Dane osobowe w firmie

RODO ochrona danych osobowych w biurze rachunkowym

Zarządzanie danymi osobowymi w firmie to jeden z najważniejszych obowiązków każdego przedsiębiorcy, niezależnie od wielkości organizacji. Dane osobowe pracowników, klientów i kontrahentów wymagają odpowiedniego zabezpieczenia, przechowywania i przetwarzania zgodnie z obowiązującymi przepisami prawa. Niedopełnienie tych obowiązków może prowadzić do wysokich kar finansowych, utraty reputacji i odpowiedzialności prawnej.

Ochrona danych osobowych w firmie

Ochrona danych osobowych polega na wdrożeniu odpowiednich środków technicznych i organizacyjnych, które zapobiegają nieuprawnionemu dostępowi, modyfikacji, ujawnieniu lub zniszczeniu danych. Każda firma, która przetwarza dane osobowe, jest zobowiązana do stosowania zasady minimalizacji danych, czyli zbierania wyłącznie tych informacji, które są niezbędne do realizacji określonego celu. Im mniej danych firma posiada, tym mniejsze ryzyko naruszenia ich bezpieczeństwa.

Podstawowe zasady ochrony danych osobowych w firmie

zasada legalności - dane muszą być przetwarzane na podstawie prawnej
zasada celowości - dane zbierane wyłącznie w określonym, uzasadnionym celu
zasada minimalizacji - zbieranie tylko niezbędnych danych
zasada prawidłowości - dane muszą być aktualne i poprawne
zasada ograniczenia przechowywania - dane usuwane po ustaniu celu ich przetwarzania
zasada integralności i poufności - zapewnienie bezpieczeństwa danych

Ochrona techniczna danych obejmuje szyfrowanie plików, stosowanie silnych haseł, ograniczenie dostępu do danych wyłącznie dla uprawnionych pracowników oraz regularne tworzenie kopii zapasowych. Ważną rolę odgrywa również ochrona fizyczna - zabezpieczenie pomieszczeń, szaf z dokumentami i urządzeń przechowujących dane przed dostępem osób nieupoważnionych. Pracownicy powinni regularnie przechodzić szkolenia z zakresu bezpieczeństwa danych, aby rozumieć zagrożenia i właściwe postępowanie w przypadku ich wystąpienia.

Firmy przetwarzające szczególnie wrażliwe kategorie danych, takie jak dane zdrowotne, biometryczne lub dotyczące przekonań religijnych, muszą stosować wzmożone środki ochrony. Dane te objęte są surowszymi przepisami i wymagają wyraźnej zgody osoby, której dotyczą, lub innej wyraźnej podstawy prawnej. Naruszenie bezpieczeństwa takich danych grozi najwyższymi sankcjami przewidzianymi w przepisach o ochronie danych osobowych.

RODO w firmie

Rozporządzenie o Ochronie Danych Osobowych (RODO), znane również pod europejskim skrótem GDPR, obowiązuje w Polsce od 25 maja 2018 roku i wprowadza jednolite standardy ochrony danych osobowych na terenie całej Unii Europejskiej. Przepisy te dotyczą każdej firmy, która przetwarza dane obywateli UE, niezależnie od miejsca siedziby przedsiębiorstwa. Nawet mała firma zatrudniająca kilku pracowników jest zobowiązana do przestrzegania zasad RODO.

Podstawą prawną przetwarzania danych osobowych może być zgoda osoby, której dane dotyczą, wykonanie umowy, wypełnienie obowiązku prawnego, ochrona żywotnych interesów, wykonanie zadania publicznego lub uzasadniony interes administratora. Wybór właściwej podstawy prawnej ma istotne znaczenie, ponieważ determinuje prawa osób fizycznych i obowiązki administratora danych. W przypadku przetwarzania danych pracowniczych podstawą jest zazwyczaj przepis prawa lub konieczność wykonania umowy o pracę.

Obowiązki firmy wynikające z RODO:

prowadzenie rejestru czynności przetwarzania danych
informowanie osób o celach i sposobach przetwarzania ich danych
zapewnienie realizacji praw osób fizycznych (dostęp, sprostowanie, usunięcie danych)
zawarcie umów powierzenia z podmiotami zewnętrznymi przetwarzającymi dane
zgłaszanie naruszeń do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin
przeprowadzanie oceny skutków dla ochrony danych przy ryzykownych operacjach

Inspektor Ochrony Danych (IOD) to osoba odpowiedzialna za nadzór nad przestrzeganiem przepisów RODO w organizacji. Jego powołanie jest obowiązkowe dla organów publicznych, firm przetwarzających dane na dużą skalę oraz podmiotów, których główna działalność polega na regularnym monitorowaniu osób. Pozostałe firmy mogą powołać IOD dobrowolnie - taka decyzja świadczy o poważnym podejściu do kwestii ochrony danych i często buduje zaufanie klientów i partnerów biznesowych.

Prawa osób, których dane dotyczą

RODO przyznaje osobom fizycznym szeroki katalog praw związanych z ich danymi osobowymi. Każdy, kto powierzył firmie swoje dane, ma prawo do uzyskania informacji o tym, jakie dane są przetwarzane, w jakim celu i przez jaki czas. Prawo dostępu do danych pozwala na żądanie kopii wszystkich informacji, które firma posiada na temat danej osoby.

Prawo do usunięcia danych, potocznie zwane "prawem do bycia zapomnianym", umożliwia żądanie likwidacji danych, gdy nie są one już potrzebne do celów, w jakich zostały zebrane. Firma ma obowiązek odpowiedzieć na takie żądanie bez zbędnej zwłoki, nie później niż w ciągu 1 miesiąca. W szczególnie skomplikowanych przypadkach termin ten można przedłużyć o kolejne 2 miesiące, informując o tym wnioskodawcę.

Dane osobowe pracowników

Zatrudnienie pracownika wiąże się z koniecznością przetwarzania znacznej ilości danych osobowych - od podstawowych informacji identyfikacyjnych, przez dane kontaktowe, po informacje o wynagrodzeniu, nieobecnościach i historii zatrudnienia. Zakres danych, które pracodawca może zbierać od pracownika, ściśle określa Kodeks pracy. Żądanie danych wykraczających poza ten katalog jest niedopuszczalne, chyba że pracownik wyrazi na to wyraźną zgodę.

Kategorie danych pracowniczych przetwarzanych przez pracodawcę:

dane identyfikacyjne (imię, nazwisko, PESEL, numer dowodu)
dane kontaktowe (adres zamieszkania, numer telefonu, e-mail)
dane dotyczące zatrudnienia (stanowisko, wynagrodzenie, staż pracy)
dane do celów podatkowych i ubezpieczeniowych (NIP, numer rachunku bankowego)
dane o nieobecnościach i urlopach

Pracodawca musi przechowywać dokumentację pracowniczą przez ściśle określony czas. Akta pracownicze dla pracowników zatrudnionych po 1 stycznia 2019 roku należy przechowywać przez 10 lat od zakończenia zatrudnienia. Po upływie tego okresu dokumenty muszą zostać zniszczone w sposób uniemożliwiający odczytanie zawartych w nich danych, na przykład poprzez niszczenie w certyfikowanych niszczarkach.

Dane osobowe klientów

Relacje z klientami wymagają przetwarzania różnorodnych danych osobowych, a zakres tych danych zależy od rodzaju prowadzonej działalności. Sklep internetowy potrzebuje danych adresowych do realizacji zamówień, firma usługowa może potrzebować danych kontaktowych i informacji o preferencjach, a instytucja finansowa przetwarza szczegółowe dane dotyczące sytuacji majątkowej. W każdym przypadku klient musi być poinformowany o celach przetwarzania jego danych jeszcze przed ich pobraniem.

Zbieranie zgód marketingowych wymaga szczególnej staranności. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Nie można jej domniemywać z braku odpowiedzi ani z faktu korzystania z usługi. Niedopuszczalne jest łączenie zgody na przetwarzanie danych z akceptacją regulaminu lub warunków umowy - każda zgoda powinna być osobnym, świadomym działaniem klienta. Wycofanie zgody musi być równie łatwe jak jej udzielenie.

Naruszenia danych i ich konsekwencje

Naruszenie ochrony danych osobowych to każde zdarzenie prowadzące do przypadkowego lub bezprawnego zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Może to być atak hakerski, zgubienie niezaszyfrowanego laptopa, omyłkowe wysłanie danych do niewłaściwego odbiorcy czy kradzież dokumentów. Każde naruszenie wymaga odpowiedniej reakcji ze strony firmy.

Jeśli naruszenie niesie ryzyko dla praw i wolności osób fizycznych, firma ma obowiązek zgłoszenia go do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od jego wykrycia. Przy wysokim ryzyku konieczne jest również bezpośrednie powiadomienie poszkodowanych osób. Urząd Ochrony Danych Osobowych może nałożyć kary finansowe sięgające 20 milionów euro lub 4% rocznego globalnego obrotu firmy, zależnie od tego, która kwota jest wyższa. Takie sankcje mogą być dotkliwe nawet dla dużych przedsiębiorstw.

Rejestr czynności przetwarzania

Prowadzenie rejestru czynności przetwarzania danych osobowych to obowiązek nałożony na administratorów danych przez RODO. Rejestr powinien zawierać informacje o wszystkich procesach przetwarzania danych realizowanych w firmie: cele przetwarzania, kategorie danych i osób, których dane dotyczą, podstawy prawne, odbiorcy danych oraz planowane terminy usunięcia. To żywy dokument, który należy aktualizować wraz z każdą zmianą w procesach przetwarzania danych.

Obowiązek prowadzenia rejestru dotyczy firm zatrudniających co najmniej 250 pracowników, jednak mniejsze podmioty są zwolnione z tego wymogu tylko wtedy, gdy przetwarzanie nie stwarza ryzyka naruszenia praw lub wolności osób fizycznych i ma charakter sporadyczny. W praktyce większość firm, nawet tych małych, powinna prowadzić taki rejestr, ponieważ regularne przetwarzanie danych pracowników lub klientów trudno uznać za sporadyczne. Dobrze prowadzony rejestr znacznie ułatwia reakcję na ewentualne kontrole lub skargi.