RODO w małej firmie — podstawowe obowiązki

Jakie obowiązki ma mała firma — krótka odpowiedź

Mała firma ma przy RODO kilka konkretnych obowiązków. Zbiera dane tylko w jasnym celu i za zgodą. Informuje ludzi, czyje dane przetwarza, i zabezpiecza je technicznie. Wyciek zgłasza w 72 godziny od wykrycia.

Dwóch rzeczy zwykle nie potrzebuje: inspektora ochrony danych ani rejestru czynności. Inspektor to osoba, która w firmie pilnuje zgodności z RODO. Rejestr czynności to spis, jakie dane firma przetwarza, w jakim celu i jak długo. Wyjątek pojawia się przy danych wrażliwych — czyli danych o zdrowiu, pochodzeniu czy poglądach.

RODO to unijne rozporządzenie o ochronie danych osobowych — czyli zasady, jak firma ma zbierać, trzymać i chronić dane ludzi. Obowiązuje od 2018 roku i dotyczy każdej firmy, która przetwarza dane klientów lub pracowników.

Twoja firma jest tu administratorem danych — czyli to Ty decydujesz, po co i jak przetwarzasz dane. To na administratorze leżą obowiązki opisane niżej. Większość z nich to nie biurokracja, tylko zdrowy rozsądek na piśmie.

Checklista podstawowych obowiązków

Większość firm pyta o jedno: co właściwie muszę zrobić. Poniżej masz listę, którą można wkleić do dokumentu i odhaczać. Każdy punkt to obowiązek, który dotyczy typowej firmy z 10–100 osobami.

• Cel i zgoda — zbieraj tylko te dane, których naprawdę potrzebujesz, i tylko w jasno określonym celu. Na newsletter czy marketing potrzebujesz zgody; do realizacji umowy zgoda nie jest wymagana.
• Obowiązek informacyjny — powiedz ludziom, czyje dane zbierasz, po co i jak długo je trzymasz. To zwykle klauzula informacyjna na formularzu i polityka prywatności na stronie.
• Zabezpieczenie techniczne — hasła, szyfrowanie, kopie zapasowe i ograniczony dostęp. Do danych klienta powinni mieć dostęp tylko ci pracownicy, którzy ich potrzebują.
• Umowa powierzenia — jeśli dane przetwarza za Ciebie zewnętrzna firma (biuro rachunkowe, dostawca IT, system mailingowy), podpisz z nią umowę powierzenia przetwarzania.
• Procedura na wypadek wycieku — ustal z góry, kto ocenia incydent i kto w 72 godziny składa zgłoszenie. Improwizacja przy wycieku to najczęstsza przyczyna spóźnienia.

Te pięć punktów to fundament. Dwa kolejne — inspektor ochrony danych i rejestr czynności — brzmią groźnie, ale typowej małej firmy najczęściej nie dotyczą. Rozkładamy je w następnej sekcji.

Czy potrzebujesz inspektora i rejestru czynności

To dwa pytania, które najbardziej spędzają sen z powiek firmie wielkości 50–100 osób. Dobra wiadomość: w większości takich firm odpowiedź na oba brzmi „nie musisz”. Ale są wyjątki i warto je znać.

Inspektor ochrony danych (IOD)

Inspektora ochrony danych (w skrócie IOD) powołać musisz tylko w trzech sytuacjach — typowa firma B2B czy sklep do żadnej z nich nie należy.

1. Jesteś organem lub podmiotem publicznym (urząd, szkoła, jednostka samorządu).
2. Twoją główną działalnością jest monitorowanie ludzi na dużą skalę (na przykład firma ochroniarska z monitoringiem).
3. Przetwarzasz dane wrażliwe na dużą skalę — na przykład jak duża sieć przychodni.

Jeśli Twoja firma to produkcja, logistyka, handel czy usługi profesjonalne, inspektora zwykle nie powołujesz. Możesz go mieć dobrowolnie, ale to decyzja biznesowa, nie obowiązek.

Rejestr czynności przetwarzania

Firmy zatrudniające mniej niż 250 osób są z rejestru czynności co do zasady zwolnione.

To dokładnie ta liczba, która mówi „ta sekcja jest o firmie takiej jak moja". Przy 50–100 osobach jesteś poniżej progu — ale zwolnienie ma wyjątki. Rejestr i tak prowadzisz, gdy przetwarzanie nie jest sporadyczne, gdy stwarza ryzyko dla praw osób albo gdy dotyczy danych wrażliwych.

Zgłoszenie naruszenia — masz 72 godziny

To najostrzejszy termin w całym RODO. Naruszenie ochrony danych zgłaszasz do UODO bez zbędnej zwłoki, najpóźniej w 72 godziny. UODO to Urząd Ochrony Danych Osobowych — instytucja, do której zgłasza się wycieki.

Te 72 godziny liczysz od wykrycia naruszenia, nie od samego incydentu. Jeśli laptop z danymi zginął w piątek, a zauważyłeś to w poniedziałek — zegar rusza w poniedziałek. Dlatego liczy się, jak szybko w ogóle wychwytujesz takie zdarzenia.

Nie każdy incydent trzeba zgłaszać. Czasem ryzyko dla ludzi jest małe — na przykład zaszyfrowany dysk, do którego nikt się nie dostał. Wtedy wystarczy odnotować zdarzenie w wewnętrznym rejestrze incydentów. Zgłaszasz, gdy jest realne ryzyko naruszenia praw lub wolności osób.

Przy wysokim ryzyku musisz powiadomić nie tylko UODO, ale i same osoby, których dane wyciekły. Przy dużej grupie robi się to ogólnodostępnym komunikatem, na przykład na stronie firmy.

Jak zgłosić naruszenie do UODO

Zgłoszenie składa się tylko elektronicznie, przez portal biznes.gov.pl. Nie ma papierowego formularza ani wizyty w urzędzie. Usługa jest bezpłatna, ale potrzebujesz podpisu kwalifikowanego (płatnego podpisu elektronicznego z certyfikatem) albo Profilu Zaufanego (bezpłatnego potwierdzenia tożsamości w e-urzędzie).

Profil Zaufany warto założyć zanim coś się stanie. Zakładanie go w trakcie liczenia 72 godzin to ostatnie, czego potrzebujesz przy wycieku.

1. Oceń incydent — ustal, czy jest realne ryzyko dla praw lub wolności osób. Jeśli nie, odnotuj go w wewnętrznym rejestrze incydentów i na tym koniec.
2. Zbierz fakty — co się stało, czyich danych dotyczy, ilu osób, jakie mogą być skutki i co już zrobiłeś, żeby ograniczyć szkodę.
3. Złóż zgłoszenie na biznes.gov.pl — podpisane podpisem kwalifikowanym lub Profilem Zaufanym, najpóźniej w 72 godziny od wykrycia.
4. Przy wysokim ryzyku powiadom też osoby, których dane wyciekły — bezpośrednio albo, przy dużej grupie, publicznym komunikatem.
5. Zachowaj dokumentację — wpis w rejestrze incydentów i potwierdzenie zgłoszenia. To dowód, że dopełniłeś obowiązku.

Jeśli nie zdążysz w 72 godziny, i tak zgłaszasz — z wyjaśnieniem przyczyny opóźnienia. Spóźnione zgłoszenie jest lepsze niż jego brak. Ale po to ustalasz procedurę z góry, żeby do spóźnienia nie doszło.

Kary — realna skala dla małej firmy

Kary za naruszenie RODO mają dwa progi. Niższy sięga do 10 mln € lub 2% rocznego obrotu, wyższy do 20 mln € lub 4% rocznego obrotu. Brak zgłoszenia naruszenia mieści się w niższym progu.

Te liczby brzmią groźnie, ale to górne pułapy, nie cennik. Kara jest proporcjonalna do wielkości firmy i oceniana indywidualnie. UODO bierze pod uwagę, czy naruszenie było umyślne, jak duża była szkoda i czy firma współpracowała.

Łagodzą też dwie rzeczy, na które masz wpływ: ograniczenie szkody i samozgłoszenie. Firma, która sama zgłasza wyciek i pokazuje, że nad nim panuje, jest w zupełnie innej sytuacji niż taka, którą UODO przyłapuje.

Najwyższe polskie kary nakładane przez Prezesa UODO trafiały w duże podmioty. ING Bank Śląski dostał 18,4 mln zł, a McDonald's Polska — 16,9 mln zł (decyzje UODO, uodo.gov.pl). To skala wielkich firm i wielkich zbiorów danych, nie 60-osobowej firmy z Dolnego Śląska.

Częste błędy i czego pilnować

Większość problemów z RODO w małej firmie nie bierze się ze złych intencji, tylko z braków, których nikt nie zauważył na czas. Oto te, które widać najczęściej.

1. Brak procedury na wyciek. Wszystko działa, dopóki coś się nie stanie — a wtedy 72 godziny mijają na ustalaniu, kto za to odpowiada.
2. Zgody zebrane na zapas. Zbieranie danych „bo może się przyda" bez jasnego celu to dokładnie to, czego RODO zakazuje.
3. Brak umów powierzenia. Biuro rachunkowe, dostawca IT czy system mailingowy przetwarzają Twoje dane — bez umowy powierzenia robią to nielegalnie.
4. Dostęp do danych dla wszystkich. Cały zespół widzący wszystkie dane klientów to ryzyko, którego łatwo uniknąć ograniczeniem dostępu.
5. Brak kopii zapasowych. Utrata danych to też naruszenie — nie tylko ich wyciek. Kopia zapasowa jest tu zabezpieczeniem, nie tylko wygodą.

Większość tych błędów ma stronę techniczną: hasła, szyfrowanie, dostępy i kopie zapasowe. To obszar, w którym dobry partner IT realnie odciąża firmę. O samym robieniu kopii pisaliśmy w osobnym poradniku — jak robić kopie zapasowe.

Warto być uczciwym co do granic. To nie jest porada prawna. Przy wątpliwościach co do sytuacji w Twojej firmie skonsultuj się z prawnikiem albo inspektorem ochrony danych. My odpowiadamy za stronę techniczną, nie za interpretację przepisów.

Od czego zacząć w praktyce

RODO w małej firmie nie jest projektem na pół roku. To kilka decyzji i kilka dokumentów, które raz ustawione, działają w tle. Najwięcej daje pierwszy tydzień.

Zacznij od trzech rzeczy. Spisz, jakie dane masz i gdzie je trzymasz. Sprawdź, czy masz kopie zapasowe i z kim podpisałeś umowy powierzenia. Ustal jedną osobę, która przy wycieku ocenia incydent i pilnuje 72 godzin.

Reszta to porządkowanie: klauzule informacyjne na formularzach, polityka prywatności na stronie, ograniczenie dostępu do danych. Każda z tych rzeczy zajmuje godziny, nie tygodnie — pod warunkiem, że robisz je na spokojnie, a nie po fakcie.

Techniczne zabezpieczenia to fundament, na którym stoi reszta. Firmy z Legnicy, Lubina i całego Dolnego Śląska zwykle zaczynają właśnie tu: kopie, hasła, szyfrowanie i jasny plan na incydent. Stronę prawną — klauzule i interpretacje — domyka prawnik lub inspektor ochrony danych.