaShop.
ifirma.pl łączy się z urządzeniami fiskalnymi, pozwala na eksport przelewów do banku i zatwierdzanie ich jednym kodem, co znacznie usprawnia codzienną pracę i samodzielne księgowanie.
Dzięki integracji z bazą GUS ułatwiamy też wystawianie faktur – wystarczy, że wpiszesz NIP kontrahenta, a reszta danych uzupełni się automatycznie.