Usługi IT

Wdrożenia RODO

25 maja 2018 r. to ważna data dla każdego przedsiębiorcy. Tego dnia rozpocznie się stosowanie RODO, czyli unijnego rozporządzenia w zakresie ochrony danych osobowych. Co to oznacza? Jak powinno wyglądać RODO w małej firmie? Sprawdźmy.

Co to jest RODO?

RODO (inaczej GDPR, czyli General Data Protection Regulation) to rozporządzenie o ochronie danych osobowych przyjęte przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 r. Rozporządzenie ujednolica i nakłada nowe obowiązki na firmy i instytucje przetwarzające dane osobowe we wszystkich krajach Unii Europejskiej. Nowe przepisy zastąpią w Polsce dotychczasową ustawę o ochronie danych osobowych (GIODO).

Rozporządzenie obejmuje każdego przedsiębiorcę – spółkę i jednoosobową działalność gospodarczą – który oferuje produkty lub usługi obywatelom UE. RODO dotyczy praktycznie wszystkich przedsiębiorców, zarówno dużych korporacji jak i niewielkich firm typu sklep internetowy czy gabinet kosmetyczny. Nie ma natomiast zastosowania do działalności o charakterze osobistym lub domowym (mówi o tym art. 2 ust. 2 RODO).

RODO w małej firmie

Nowe przepisy dotyczą wszystkich czynności, które są podejmowane na danych osobowych: m.in. ich zbierania, przechowywania, przetwarzania, udostępniania i usuwania.

Dane osobowe

Są to informacje pozwalające na bezpośrednie lub pośrednie zidentyfikowanie osoby fizycznej, np:

 • imię
 • nazwisko
 • numer PESEL
 • dane o lokalizacji
 • adres IP
 • adres e-mail

Przetwarzanie danych osobowych w małych firmach ma miejsce np. w przypadku sprzedaży produktów, wystawiania faktur, prowadzenia korespondencji, zawierania umów czy prowadzenia newslettera. Unijne rozporządzenie nie zawiera konkretnych wytycznych, w jaki sposób należy zabezpieczać dane osobowe klientów. Każdy przedsiębiorca będzie musiał samodzielnie wyodrębnić ryzyko i dostosować procedury indywidualnie do charakteru swojej branży i działalności, pamiętając jednak o idei i ogólnych przesłankach RODO.

Art. 1 ust. 83 RODO:

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Środkami ochrony bezpieczeństwa danych osobowych są, np.:

 • wdrożenie odpowiednich zabezpieczeń informatycznych,
 • przechowywanie dokumentów papierowych w sposób zabezpieczający je przed dostępem osób nieupoważnionych,
 • przeszkolenie pracowników w zakresie ochrony danych osobowych,
 • prowadzenie ewidencji osób (pracowników) upoważnionych do dostępu do danych osobowych,
 • podpisanie umowy z firmami, którym powierza się przetwarzanie danych osobowych klientów (np. dostawcą hostingu, biurem rachunkowym, firmą kurierską).

Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać w oparciu o jedną z przesłanek przetwarzania wskazanych w RODO, np. na podstawie zgody osoby, której dane dotyczą. Zbierając dane osobowe, przedsiębiorca będzie musiał wskazać m.in. cel przetwarzania danych i okres ich przechowywania. Zgoda może polegać np. na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej.

Co ważne, RODO uwzględnia prawo do „bycia zapomnianym”, na podstawie którego osoba, której dane są przetwarzane może żądać usunięcia wszystkich informacji o sobie z bazy danych przedsiębiorcy. Dodatkowo osoba, której dane są przetwarzane będzie miał także prawo do wglądu we własne dane, a także żądania ograniczenia ich przetwarzania, przeniesienia lub ich sprostowania.

Kreuj Swój świat a my Ci pomożemy.