Wystarczy, że przedsiębiorstwo lub inna instytucja posługuje się pocztą e-mail czy jakąkolwiek formą komunikacji elektronicznej, by potrzebna stała się ochrona danych osobowych firmy. W praktyce niemal każdy podmiot przetwarza dane osobowe, a tym samym od 25 maja 2018 r. jest zobowiązany do przestrzegania przepisów Rozporządzenia o ochronie danych osobowych (dalej Rozporządzenia RODO) oraz przepisów krajowych. W Polsce głównym aktem prawnym jest Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
Wiele podmiotów, błędnie zakłada, że w ramach swojej działalności nie posiada danych osobowych a tym samym Rozporządzenie RODO ich nie obowiązuje. Takie podejście jest bardzo ryzykowne i naraża dany podmiot na bardzo wysokie kary nawet do 4 % wartość przychodów rocznych ze sprzedaży. Nie tylko dlatego w interesie każdego podmiotu leży ochrona danych osobowych i informacji poufnych. Oprócz kar administracyjnych w przypadku naruszenia pojawia się wiele innych zagrożeń. Łącznie z narażeniem firmy na utratę tajemnic handlowych i spadkiem wiarygodności pozytywnego wizerunku, na który pracuje się latami.
Bez względu na formę prowadzonej działalności, najczęściej możemy spotkać się z przetwarzaniem takich kategorii danych osobowych jak:
- dane osobowe pracowników, w tym osób pracujących na podstawie Umowy zlecenie, umowy o dzieło;
- dane osobowe naszych klientów – odbiorców;
- dane osobowe naszych kontrahentów – dostawców;
- dane osobowe zawarte w rejestrach publicznych np. CEIDG, KRS;
- dane osobowe uczestników naszych szkoleń, eventów, konferencji itp.;
- dane osobowe zwarte w korespondencjach mailowych – na poczcie e-mail;
- dane osobowe naszych potencjalnych klientów, kontrahentów np. na wizytówkach, które otrzymamy;
- dane zawarte w plikach cookies;
- dane osób, które śledzą nasze profile na portalach społecznościowych np. LinkedIn, Facebook.
Lista ta mogła by być jeszcze dłuższa …. Natomiast ma ona na celu uświadomienie Administratorów danych osobowych oraz podmioty przetwarzające, iż praktycznie każda czynności wiąże się z przetwarzaniem danych osobowych.
Tym samym, każdy podmiot zgodnie z Rozporządzeniem unijnym, musi wdrożyć RODO, aby móc zapewnić ochronę danych osobowych firmy.
Od czego zacząć ochronę danych osobowych firmy?
Pierwszym krokiem we wdrożeniu RODO w firmie jest przeprowadzenie audytu ochrony danych osobowych inaczej audyt zgodności z RODO. Ma on na celu wykazanie nieprawidłowości, braków w zakresie dokumentacji oraz ustalenie dalszych działań, które muszą zostać podjęte. To także dobry moment, aby przypomnieć pracownikom o zasadach zgodnego z prawem przetwarzania danych osobowych oraz zapewnienia ich bezpieczeństwa.
Jak pokazuje nasza praktyka najczęstsze niezgodności RODO wynikają z:
- uznanie, iż „nie przetwarzamy danych osobowych” (bardzo częsta opinia) a dane osobowe firm to nie są dane osobowe;
- nieustalenia jakie dane osobowe są przetwarzane, w jakim celu, na jakiej podstawie;
- niekompletnej dokumentacji;
- niestosowania się do wdrożonej, przygotowanej dokumentacji przez pracowników, współpracowników;
- brak świadomości pracowników odnośnie zasad ochrony danych osobowych firmy.
Odpowiednio przeprowadzony audyt zgodności RODO, pozwoli każdej firmie na przygotowanie takiej dokumentacji, która będzie dopasowana do jej modelu działania. Przedsiębiorca prowadzący jednoosobową działalność gospodarczą, polegającą na tworzeniu stron www będzie miał inny zakres przetwarzania danych osobowych niż np. prywatna placówka medyczna.
Kolejny krok w celu zapewnienia ochrony danych osobowych firmy?
Znając już słabe punkty naszej organizacji oraz zbiory danych osobowych, jakie przetwarzamy, należy przygotować kompletną dokumentację ochrony danych osobowych. Dokumentacja ta powinna odnosić się do procedur wewnętrznych regulujących m.in.
- zgodne z prawem przetwarzanie danych osobowych;
- odpowiednie środki techniczne i organizacyjne, zapewniające przestrzeganie Rozporządzania RODO;
- realizację praw osób, których dane dotyczą,
- postępowanie w przypadku naruszenia ochrony danych osobowych.
Ochrona informacji poufnych stanowiących tajemnicę przedsiębiorstwa
Właściwe oraz skuteczne wdrożenie RODO w firmie nie tylko zapewni ochronę danych osobowych firmy, ale także w dużej mierze przyczyni się do zabezpieczenia informacji poufnych firmy – stanowiących tajemnicę przedsiębiorstwa.
Na gruncie polskich przepisów prawa definicję „tajemnicy przedsiębiorstwa” możemy znaleźć w Ustawie z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Zgodnie z art. 11 ust. 2 wspomnianej ustawy przez tajemnicę przedsiębiorstwa rozumie się:
„informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności”
Warto podkreślić, iż definicja ta została zmieniana oraz dopasowana do Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem.
Zgodnie z treścią art. 2 ust. 1 wspomnianej Dyrektywy, tajemnicą przedsiębiorstwa może być tylko takie informacje, które łącznie spełniaj poniższe wymogi:
- są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zbiorze ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które zwykle zajmują się tym rodzajem informacji;
- mają wartość handlową dlatego, że są objęte tajemnicą;
- poddane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich w tajemnicy.