RODO w małej firmie na przykładzie biura projektowego

Postęp techniczny sprawił, że przedsiębiorstwa i organy publiczne mogły łatwo zbierać, wykorzystywać i przekazywać  dane osobowe bez zgody osoby, które one dotyczyły. Dane osobowe stały się towarem handlowym, przetwarzanym i wykorzystywanym bez wiedzy osoby fizycznej, co naruszało podstawowe prawa zawarte w: “Karcie praw podstawowych” i “Traktacie o funkcjonowaniu Unii Europejskiej”. W celu zapewnienia prawa do ochrony danych osobowych z dniem 25 maja 2018 roku zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). W rozporządzeniu (RODO) zostały doprecyzowane prawa osób, których dane dotyczą oraz obowiązki podmiotów gospodarczych, które je gromadzą i przetwarzają.

Rodo w małej firmie

Marek prowadzi jednoosobową działalność gospodarczą pod nazwą “Uroczy Domek”. W ramach prowadzonej działalności gospodarczej:

  • tworzy indywidualne projekty domów jednorodzinnych,
  • adoptuje gotowe projekty domów,
  • zajmuje się architekturą wnętrz,
  • projektuje ogrody.

W imieniu klienta dokonuje uzgodnień w urzędach, występuje o dokumenty które umożliwiają rozpoczęcie budowy. Przed przystąpieniem do zlecenia zawsze sporządzana jest umowa o świadczenie usług.  Marek potrzebuje od swoich klientów pełnomocnictwa do reprezentowania przed Urzędami, oraz danych osobowych, w tym PESEL, nr dowodu osobistego. Marek zatrudnia 2 architektów oraz asystentkę, która przyjmuje klientów, umawia spotkania i jest odpowiedzialna na przygotowanie i przekazanie dokumentów do biura rachunkowego. Pracownicy mają dostęp do danych osobowych klientów.

Jeszcze przed wprowadzeniem RODO Marek starannie zabezpieczał dokumenty w firmie. Przeprowadził analizę ryzyka związaną z ewentualnym niekontrolowanym wyciekiem. Umowy z klientami, pełnomocnictwa przechowywane są w pomieszczeniu, do którego osoby postronne nie mają dostępu. Pozostałe dokumenty w sekretariacie, w zamykanych szafach. Dla potrzeb RODO Marek przygotował dokumenty, które uznał za wystarczające.

Dokumentacja

Polityka bezpieczeństwa informacji ze szczególnym uwzględnieniem ochrony danych osobowych w firmie Biuro Projektowe “Uroczy Domek” Marek Kowalski z siedzibą w Warszawie, ul. Garażowa 1.

  • Administrator bezpieczeństwa informacji.

Funkcję administratorem danych w firmie “Uroczy Domek” pełni właściciel biura Marek Kowalski.

Firma zatrudnia trzech pracowników.

Z uwagi na zakres prowadzonej działalności w firmie nie ma obowiązku powołania Inspektora ochrony danych.

Do zawartych wcześniej umów z klientami biura podpisane zostały umowy powierzenia przetwarzania danych osobowych.

  • Wykaz zbiorów danych osobowych i sposób ich przechowywania.

Dokumentacja pozyskiwana od klientów dotyczy spraw związanych z rodzajem prowadzonej działalności.  Biuro świadczy usługi projektowe na rzecz osób fizycznych nieprowadzących działalności gospodarczej oraz od podmiotów gospodarczych. W związku z tym przejmuje od klientów obowiązki związane z uzyskaniem wszystkich niezbędnych dokumentów umożliwiających rozpoczęcie budowy domu jednorodzinnego.

Wszystkie dokumenty katalogowane są z podziałem na pojedynczego klienta i przechowywane są w segregatorach, które opisane są inicjałami. Zbiór dokumentów klientów archiwizowany jest w specjalnie dedykowanym do tego pokoju, do którego nie mają dostępu osoby postronne. W celu zapewnienia bezpieczeństwa i ograniczeniu ryzyka pokój zamykany jest na klucz.

Administrowanie danymi znajdującymi się na komputerze zabezpieczone są hasłem, do którego dostęp ma tylko właściciel firmy i uprawnieni pracownicy.

  • Zapewnienie kontroli nad danymi.

Administrator danych zapewnia kontrolę nad procesem przetwarzania danych, ich wykorzystywania oraz archiwizowania.

Z uwagi, iż firma zatrudnia pracowników prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych.

  • Okres przechowywania danych osobowych.

Podstawą przetwarzania danych osobowych jest podpisana z klientami zgoda do istniejących umów zawartych z klientami. Po odwołaniu zgody dane osobowe będą przechowywane przez okres odpowiadający okresowi ich przedawnienia roszczeń tj. nie dłużej niż 10 lat.

Zgodnie przepisami o rachunkowości dowody księgowe umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym muszą być przechowywane przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje, postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. W takim przypadku dokumenty, które zostały opisane powyżej zostaną zniszczone po upływie okresu wymaganego przepisami o rachunkowości.

Niniejszy dokument reguluje proces postępowania z danymi osobowymi i dokumentami, które są w posiadaniu firmy Biuro Projektowe “Uroczy Domek” Marek Kowalski.

Umowa powierzenia przetwarzania danych osobowych – wzór

zawarta w dniu 25-05-2018 w Warszawie, pomiędzy:

Panem Markiem Kowalskim prowadzącym działalność gospodarczą pod nazwą „Uroczy Domek”, z siedzibą w Warszaawie, przy ulicy Garażowej 1

NIP – 9999999999, zwanym w dalszej części umowy Wykonawcą

a

Panią Ewą Nowak i Panem Adamem Nowak zamieszkałymi w Warszawie, przy ul Ogródkowej 5/1

zwanymi w dalszej części umowy Zleceniodawcą

  1. Zleceniodawca powierza Wykonawcy, dane osobowe do przetwarzania, na zasadach i w celu określonym w niniejszej Umowie.
  1. Wykonawca będzie przetwarzał, powierzone na podstawie umowy, następujące dane osobowe:
  2. a) imiona, nazwisko;
  3. b) adres zamieszkania,
  4. c) PESEL, data i miejsce urodzenia,
  5. d) nr dowodu osobistego,
  6. e) numer telefonu, adres e-mail.
  1. Powierzone przez Zleceniodawcę dane osobowe będą przetwarzane zgodnie z treścią zawartej umowy. Wykonawca nie jest uprawniony do jakiegokolwiek dalszego wykorzystania i udostępniania powierzonych danych osobowych ani do przechowywania i sporządzania kopii bezpieczeństwa powierzonych danych w zakresie, który nie jest konieczny do prawidłowej realizacji Umowy.
  1. W związku z powierzeniem Wykonawcy przetwarzania danych osobowych, o których mowa w ust. 2, Wykonawca zobowiązuje się do zachowania najwyższej staranności oraz do zastosowania przy ich przetwarzaniu wszelkich środków technicznych i organizacyjnych przewidzianych dla administratora danych w art. 36-39a ustawy o ochronie danych osobowych oraz do przestrzegania wymogów Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100 poz. 1024) (dalej: „Rozporządzenie”) i stosowania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych, o którym mowa w Rozporządzeniu. W zakresie przestrzegania tych przepisów Wykonawca ponosi odpowiedzialność na zasadach przewidzianych dla administratora danych.
  1. Do przetwarzania danych osobowych, o których mowa w ust. 2, mogą być dopuszczeni jedynie pracownicy Wykonawcy posiadający imienne upoważnienie do przetwarzania danych osobowych (dalej: „upoważnieni pracownicy”). Upoważnienie wygasa z chwilą ustania zatrudnienia upoważnionego pracownika bądź odwołania upoważnienia. Upoważnienie nie może przekraczać zakresu czynności określonych w ust. 2. Wykonawca prowadzi ewidencję upoważnionych pracowników wyznaczonych do przetwarzania danych osobowych powierzonych Wykonawcy przez Zamawiającego w związku z wykonywaniem Umowy.
  2. W celu właściwego zapewnienia bezpieczeństwa wszystkich danych, o których mowa w ust. 1, powierzonych przez administratora danych, Wykonawca zobowiązuje się do zachowania najwyższej staranności, w tym do postępowania zgodnego z przepisami ustawy o ochronie danych osobowych oraz wymogami Rozporządzenia.
  1. Po zakończeniu realizacji Umowy, lub na pisemną prośbę Zamawiającego, Wykonawca zwróci Zamawiającemu wszystkie nośniki z otrzymanymi danymi osobowymi, a w przypadku sporządzenia dodatkowych kopii, trwale usunie je z wszelkich nośników, które nie zostały zwrócone Zamawiającemu.
  1. Wykonawca zobowiąże wszystkich swoich pracowników, którzy na podstawie niniejszej Umowy w Sprawie Danych biorą udział w przetwarzaniu powierzonych mu danych osobowych, do zachowania w poufności wszelkich uzyskanych danych osobowych i informacji. Zobowiązanie, o którym mowa w zdaniu poprzedzającym, obowiązuje bezterminowo, także po ustaniu zatrudnienia osób, o których mowa w zdaniu poprzedzającym, u Wykonawcy.

wyraź swoją opinię, będzie dla mnie pomocna