Czy RODO ma wpływ na małe firmy?

 

Tekst Rozporządzenia o Ochronie Danych Osobowych nie zawiera informacji, by jakiekolwiek firmy były zwolnione z obowiązku ochrony danych osobowych, na przykład ze względu na swoją wielkość, obrót lub branżę.

– W praktyce trudno jest w tej chwili wskazać firmę bądź branżę, która nie przetwarza danych osobowych w żadnym stopniu – komentuje Adam Wódz, IT Security Manager z firmy Cybercom. – Nawet firma, która nie zbiera danych swoich klientów, musi gromadzić informacje o pracownikach oraz kandydatach do pracy. A te dane również są chronione przez RODO.

W myśl przepisów wyciek danych pracowników lub kandydatów jest takim samym incydentem naruszającym bezpieczeństwo danych osobowych jak incydent dotyczący danych klientów i musi zostać zgłoszony odpowiednim organom nie później niż 72 godziny od wykrycia.

Jednocześnie nie jest tak, że w przepisach nie jest brana pod uwagę wielkość firmy.

ABI w MŚP

Zgodnie z przepisami firma zatrudniająca mniej niż 250 pracowników nie jest zobowiązana do rejestrowania czynności przetwarzania, choć jeśli te dane są wykorzystywane na dużą skalę i regularnie, może to być konieczne.

– Ustawodawca różnicuje tutaj nieduży, lokalny sklep czy punkt usługowy oraz startup z branży technologicznej – wskazuje Adam Wódz. – Firma z tej drugiej grupy może składać się z dziesięciu osób i przetwarzać dziennie terabajty danych na potrzeby innowacyjnych usług.

Jednocześnie ustawa zobowiązuje do rejestrowania czynności podmioty gromadzące i wykorzystujące dane wrażliwe oraz informacje dotyczące wyroków skazujących u pracowników.

– Oznacza to, że własnego Administratora Bezpieczeństwa Informacji będzie musiała powołać choćby nieduża przychodnia, gdyż przetwarzane są dane medyczne, których wyciek jest szczególnie groźny – mówi Adam Wódz. – Własnego ABI będzie musiało powołać także przedszkole, które wymaga od pracowników zaświadczenia o niekaralności.

Jednocześnie akt prawny wskazuje, że w mniejszych firmach nie ma konieczności zatrudniania ABI na pełen etat. Może on zostać powołany dla całej grupy firm, na przykład dla przedszkoli w danym mieście. Pełnienie tych obowiązków można także zlecić na zewnątrz organizacji.

Bezpieczeństwo przede wszystkim

– W myśl RODO obowiązkiem każdej firmy jest samodzielne dobranie najlepszych dostępnych środków na rzecz zabezpieczenia własnych danych. To firma sama decyduje w jaki sposób chce się zabezpieczyć i w razie kontroli musi udowodnić, że jej wybór jest najlepszy z możliwych – wskazuje Adam Wódz. – Oznacza to, że ustawodawca nie zmusza nikogo do zakupu najdroższych dostępnych rozwiązań, a raczej zachęca do gruntownej analizy i zastanowienia się, jak przy obecnym budżecie można ochronić posiadane dane osobowe.

Kluczowym elementem przygotowania do RODO powinna być analiza ryzyka wycieku wraz z podsumowaniem, gdzie i jakie dane osobowe się znajdują. Dzięki takiej inwentaryzacji możliwe jest z jednej strony ograniczenie dostępu do danych osobowych, a z drugiej wdrożenie odpowiedniej polityki ochrony tych danych.

– W najmniejszych firmach wystarczy rozsądek oraz zdrowa podejrzliwość. Niech dostęp do danych osobowych mają jedynie ci, którzy ich naprawdę potrzebują, a nie wszyscy pracownicy. Dla wielu firm rozwiązaniem będzie migracja do chmury i przechowywanie danych w infrastrukturze oferowanej przez większy podmiot, który jest w stanie przedstawić, jak te dane są chronione – wylicza Adam Wódz. – RODO to także impuls by przeszkolić pracowników. Niech ostrożnie podchodzą do nieznanych maili, dbają o aktualizacje i nigdy nie wyłączają antywirusa.

Bez taryfy ulgowej

W przypadku kontroli Urzędu Ochrony Danych Osobowych mała firma, tak samo jak duże podmioty, będzie zobowiązana wykazać, że posiadane zabezpieczenia są faktycznie najlepsze z dostępnych.

– Najgorsze, co firma może w takiej sytuacji zrobić, to powiedzieć „nic nie zrobiliśmy, aby się przygotować”. Mało prawdopodobne, by na samym początku urząd sięgał po kary. Jeśli firma ma własną politykę bezpieczeństwa czyli dokument, który jest w stanie pokazać i obronić zawarte w nim tezy, to inspektorzy zapewne skupią się na doradzaniu i pouczaniu, a nie sankcjach – uważa Adam Wódz. Podkreśla, że już samo opracowanie polityki bezpieczeństwa informacji świadczy, że firma nie zaniedbała swoich obowiązków i poważnie podchodzi do kwestii ochrony danych osobowych. – Natomiast brak takiego dokumentu to świadectwo braku szacunku zarówno dla prawa, jak i klientów oraz pracowników. W tym przypadku kontrolerzy mogą nie być już tacy wyrozumiali – podsumowuje.