RODO

RODO (po angielsku GDPR) to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., obowiązujące bezpośrednio we wszystkich państwach członkowskich od 25 maja 2018 r.

Kogo dotyczy

Każdej firmy w Polsce (i UE), która przetwarza dane osobowe - bez progu wielkości. Solo-działalność prowadząca prostą bazę klientów jest objęta dokładnie tymi samymi zasadami co bank.

Kluczowe obowiązki

• Rejestr czynności przetwarzania (art. 30) - dokument wewnętrzny opisujący każdy proces przetwarzania.
• Klauzula informacyjna (art. 13) - informowanie osób, których dane przetwarzacie.
• Umowa powierzenia (art. 28, DPA) - z każdym podmiotem przetwarzającym dane w waszym imieniu.
• Środki techniczne i organizacyjne (art. 32) - MFA, szyfrowanie, backup adekwatne do ryzyka.
• Procedura naruszeń (art. 33-34) - zgłoszenie do UODO w 72 godziny.
• Prawa osób (art. 12-22) - dostęp, sprostowanie, usunięcie, sprzeciw.

Kary

Art. 83 RODO: do 20 mln euro lub 4% obrotu globalnego (w zależności co wyższe) za naruszenia podstawowych zasad; do 10 mln euro lub 2% za pozostałe naruszenia. UODO w 2023 r. nałożył łącznie 13,7 mln zł kar; MŚP typowo otrzymują 5 000-50 000 zł.

Dla małej firmy w praktyce

Minimum to: rejestr czynności, klauzule informacyjne, umowy powierzenia z dostawcami SaaS, MFA na kontach kluczowych, szyfrowanie dysków, kopia zapasowa, procedura zgłaszania naruszeń. Większość tego można wdrożyć w 1-2 tygodnie pracy własnej.