RODO obowiązuje wszystkich. Jak przetwarzać dane osobowe w firmie?

Gospodarka coraz szybciej przenosi się do internetu. W takiej sytuacji właściwa ochrona danych osobowych stała się wymogiem chwili. W jaki sposób należy chronić informacje powierzone przez klientów?
około min czytania

Dane to ropa XXI wieku – mówi znane powiedzenie. Jego autorstwo przypisuje się brytyjskiemu matematykowi Clive’owi Humby’emu (oryginalne brzmienie jego myśli to „dane to nowa ropa”), choć dziś można znaleźć co najmniej kilka innych osób, które uważa się za twórcę tych słów. 

Nie ma jasności, kto dokładnie jako pierwszy powiedział to zdanie, ale jednocześnie nie ma wątpliwości, że jest ono bardzo trafne. Z każdym kolejnym rokiem obecnego stulecia coraz wyraźniej widać, że kontrola nad danymi przepływającymi przez nasze komputery, laptopy czy smartfony staje się tak cennym zasobem jak kontrola nad przepływem ropy w dwudziestym stuleciu. 

RODO dla firm

To zjawisko widać na całym świecie, także w Polsce. Potwierdzeniem są dane raportu „Global Data Market Size” opracowanego pod koniec 2020 r. przez firmę Cloud Technologies. Jego autorzy pokazują, jak rośnie wartość rynku danych w naszym kraju. Jeszcze w 2017 r. wynosiła ona 14 mln dolarów. W 2020 r. niemal się podwoiła do 32,1 mln dolarów. Według szacunków w 2021 r. urośnie do 39,3 mln dolarów. 

Te liczby robią wrażenie, zwłaszcza gdy pokażemy je na tle wyników innych krajów Europy Środkowej. Wartość rynku danych na Węgrzech to 0,9 mln dolarów. W Rumunii – 4 mln dolarów. W Bułgarii – 0,2 mln dolarów. Jednak w porównaniu z krajami Europy Zachodniej Polska cały czas wypada skromnie. Francuski rynek danych jest wart 912,5 mln dolarów. Niemiecki – 826,3 mln dolarów. Poziomu Wielkiej Brytanii, gdzie wartość danych w tamtejszej gospodarce ocenia się na 3,064 mld dolarów, pewnie nie uda się osiągnąć w przewidywalnej przyszłości. 

Cytat, którego autorstwo przypisuje się Humby’emu, jest bardzo popularny. Mało kto wie, że został on rozwinięty przez Michaela Palmera z Narodowego Stowarzyszenia Reklamodawców. „Dane są jak ropa. Są cenne, ale jeśli nie podda się ich procesowi rafinowania, to nie uda się ich użyć” – napisał Palmer w artykule inspirowanym wystąpieniem brytyjskiego matematyka. I trudno odmówić mu racji. Bo dane to surowiec. Dopiero po odpowiedniej obróbce zamienia się w produkt, który posiada wartość rynkową. 

Formą takiej „obróbki” są przepisy o RODO. Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) weszło w życie 25 maja 2018 r. Od tamtej pory wszystkie firmy muszą je uwzględniać w swojej działalności – i dawać swoim klientom gwarancję, że powierzone im informacje o nich pozostaną bezpieczne, niedostępne dla innych. 

Jak wdrożyć RODO?

RODO zostało wprowadzone na poziomie Unii Europejskiej – po to, by te same przepisy dotyczące ochrony danych obowiązywały we wszystkich 27 krajach Wspólnoty. Harmonizacja regulacji dotyczących RODO pozwala na pełną współpracę w tym zakresie między wszystkimi państwami Unii. W ten sposób istnieje możliwość budowy wspólnego rynku także w obszarze gospodarki cyfrowej. 

Co to są właściwie dane osobowe? Chodzi o każdy typ informacji, który pozwala zidentyfikować poszczególne osoby. Szczególnie wrażliwe są takie dane jak: imię i nazwisko, adres zamieszkania, numer dowodu tożsamości, wysokość dochodów, adres IP. Gdy jakaś firma wchodzi w ich posiadanie (na przykład prosząc klienta o adres, pod który wyśle mu zakupiony przez niego towar w sklepie internetowym), musi mu zagwarantować właściwą opiekę nad powierzonymi jej informacjami. 

Proces przetwarzania danych osobowych w firmie składa się z dwóch faz. Pierwsza to konieczność poinformowania klienta o tym, że dana firma zajmuje się przetwarzaniem informacji. Każdy powinien o tym wiedzieć, zanim w ogóle proces pozyskiwania i utrwalania tych danych się zacznie. Obowiązkiem administratora jest skuteczne przekazanie klientom takiego komunikatu, ale jednocześnie zadbanie o to, by zgoda na przetwarzanie danych była świadoma, dobrowolna, konkretna. I by klient wiedział, że w każdej chwili może przekazane dane wycofać. 

Druga faza to samo przechowywanie danych. Firma, która weszła w ich posiadanie, musi stosować takie procedury i instrumenty, które dadzą gwarancję pełnej ich ochrony. Chodzi o to, żeby dostępu do nich nie zdobyły osoby nieupoważnione, ani nie istniało ryzyko, że zostaną one w jakikolwiek sposób zmienione, uszkodzone lub zniszczone. 

Za naruszenie przepisów o RODO przewidziano wysokie kary, nawet do 20 mln euro lub 4 proc. obrotu przedsiębiorstwa. 

Odpowiedzialność za właściwe przetwarzanie zgromadzonych informacji ponosi inspektor danych osobowych. Firmy są zobligowane do jego zatrudnienia w trzech przypadkach. Po pierwsze, ten obowiązek dotyczy podmiotów publicznych. Po drugie, odnosi się do firm, które ze względu na swoją specyfikę pozyskują dane na dużą skalę. Po trzecie, chodzi o przedsiębiorstwa, których funkcjonowanie polega na przetwarzaniu danych osobowych na dużą skalę. 

Przepisy wprowadzające RODO nie zdefiniowały, jak należy rozumieć termin „dużą skalę”. Oceny tej należy dokonać biorąc pod uwagę takie parametry jak ilość zebranych danych, liczba osób, których one dotyczą czy zakres geograficzny czynności przetwarzania. Decyzje w tej kwestii przedsiębiorcy podejmują indywidualnie. 

Wyznaczając inspektora danych osobowych trzeba pamiętać, że nie może to być osoba bezpośrednio powiązana z działalnością biznesową firmy. Musi ona posiadać stosowną wiedzę o przetwarzaniu i przechowywaniu danych. Nie ma jednak przepisów dotyczących certyfikacji takich inspektorów. Na właścicielu czy zarządzie firmy spoczywa obowiązek znalezienia kompetentnej osoby. 

RODO w małej firmie

Ustawodawca złagodził obowiązki wynikające z przepisów o RODO dla właścicieli małych firm. Dla podmiotów gospodarczych zatrudniających mniej niż 10 pracowników i posiadających obroty nie wyższe niż 2 mln euro rocznie, przygotowano kilka uproszczeń. 

Jak wprowadzić RODO w małej firmie? Mikroprzedsiębiorstwo nie musi na przykład tworzyć oddzielnego stanowiska pracy dla inspektora danych osobowych, choć musi wskazać osobę odpowiedzialną za przetwarzanie tych danych (w praktyce tę rolę najczęściej pełni właściciel). Nie ma też jasnych nakazów dotyczących tego, w jaki sposób dane klientów są przechowywane. Obowiązuje tylko jedno kryterium „bezpieczeństwo”. Właściciel firmy sam decyduje, w jaki sposób dane będą przechowywane w sposób bezpieczny. 

Pociąga to za sobą uproszczenia formalne. Mikroprzedsiębiorca nie musi na przykład zgłaszać zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Nie obejmują go wymogi regularnego zmieniania haseł w komputerach i innych urządzeniach elektronicznych. Nie trzeba prowadzić ewidencji osób upoważnionych do przetwarzania danych osobowych, czy sporządzać instrukcji polityki bezpieczeństwa z tym związanej. Należy natomiast stworzyć rejestr czynności przetwarzania, czyli opis danych, które dana firma zbiera. Wystarczy spisać je na jednej kartce. 

Mirosław Jenak