"Rejestracja bazy danych w spółce z o.o."

Założyłeś spółkę, masz już wpis w KRS, pierwsze faktury przychodowe i czujesz, że biznes nabiera wiatru w żagle. Skupiasz się na sprzedaży, marketingu i jakości usług. RODO? Kojarzy Ci się z przymusem klikania „zgód” w Internecie i stosem papierów, które „kiedyś się ogarnie”. Przecież prowadzisz małą firmę, nikt nie będzie Cię ścigał za brak jednej procedury, prawda?

To klasyczny błąd poznawczy, który może kosztować Twój biznes płynność finansową. **Zlekceważenie ochrony danych osobowych to tykająca bomba.** Wystarczy jeden niezadowolony pracownik, donos konkurencji lub wyciek bazy mailowej, by Urząd Ochrony Danych Osobowych (UODO) zapukał do Twoich drzwi. Wtedy brak dokumentacji nie jest „drobnym niedopatrzeniem”, ale podstawą do nałożenia administracyjnej kary pieniężnej, która w obecnym stanie prawnym może być drastyczna, nawet dla mikroprzedsiębiorstw.

Ten artykuł to nie nudny wykład akademicki. To Twoja mapa drogowa. Pokażę Ci, co **absolutnie musisz mieć**, aby Twoja spółka z o.o. w praktyce była bezpieczna, a Ty mógł spać spokojnie, nie martwiąc się o kontrolę.

1. Polityka prywatności na stronę www.

To zazwyczaj pierwszy element, z którym stykają się Twoi klienci i – co ważniejsze – potencjalni kontrolerzy. Jeśli masz stronę internetową, sklep online, a nawet prosty formularz kontaktowy, przetwarzasz dane osobowe. Polityka prywatności to nie jest tylko „ozdobnik” w stopce strony. To realizacja **obowiązku informacyjnego** wynikającego z art. 13 i 14 RODO.

Wielu przedsiębiorców popełnia kardynalny błąd: kopiuje politykę prywatności od konkurencji (metoda „kopiuj-wklej”). To prosta droga do kłopotów. Dlaczego? Bo w polityce musisz napisać prawdę o TYM, co dzieje się z danymi w TWOJEJ firmie. Jeśli skopiujesz tekst od firmy, która używa narzędzi marketingowych, których Ty nie masz, albo wysyła dane do USA, a Ty trzymasz je w Polsce – wprowadzasz użytkownika w błąd.

Twoja polityka musi jasno określać:
* Kto jest administratorem danych (pełna nazwa Twojej spółki).
* W jakim celu zbierasz dane (np. realizacja zamówienia, newsletter).
* Komu je przekazujesz (np. firmie kurierskiej, biuru księgowemu).
* Jakie prawa ma użytkownik.

2. Rejestr czynności przetwarzania (RCP) – czy obowiązkowy?

To najczęstsze pytanie, jakie słyszę od Zarządów. „Panie Mecenasie, czy my musimy prowadzić ten rejestr? Przecież zatrudniamy mniej niż 250 osób!”.

Przepisy faktycznie zawierają zwolnienie dla mniejszych podmiotów, ALE… jest ono obwarowane warunkami, które w praktyce wykluczają z tego zwolnienia 99% firm. Zwolnienie nie dotyczy sytuacji, gdy przetwarzanie nie ma charakteru sporadycznego. Zastanów się: czy dane pracowników przetwarzasz „sporadycznie”? Nie, robisz to co miesiąc przy wypłatach. Czy dane klientów w systemie CRM przetwarzasz „od czasu do czasu”? Nie, to stały element Twojego biznesu.

Wnioskując: **Rejestr Czynności Przetwarzania (RCP) jest w praktyce obowiązkowy dla każdej aktywnej spółki z o.o.** To dokument (najczęściej tabela w Excelu), który pokazuje, jak przepływają dane w Twojej firmie. To pierwsza rzecz, o którą zapyta inspektor UODO podczas kontroli. Brak RCP to jasny sygnał: „nie panujemy nad danymi”.

Pamiętaj też, że jako zarząd masz szereg powinności, a zaniedbanie dokumentacji RODO może być potraktowane jako naruszenie obowiązków wspólników i zarządu spółki z o.o. do działania z należytą starannością.

Historia z Kancelarii: „Darmowy wzór z Internetu”

Mieliśmy klienta, Pana Tomasza, który prowadził agencję marketingową. Pan Tomasz uznał, że RODO to „ściema” i pobrał darmowy pakiet dokumentów z niesprawdzonego forum prawnego. Wstawił swoje dane i zapomniał o temacie.

Rok później zwolnił pracownika w dość burzliwej atmosferze. Pracownik, znając braki w procedurach, złożył skargę do UODO, twierdząc, że jego dane były udostępniane bezprawnie podmiotom trzecim. Podczas kontroli okazało się, że „darmowy RCP” Pana Tomasza nie uwzględniał w ogóle przekazywania danych do zewnętrznej firmy księgowej oraz do dostawcy chmury obliczeniowej. UODO zakwestionowało cały system ochrony danych.

Pan Tomasz uniknął gigantycznej kary tylko dzięki naszej szybkiej interwencji i wdrożeniu planu naprawczego w toku postępowania, ale koszty obsługi prawnej i stres związany z wielomiesięcznym postępowaniem wielokrotnie przewyższyły koszt profesjonalnego wdrożenia RODO na starcie. To lekcja, że „taniej” na początku, często oznacza „bardzo drogo” na końcu.

3. Umowy powierzenia z księgową i informatykiem.

Twoja spółka nie działa w próżni. Zapewne korzystasz z zewnętrznej księgowości, biura wirtualnego, firmy hostingowej czy informatyka na B2B. W każdym z tych przypadków **powierzasz** im dane osobowe Twoich klientów lub pracowników.

Zgodnie z RODO, musisz mieć z tymi podmiotami podpisaną **Umowę Powierzenia Przetwarzania Danych (DPA)**. Zwykła umowa o świadczenie usług czy faktura VAT nie wystarczą!

* **Księgowość:** Przekazujesz im dane pracowników (PESEL, adresy, zarobki) i kontrahentów. Jeśli biuro rachunkowe wycieknie te dane, a Ty nie masz umowy powierzenia – to TY odpowiadasz za ten bałagan jako administrator.
* **Informatyk/Hosting:** Mają dostęp do Twoich baz danych. Musisz uregulować ten dostęp prawnie.

Często zdarza się, że korzystając z usług takich jak spółka z o.o. w wirtualnym biurze, operator biura sam podsuwa taką umowę. Zawsze jednak przeczytaj ją uważnie lub skonsultuj z prawnikiem, aby upewnić się, że zabezpiecza Twoje interesy, a nie tylko drugą stronę.

4. Kary UODO – czy realne dla małych firm?

W mediach słyszy się o milionowych karach dla gigantów technologicznych. To usypia czujność małych przedsiębiorców. „Mnie nie ruszą, jestem za mały” – myślisz. Nic bardziej mylnego.

Polski organ nadzorczy (Prezes UODO) nakłada kary również na mniejsze podmioty – szkoły, małe sklepy internetowe, przychodnie czy lokalne firmy usługowe. Kary rzędu 10 000, 20 000 czy 30 000 złotych dla małej spółki z o.o. mogą być bolesne i zachwiać jej płynnością. Co więcej, członkowie zarządu muszą pamiętać o swojej odpowiedzialności członków zarządu. Jeśli kara zostanie nałożona na spółkę z winy ewidentnego zaniedbania zarządu, wspólnicy mogą teoretycznie dochodzić odszkodowania od prezesa.

Kary to jednak nie wszystko. Konsekwencją naruszenia może być **zakaz przetwarzania danych**. Wyobraź sobie, że UODO zakazuje Ci korzystania z Twojej bazy klientów do czasu naprawienia uchybień. Dla wielu firm to paraliż operacyjny równoznaczny z koniecznością likwidacji spółki z o.o.

FAQ – Najczęściej zadawane pytania

1. Czy muszę zgłaszać bazę do GIODO (UODO)?
Nie. W obecnym stanie prawnym (od wejścia RODO w 2018 roku) nie ma już obowiązku zgłaszania zbiorów danych do organu nadzorczego (dawniej GIODO, obecnie Prezes UODO). Był to stary wymóg. Teraz ciężar spoczywa na Tobie – musisz prowadzić wewnętrzny Rejestr Czynności Przetwarzania (RCP). Do UODO zgłaszasz jedynie Inspektora Ochrony Danych (IOD), jeśli masz obowiązek go powołać lub decydujesz się na to dobrowolnie.

2. Czy prezes jest IOD?
Absolutnie nie! Prezes Zarządu (lub członek zarządu) nie może pełnić funkcji Inspektora Ochrony Danych (IOD) w swojej spółce. Wynika to z konfliktu interesów. IOD ma kontrolować administratora (czyli spółkę reprezentowaną przez zarząd). Prezes nie może kontrolować samego siebie. Jeśli mała spółka nie ma obowiązku powoływania IOD (a zazwyczaj nie ma), to za ochronę danych odpowiada po prostu Zarząd jako taki, bez tytułu „Inspektora”.

—
**Twoja spółka nie ma jeszcze wdrożonego RODO, a może Twoje dokumenty to tylko „kopiuj-wklej” z Internetu?** Nie ryzykuj bezpieczeństwa swojego biznesu. Skontaktuj się z moją Kancelarią. Przygotujemy dla Ciebie „Pakiet Startowy RODO” skrojony pod wymiar małej spółki z o.o. – bez zbędnej biurokracji, ale ze 100% zgodnością z prawem.