Кожна компанія обробляє персональні дані та зобов'язана дотримуватися RODO. Дізнайтеся, як підготувати реєстр операцій, інформаційні клаузули та базові процедури захисту даних.
Захист персональних даних – це обов'язок, який стосується майже кожного підприємця, незалежно від розміру компанії чи галузі. RODO, тобто Регламент Європейського Парламенту та Ради (ЄС) 2016/679, діє в Польщі з травня 2018 року, однак попри це багато малих і середніх підприємств досі не впровадили навіть його базових вимог. У цій статті пояснюємо, з чого почати, які документи є необхідними та як уникнути найпоширеніших помилок. Також покажемо, яким чином бухгалтерське бюро може підтримати підприємця у сфері кадрової та фінансової документації, пов'язаної з RODO.
RODO регулює принципи збору, зберігання та обробки персональних даних – тобто будь-якої інформації, що дозволяє ідентифікувати конкретну фізичну особу. Це стосується, зокрема, даних клієнтів, працівників, контрагентів або користувачів вебсайту. Обов'язки, що випливають із RODO, мають: • фізичні особи-підприємці (JDG), • sp. z o.o. та інші господарські товариства, • асоціації, фонди та інші суб'єкти. Немає мінімального порогу чисельності персоналу чи обороту – якщо ви обробляєте персональні дані в професійних цілях, RODO на вас поширюється. Відсутність впровадження положень може спричинити фінансовий штраф до 20 млн євро або 4% річного глобального обороту, а також позови з боку осіб, чиї дані обробляються.
Кожна обробка персональних даних повинна мати правову підставу. RODO визначає шість таких підстав, з яких у бізнес-практиці найчастіше застосовуються: 1. Виконання договору – дані клієнтів обробляються з метою виконання замовлення або послуги. 2. Юридичний обов'язок – дані працівників обробляються для кадрово-розрахункових і податкових потреб. 3. Законний інтерес адміністратора – наприклад, прямий маркетинг щодо наявних клієнтів. 4. Згода особи – необхідна, зокрема, для розсилки newsletter або обробки чутливих даних. Вибір належної правової підстави є ключовим – він впливає на обсяг інформаційних обов'язків і строки зберігання даних. Неправильна кваліфікація підстави – одна з найпоширеніших помилок, що виявляються Урядом захисту персональних даних (UODO).
Реєстр операцій обробки (RCP) – це внутрішній документ, який описує, які дані компанія збирає, з якою метою, на якій правовій підставі та як довго їх зберігає. Ведення реєстру є обов'язковим для адміністраторів даних (а отже, для переважної більшості компаній). Реєстр повинен містити: • назву та контактні дані адміністратора, • цілі обробки (наприклад, обслуговування клієнтів, кадрові питання, бухгалтерія), • категорії осіб і даних (наприклад, працівники – кадрові та розрахункові дані), • отримувачів даних (наприклад, бухгалтерське бюро, ZUS, US), • плановані строки видалення даних, • опис технічних і організаційних заходів безпеки. Реєстр не обов'язково має бути складним – достатньо зрозумілої таблиці в Excel або спеціалізованого інструменту. Важливо, щоб він був актуальним і доступним на випадок перевірки UODO.
Інформаційний обов'язок – один із стовпів RODO. Адміністратор зобов'язаний повідомити особу, чиї дані він збирає, про: хто є адміністратором, з якою метою і на якій підставі обробляються дані, кому вони передаються та як довго зберігаються. Інформаційні клаузули необхідно застосовувати, зокрема: • у рекрутингових формах (для кандидатів на роботу), • в договорах із клієнтами та контрагентами, • на вебсайті (контактні форми, записи на newsletter), • при укладенні трудових договорів або договорів-доручень. Клаузула повинна бути написана простою мовою – зрозумілою для пересічного читача, а не лише для юриста. Уникайте копіювання готових шаблонів без адаптації до специфіки вашої компанії, оскільки вони часто є надто загальними або застарілими.
Якщо ви передаєте персональні дані іншому суб'єкту, який обробляє їх від вашого імені, ви зобов'язані укласти договір доручення обробки даних (UPP). Це стосується, зокрема, ситуацій, коли: • ви користуєтеся послугами бухгалтерського бюро (доступ до даних працівників і клієнтів), • використовуєте зовнішнє програмне забезпечення CRM або кадрово-розрахункове ПЗ у хмарі, • доручаєте IT-обслуговування зовнішній компанії, • співпрацюєте з маркетинговою агенцією, яка керує поштовою базою. UPP повинен бути укладений у письмовій (або електронній) формі та визначати, зокрема, предмет, строк дії, характер і мету обробки. Відсутність такого договору є серйозним порушенням RODO – як з боку адміністратора, так і з боку суб'єкта, що здійснює обробку.
Під час перевірок UODO та внутрішніх аудитів найчастіше виявляються такі порушення: 1. Відсутність або застарілий реєстр операцій обробки. 2. Застосування однієї загальної інформаційної клаузули для всіх цілей. 3. Відсутність договорів доручення з бухгалтерським бюро, постачальниками IT або агенціями. 4. Зберігання даних довше, ніж необхідно (наприклад, резюме кандидатів після кількох років). 5. Незахищені паперові документи або відсутність політики чистого столу. 6. Відсутність процедури реагування на порушення захисту даних. Гарна новина: більшість цих помилок можна усунути відносно швидко, встановивши чіткі процедури та закріпивши відповідальність за конкретними особами в компанії. Впровадження RODO не обов'язково є дорогим – воно вимагає передусім часу і систематичності.
Впровадження RODO у компанії – це не одноразове завдання, а безперервний процес: документи потрібно оновлювати, а працівники повинні знати основні принципи захисту даних. Якщо ви ведете JDG або sp. z o.o. і хочете переконатися, що ваша кадрово-розрахункова документація та співпраця з бухгалтерським бюро відповідають вимогам RODO, зв'яжіться з Danexis. Наші фахівці допоможуть вам упорядкувати документацію та вкажуть, які кроки слід зробити в першу чергу. Телефонуйте за номером +48 780 760 666 або пишіть на kontakt@danexis.pl.